DLP: действенный инструмент борьбы с утечками, связанными с человеческим фактором
В век цифровизации защита компаний и государственных интересов от посягательств, идущих из интернета, уже стала одним из главных приоритетов безопасности. В пандемию этот тренд лишь укрепился, поскольку одних вынудил переводить большинство своих рабочих процессов в онлайн, а другим открыл новые способы реализации кражи конфиденциальных данных
Усилились и риски, возникающие из-за человеческого фактора, - непреднамеренные и умышленные утечки, которые возникают, например, по вине персонала компаний. Бороться с подобными рисками как для небольших, так и крупных компаний становится все сложнее, в том числе из-за недостаточного внимания к ним со стороны топ-менеджмента.
Чтобы обсудить эту проблему и представить собственные решения для предотвращения таких угроз и борьбы с ними и их последствиями, "Ростелеком-Солар" провел 26 мая в московском Цифровом деловом пространстве форум DLP+. Мероприятие объединило порядка 650 специалистов в области киберзащиты и представителей крупного бизнеса и было посвящено актуальным технологиям и методам защиты компаний от внутренних угроз.
Найти баланс в этических нормах
Форум DLP+ открылся дискуссией "Этика, право и безопасность", на которой участники обсудили одну из главных дилемм внедрения DLP-решений - этичность систем контроля коммуникаций. Замдекана экономического факультета МГУ им. М. В. Ломоносова Александр Кудрин назвал этику самым экономичным механизмом контроля мошеннических действий и призвал инвестировать в развитие этического стандарта.
Генеральный директор компании Zecurion Алексей Раевский в свою очередь сравнил механизм контроля коммуникаций сотрудников с функцией государства по обеспечению безопасности, которая, безусловно, этична, за исключением случаев, когда ее реализуют коррумпированные кадры.
При этом, отмечает Раевский, в этом вопросе необходимо соблюдать баланс - если компания вводит жесткий контроль над сотрудниками, как государство - над гражданами, то это должно объясняться исключительно целями защиты информационной безопасности. В любом другом случае сверхстрогий контроль над работником может пойти во вред и ему, и самой компании, поскольку нарушает этику.
В целях соблюдения этого баланса этика должна быть поддержана понятными и прописанными нормами и правилами, а также мерами по контролю их выполнения, считает директор центра продуктов Dozor компании "Ростелеком-Солар" Галина Рябова. С этим соглашается и Александр Кудрин, обращая внимание на то, что слишком серьезный контроль негативно сказывается на деловой активности.
"Важно, чтобы в какой-то момент правовой механизм заработал и поднял издержки, но надо понимать, что это избыточное регуляторное контрольно-надзорное бремя надо снижать. Потому что так мы развиваться не будем", - добавил он.
В целом все выступающие сошлись во мнении, что открытая коммуникация сотрудника и работодателя по вопросам контроля и правил обращения с ценной корпоративной информацией снимает многие сложности, связанные с внедрением DLP.
Оградить человека от совершения ошибок
Центральная тема форума DLP+ - роль конкретного сотрудника в обеспечении корпоративной информационной безопасности - обсуждалась на пленарной сессии. В частности, участники дискуссии обсуждали влияние пандемии на кибербезопасность, новые вызовы и угрозы, а также роль человеческого фактора в информационной безопасности компаний.
По словам директора департамента специальных проектов HeadHunter Виталия Терентьева, несмотря на то что многие работники компаний, особенно разработчики, которые больше склонны к цифровой коммуникации, оказались рады перейти на удаленный режим работы из-за пандемии, все больше людей будет выходить в офисы, когда она сойдет на нет. В связи с этим возникает вопрос, как модернизировать правила и этику в деле обеспечения ИБ в новых условиях.
Как отметил вице-президент "Ростелекома" по информационной безопасности Игорь Ляпунов, "с переходом на „удаленку“ сотрудники получили больше свободы: сидя дома, они могут работать менее продуктивно или вообще не работать. Центральным становится вопрос самодисциплины, и для многих сотрудников это большой личный вызов". Соответственно, актуальнее стал вопрос о доверии между компанией и сотрудником. По мнению Игоря Ляпунова, доверие компании к своим сотрудникам или его демонстрация - это ключевое условие для сохранения персонала в компании и поддержания здорового климата внутри организации. Как только люди начинают чувствовать, что компания им не доверяет, разрушаются все внутренние связи, коммуникации, ценности.
Однако, продолжил он, между тем, как сохранить здоровую атмосферу в компании, и тем, как обеспечить безопасность в новом открытом и опасном мире, есть тонкая грань, на которой важно балансировать. При этом ни в коем случае нельзя устанавливать правило zero trust в отношении людей - оно приведет только к разрушению.
"Я считаю, что переход на „удаленку“ стал большим стрессом для сотрудников", - отметила Наталья Касперская, президент группы компаний InfoWatch. "Когда слегка приоткрылась завеса удаленного офиса, у нас случился резкий выброс кадров. Некоторые просто встали и ушли, несмотря на то что не было абсолютно никаких предпосылок. Когда мы начали возвращаться в офис, все вернулось на круги своя. В том, что предсказывать такие траектории изменений стало гораздо сложнее, заключается еще один большой вызов. Вместе с этим определенную угрозу представляют иностранные работодатели. Сотрудников больше не сдерживает необходимость переезда, им достаточно включить ноутбук, чтобы начать работать в международной компании".
Тем не менее, по мнению президента ГК InfoWatch, главная задача в области ИБ для любой компании - защита данных - должна выполняться, несмотря на "удаленку" или другие факторы. С этой целью в компании были усилены поведенческие блокираторы системы, поставлен в приоритет удаленный контроль за сотрудниками.
Зачем нужны системы предотвращения утечек?
В ходе форума представители ИБ-бизнеса рассказали о том, какие существуют решения по обеспечению защиты от утечек, как они помогают бизнесу справиться с рисками, связанными с человеческим фактором, и эффективны ли они.
Как отметила директор центра продуктов Dozor компании "Ростелеком-Солар" Галина Рябова, впервые словосочетание DLP (Data Leak Prevention, предотвращение утечек информации) возникло в 2005–2006 гг., когда стало очевидно, что угрозы информационной безопасности могут прийти не только извне, но и изнутри самих компаний.
"В 2010-х годах от контроля всех возможных каналов утечки информации мы перешли к жизненному циклу инцидентов. Мы пришли к тому, что внутренние угрозы не возникают сами по себе, - они имеют ФИО. Если мы работаем с большим количеством событий, их надо определенным образом группировать. В 2015 году мы начали активно говорить о концепции безопасности с фокусом на человеке", - сказала она.
"В 2015 году мы активно начали рассказывать рынку, что не только службы информационной безопасности могут использовать DLP, но и другие подразделения. Сейчас DLP перестал быть инструментом лишь информационной безопасности, теперь это класс решений корпоративной безопасности. Рынок решений стал более зрелым, и у компаний появилось понимание, что объем задач, которые решает DLP, стал намного больше и продолжает расти", - добавила Рябова.
Кому нужен DLP?
Участники дискуссии согласились с тем, что рынок DLP-систем будет востребован, в частности благодаря тому, что подобные утечки наносят большой финансовый ущерб компаниям. Однако DLP не всесильны и не способны охватить все каналы информации, предупреждают эксперты.
Руководитель блока DLP компании Infosecurity (ГК SoftLine) Анна Попова полагает, что сегодня в России причина выбора DLP часто заключается в потенциальном финансовом ущербе, который может произойти после инцидента с утечкой. Кроме того, продолжила она, это риски при сделках M&A, когда менеджмент компаний понимает, что существует определенный блок информации, который необходимо защищать.
При этом, подчеркнула Попова, нет смысла "обвешивать" систему информационной безопасности всеми возможными системами противодействия угрозам, а правильно отталкиваться от стоящих перед компанией задач.
"DLP - это инструмент в первую очередь. Чтобы пользоваться инструментом, ему нужно правильно ставить задачу. Для кого-то важен анализ исходного кода, для кого-то - поведенческий анализ. В рамках использования инструмента в одном бизнесе в разных подразделениях задачи могут быть разными, но все можно решить DLP. Самое опасное - когда в систему лезут руками, а система должна работать в автоматическом режиме", - заметил со своей стороны заместитель начальника службы информационной безопасности банка "Возрождение" Василий Окулесский.
По словам Окулесского, большинство аналитиков сходятся во мнении, что тема предотвращения утечек наиболее важна именно для финансового сектора. "Это наиболее очевидная мишень для злоумышленников, так как доступ к информации финансовой организации открывает доступ к денежным средствам. В частности, в банке в первую очередь необходимо защищать финансовые и персональные данные. Вместе они составляют банковские сведения, которые по законодательству необходимо защищать", - пояснил он.
Однако существенный ущерб также может нанести утечка информации о стратегическом развитии, о внутреннем анализе рынка, планах развития коммерческих продуктов, о реальной инфраструктуре и т. д., перечислил Окулесский.
Вместе с тем, заключил представитель банка, защита всех этих сведений предполагает целый комплекс организационных и технических мер: от категорирования всевозможных данных, систем их обработки, контуров безопасности, доступов, формирования правил перемещения информации до обучения сотрудников, реализации технических средств управления доступом, регистрации событий доступа к ресурсам - и только после этого организация может подойти к вопросу внедрения DLP.