Петр Григорьев
Бывший сотрудник правоохранительных органов. Имеет профильное высшее образование и 10-летний опыт руководящей работы в сфере информационно-аналитической работы по обеспечению безопасности коммерческих структур различных форм собственности.
Успешно реализовал ряд проектов по риск-менеджменту в кредитно-финансовой сфере.
Петр Григорьев, офицер безопасности холдинга IT Partner, рассказал о внедрении в компании DLP-cистемы Solar Dozor: о том, почему она нужна, как происходил процесс выбора, и какие задачи она решает на практике.
Расскажите, пожалуйста, о компании. У вас распределенная ИТ-инфраструктура?
П. Г.: Холдинг IT Partner объединяет группу компаний, больше 5 лет мы работаем на российском рынке и занимаемся всем, что связано с поставкой и продажей компьютерного оборудования, начиная с проводов и заканчивая самыми сложными и перспективными современными серверами. Помимо центрального московского офиса у нас есть шесть региональных представительств, а также разветвленная логистическая служба. Пока мы внедрили DLP-систему – 200 лицензий Solar Dozor – только в головном офисе с целью контроля активности сотрудников, принимающих бизнес-решения различного уровня. Ведь от их действий зависит эффективность, качество и успешность реализации стоящих перед нами бизнес-задач.
Почему возникла потребность в DLP-системе? Каковы предпосылки реализации этого проекта?
П. Г.: Общаясь с ключевыми игроками рынка в нашем сегменте, мы делимся опытом и наработками. Однажды партнеры спросили нас: у вас такие объемы поставок, а DLP-система-то у вас работает? Тогда для нас настал момент истины: когда количество сотрудников, принимающих управленческие решения, превышает определенный критический уровень, этот инструмент становится необходимым бизнесу. Когда бизнес наращивает обороты, гораздо серьезнее становятся все его процессы. И угрозы тоже растут в геометрической прогрессии.
Какие основные угрозы и риски в вашей компании закрывает DLP-система?
П. Г.: Безусловно, это риски утечки персональных данных, информации о ключевых заказчиках и партнерах, особенности сделок — классический перечень. Но прежде чем внедрять систему, мы внимательно изучили этот класс решений: зачем они нужны и на закрытие каких задач направлены. У нас хорошие сотрудники, и мы не занимаемся охотой на ведьм. Но, как показывают все отраслевые исследования, подавляющее число утечек конфиденциальной информации происходит из-за невнимательности работников, недопонимания или неверной трактовки правил работы со служебной информацией.
Перед внедрением системы мы разработали определенные правила обращения с электронными документами в компании на основе закона о коммерческой тайне, обсудили их с руководством, согласовали и закрепили во внутренних регламентах. Если сотрудник совершает какие-то неправильные действия, в большинстве случаев он не является злоумышленником, а просто ошибается по невнимательности или в спешке. Но, как гласит русская пословица, простота хуже воровства. Неизвестно, что может нанести больший ущерб — целенаправленный умысел или банальная недальновидность, когда документ, который создан исключительно для внутреннего пользования, пересылается партнерам.
Одной из причин, по которой мы выбрали DLP-систему Solar Dozor, является широкий набор настроек, позволяющих четко дифференцировать все возможные нарушения по их характеру — от явно умышленных действий до простой невнимательности. Помимо вопросов информационной безопасности учитывается и специфика документооборота компании, и характер электронного общения сотрудников, осуществляется проверка соблюдения электронной этики.
Считается, что DLP-систему есть смысл внедрять, когда в компании есть четкое понимание конфиденциальной и критичной информации. У вас оно было на момент старта?
П. Г.: Безусловно, определенное понимание было. Может, не настолько четко сформулированное, как хотелось бы. С внедрением DLP-системы и здесь появились положительные сдвиги.
Как вы выбирали систему, сколько кандидатов у вас было? Что пилотировали?
П. Г.: Мы выбрали лидеров рынка, всех приглашали на встречи с демонстрацией. Как таковой пилотный проект мы не проводили, но изучали работу систем на стендах, в том числе с учетом отраслевой специфики. Мы выбирали и по цене, и по функциональности, и по удобству использования: хотелось, чтобы огромные объемы информации воспринимались и анализировались максимально просто. Мы остановились на DLP-системе «Ростелеком-Солар» Solar Dozor, потому что это моноконсольное решение, где есть единый интерфейс для всех модулей. Плюс яркий, эргономичный дизайн — с программой легко и приятно работать.
У вас были какие-то специфические требования? Скажем, поддержка определенных платформ, агентов?
П. Г.: Мы не такая большая компания, и наши бизнес-решения типовые. Нам все подошло из стандартного набора модулей Solar Dozor. Но если нам понадобится расширение, мы попросим его дописать.
Используете ли Вы DLP-систему для ретроспективного анализа информации, как это часто в России бывает? Или для блокировки тоже?
П. Г.: Сейчас мы имеем полугодовой профильтрованный объем всей переписки в едином хранилище. Специфика нашего бизнеса такова, что мы работаем в режиме онлайн, поэтому блокировку не используем. Но если система информирует о каком-то событии, то можно быстро посмотреть не только детали самого инцидента, но и накопленную в архиве информацию. Как отличить невнимательного сотрудника от злостного нарушителя? Если человек единожды или дважды допустил ошибку, это одна история. Если же он постоянно нарушает правила работы с конфиденциальной информацией, – другая. И последнее можно быстро выявить, лишь проанализировав долгосрочный архив автоматизированными инструментами. Правда, объем накопленной информации пока не десятилетний, а полугодовой, но все равно это прекрасное подспорье.
Solar Dozor и другие продукты активно развиваются в сторону анализа поведения пользователей, анализа аномалий поведения, в том числе профилирования. Эта функциональность вам интересна, используете ее?
П. Г.: Пока мы не используем эту функциональность системы. В Solar Dozor есть возможность выявления аномального поведения пользователей и их объединения в различные группы риска. На каждого пользователя формируется досье, в котором отображаются все действия с точки зрения «плюса-минуса в карму». Мы пока до этого инструментария не дошли, но планируем.
Сколько времени заняло внедрение? Были ли какие-то подводные камни?
П. Г.: Сложностей в процессе внедрения не возникло — все было реализовано качественно и быстро, мы даже сами удивились. В целом процесс занял 1,5 месяца, и внедрение никак не отразилось на производительности информационных систем и рабочих станций компании.
После внедрения прошло полгода. Есть какие-то предварительные итоги? Может, удалось какие-то инциденты выявить? Система себя уже показала в действии?
П. Г.: Громких инцидентов не было. Но удалось выявить события, которые сигнализируют, что некоторым работникам нужно поменять свое поведение, быть более внимательными, соблюдать нормы ведения документооборота. После выявления подобных случаев сотрудники службы информационной безопасности проводят беседу с работниками, напоминают о правилах обращения со служебной информацией. О выявленных нарушениях мы сообщаем руководителю департамента защиты бизнеса, который принимает дальнейшее решение.
Уже можете оценить экономический эффект от внедрения?
П. Г.: Когда действия сотрудников предметно контролируются, это самым положительным образом сказывается на качестве их работы. Соответственно, и экономические показатели компании показывают положительную динамику.
Как вы оцениваете использование DLP-системы как инструмента экономической безопасности? Например, для выявления сговора сотрудников компании с внешними партнерами или подставных компаний, которые могут быть открыты у кого-то из сотрудников на стороне?
П. Г.: Есть определенные, скажем так, маркеры подозрительной внешней активности сотрудников, на которые срабатывает DLP-система. В таких случаях я передаю собранную информацию в нашу службу экономической безопасности – далее инцидент расследуется с соблюдением всех необходимых мер. На данном этапе это наиболее эффективный формат взаимодействия с экономической безопасностью по линии использования результатов работы DLP-системы.
Бизнес-руководство компании понимает целесообразность внедрения DLP?
П. Г.: Инициатива внедрения изначально исходила именно от нашего генерального директора. И мы укрепились в этом намерении, когда общались с бизнес-партнерами.
Сейчас еще развивается такая связка, когда используются агенты на рабочих станциях у сотрудников, которые входят в группу риска. И эти агенты снимают максимум информации, включая звук, видео, снимки экрана и прочее. На вашей практике, эта функциональность актуальна?
П. Г.: Да, безусловно. Когда идет расследование, все возможные способы целевого получения дополнительной информации актуальны. Здесь нужно задействовать все инструменты контроля корпоративных каналов коммуникаций.
Допустим, мы выявили, что потенциально какой-то сотрудник отправил файл наружу — был у него умысел или нет, неважно. Но он утверждает, что его в этот момент за компьютером не было. Как быть здесь?
П. Г.: У нас такая политика: если человек в отпуске, а его компьютером пытается воспользоваться другой сотрудник, служба ИБ сразу же получает оповещение. Можно немедленно посмотреть данные с видеокамер. Так что такого просто не может быть.
Чего вам не хватает в функциональных возможностях Solar Dozor? Чего еще вам хотелось бы от DLP-системы?
П. Г.: В целом, нам очень нравится эта система. Есть одно пожелание: хотелось бы, чтобы в перспективе в Solar Dozor появилась библиотека реализованных кейсов. Даже не отраслевых, поскольку нарушения в основном имеют типовой характер. Но чтобы не изобретать велосипед, расследуя инцидент, с которым сталкиваешься впервые, и экономить ресурсы, было бы здорово иметь в составе DLP-системы некую общую интеллектуальную библиотеку расследованных инцидентов. С возможностью для всех участников процесса делиться своими наработками непосредственно в этой библиотеке.
Если реализовать такой инструмент системно и четко, он будет очень полезен.
Обычно сложности с DLP-системой возникают в том, чтобы обучить ее определять, что является конфиденциальными данными, а что ими не является.
П. Г.: В ходе рабочего процесса мы продолжаем обучать систему. Есть словари, есть основные сценарии, но все моменты учесть невозможно. Solar Dozor хорошо отрабатывает инциденты, но глубокая работа специалиста с системой не менее важна. Какими бы качественными ни были базовые настройки, внутренний тюнинг необходим, чем мы постоянно и занимаемся.
Сколько времени ежедневно у вас занимает работа с данными DLP?
П. Г.: За три часа я успеваю просмотреть суточный входящий трафик, и затем мне нужен еще час, чтобы разобрать инциденты и отправить краткую сводку руководству.
Есть примеры использования DLP-систем для выявления нелояльных сотрудников или сотрудников с подозрительными наклонностями. В вашей практике были подобные случаи?
П. Г.: Обычно люди с подозрительными наклонностями делают свои дела посредством личных устройств, мы их не контролируем. Для решения подобных проблем в компании существует служба собственной безопасности. Информационная безопасность в этом случае может лишь предоставить некие данные, косвенно свидетельствующие о подобных наклонностях. Для ключевых менеджеров в перспективе компания хотела бы ввести запрет на общение через личные устройства в рабочее время, но пока это распространяется только на мессенджеры.
Часто обсуждается проблема фотографирования экрана как простой метод снятия информации в обход DLP-системы. Или еще вариант: запоминать эту информацию, а потом из дома отправлять ее, куда нужно. Как быть в этих случаях?
П. Г.: Во-первых, есть утилита, которая не дает качественно фотографировать экран — снимок искажается или не отображается вовсе. Безусловно, на 100% все закрыть невозможно. Но, судя по практике, психология человека такова, что ему нужно все сделать быстро. Домой такую информацию уносят редко, в основном, стремятся сразу передать адресату. Но в сознание человека не внедришься, поэтому некоторые риски остаются.
Спасибо за интервью. Желаем успехов в бизнесе!