Андрей Эли: Безопасность бизнеса мало интересует сотрудников, они переживают за собственную

Андрей Эли: Безопасность бизнеса мало интересует сотрудников, они переживают за собственную

Андрей Эли: Безопасность бизнеса мало интересует сотрудников, они переживают за собственную

Андрей Эли

Независимый эксперт в области информационной безопасности

Окончил бакалавриат в Иркутском государственном университете по специальности «Прикладная математика и информатика», магистратуру в НИУ ВШЭ по программе «Управление информационной безопасностью». Заканчивает РАНХиГС MBA по программе «Информационная безопасность» (Сhief Security Officer).

Основная сфера деятельности — информационная безопасность. В настоящий момент занимает должность директора по ИБ в медицинской и финансовой компаниях. Опыт работы в ИБ — более восьми лет.

...

Эксперт в области информационной безопасности Андрей Эли, основываясь на опыте работы в крупной страховой компании, рассказал, как открытое взаимодействие ИБ-отдела с сотрудниками помогает бороться с утечками данных и как этому способствуют технические средства защиты.

Расскажите немного о вашем опыте работы. Как вы пришли в страховую компанию и какие задачи вам нужно было выполнять?

А. Э.: Я начинал карьеру в области информационной безопасности со стажировки у одного из разработчиков ИБ-решений. Потом устроился в дочернюю компанию крупной нефтяной организации, а после — попал в страховую, где проработал более пяти лет, дорос до должности руководителя отдела в департаменте ИБ. Там моей основной задачей было обеспечение конфиденциальности данных. Я анализировал работу сотрудников с такой информацией, её движение, выстраивал потоки, чтобы усовершенствовать режим коммерческой тайны и обработки конфиденциальных данных (ПД, тайны страхования и др.). Также разрабатывал регламентирующие документы, положения и политики ИБ, консультировал сотрудников компании в вопросах инфобеза и участвовал в процессах обеспечения безопасности проектов компании.

Какие решения для защиты от утечек внедряли в компании? Как выбирали ПО?

А. Э.: Когда я пришёл, в компании использовали DLP-систему одного из крупнейших российских разработчиков. Мы работали с нею несколько лет, пока не упёрлись в «потолок» функциональности. Это ПО было больше системой мониторинга, чем превентивным инструментом для контроля внутренней информации. 

Система позволяла проводить разбор уже случившихся инцидентов и на основе этого закрывать «дыры» в безопасности, но в ней не хватало настройки тонких ограничений: отсутствовали блокировка передачи информации по контенту (ключевым словам) и гибкая система политик. 

Решили сменить на систему с более широкими возможностями, чтобы упреждать угрозы, не мешая работе бизнес-подразделений.

Перед тем как искать и тестировать новую систему, мы выделили критерии оценки ПО, которые отражали важные для работы параметры. Первый критерий — широкий охват каналов контроля (мессенджеры, почта, облака и прочее). При этом было важно, чтобы система поддерживала мониторинг большого числа сервисов, которые использовались в компании. Второй — гибкая настройка условий перехвата данных: возможность настраивать частичные ограничения на передачу коммерческой тайны, ПДн за пределы компании, печать, копирование на флешку (по пользователям, компьютерам, отдельным объектам и тому подобное). Третий — глубокая аналитика: различные отчёты по действиям пользователей, их связям с коллегами и рабочей активности. Четвёртый критерий — стабильная работа системы, но низкое потребление ресурсов, чтобы ПО не перегружало ИТ-инфраструктуру и не сбивало работу других систем.

Мы рассматривали четыре DLP-системы. Одна из них отпала сразу, так как у неё возникли технические проблемы. Решение так и не запустилось полноценно, из-за чего мы не смогли его оценить. Два других отпали постепенно, когда мы начали настраивать правила исключения и видеть полную картину работы ПО. В настройках не хватило гибкости, а без неё количество ложноположительных событий увеличивается, из-за чего возрастает нагрузка на ИБ-подразделение. В итоге мы остановились на решении от «СёрчИнформ». Справедливости ради, к нему тоже были вопросы по технической части, но исправления и доработки были внедрены в оговорённые сроки.

Кроме DLP, через год мы внедрили DCAP-систему для конечных устройств. Пошли по проверенному пути и взяли её у того же вендора, так как это расширяет возможности DLP. Одна из ключевых функций, которая понравилась, — сканирование информации происходит локально на компьютере. 

Тестировали и другие системы, похожие на класс DAG / DCAP, но они работали иначе: отправляли информацию на сервер и там анализировали, что требовало большого количества мощностей сервера и системы хранения, а также огромной нагрузки на сеть компании.

Трудно представить DLP без DCAP, эти решения работают в связке и комплексно решают важные задачи. «СёрчИнформ КИБ» необходима для расследований, «СёрчИнформ FileAuditor» — для разграничения прав и ролей и категоризации информации в целом, что сильно упрощает контроль информации в компании.

Какие инструменты в DLP- и DCAP-системах оказались наиболее полезными?

А. Э.: DCAP-система упростила нам работу своими метками конфиденциальности: в ПО встроена как автоматическая классификация, так и ручная, когда метки ставят сами пользователи. Это помогает быстро найти в системе нужные документы, будь то персональные данные или финансовая информация, и применить к ним необходимые ограничения. Кроме своих меток в FileAuditor можно использовать метки продуктов Microsoft и Boldon James. Система считывает информацию по ним и применяет соответствующие политики.

В КИБ наиболее полезными стали гибкие настройки политик безопасности. Они дают возможность дополнить параметры и ограничивать только определённый тип данных, пользователя, канал связи. Например, вендор доработал возможность использовать протокол Bluetooth. Сотрудники любят подключать свои наушники, мышки, клавиатуры к рабочим ПК, и у других вендоров можно было либо полностью разрешить использование Bluetooth вместе с раздачей интернета, передачей данных и прочим, либо запретить вовсе. А в продукте от «СёрчИнформ» можно настраивать ограничения частично, по определённому протоколу. 

В этом смысле система универсальна: можно как полностью ограничить пользователей, так и оставить доступными те или иные каналы связи.

Получается, вам ближе подход минимального ограничения пользователей. Не повышает ли это риски утечек данных?

А. Э.: Я против того, чтобы просто всё запрещать — это не в духе современности. В страховой компании мы разрешали многое, но контролировали это. Будем откровенны, в каждой компании есть свои рабочие «чатики» отделов в мессенджерах. Полностью ограничивать общение в них неправильно, персонал найдёт альтернативу, и тогда возрастут риски ухода информации в «серую» зону. В DLP блокировали только передачу конфиденциальной информации в различных мессенджерах, социальных сетях, веб-ресурсах и так далее. Обычное живое общение людей о личных делах и о том, что поесть на обед, мы не отслеживали.

Сотрудников мало интересует безопасность бизнеса, люди переживают только за свою собственную. Это нормально. Моя главная задача в работе с персоналом, как ИБ-эксперта, — просветить сотрудников и помочь им не допустить нарушений. Важно мягко показать, что они также несут персональную ответственность за передачу информации и утёкшие данные могут напрямую влиять на их судьбы. Так, в компании был настроен почтовый карантин с обратным уведомлением. Если письмо с конфиденциальной информацией пытаются отправить на неизвестные адреса, то пользователь получает оповещение, что пересылка данных несёт потенциальные риски. Уведомление привлекает внимание и позволяет предотвратить случайную отправку конфиденциальной информации.

Это прекрасная функциональность, которая позволила сократить количество подобных случайных инцидентов на 74 % и избавить отдел ИБ от их проверки. 

Сначала, конечно, была перестройка бизнес-процессов и были скорректированы политики безопасности, чтобы уменьшить число ложных срабатываний. После этого всё заработало как часы.

Наверняка было и что-то такое, что вас поначалу не устроило в системах.

А. Э.: Было, но вендор по нашей просьбе сделал несколько доработок. Например, в DLP от «СёрчИнформ» появилась интеграция с 1С для контроля рабочего времени: стали подтягиваться данные из СКУД и «1С Предприятия». До этой доработки в системе можно было настроить рабочий календарь, однако перечень информации там минимален и вносить её нужно вручную. В компаниях из 1000 и более человек вносить правки самостоятельно сложно, так как сотрудники болеют, уходят в отпуск, меняют графики работы и так далее. Доработка избавила от рутины и ускорила процессы. Интеграция СКУД и модуля ProgramController позволила нам автоматически создавать корректный отчёт по рабочему времени.

На ваш взгляд, в какую сторону должны развиваться российские DLP- и DCAP-системы?

А. Э.: Российские DLP-системы развиваются вполне гармонично, они уже полноценны, и крупные изменения в них — скорее философский вопрос. Развитие может идти в сторону управления мобильными устройствами (MDM). Современные мобильные телефоны поддерживают MDM-функциональность: для работы создаётся отдельное пространство без установки специального ПО, которое можно контролировать. Например, сотрудник может использовать две версии Telegram — личную и корпоративную — в разных пространствах и с другими настройками. Компании не придётся переживать из-за пересылки файлов на мобильные устройства, так как имеются возможности контроля, а сотрудники не будут волноваться о сохранности личной информации.

Отечественным DCAP-системам, напротив, есть куда расти. В реализации контроля доступа не хватает расширенной настройки ролей, функциональных возможностей со стороны ИТ (поиск копий документов, уменьшение размеров файлов и прочее). 

В данный момент интересуют доработки по меткам конфиденциальности — ограничения по правам доступа на целый отдел. Например, сейчас в DCAP от «СёрчИнформ» возможно разделить права по папкам, однако этого мало, так как файлы иногда хранятся на компьютерах пользователей. Люди же могут передавать документы друг другу, даже без злого умысла. Шифрование и разграничение прав в документах позволит ещё на этапе их создания предотвращать утечки, в том числе за периметром компании.

Что бы вы посоветовали учесть специалистам других компаний при внедрении любой из этих систем?

А. Э.: Советую работать с пользователями. Если мы беспокоимся об утечках, сотрудники должны понимать, почему это так важно. Они должны осознанно работать с данными, понимать, чем опасны для компании «сливы» информации и как её защитить. ИБ-отдел должен объяснить это. Без обратной связи ничего не получится, сотрудники не поймут, что делают не так, и продолжат ошибаться. Нужно проводить обучение и рассказывать про различные риски, взломы, атаки. Не чтобы запугать, а чтобы показать, что из-за мелких ошибок может случиться большая беда.

Если брать технический аспект — перед внедрением DLP нужно понять, какой вид информации вы хотите защищать. Проведите аудит используемых систем, постройте карту рисков. Протестируйте на «пилоте» всё, что может приводить к утечкам. С помощью DLP-системы проработайте «самодельные» инциденты и посмотрите, как они будут отработаны.

Проверять эффективность системы желательно на сотрудниках не из ИБ-отдела. Пользователи часто ведут себя не так, как мог запланировать специалист по безопасности. В тестовую группу лучше включить по одному-двое сотрудников из разных отделов, так можно проверить поведение каждого подразделения, не нарушив рабочие процессы. Тестовые «инциденты» покажут, какие специалисты особенно уязвимы и могут спровоцировать ИБ-инциденты.

Большое спасибо! Желаем успехов!