Защита от внутренних угроз в новой реальности: настоящее и будущее технологий DLP

Отечественные ИБ-специалисты и организации, которые они защищают, сегодня сталкиваются с беспрецедентными вызовами. Противостоять киберугрозам, которых стало на порядки больше, приходится на фоне западных санкций и ухода с рынка зарубежных вендоров. Одним из важнейших аспектов в условиях геополитического противостояния становится защита от внутреннего нарушителя, который своими действиями может нанести ущерб не меньший, чем профессиональные хакеры. На форуме DLP+ 2022, который прошел в Москве 1 июня, ИБ-эксперты, представители государства и бизнеса обсудили современные вызовы и актуальные технологии защиты от утечек информации, подняли вопросы импортозамещения и технологического суверенитета, поделились практическими кейсами использования DLP-систем. Были затронуты аспекты подготовки квалифицированных кадров, правовое обеспечение использования DLP-систем в компаниях и другие темы, связанные с защитой от внутренних угроз.

О цифровой беспечности и культуре ИБ

В превью-дискуссии речь шла о глобальных вызовах, с которыми столкнулась Россия, о роли и перспективах цифровизации в современном мире, а также о культуре кибербезопасности, которую сегодня очень важно прививать людям.

Режиссер Егор Кончаловский признался, что тотальная цифровизация вызывает у него опасения: «Реальная жизнь никуда не делась. Большой ошибкой было бы полагаться исключительно на интернет, на возможности сетей. Цифровой мир – продолжение обычного, и опасности последнего находят продолжение в первом. Угрозы существования нашей страны, ее территориальной целостности и т. п. имеют продолжение в киберпространстве». По мнению Кончаловского, в сегодняшнем мире люди очень изолированы, и их мало что связывает между собой. Такими людьми проще управлять.

Президент розничной сети «Азбука Вкуса» Денис Сологуб признал, что современный бизнес очень зависим от информационных технологий: выходят из строя кассы, критичные бизнес-системы – и происходит коллапс, компания несет колоссальные финансовые потери.

По мнению руководителя департамента клиентского сервиса компании «РТК-Солар» Анны Поповой, у нас появилась цифровая избалованность, которая приводит к цифровой беспечности. Находясь в новой реальности, в какой-то момент мы забываем о том, что теряем над ней контроль.

О необходимости кибергигиены говорил и директор департамента ИБ Тинькофф Банка Дмитрий Гадарь: «Медицина и кибербезопасность похожи: все думают, что знают, как надо. Однако странно есть все подряд, подрывать здоровье и приходить к доктору, когда уже совсем плохо. Вот и в кибербезе – нам всем надо вырабатывать правильные цифровые привычки. При этом крайне важно найти баланс между реальными рисками и требуемой защитой». По его мнению, если сформировать правильные «пищевые привычки» в цифровом мире, киберинцидентов будет становиться меньше. Информационная безопасность должна быть частью культуры, причем во всех областях и сферах жизни.

Кто ответит за утечки?

В ключевой дискуссии форума участники говорили об ответственности компаний за утечки данных и росте штрафов за допущенные инциденты. По мнению CSO и GR-директора HeadHunter Виталия Терентьева, одна лишь эта мера не решит проблему низкой защищенности: бизнесу нужны действенные инструменты защиты от этой угрозы, чтобы соответствовать высоким требованиям государства. С этой позицией согласился и руководитель направления защиты информации и ПДИТР госкорпорации «Ростех» Игорь Каландадзе. Он отметил, что важно сконцентрироваться и на персональной ответственности человека, который допустил утечку. Иначе ответственность будет размываться: компания несет репутационные и финансовые потери, при этом вопрос злоумышленника не обсуждается, это неверно.

Представители государства, напротив, считают, что повышение штрафов может улучшить ситуацию. «Разумеется, штраф до 100 тысяч рублей за утечки для крупной компании незначительный. Необходимо менять парадигму. Уверен, что с введением оборотных штрафов утечек станет меньше», – сказал член Комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин. Говоря о действенных инструментах, которые нужны бизнесу, заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин заявил, что для защиты есть много разнонаправленных средств и мер, которые надо применять комплексно для снижения рисков.

Также в ходе ключевой дискуссии спикеры затронули актуальные проблемы ИТ- и ИБ-отрасли, в том числе поддержку профильных компаний и их сотрудников.

«Основная идея Указа Президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» – мотивировать руководителей тех предприятий, которые раньше находились в серой зоне и уделяли мало внимание ИБ, заняться вопросами информационной безопасности, внедрения средств защиты, – рассказал Евгений Хасин. – Под действие указа подпадает более 100 тысяч систем в российских организациях. В сфере информационной безопасности у нас достаточно высокая готовность к импортозамещению, есть много отечественных средств защиты. Конечно, есть проблемы с оборудованием, их государство планирует решать. Мы рассчитываем, что указ поднимет интерес к инвестированию в новые ИБ-проекты, в развитие кадрового потенциала отрасли кибербезопасности».

Говоря о дефиците специалистов, Артем Шейкин рассказал, что для решения кадрового вопроса Минцифры сегодня принимает ряд важных мер поддержки как ИТ-специалистов, так и ИТ-компаний. Помимо этого, до 2024 года планируется увеличить количество бюджетных мест в ИТ-вузах до 120 тысяч человек. В вопросе же технологического суверенитета два ключевых аспекта: сами отечественные решения и обучение людей работе с этими технологиями. В этом направлении государство тоже готовит меры поддержки.

Об импортозамещении

Тема импортозамещения была затронута еще на ключевой дискуссии форума. Так, Василий Лесной, исполнительный директор – начальник Центра киберзащиты Сбербанка, обратил внимание на возможное наличие зарубежных компонентов в отечественных решениях: важно смотреть, что под капотом у этих систем. Евгений Хасин отметил, что в сфере информационной безопасности у России достаточно высокая готовность к импортозамещению, есть много отечественных средств защиты. Проблемы с оборудованием, которые возникли, государство планирует решать.

Кроме того, этой теме был посвящен отдельный трек форума – «Импортозамещение на практике». Его участники поговорили о переходе на отечественные технологии в условиях стремительного ухода из страны иностранных производителей средств защиты и аппаратных платформ. Эксперты рынка отметили колоссальный рост запросов на миграцию с иностранных решений на отечественные, а некоторые из участников дискуссии заявляли об увеличении количества запросов по отдельным классам решений в 85 раз.

Комментируя проблему, связанную с дефицитом аппаратных платформ, которая возникла из-за введенных санкций, коммерческий директор компании Yadro Александр Бакулин рассказал, что в декабре этого года компания запустит первые линии по производству оборудования для корпоративных ЦОД на заводе полного цикла в Дубне. Предприятие будет производить около 1 млн устройств в год: серверы, СХД, сетевое оборудование, клиентские устройства (ПК, ноутбуки, планшеты). При этом как аппаратная часть, включая процессоры, так и системное ПО полностью разработаны компанией Yadro, поэтому оборудование может быть сертифицировано по требованиям регуляторов.

По словам Дмитрия Григоровича, руководителя по ИБ АО «Элемент», сейчас нужно смириться с тем, что жизнь уже не будет прежней, и единственный вариант – это поддержка отечественных производителей.

DLP как часть системы безопасности

В рамках одного из треков участники обсудили, как устроена экосистема внутренней безопасности.

Галина Рябова, директор Центра продуктов Dozor, в своем докладе рассказала о необходимости вписывания DLP в единую экосистему безопасности: «Для нас, как для вендора, логическое развитие продукта заключается не в добавлении какой-то новой фичи, которая не всегда даже нужна клиенту, а в связывании этого продукта с остальными системами, которые стоят в организации. Кажется, что сейчас совместными усилиями мы можем создать экосистему, где будет выстроена взаимосвязь с уровнем процессов через уровень задач к осмысленным приложениям и связям».

Чтобы обеспечить кибербезопасность, заказчики выбирают разные средства защиты, при этом они могут быть как от одного, так и от разных вендоров. По мнению Рябовой, крайне важно, чтобы у штатных ИБ- и ИТ-специалистов было понимание того, как все эти решения можно удобно связать между собой. И тогда в зависимости от того, какая именно угроза актуальна в данный момент, компания сможет взять каждый кубик этой экосистемы и выстроить прозрачную и понятную для себя киберзащиту.

Руководитель направления «Антифрод» Райффайзенбанка Александр Мотичев согласился с тем, что связанность различных систем очень важна. По его мнению, без правильно выстроенных процессов, нормативной документации, единой инфраструктуры безопасности DLP просто не защитит от всех утечек, которые могут случиться.

Участники дискуссии также обсудили, как адаптируются служба ИБ, ее инструменты и подходы под новые профили нарушителей и сопутствующие им риски. По мнению спикеров, тема утечек сейчас на слуху и внутренний злоумышленник стал умнее. Также стало очень сложно контролировать движение информации между внутренним периметром компании и личным периметром сотрудника.

Продолжая тему изменения портрета внутреннего нарушителя, Галина Рябова рассказала о том, что теперь приходится смотреть на группы риска, которые даже не рассматривались ранее. Так, эксперты считают, что недавняя атака на Rutube была бы невозможной без действий инсайдера. Раньше в качестве угрозы вендоры DLP рассматривали скорее таких сотрудников, как финансисты или юристы, а не разработчиков и технические службы.

Применение DLP на практике: нюансы и лайфхаки

Один из самых интересных треков мероприятия был посвящен реальным кейсам и практике использования DLP.

Руководитель отдела продуктовой аналитики компании «РТК-Солар» Софья Худякова в своем докладе представила топ-5 лучших практик применения DLP. Так, повседневную рутину, по мнению эксперта, нужно доверять настроенным политикам: не надо использовать поиск там, где можно использовать политику. Второй совет – организовать совместный доступ к DLP-системе, построив ролевую модель, чтобы ее могли использовать не только безопасники, но и другие подразделения для решения своих задач. Кроме того, лучше отключить ненужные правила, которые не решают существующие в компании задачи, чтобы не нагружать систему лишней работой.

Еще одна рекомендация – сделать доработку политик непрерывным процессом, чтобы одновременно и минимизировать утечки информации, и сократить число ложноположительных срабатываний. Наконец, не надо забывать про возможности интеграции DLP со стеком ИТ/ИБ- и бизнес-решений. Это позволит использовать систему защиты от утечек максимально эффективно. Современные DLP умеют гораздо больше, чем просто обрабатывать почтовый трафик и трафик с агентов. Они могут анализировать сетевой трафик, мессенджеры, контролировать файловые хранилища, интегрироваться с бизнес-системами. Если у вас есть такой мощный инструмент, как DLP, его нужно использовать по максимуму, подытожила Софья Худякова.

Евгений Акимов из Объединенного кредитного бюро подчеркнул, что нужно найти баланс между завышенными ожиданиями и скептицизмом по отношению к DLP. По его мнению, потенциальных заказчиков подобных систем не должно останавливать то, что не все каналы удается контролировать, например фото экрана на телефон. Акимов убежден, что если можно закрыть 80% каналов, это уже повод использовать DLP, а большие объемы данных не запишешь с экрана.

Максим Королев, директор по ИБ ГК «Сегежа», сравнил DLP-систему со «швейцарским ножом» в руках умелого ибэшника: спикер перечислил сразу семь задач, которые позволяет решить DLP, помимо своего основного назначения – защиты от утечек. Это контроль рабочего времени, выявление нецелевого использования ресурсов, мониторинг качества бизнес-процессов, восстановление потерянных документов и почтовой пересылки, сбор доказательств для обращения в суд, сокращение текучки и защита кадров от переманивания и контроль настроений в офисе, а особенно на удаленке.

Участники дискуссии разошлись во мнениях по поводу того, как разграничить личную и рабочую переписку в DLP-системе. Так, Александр Клевцов, руководитель направления InfoWatch Traffic Monitor компании InfoWatch, уверен, что нужно не допускать попадания туда личной информации. По его мнению, сотрудник должен использовать корпоративное оборудование только в профессиональных целях. Евгений Акимов, напротив, уверен, что не стоит ограничивать сотрудников. Это позволит контролировать больше каналов коммуникации: если работник пользуется личными мессенджерами на рабочем компьютере и попытается через них слить какую-то корпоративную информацию, это будет видно офицерам безопасности.

В рамках круглого стола участники также поговорили о метриках эффективности DLP. По мнению экспертов, при ее оценке правильнее отталкиваться от управления рисками, а не инцидентами. Так, Александр Масалович, президент консорциума «Инфорус», указал на пожарный шкаф, расположенный в зале: отсутствие пожара не говорит о ненужности этого элемента безопасности. Как подытожил Сергей Рысин, главный специалист по технической защите департамента специальных проектов компании HeadHunter, стоимость DLP-системы должна быть ниже тех рисков, которые она покрывает.

Можно ли отдать DLP на аутсорсинг?

Теме аутсорсинга применительно к DLP-системе был посвящен отдельный круглый стол. Участники поспорили о том, кому и зачем будет безопасно и выгодно отдать DLP на аутсорсинг, поможет ли сервисная модель решить проблему нехватки кадров, и как в этом случае следует распределять зоны ответственности.

По мнению руководителя направления InfoWatch Traffic Monitor компании InfoWatch Александра Клевцова, сейчас мы стали ближе к аутсорсингу, потому что DLP и весь класс решений, которые борются с внутренними угрозами, перешли в разряд обязательных элементов системы безопасности, бизнес стал рассматривать этот риск как реальный. А значит, рано или поздно возникнет вопрос: как можно сократить ресурсы, которые тратятся на закрытие этого риска?

С ним согласен и Иван Микрюков, руководитель отдела сервиса «РТК-Солар». По его словам, сейчас сами заказчики приходят к вендору с таким запросом. Но им нужно, чтобы вендор мог гарантировать безопасность данных, подтвердить уровень собственных знаний и т. п. По мнению Микрюкова, время для аутсорсинга DLP настало, хотя переход на него пока не будет массовым. Сейчас необходимо правильно определить пул процессов и данных, которые можно отдавать на аутсорсинг, обозначить риски и закрепить ответственность вендора. При этом компаниям не интересно передать DLP на аутсорсинг и просто получать оповещения о событиях – им интересно иметь аналитику под этими оповещениями, уверен Микрюков. «Здесь не будет типовых решений – важно грамотно проанализировать и встроиться в процессы заказчика», – добавил эксперт.

Рассуждая о рисках, которые могут возникнуть при передаче DLP на аутсорсинг, Руслан Ложкин, руководитель ИБ-службы Абсолют Банка, обратил внимание на то, что определенные события значительно меняют наше отношение к тем или иным рискам. Например, случилась пандемия – и удаленка даже для банков стала нормой. По мнению, Ложкина, в теории на аутсорсинг можно отдать вообще все, но вопрос в том, кто будет отвечать за инцидент. На сегодня аутсорсер не несет финансовой ответственности. Должен быть сформирован четкий SLA и разделена ответственность между внутренней и внешней командами ИБ – возможно, этот вопрос должен быть проработан законодательно.

А это точно законно?

В одной из финальных дискуссий форума были затронуты вопросы правового обеспечения использования DLP-системы в организации. Почему важно обеспечить легитимное функционирование DLP в компании, чтобы данные из нее были применимы при принятии кадровых решений, проведении расследовании, а также обращении в суд.

Евгения Смирнова, директор юридического департамента компании «РТК-Солар», отметила, что в последние годы заказчиков чаще стала интересовать правовая составляющая использования DLP, и дала ряд советов работодателям. В первую очередь следует разобраться с информацией внутри компании, ведь DLP нужна для того, чтобы работодатель мог защитить свои информационные активы. Также надо внедрить режим коммерческой тайны, ознакомить сотрудников с этим режимом, объяснить им, что можно делать, что нельзя. Второй фундаментальный шаг – внедрить документы, которые регулируют, что именно отслеживает DLP-система. В некоторых случаях нужно получить согласие сотрудников на обработку персональных данных. Кроме того, работодателям надо регламентировать процессы расследования нарушений и определить дисциплинарные меры.

Дискуссия была также посвящена вопросам экономической безопасности организации. Эксперты пришли к выводу, что для более эффективного выявления случаев корпоративного мошенничества лучше использовать не только DLP, но и аккумулировать данные из других систем – SIEM, прокси-серверов, антивирусов и т. д. – желательно в рамках единого цифрового профиля. Большинство спикеров сошлись во мнении, что вне зависимости от целей использования DLP в компании важно соблюдать конституционные права сотрудников и сделать функционирование системы максимально прозрачным и понятным для работников.

Возникает вопрос: а захочет ли человек работать в компании, в которой используется DLP-система? Исчерпывающий ответ на него был дан еще в начале форума. По мнению CSO и GR-директора HeadHunter Виталия Терентьева, соискателю важнее, где выше зарплата и где интереснее задачи, а не наличие или отсутствие мониторинга. Такое же мнение высказал и начальник Центра киберзащиты Сбербанка Василий Лесной, заявивший, что он ни разу не слышал о том, что кто-то отказался работать в Сбере, потому что там есть DLP-система.