Мария Воронова, руководитель направления консалтинга ведущий эксперт по информационной безопасности InfoWatch эксперт BISA
ГК InfoWatch — российский разработчик комплексных решений для обеспечения информационной безопасности организаций. Продуктовый портфель компании содержит эффективные решения по защите предприятий от наиболее актуальных внутренних и внешних угроз.
-
Насколько, чем и как сегодня информационная безопасность для бизнеса отличается от того же для простых пользователей?
— Важно, прежде всего, понимать, что современная информационная безопасность не существует отдельно от бизнеса, основная цель ИБ — это как раз защита бизнеса, снижение вероятности реализации всевозможных ИБ-угроз и атак, которые могут нанести ущерб бизнесу, пробив защиту, «броню» компании. При этом в идеальной ситуации бизнес должен понимать и поддерживать ИБ, а простые пользователи — понимать и выполнять требования ИБ. Если доводить до конечного пользователя «как, почему и для защиты от чего» вводится то или иное правило в области ИБ, то эффект от реализации будет гораздо сильнее за счет хорошей степени осознанности персонала в вопросах ИБ, вводимые меры не будут восприниматься как ограничения.
2. Всегда были утечки, но что изменилось сегодня? Например, утечки из банков, технологичных фирм?
— Мир технологий развивается, хранение и обработка информации уже давно производится в цифровом виде, число систем, сервисов и каналов передачи данных также растет. Самой информации тоже становится все больше и больше, это уже колоссальные массивы данных и информационных потоков во всех сферах и отраслях деятельности. С учетом всех этих условий число утечек быстро растет, причем практически во всех отраслях. При этом многие компании только сейчас начинают задумываться о применении защитных мер. Там, где информация имеет ценность и является, например, коммерческой тайной, или же ее необходимо защищать в соответствии с законодательством РФ, уже все чаще внедряются технические и организационные процедуры защиты от утечек.
-
Ваш сайт не слишком громко обещает найти точки утечек? Как?
— Любая защита должна начинаться с вопросов: «От чего защищать или же защищаться?», «А есть ли вообще проблема или она во многом надуманная?». Вопросы запросто находят ответы, когда происходят инциденты в области информационной безопасности. Происходят инциденты, например, утечки информации. О них известно, следовательно, проблема есть, и ее надо решать. Если реальных проблем нет, только лишь некоторые «звоночки» то тут, то там — важно на данном этапе создать полную картину ситуации и проблематики. Как правило, тут инициируются два параллельных действия: во-первых, оценивается, какая информация является для компании важной и критичной, во-вторых, проводятся технические исследования информационных потоков на предмет возможных утечек конфиденциальной информации. Цель — выявить проблему или же доказать, что ее нет.
4. К каким методам прибегают «злоумышленники», чтобы получить информацию?
— Давайте разбираться. Любые злоумышленники могут быть отнесены к двум типам: внешние и внутренние. Первые наносят вред компании извне, организовывая какие-либо хакерские атаки или же применяя обман — так называемая, популярная в настоящее время, «социальная инженерия». Вторые, они же инсайдеры, чаще всего имеют легитимный доступ к системам и информации компании, знают, как и что организовано изнутри. По мнению большого числа «лучших практик» в области информационной безопасности, именно внутренние злоумышленники могут нанести наибольший вред организации просто потому, что у них больше знаний, возможностей знать, где какая информация находится, как получить к ней доступ, в каком ящике стола коллега хранит пароли от входа в корпоративные системы. Это же и подтверждается данными Аналитического центра InfoWatch.
Инсайдеры знают бизнес-процессы и легально могут получить необходимую им информацию. Другой момент — даже если сотрудник никаких недобросовестных действий совершить не хочет, он все равно может оказаться «источником утечки», например, при потере флешки или ноутбука с ценной информацией. Еще вариант — такой сотрудник может стать неявным пособником потенциальному внешнему злоумышленнику. Важно этот факт осознавать, вовремя осуществлять контроль и применять защитные меры.
-
Какие у них технологии, помогающие добраться до заблокированной информации?
— Чуть выше было выяснено, что информация может «утечь» из компании с помощью злонамеренных или ошибочных действий легального сотрудника компании. Если же речь идет о внешних злоумышленниках и атаках, то в этом случае как? Может произойти заражение ПК или всей корпоративной сети вредоносным программным обеспечением (вирусом, трояном и т.п.), функциональной целью которого является сбор и кража данных. Также злоумышленник с помощью определенных методов и средств может просто подключиться к корпоративной сети для сбора данных, но чаще используются комбинированные методы и средства с применением приемов «социальной инженерии». Сотруднику компании по электронной почте приходит письмо с непонятным или подменным адресом отправителя, например, из налоговой или какого-то другого надзорного органа, письмо содержит вложение, а текст письма явно указывает на то, что это вложение обязательно надо открыть. Сотрудник открывает вложение, таким образом заражая свой ПК. Другой пример — потенциальный злоумышленник звонит сотруднику, представляется сотрудником технической поддержки данной компании, просит продиктовать его логин и пароль от системы, например, с целью замены или проверки «может пароль уже скомпрометирован». При отсутствии в компании должного обучения в области информационной безопасности сотрудники с большой долей вероятности попадутся на такие уловки: продиктуют пароль, откроют ссылку, запустят вложение в письме и т.п.
6. Как надежно предотвращать утечку, кроме как поместить ПК в сейф?
— Тут работает сразу несколько принципов. Начнем с первого — разграничение доступов к системам, сервисам и, конечно, к конфиденциальной информации. Так называемый принцип «необходимо знать»: сотруднику не нужен доступ шире, чем требуется для выполнения его должностных обязанностей. Менеджеру по персоналу, скорее всего, не потребуется доступ к «воронке продаж» коммерческого департамента, тогда такой доступ и не должен быть предоставлен. Второй — учет. Важно добиться такого состояния, когда вы, как компания — владельцы информации, точно знаете, кто у вас какой информацией и правами в каких системах обладает, соответственно, сможете предусмотреть и возможные негативные сценарии обращения с этой самой информацией. Третий момент — контроль и защита с помощью технических решений. Уже больше десяти лет на рынке существуют системы защиты определенного класса — Data Leak Prevention (DLP) — системы защиты от утечек информации. Их применение поможет сделать абсолютно прозрачной картину информационных потоков, циркулирующих в компании, и обеспечить защиту этих самых информационных потоков от утечек и других внутренних угроз информационной безопасности.
7. «Сноудены» могут все? Как их связать по рукам? Ведь по должности он имеет максимальные права и доступы к информационным ресурсам?
— Вопрос многогранен. Наверняка, у таких посвященных в большое количество секретов лиц есть определенный кредит доверия. Как-то ведь он появился? Тут важен в целом психологический портрет сотрудника. Лояльный и психологически устойчивый персонал, которого все устраивает и который не идет вразрез с собственными принципами, вряд ли будет вредить компании. Кстати, сейчас все больше и больше компаний использует полиграф как один из инструментов снижения рисков приема на работу «неправильных» для корпоративной среды сотрудников.
Важно изучить возможные мотивации для каждого из сотрудников, степень удовлетворенности работой в компании и определенном коллективе, корпоративные коммуникации, при этом, конечно, контролировать рабочую деятельность. При возникновении любых отклонений от стандартных рабочих процессов хорошо бы проверять эти «звоночки», а при получении подтверждения — вовремя предотвращать возможные инциденты, будь то утечки информации или какие-либо другие негативные действия сотрудников.
8. Достаточно одной «крысы» в компании для утечки?
— И да, и нет. И вовсе не обязательно, что это будет «крыса», ведь по данным исследований Аналитического центра InfoWatch, количество случайных утечек практически такое же, как и злонамеренных.
Если даже «крыса» существует, то к какой информации у нее есть доступ? Насколько эта информация может быть критичной для компании? Есть ли возможности для совершения этой самой утечки, или, может, все каналы утечки уже успешно контролируются? «Крыса» всегда может быть, но это не означает, что она своими действиями с учетом своих возможностей может нанести какой-либо значимый ущерб компании.
Другой момент — как раз случайные утечки или утечки «по невежеству». Очень часто в оправдание совершенных действий, которые привели к утечке за периметр компании, от сотрудников можно услышать: «А я сам себе же отправил! Ну и что, что на мейл.ру!? Я же дома поработать». Все идет от недопонимания культуры информационной безопасности, незнания принципов, что и как «делать можно, и это будет правильным», а что — «нельзя, потому что это сможет навредить».
Следующий момент — отправка письма не на тот адрес, ошибочно. Можно ли назвать «крысой» сотрудника, который случайно совершил утечку, ошибившись с адресом получателя письма? А если это действие нанесло впоследствии огромный вред компании? Все очень относительно, и должно решаться в индивидуальном порядке.
9. Насколько надежнее защищены фирмы, где весь персонал предан компании? Какова роль HR-менеджера в этом вопросе?
— У лояльного персонала будет гораздо меньше мыслей на тему, как бы навредить компании и что бы у нее такого «отжать» при увольнении. Тут, конечно же, огромная степень ответственности ложится и на HR-подразделения: вовремя понять настроение сотрудников и принять меры. А если же меры по повышению лояльности принимать уже поздно, и у HR есть точное понимание, что данный сотрудник в скором времени будет увольняться, то есть вероятность предотвратить утечку информации — сообщить службе информационной безопасности для обеспечения более тщательного контроля данного сотрудника, а при необходимости — полного или частичного отключения доступов. Ведь, как говорится, «плох тот менеджер по работе с клиентами, который наработал свою клиентскую базу на предыдущем месте работы, но с собой ее не забрал».
10. Какова мотивация сотрудников, не разглашающих конфиденциальную информацию? Правовые нормы их не останавливают?
— Лояльность уже обсудили выше, это сильная мотивация. В действительности же далеко не каждый, кто обладает секретными данными, пойдет их разглашать направо и налево. Во-первых, сотрудник может просто не понимать, как этими знаниями выгодно для себя воспользоваться. Во-вторых, порядочность — для некоторых не просто слово. В-третьих, имеет место быть страх наказаний: увольнение по статье ТК РФ (ст. 81 п. 6 пп. «в»), административная ответственность (ст. 13.14 КоАП РФ), уголовная ответственность (ст. 183 УК РФ). В-четвертых, если даже человек, заботящийся о своей карьере, никаким официальным правовым санкциям подвержен не будет, то крайне негативную репутацию и «белый билет» в своей отрасли он заработать сможет.
11. Обязательно ли принятие локальных нормативных актов, регламентирующих работу с конфиденциальной информацией в тех или иных организациях?
— Если компания официально не регламентирует статус своей конфиденциальной информации и принципы работы с ней, то, скорее всего, она не сможет воспользоваться помощью правовых институтов в случае разглашения этой самой конфиденциальной информации третьими лицами или сотрудниками компании. Нет режима коммерческой тайны, значит, в компании нет самой коммерческой тайны. Следовательно, даже в случае кражи информации ничего нарушено не было. Поэтому подход такой — если в компании есть ценная информация, которую требуется защищать, это должно быть оформлено должным образом. Другой момент — информация, которая должна защищаться в соответствии с российским законодательством (персональные данные, банковская тайна, инсайдерская информация и др.). Тут требования к защите диктуют сами законы и нормативные акты.
12. Реализация любых мер по ограничению доступа к информации снижает эффективность основных бизнес-процессов организации? Что делать?
— Сейчас в тренде agile-процессы — современный бизнес требует гибких подходов. Такой же гибкой обязана стать и информационная безопасность. Просто запрещать методами разграничения доступов или же убирать ПК в сейф — это не выход. Надо управлять процессами информационной безопасности, обеспечивая должную защиту бизнеса: защищать, не запрещая, а управляя возможными рисками. Например, отправляет сотрудник секретную информацию, к которой он имеет официальный доступ в связи с рабочей деятельностью, по электронной почте внешнему адресату. Нарушение или нет? Блокировать передачу или разрешить? А если заблокировать, но потом окажется, что все корректно? Что если разрешить, а после выяснится, что это было нарушением? Чтобы ответить на все эти вопросы без ошибки, информационная безопасность должна учиться погружаться в бизнес-процессы и принимать решения с учетом их специфики. К слову, если секретная информация уходит на внешний адрес контрагента, с которым заключен договор и соглашение о неразглашении, тогда действие вполне легальное. А если, к примеру, информация уходит на некорпоративный адрес непонятно кому, либо же напрямую к конкурентам, тогда есть повод задуматься.
В любом случае, еще раз хочется обратить внимание на то, что информационная безопасность становится неотъемлемой частью бизнеса. А современная информационная безопасность — это как процессы и технические решения, так и люди, персонал компании. Поэтому правильное взаимодействие HR-подразделений и служб ИБ — это важный аспект эффективной, а, главное, безопасной деятельности компании.