Если бизнес-процессы предприятия становятся цифровыми, то необходимо предусмотреть контроль над ними, позволяющий обнаруживать отклонения от нормального поведения сотрудников. Иногда таким образом можно выявить мошенничество, причем и сотрудников, и клиентов. Контуры подобной системы для контроля целостности бизнес-процессов обрисовал на конференции Skolkovo CyberDay Conference 2017 заместитель генерального директора ГК InfoWatch Рустем Хайретдинов.
Сегодня компании собирают достаточно много данных, в том числе о работе своих сотрудников. Это позволяет анализировать их деятельность, в частности, контролировать исполнение ими служебных обязанностей. «Если HR-менеджер на ознакомление с резюме обычно тратит 10 минут, а на прочтение какого-то одного – 10 секунд, то это может свидетельствовать о предварительном сговоре», – пояснил Рустем Хайретдинов.
Для выявления подобных аномальных случаев можно использовать данные трех источников: транзакционные, коммуникационные и поведенческие. Транзакционные данные получают из бизнес-систем предприятия, где есть строгая структура, коммуникационные – из электронной почты, мобильных устройств, мессенджеров и других средств связи, которые хорошо умеют контролировать DLP, поведенческие – с помощью специального агента, анализирующего работу сотрудников за компьютером, камер видеонаблюдения, СКУД и др. Вся информация собирается в систему корреляции событий – SIEM, которая и обнаруживает аномалии в поведении сотрудников, точнее, несоответствие между действиями сотрудников и записями во всех остальных ИС, что является признаком как минимум попытки обмануть систему контроля.
Информация для SIEM может быть использована самая разнообразная. Например, можно получать дополнительные сигналы путем выявления подделок цифровых фотографий, например, для проверки поступающих от клиентов информации. Такие инструменты очень нужны банкам, которые начинают аутентифицировать пользователей по фотографиям, а также страховым компаниям, где фото повреждений уже активно используются в работе. Технологию анализа цифровых фотографий предложила компания Oz Forensics, которую на конференции представил ее основатель и генеральный директор Артем Герасимов. Результаты подобного анализа могут использоваться во время корреляции событий совместно с другими признаками нарушений.
Компании, которые занимаются обеспечением безопасности на критически важных объектах, знают, что начинать наведение порядка в безопасности, в том числе информационной, нужно с людей. На секции по ИБ АСУ ТП руководитель группы информационной безопасности ММК Сергей Голяк отметил, что первой задачей по защите технологических систем является обеспечение персональной ответственности за инциденты, особенно те, которые привели к остановке оборудования. Для ее решения необходимо сформировать структуру лиц, ответственных за безопасность эксплуатируемых систем. Именно эту задачу – контроль действий сотрудников – и решают на комбинате в первую очередь. На ММК планируется в ближайшие два года создать ситуационный центр, который будет контролировать безопасность всего предприятия. Поскольку предполагается наличие системы SIEM (хотя производитель пока не выбран), со временем может быть сформировано решение по контролю целостности технологических и бизнес-процессов.
Валерий Коржов
