Экосистема корпоративной безопасности. На Форуме DLP+ представили портрет нарушителя ИБ

На минувшей неделе в Москве прошел Форум DLP+, организованный компанией «РТК-Солар». Эксперты в сфере информационной безопасности и представители бизнеса обсуждали вопросы противодействия внутренним угрозам корпоративной безопасности. В условиях кардинально изменившейся за последнее время реальности угрозы продолжают эволюционировать. Перед специалистами стоит проблема выбора эффективных средств защиты в зависимости от ситуации. Решению этой задачи поможет создание экосистемы ИБ-инструментов, полагают эксперты.

Штрихи к портрету

Компания «РТК-Солар» представила на Форуме DLP+ портрет типичного нарушителя ИБ и служебной дисциплины в российской организации. Специалисты проанализировали обезличенные данные отчетов о пилотировании DLP-системы Solar Dozor компании «РТК-Солар» более чем в 100 российских компаниях в минувшем году на предмет признаков нарушений информационной безопасности и служебной дисциплины.

Сделанные экспертами выводы указывают на то, что стаж работы типичного нарушителя служебной дисциплины в российской организации составляет в среднем шесть с половиной лет. Нарушитель трудится преимущественно в кадровой службе организации (около 20% случаев), в юридической, инженерной и ИТ-службе, а также в сфере делопроизводства в статусе помощника руководителя (13% ). Чаще всего в категорию нарушителей попадают специалисты (48%).

На протяжении рабочего дня нарушитель в лучшем случае занят просмотром развлекательного контента (13% нарушений), а в худшем – отправляет на личные почтовые ящики за пределами организации-работодателя документы с грифом «Для служебного пользования» (40%) или копирует информацию ограниченного доступа на личные съемные устройства (13%).

По мере адаптации службы ИБ, используемых ею инструментов и подходов под новые профили нарушителей все отчетливее понимание того, что для управления сопутствующими рисками важно развивать экосистему внутренней безопасности.

Инструменты защиты и мера ответственности

Участники пленарной дискуссии форума рассуждали об ответственности компаний за утечки данных. В ходе спора между представителями государства и бизнеса высказывались различные точки зрения.

В частности, CSO и GR-директор HeadHunter Виталий Терентьев полагает, что проблему низкого уровня защищенности данных невозможно решить только путем увеличения штрафов для компаний за утечку данных. Государство предъявляет все более высокие требования к безопасности информации, следовательно, бизнесу должны быть предложены эффективные инструменты защиты.

Аналогичной точки зрения придерживается руководитель направления защиты информации госкорпорации «Ростех» Игорь Каландадзе. Нельзя недооценивать персональную ответственность человека, допустившего утечку данных. Если возложить всю ответственность только на предприятие, то она будет размываться. При этом компания несет большие репутационные и финансовые потери.

Заместитель директора департамента обеспечения кибербезопасности Минцифры России Евгений Хасин напомнил, что для обеспечения защиты предлагается немало разноплановых инструментов и средств. Задача – применять их комплексно, что позволит снизить уровень рисков. Чиновник отметил, что основная идея недавнего Указа Президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» – мотивировать руководителей предприятий, которые раньше находились в серой зоне и уделяли мало внимания ИБ, заняться вопросами информационной безопасности, внедрения средств защиты. Под действие Указа подпадает более 100 тыс. систем в российских организациях. В сфере информационной безопасности достаточно высокая готовность к импортозамещению, немало отечественных средств защиты. Конечно, есть проблемы с оборудованием, их государство планирует решать. Мы рассчитываем, что Указ повысит интерес к инвестированию в новые ИБ-проекты, в развитие кадрового потенциала отрасли кибербезопасности.

При обсуждении реальных кейсов использования DLP на практике участники конференции сформулировали ряд рекомендаций. Эксперты советуют повседневную рутину доверять настроенным политикам DLP. Не следует применять поиск там, где можно использовать политику. Важно организовать совместный доступ к DLP-системе, построив ролевую модель, которая подходит специалистам не только отделов ИБ, но и других подразделений для решения актуальных задач. Предстоит найти баланс между завышенными ожиданиями и скептицизмом по отношению к DLP. Нет повода отказываться от использования этой системы, если с ее помощью можно контролировать 80% каналов.

DLP в контуре безопасности

Место DLP в системе безопасности предметно анализировалось на одной из тематических сессий. Эксперты считают, что DLP надо интегрировать со смежными системами, обогащать досье данными для проведения расследований, последовательно наращивая возможности экосистемы в сфере защиты от всевозможных угроз.

Классическая история автоматизации процессов с точки зрения интегратора представляет собой архитектурный «сэндвич». На верхнем слое находятся непрерывные процессы, которые отображаются на уровне задач и функций, ниже область приложений – программных продуктов и ИТ-инфраструктура.

Ожидания заказчиков в сфере защиты от внутренних угроз сводятся к наличию набора программно-аппаратных средств, которые представляют собой единое целое. Однако, по словам директора центра продуктов Solar Dozor компании «РТК-Солар» Галины Рябовой, реальность такова, что вендоры предлагают отдельные решения. При этом немало времени компании тратят на «фичеризацию», чтобы удивить заказчика, придумать внутри предлагаемого продукта нечто такое, что позволит им выделиться среди конкурентов.

Многие компании проделали сложный путь, чтобы вписать продукт DLP в систему безопасности. В «РТК-Солар» шли к этому несколькими маршрутами. Системно анализировали все запросы на интеграцию, пытаясь понять тренды и угадать задачи. Как показывает практика, вендору немногое известно о самом верхнем слое упомянутого «сэндвича» – бизнес-процессах заказчика (закрытая область), чуть больше – о задачах и функциях. «Анализируя запросы на интеграцию к DLP-системе, я пыталась понять, в какую среду вписывается DLP. Очевидных трендов не видела», – говорит Галина Рябова. Предпринимались попытки с помощью участников клуба Dozor очертить область задач.

Лед тронулся, когда в 2020 г. компания приступила к реализации крупного проекта внедрения DLP в зрелую экосистему безопасности. В «РТК-Солар» начали поступать обоснованные и внятные запросы на интеграцию. Представителя вендора вовлекли в составление сценариев использования продукта за рамками самого продукта. Не менее важное обстоятельство заключалось в том, что соседним подразделением, которое занимается внешними угрозами, была выстроена экосистема безопасности.

К настоящему времени существенно изменились внешние обстоятельства. Еще полгода назад внутренние утечки воспринимались недостаточно серьезно («да, репутация, безусловно, пострадает, но финансовые риски трудно подсчитать»). Ставки выросли, как только выяснилось, что и секреты нужны, и сотрудники могут быть чересчур политизированы, чтобы умышленно или неумышленно делиться секретами с заинтересованными лицами. Иными словами, на рынке сформировался запрос на создание экосистемы защиты, ландшафт которой постепенно выстраивается.

В последнее время заказчики интересуются файловым аудитором в качестве модуля DLP-системы. Функцию контроля данных в движении, «на отдыхе», хочется расширить за счет аудита файлов в хранилищах. На этапе инспекции выгружаемых пользователем данных появляется еще одна связанная задача – контроля посещаемых ресурсов. Возникает новый класс продуктов. Сегодня у DLP- и SWG-системы – общее досье. Есть запрос на то, чтобы данные DСАР тоже были в общем хранилище, их можно было совместно анализировать и т. д.

По словам эксперта, агенты DСАР и EDR – технологически очень близкие. Понятно, что удобно пользоваться одним ПО, позволяющим решать широкий круг задач, и при этом избежать установки на станцию двух-пяти инструментов, да еще и разных производителей. DLP как самостоятельная система может служить источником данных для XDR.

Компания близка к выстраиванию непрерывной экосистемы безопасности, причем не только в контуре внутренних угроз. Решение можно увязать с готовой экосистемой в сегменте внешних угроз. Для вендоров это перспективное направление дальнейшего развития. Ресурсы на создание дополнительного функционала (не всегда востребованного) можно переориентировать на то, чтобы обеспечить взаимосвязь систем ради решения общей задачи безопасности.

«Обеспечивая свою кибербезопасность, компании выбирают разные средства защиты, причем они могут быть как от одного, так и от разных вендоров. И крайне важно, чтобы у штатных ИБ- и ИТ-специалистов было понимание того, как все решения можно удобно связать между собой. И тогда в зависимости от того, какая именно угроза актуальна в данный момент, компания сможет взять каждый «кубик» этой экосистемы и выстроить прозрачную и понятную для себя киберзащиту», – пояснила Галина Рябова.

Награды нашли победителей

В день проведения Форума DLP+ состоялась церемония вручения наград за вклад в защиту от утечек информации в России в 2021 г.

Лауреатом премии в номинации «Самый значимый проект внедрения DLP-системы» жюри признало внедрение решения «СёрчИнформ КИБ» в авиакомпании «Россия». Технологическим трендом 2021 г. в сфере защиты от утечек информации был назван самый полнофункциональный агент мониторинга рабочих станций на базе maсOC – Dozor Endpoint Agent для macOS разработки «РТК-Солар».

По мнению жюри, наибольший личный вклад в развитие отрасли DLP в минувшем году внесла президент группы компаний InfoWatch Наталья Касперская. По итогам голосования участников форума победителем в номинации «Технологический DLP-тренд 2021 года. Народная номинация» стала технология маркировки конфиденциальности документов в MSOffice компании «СёрчИнформ».

 

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку