Руслан Добрынин, «РТК-Солар»: Информационная безопасность — это всегда стремление быть на шаг впереди злоумышленников

Руслан Добрынин: Вопрос о мессенджерах сегодня весьма актуален — это очень важный канал коммуникаций, который не уступает корпоративной почте, а, может быть, даже превосходит ее по интенсивности общения. Зачастую сотрудники пользуются не только корпоративными мессенджерами, но и публичными, в частности, для связи с коллегами и партнерами из внешнего контура. Очевидно, что риски утечек конфиденциальных сведений существуют во всех этих случаях, и коммуникации нужно контролировать. Причем, если внешние атаки и угрозы очевидны всем, то внутренние утечки — это гораздо более скрытая угроза. Руководство может не подозревать о глубинных процессах внутри организации, а затем как гром среди ясного неба происходит утечка — она может быть как ненамеренной, так и вызванной желанием подзаработать, но в обоих случаях одинаково болезненной. Поэтому внутренний периметр компании нужно защищать не менее тщательно, чем внешний.

Сегодня, когда по сути идет полноценная кибервойна, DLP-система — базовая необходимость для бизнеса, как и средства коммуникаций, инструменты защиты периметра и прочие сервисы, без которых немыслимо бесперебойное существование современной компании.

Руслан Добрынин: Такой риск, конечно, есть. Но сегодня развитые корпоративные мессенджеры, как, например, eXpress, хорошо приспособлены к этой ситуации: контакты делятся на внутренний и внешний контур, поэтому в целом их контролировать проще, чем публичные мессенджеры. К тому же, как правило, вендоры, которые производят мессенджер и DLP-систему, находятся в тесном контакте друг с другом и синхронизируют модернизацию ПО, например, развитие протокола передачи данных и т.д. Мы сотрудничаем с eXpress именно так.

Руслан Добрынин: Есть различные сценарии защиты данных от утечек. Например, можно осуществлять пассивный монторинг и контроль, а можно обеспечивать блокирование утечки. Уместность этих подходов определяется ИБ-службой компании: в некоторых случаях необходимо заблокировать передачу чувствительной информации, в других ситуациях есть смысл разрешить отправку нелегитимного сообщения и понаблюдать за дальнейшей судьбой такой переписки. Это может быть полезным для сбора доказательной базы или, например, для раскрытия деталей схемы, реализуемой злоумышленниками. Отследить факт попытки передачи сообщения с конфиденциальной информацией можно, например, по атрибутам: в ходе коммуникаций появляются некоторые речевые обороты, которые описаны в DLP-системе как подозрительные, и это знак того, что происходит некоторое событие в области ИБ (передача письма или сообщения), которое можно либо немедленно заблокировать, либо просто обратить на него внимание офицера безопасности.

На техническом уровне необходимо контролировать все возможные каналы коммуникаций, используемые в компании. При этом на организационном уровне обязательны корпоративные политики безопасности. Именно они дают ответы на вопросы: какие именно каналы связи разрешены в компании, каков регламент реагирования на подозрительную активность или очевидную утечку

Руслан Добрынин: В целом, достичь этого возможно. Другое дело, что в нашей системе ценностей, связанной с DLP-системой Solar Dozor, контролировать личные устройства пользователей считается неэтичным и неправильным. Мы всегда рекомендуем организации выстраивать понятные и логичные политики безопасности, которые определяют, каким образом ограничивается использование личных средств связи в рабочих целях.

В зрелых организациях всегда в актуальном состоянии поддерживается перечень документов, содержащих КТ (коммерческую тайну) и с грифом ДСП (для служебного пользования), списки доступа и маршруты (это фактически является политикой DLP). Если сотруднику разрешено использование личного устройства, то это всегда регламентировано.

Руслан Добрынин: Здесь тоже есть ряд нюансов. Работа DLP-системы никак не сказывается на производительности компьютеров пользователей, с вероятностью 99% пользователь не заметит ее наличия. Но если контроль почты или мессенджеров установлены «в разрыв» (контролирующая система находится между отправителем и получателем, а значит, способна заблокировать сообщение в процессе передачи) — это может увеличить время доставки письма. Если принято решение об установке перехватчика в разрыв, то это значит, что заказчик осознает важность предотвращения утечки, и важность эта существенно превосходит возможную секундную задержку.

Руслан Добрынин: Мы стремимся контролировать все инструменты коммуникаций, которые есть на рынке, но их очень много. Поэтому мы концентрируем внимание, в первую очередь, на тех мессенджерах, которые пользуются популярностью в корпоративном секторе. К их числу относятся как публичные мессенджеры (WhatsApp, Telegram, Skype и другие), так и корпоративные, прежде всего те, которые активно внедряются в российских компаниях. Конечно, eXpress — в числе наших приоритетов по причине взрывного роста его востребованности. Мы настоятельно рекомендуем нашим заказчикам использовать в служебных целях только корпоративные мессенджеры — они надёжнее публичных с точки зрения сохранения конфиденциальности (вся переписка хранится на серверах компании), они значительно проще в настройке и гарантированно поддерживаются внедрённой в компании системой DLP.

Руслан Добрынин: Наша DLP-система изначально создана с учетом уровней доверия. Более того, благодаря наличию кругов доверия и в eХpress, и в Solar Dozor, применительно к этому мессенджеру достаточно легко реализуется наша технология, не имеющая аналогов на российском рынке защиты от утечек, — анализ поведения пользователей (User Behavior Analytic, UBA). Например, сотрудник по роду своей рабочей деятельности чаще всего взаимодействует с коллегами внутри своей компании, но в один из дней вдруг непрерывно общается с внешними адресатами — это очевидная поведенческая аномалия, на которую службе ИБ стоит безотлагательно обратить внимание. Поведенческая аномалия — это не плохо и не хорошо, причины ее возникновения могут быть абсолютно разными. Но это безусловный повод для офицеров безопасности рассмотреть такой эпизод подробнее.

В целом же полноценная совместная работа двух продуктов — Solar Dozor и eXpress — подтверждается двусторонним сертификатом совместимости. Кроме того, оба решения входят в единый реестр отечественного ПО и сертифицированы ФСТЭК России. Все вместе говорит о том, что Solar Dozor и eXpress не просто достигли интеграции, а совместно создают защищенную инфраструктуру корпоративных коммуникаций.

Руслан Добрынин: Мы стремимся к возможности всестороннего контроля движения информации внутри компании — её использования, перемещения, доступа к ней и так далее. Solar Dozor выявляет нарушителей корпоративных политик хранения конфиденциальных данных, полностью контролирует процесс печати, так как в слабозащищенных организациях часты случаи утечки информации путем её банального распечатывания на принтере. Система может разрешать или блокировать подключение USB-устройств к корпоративным ПК или ноутбукам и, например, контролировать запись файлов на флешки, отслеживает использование облачных сервисов — всего не перечислишь. Solar Dozor — всеобъемлющее и зрелое средство защиты от утечек изнутри.

Руслан Добрынин: Хотел бы особо подчеркнуть: Solar Dozor — это не система слежки за сотрудниками. Это не карательный инструмент, а решение, препятствующее совершению противоправных действий, которые могут навредить организации. Наша система, в том числе, является страховкой сотрудников от непреднамеренных нарушений. Разница очевидна. Мы не стремимся никого ущемлять или наказывать, наша цель — обеспечить безопасность. DLP-система — это одна из многих возможных мер по информационной защите. И чем больше таких мер будет принято, тем спокойнее будет себя чувствовать владелец бизнеса, да и сам сотрудник, застрахованный от ошибки.

При этом в основе нашей DLP-системы лежит концепция People-Centric Securty. Это означает, что в фокусе нашего внимания не технические средства, а человек и его действия. Solar Dozor умеет создавать профили сотрудников, анализировать их поведение, строить графы связей — это помогает подходить к защите от утечек комплексно, и, конечно, облегчает процесс расследования инцидентов ИБ, если они происходят. Концепция People-Centric Security позволяет также расширить использование DLP-системы для расследования инцидентов или событий, произошедших в прошлом Например, в ситуациях, когда информация ранее не являлась коммерческой тайной, а потом оказалась под таким грифом, и требуется узнать, кто и куда её пересылал до перехода в разряд КТ.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т

Несмотря на все удобства, которые DLP предоставляет в части расследования инцидентов, всегда необходимо помнить, что информационная безопасность — это не борьба с последствиями, а всегда комплексная работа на упреждение, способность быть на шаг впереди злоумышленников, независимо от того, где они находятся: снаружи или внутри компании. Для защиты чувствительной для организации информации следует принимать все возможные меры, использовать все доступные ИБ-средства, включая технологии NGFW (Next Generation Firewall), XDR (Extended Detection and Response), DLP, IDM, PAM и все остальные необходимые системы.

И, конечно, очень важно найти баланс между безопасностью и бизнес-ценностью, поскольку победа безопасности над здравым смыслом ничем не лучше пренебрежения мерами защиты.

Руслан Добрынин: Действительно, сегодня в системах DLP появляется такой функционал. Реализован он довольно просто: видеокамера следит за человеком, и если он достает телефон и наводит его на экран, то камера реагирует на это действие. Однако не всё так радужно. Постоянное слежение за происходящим возле ПК ощутимо нагружает систему. И, при этом, эффективность технологии анти-фото вызывает вопросы. Если телефон находится под небольшим углом по отношению к камере, система уже не распознаёт, что в кадре появился именно телефон, и никак на него не реагирует. Не стоит забывать, что в ряде случаев веб-камера вообще отсутствует на АРМ сотрудника, а когда она, всё же, есть — её всегда можно прикрыть, заклеить и так далее. Поэтому в случаях, когда сотрудник имеет возможность фотографировать сведения, составляющие коммерческую тайну, целесообразным решением будет ограничение для этого сотрудника использования личного телефона на работе.

Делать ставку только на технические средства, пусть и очень умные, неразумно, ведь любую техническую защиту можно обойти. И нельзя быть уверенным в том, что тебя не взломают только потому, что в компании внедрены современные ИБ-решения. Панацеи не существует и здесь, безопасность — это процесс, и главный секрет его успеха - комплексный подход.

Руслан Добрынин: Организационные меры должны дополнять специализированные технические меры защиты. Вместе они составляют комплекс, единую сложную систему, которая не ограничивается тем или иным прикладным решением. По большому счету, безопасность — это некая философия компании. Поэтому в одних компаниях сотрудникам разрешается все, а руководители надеются, что проблемы с защитой данных их просто не коснутся. Другие, наоборот, запрещают все, и сотрудники ощущают себя как в тюрьме. Любые крайности опасны, поэтому в идеале необходим баланс между ограничениями и свободой. И в этот баланс должны быть органично вплетены все необходимые технические средства, существующие на рынке, а также организационные моменты, определяющие то, как устроены бизнес-процессы.