2021/06/04 14:09:57

Обеспечение ИБ и этика: как найти баланс? Острые вопросы обсудили на форуме DLP+

Прошедший 26 мая в Москве и организованный компанией «Ростелеком-Солар» Форум DLP+, будучи по сути одним из центральных мероприятий традиционно богатой событиями сферы информационной безопасности, не ограничился рассмотрением технологических и продуктовых решений. Мероприятие логичным образом вышло на обсуждение вопросов развития бизнеса и общества в целом. Одним из примеров такого обобщения в рамках прошедшего форума стала подробная дискуссия под названием «Этика, право и безопасность». С нее мероприятие и началось.

Содержание

Форум DLP+ состоялся 26 мая в Москве

Приоритет этических норм

Сразу отметим, что в контексте внедрения ИТ-систем вопросы этики сейчас рассматриваются все чаще, и это имеет место, как правило, в тех сферах, где ИТ-системы помимо решения конкретных бизнес-задач способны оказывать влияние на жизнь общества. В частности, вопросы этики, интенсивно обсуждаются в связи с развертыванием систем искусственного интеллекта. Но если здесь триада «этика – технологии – экономика и право» по сути еще только формируется, то в сфере безопасности вынесенный в первую дискуссию вопрос уже имеет определенную историческую ретроспективу.

Участники дискуссии попытались дать определение самому понятию этики. По коллективному мнению спикеров, речь идет о некой совокупности поведенческих установок, принятых в той или иной отраслевой среде. В том числе, в сфере информационной безопасности.

Среди прочих обсуждались следующие вопросы:

  • насколько заметно взаимное влияние этики и внедряемых технологий ИБ,
  • каким образом экономика, право и различные государственные инициативы влияют на этические нормы, и имеет ли место обратное влияние,
  • можно ли монетизировать результаты принятия в бизнесе тех или иных этических норм.

«
Если мы начнем развешивать камеры, условно говоря, на каждом углу, то такая инициатива как раз скорее приведет к разрушению социального капитала и, как следствие, к ответному недоверию людей. Некий порог для совершения с их стороны неэтичных действий тоже, скорее всего, будут понижен, – прокомментировал первый из перечисленных выше вопросов Александр Курдин, заместитель декана экономического факультета МГУ.
»

Александр Курдин, заместитель декана экономического факультета МГУ

Интересную мысль в отношении возможности обратного влияния технологий ИТ-безопасности на становление в бизнесе этических норм высказала Галина Рябова, директор центра продуктов Dozor компании «Ростелеком-Солар»:

«
В целом ряде случаев грамотно развертываемые технологии ИБ способны не только предотвратить злой умысел или же предсказать возможность его появления, но и удержать сотрудника, вовсе не собирающегося наносить какой-либо ущерб бизнесу, от неаккуратных действий с его стороны.
»

Особенно, по ее словам, это было и остается актуальным в период пандемии, когда стрессовая для большинства сотрудников ситуация повышает вероятность подобных ошибок, а зачастую доведенные до автоматизма привычки работы приходится менять. Таким образом в целом ряде случаев у сотрудников компаний появляются объективные основания считать направление ИБ в помощником, а не карателем и надзирателем. Как следствие, психологический климат в компании даже в периоды подобных «возмущений» должен улучшаться, а понятие бизнес-этики может быть переосмыслено. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.2 т

В отношении взаимного влияния экономики, права и ИТ-безопасности вопрос ожидаемо рассматривался в ретроспективе. Евгений Царев, управляющий RTM Group, отметил, что год от года непрерывно совершенствуемые правовые и экономические механизмы привели отечественный бизнес к выводу, что использовать некогда весьма популярные серые схемы работы становится просто невыгодно. В своем утверждении Евгений опирался на внушительный объем экспертиз, сделанный компанией в разные периоды времени (в том числе для системообразующих государственных структур).

Евгений Царев, управляющий RTM Group

Это, конечно, не исключает откровенного воровства со стороны тех, у кого подобные установки поведения доминируют. Но культуру ведения бизнеса правовые и экономические инициативы постепенно повышают. За этим неизбежно следует принятие сообществом определенных этических норм.

В качестве примера монетизации этики Александр Курдин называет одно из направлений деятельности Федеральной антимонопольной службы под названием адвокатирование конкуренции или, иными словами, практика создания конкурентной среды за счет разъяснительных, а не принудительных мер. В результате более цивилизованной конкурентной среды заметно сокращается объем действий принудительного характера: расследований, изъятий документации и прочей подобной деятельности, на которую тратятся порой немалые материальные ресурсы.

По мнению участников дискуссии также важно, чтобы этические нормы не навязывались государством (или по меньшей мере это не делалось в явной форме), а воспринимались как общепринятые нормы поведения, коллективно вырабатываемые самим обществом и принимаемые на основе консенсуса.

Участники дискуссии сошлись во мнении, что этические нормы не должны навязываться государством

Еще в этических вопросах важно разумное соблюдение баланса, ведь излишние запреты порой могут повредить. Нужно постоянно мониторить ситуацию и не надо бояться при необходимости отменять уже принятые инициативы и считать это сдачей ранее завоеванных позиций.

Несмотря на пандемию

Второе заседание форума было ближе к практике внедрения технологий ИБ. По крайней мере сам термин DLP звучал на нем гораздо чаще, хотя конкретные продукты подробно и не рассматривались. Скорее акцент делался на анализе возникающих в современном бизнесе факторов, которые оказывают непосредственное влияние на перспективы внедрения DLP и иных классов систем информационной безопасности. Конечно же, анализ бизнес-среды сосредоточился на последствиях пандемии, а более конкретно – на организационных и психологических факторах изменения деловой среды и технических особенностях организации удаленной работы.

Наталья Касперская, президент группы компаний InfoWatch, посетовала на то, что дисциплина работы с конфиденциальной информацией при переходе на удаленку заметно деградирует, – пользователи массово обмениваются документацией через мессенджеры и внешние облачные хранилища, не сильно задумываясь о последствиях своих действий. Это почти никогда не делается со злыми намерениями, но тем не менее может наносить урон бизнесу. Впрочем, по мнению участников дискуссии, злоумышленников, пытающихся трезво и порой весьма технологично использовать возникшую ситуацию, тоже хватает.

Наталья Касперская, президент группы компаний InfoWatch, отметила деградацию дисциплины работы с конфиденциальной информацией при переходе на удаленку

По словам Тимура Гареева, начальника управления развития новых технологий в обучении Университета Банка России, в данной организации удалось быстро развернуть масштабную и при этом системную работу по налаживанию дистанционной работы вообще и удаленного обучения в частности. В эту деятельность удалось системно вписать и деятельность службы информационной безопасности.

Организационные трудности и особенно связанный с пандемией психологический дискомфорт фактически признавался всеми участниками дискуссии. И нынешнее частичное возвращение сотрудников в офисы оценивается всеми категориями работников весьма позитивно. По словам Натальи Касперской, с особым энтузиазмом эта тенденция сейчас воспринимается молодыми сотрудниками, для которых очные «тусовки» по сути являются ключевой питательной средой профессионального развития, а также мотивационным и антистрессовым фактором.

О том, насколько сильно технологические компании дорожат внутренней атмосферой, и как трудно ее поддерживать даже за счет грамотного, методически выверенного применения средств удаленной работы, говорил в частности и Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком».

Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», полагает, что на zero trust по отношению к людям ни в какой ситуации полагаться нельзя

При обсуждении организационных и психологических вопросов ведения современного бизнеса ведущий дискуссии задал вопрос, можно ли и имеет ли смысл применить известную в сфере технических решений концепцию zero trust непосредственно к людям. Сергей Валуйских, управляющий директор и начальник центра киберзащиты департамента кибербезопасности Сбербанка, осторожно высказался в пользу этой идеи. По его мнению, при весьма высоком уровне и разнообразии методов социального инжиниринга, с которым массово сталкиваются банки, принимать изначальную позицию недоверия в ряде ситуаций даже при поддержке технических средств обеспечения безопасности не помешает. По крайней мере это относится к внешним клиентам, потребляющим те или иные продукты финансовых компаний.

Виталий Терентьев, директор департамента специальных проектов hh.ru, и Игорь Ляпунов, наоборот, полагают, что на zero trust по отношению к людям ни в какой ситуации полагаться нельзя. По их мнению, это негативно отразится на бизнесе в моменте, при этом в стратегической перспективе все возможные сценарии недоверия будут закрываться за счет реализации zero trust в сфере технических решений, как и было изначально задумано при создании данной концепции.

В отношении востребованности DLP-решений спикеры подчеркнули стабильно важную роль этих систем на рынке информационной безопасности. Причем в отличие от многих иных классов решений корпоративного уровня пользуется спросом не только прикладной функционал, но и возможности масштабирования систем, что связано с решением весьма сложных организационных технических задач.

Наталья Касперская высказала мнение, что количество инцидентов продолжает расти, число каналов утечек данных тоже увеличивается. Но и востребованность традиционных систем Data Leak Prevention остается неизменной.

Сергей Валуйских в общих терминах обрисовал функции обсуждаемых на форуме систем и некоторые акценты в потребностях сегодняшнего дня. Они так или иначе связаны с организацией удаленной работы равно как и с масштабностью задач Сбербанка. По его словам, с одной стороны, компания остро чувствует определенный дефицит хостовых (локально устанавливаемых и направленных на защиту конкретных конечных устройств) систем. С другой – речь идет о востребованности так называемой поведенческой аналитики, по сути являющейся функциональным развитием современных DLP-систем, ориентированных на крупные внедрения.

Двадцать лет спустя

Вторую часть форума условно можно было назвать продуктовой, при этом участникам был представлен очень подробный ретроспективный взгляд на историю развития рынка DLP-систем в России за последние двадцать лет. С целью формирования у аудитории объемного взгляда на проблему прозвучал совместный доклад представителей компании-поставщика и интегратора решений – Галины Рябовой и Анны Поповой, руководителя блока DLP компании «Infosecurity» ( ГК SoftLine).

По словам Галины Рябовой, появлению DLP-систем на отечественном рынке предшествовало интенсивное обсуждение темы периметра сети, начавшееся в начале 2000-ых годов. С 2006 года в терминологии отечественных специалистов появился и термин DLP, под которым понималась проблематика контентного анализа и формирования соответствующих политик. Где-то около десяти лет назад функционал DLP-системы Solar Dozor уже явно использовал понятие жизненного цикла инцидента, а к 2015 году от инцидентов и соответственно модели, основанной на потоке событий, поставщик ИБ-решения сместил акценты на контроль и анализ работы сотрудников.

Если же отталкиваться от продукта Solar Dozor, то по словам Галины Рябовой, около двадцати лет назад все начиналось не с контроля и анализа передаваемой информации, а с работы над почтовым архивом. В то время возможности контентного анализа в базовых платформах разработки были куда более скромными, чем сейчас, и под реализованным в рамах продукта анализом в основном понимались некоторые вполне универсальные виды поиска текстовой информации. Начиная же с начала двухтысячных объем электронной почты начал расти очень резко и, как следствие, встали (а впоследствии были успешно решены) задачи классификации почтовых сообщений, а также определения связей между ними. Встраиваемые в систему методы работы с неструктурированной информацией совершенствовались, происходило уже упомянутое смещение акцентов с инцидентов на пользователей.

Целевой задачей все более явно становилась способность Solar Dozor за счет развитых методов контентного анализа снять рутинную часть работы с сотрудников ИБ-отделов. Для этого система год от года обогащалась возможностями визуализации информации. По мере практической востребованности в системе помимо функций обработки сообщений электронной почты появлялись функции работы с другими каналами утечки данных.

Анна Попова, по сути, озвучила взгляд на проблему интегратора в сфере информационной безопасности, прошедшего на российском рынке ИБ тот же двадцатилетний путь. По ее словам, контентный анализ и ориентация системы на работу с пользователями были востребованы всегда. В банковской сфере, где актуальность обнаружения и предотвращения мошенничеств всегда была даже более приоритетной задачей, чем борьба с утечками информации, подобные функции остаются особенно востребованными.

В заключительной части конференции были в числе прочего рассмотрены вопросы кадровой, экономической и собственной безопасности компаний.

Участники круглого стола по вопросам кадровой безопасности обсудили вопрос контроля рабочего времени и эффективности труда, влияние мер контроля на вовлечённость кадров. Константин Каманин, директор по развитию продуктового портфеля Solar MSS компании «Ростелеком-Солар» отметил, что на вовлечённость сильно влияет понимание сотрудника, зачем служба безопасности делает свою работу. Так, если у сотрудника появляется перманентное ощущение, что его во всем подозревают, он будет бояться совершить лишнее действие и будет менее вовлечён и лоялен. Важно доносить смысл ИБ-мер таким образом, чтобы сотрудник не переживал, что они применяются для его контроля.

В секции экономической и собственной безопасности компаний Виталий Петросян, старший аналитик внедрения «Ростелеком-Солар», на примере кейсов из реальной практики развенчал некоторые бытующие мифы внутренней ИБ. В частности, популярное заблуждение, что если в компании есть внутренние регламенты защиты конфиденциальной информации, то проблема защиты от утечек решена – все сотрудники, подписав регламент, будут автоматически его соблюдать. Практика показывает обратное. Таким образом, службе информационной безопасности компании необходимо работать в первую очередь проактивно, профилируя лиц, от которых исходит определенная угроза.