«В открытый доступ попадает максимум 10% утечек»

Глобальный тренд на цифровизацию требует особого внимания организаций к вопросам киберзащиты — бреши в этой сфере чреваты не только штрафами, но и потерями репутации или даже существенной части бизнеса. Причем риски для компаний, а значит, и требования к выбранным ими средствам безопасности с каждым годом только возрастают. С чем это связано и на что обращать внимание при выборе продуктов для защиты данных, рассказал руководитель отдела развития бизнеса Центра продуктов Dozor «Ростелеком-Солар» Алексей Кубарев.

Выйти из полноэкранного режима

Развернуть на весь экран

— «Ростелеком-Солар» — один из ключевых игроков российского рынка кибербезопасности. Каковы приоритетные направления вашего развития в 2022 году?

— Действительно, «Ростелеком-Солар» имеет крупнейший в России центр противодействия кибератакам Solar JSOC, у нас около 1 тыс. заказчиков во всех секторах экономики. В наших программных продуктах реализованы самые инновационные технологии, которые только можно найти на отечественном рынке ИБ. Мы являемся одним из ключевых партнеров государства, бизнеса и населения в вопросах кибербезопасности. И нашей важнейшей задачей является привнесение на российский рынок мирового тренда на безопасность в виде сервиса. Эта модель обеспечивает заказчикам скорость получения защиты, помогает решить вопрос нехватки кадров в ИБ и ряд других проблем. Второй ключевой задачей на ближайшие годы является совершенствование собственных передовых технологий защиты от внешних и внутренних угроз. Мы активно развиваем нашу линейку программных продуктов, флагманом которой является система защиты от утечек конфиденциальной информации (DLP).

— Выросло ли число и объемы утекшей информации из российских компаний в 2021 году по сравнению с прошлым?

— В целом каждый год объемы утечек растут примерно на 15–17%. В 2020 году был всплеск из-за массового перехода на удаленку. В 2021 году все вернулось к прежним показателям, и полагаю, что рост утечек в этом году будет где-то в пределах 17%. При этом нужно понимать, что есть разные типы утечек.

Чаще всего в медиапространство просачиваются утечки персональных данных, реже — коммерческая информация. Например, когда утекает бюджет компании или реестр договоров с поставщиками. Эти утечки интересны узкому кругу лиц, которые могут использовать эту информацию для развития своего бизнеса. Например, если стоимость сметы по проектному участию в каком-нибудь тендере утечет к конкуренту, то он сможет сделать потенциальному заказчику более выгодное предложение, выиграет конкурс и будет на этом зарабатывать. А компания, из которой утекла информация, заработать не сможет.

Кроме того, есть так называемые внутренние утечки, когда данные вообще не уходят за пределы организации. Это, по сути, превышение полномочий, когда некие сотрудники получают в распоряжение конфиденциальную информацию, доступ к которой иметь не должны. Это может быть связано с борьбой за власть в компании, переделом сфер влияния, распределением бюджетов.

— Как много утечек становится результатом взломов?

— Из-за внешних атак на системы компании происходит примерно 60% утечек. Часто хакерские атаки начинаются с социальной инженерии: позвонив сотруднику, злоумышленник может выдать себя за кого угодно и спровоцировать передачу ценных данных. Например, сказать, что он IT-администратор сети, которому нужно обновить программы на компьютере сотрудника.

Но злоумышленникам не обязательно взламывать IT-инфраструктуру организации, иногда достаточно найти инсайдера: предложить кому-то из сотрудников скопировать часть таблицы или сделать выписку из базы данных и подзаработать на этом. Причем такими предложениями злоумышленникам удается заинтересовать не только молодых работников с низкой зарплатой, но и квалифицированный персонал.

Выйти из полноэкранного режима

Развернуть на весь экран

— К каким последствиям для бизнеса приводят утечки данных?

— Я считаю одним из самых серьезных последствий утечек репутационные риски, ведь к компании, у которой случилась утечка, формируется негативное отношение. Однако в России культура кибербезопасности довольно слабая: если за рубежом компания предлагает какую-то компенсацию для клиентов, чьи данные утекли, то у нас порой даже явные утечки не признают. При этом следствием падения репутации являются потери для бизнеса, например уход ключевых партнеров или клиентов.

В некоторых случаях утечки могут быть чреваты даже утратой всего бизнеса. Например, когда речь о какой-то уникальной разработке, которая еще не вышла на рынок, а детали ее реализации утекли, и конкуренты выпустили аналог. Такие утечки, в частности, опасны для фармацевтических компаний, где цикл разработки нового лекарства составляет в среднем семь лет. Или для высокотехнологичной сферы, где утечка какого-либо секрета производства может привести к тому, что кто-то запатентует данное ноу-хау, и компании придется выплачивать роялти из-за собственной самонадеянности.

Также неприятным последствием для компаний являются штрафы за утечки персональных данных граждан.

— Какой процент утечек попадает в публичный доступ?

— Я думаю, максимум 10%.

— DLP-система защищает от всех перечисленных вами типов утечек?

— Да, DLP-система способна выстроить эшелон защиты от всех типов утечек, но при должной настройке и последующей эксплуатации. DLP — это, по сути, техническая реализация режима коммерческой тайны в организации. Имея перечень документов, относящихся к коммерческой тайне, и проработанную матрицу доступа к этим документам, вы получаете гарантированно работающий инструмент защиты от утечек. К коммерческой тайне относятся бюджет компании, маркетинговая стратегия, данные о партнерах и клиентах, условия договоров, внутренние регламенты компании, информация об IT-инфраструктуре — о том, какие операционные системы и ПО используются, и т. д. К этим документам может быть допущен определенный круг лиц, и DLP-система контролирует их движение в каналах коммуникаций. Некоторые DLP-системы лишь отслеживают передачу конфиденциальных данных за пределы компании, и с каждым таким инцидентом вручную разбирается сотрудник по информационной безопасности. Наша DLP-система Solar Dozor блокирует передачу таких данных, то есть именно предотвращает утечки.

— На что компаниям следует обращать внимание при выборе средства защиты?

— В первую очередь нужно обращать внимание на надежность и опыт компании, которая будет поставщиком средств защиты. Во вторую очередь — на команду, с которой предстоит работать: оценивать скорость реакции на запросы, вовлеченность и гибкость. В-третьих, стоимость средств защиты должна быть соизмерима с бюджетом компании, а главное, рассчитана минимум на три года, чтобы были четко видны все составляющие и преимущества проекта. В разных компаниях разные объемы обработки информации, нагрузок на систему и число сотрудников, которые будут с ней работать. Например, для работы с потоками данных из DLP-системы в крупных организациях нужно выделять несколько аналитиков, в отличие от малого и среднего бизнеса. Также требования к средствам защиты — к их надежности и отказоустойчивости — у крупных компаний намного выше.

— Есть ли средства, которые позволяют не только защититься от утечки, но и прогнозировать вероятность возникновения такого инцидента у тех или иных пользователей?

— Да, мы два года назад выпустили модуль анализа поведения пользователя — он анализирует характер коммуникаций всех сотрудников. Например, какое количество писем отправляет тот или иной сотрудник, как часто, в какое время, с какой информацией работает и т. д. Накопленной в течение двух месяцев истории активности пользователя достаточно для того, чтобы определить его устойчивое, то есть нормальное, поведение и начать детектировать аномалии — отклонения в поведении. И если поведение сотрудника перестает соответствовать его нормальному профилю, эта аномалия отобразится в системе — она будет сигнализировать, что вот здесь потенциально может произойти инцидент, например утечка.

Кроме того, система определяет наиболее уязвимые с точки зрения бизнеса группы сотрудников и работников с подозрительным поведением, относя их к различным паттернам поведения. Например, работа по ночам, в выходные, признаки увольнения и т. п. По каждому из паттернов ведется постоянный контроль опасных тенденций.

Выйти из полноэкранного режима

Развернуть на весь экран

— Какими сопутствующими функциями обладают DLP-системы?

— Системы защиты от утечек — это источник данных для расследований. В российских компаниях DLP-системы сохраняют не только события и инциденты, как принято на Западе, но и все коммуникации по всем каналам. Этот архив превращает DLP в инструмент для расследования нарушений безопасности. По информации в архиве можно проверять различные гипотезы — это относится не только к утечкам, но и к экономической и к собственной безопасности компании.

Также часть заказчиков хочет видеть в DLP-системах функцию контроля рабочего времени. Некоторые HR-специалисты за неимением специализированных систем мониторинга запрашивают у офицеров безопасности доступ или выгрузку информации о рабочем времени сотрудников организации. Но мы считаем, что организация труда не относится к DLP и, более того, к сфере интересов отделов безопасности, которые для снижения рисков, наоборот, ограничивают доступ посторонних в системы защиты. Поэтому мы создали отдельный продукт Solar addVisor для повышения производительности труда и планирования организационного развития компании, предназначенный для HR и руководителей.

— В каком направлении развивается рынок DLP? Какие самые новые функции появились или планируется внедрить в средства защиты?

— Мы считаем, что ключевые векторы развития сейчас лежат в инфраструктурной плоскости, а именно в возможности построения территориально распределенной DLP-системы с единым центром управления, политикой и сквозными расследованиями. Это, конечно же, больше относится к крупным корпоративным клиентам и ФОИВам. Но для нас это привычный рынок, поэтому мы развиваем наш продукт, делая упор на потребности этих групп заказчиков.

Одной из наиболее востребованных функций DLP-систем является контроль информации на рабочих станциях сотрудников с помощью DLP-агентов. DLP-агенты для ОС Windows и Linux уже широко распространены, а для MacOS пока слабо. Поэтому мы недавно представили MacOS-агент, который особенно нужен компаниям в сфере медиа, дизайна, крупным банкам и ряду других отраслей.

В целом же развитие DLP-систем — это в первую очередь погоня за постоянно эволюционирующими каналами утечек. Например, Skype или WhatsАpp меняют протоколы, и DLP-вендорам приходится дорабатывать свой продукт, оперативно придумывать, как перехватить передаваемые по этому протоколу данные. Например, с переходом на удаленку резко возросла популярность различных систем конференцсвязи, передача конфиденциальной информации по которым пока является «слепым пятном» для некоторых DLP-систем. Мы на эти изменения, конечно, реагируем и постоянно совершенствуем свою систему защиты.

16+