«Каждый госорган — оператор данных, требующих защиты, в том числе от человеческого фактора»
Директор центра развития продуктов Dozor — об опасности утечек в государственных организациях
Государственные информационные системы (ГИС) обрабатывают огромное количество чувствительной информации о российских гражданах и организациях. Утечки этих данных ставят под угрозу конфиденциальную информацию субъектов персональных данных и сведения, составляющие коммерческую и другие виды тайн. Абсолютное большинство аналитиков и внутренних пользователей организаций, деятельность которых связана с использованием IT-систем, прогнозируют рост количества утечек, в том числе связанных с человеческим фактором. О том, как данные утекают из госкомпаний и чем это способно обернуться, рассказала Галина Рябова, директор центра развития продуктов Dozor компании «Ростелеком».
Директор центра развития продуктов Dozor компании «Ростелеком» Галина Рябова
Фото: Предоставлено «Ростелеком»
— Количество утечек информации растет с каждым годом. В чем причина?
— Основная причина — в росте темпов цифровой трансформации, на который серьезно повлияла пандемия. Сегодня госсектор — один из главных участников цифровизации, при этом внедрение новых технологий в госучреждениях неизбежно сопровождается усложнением IT-ландшафта. Эволюция IT-инфраструктуры, в свою очередь, требует постоянной синхронизации с процессами информационной безопасности (ИБ). Ожидаемо, что однажды что-то может выйти из-под контроля.
Сотрудники учатся выполнять свои функции в новых информационных системах, работать с новыми базами данных, взаимодействовать в цифровой среде со смежными подразделениями и т. д. Систем становится все больше, они постоянно модернизируются, и сотрудники просто не успевают адаптироваться под эти изменения. Они сосредоточены на том, чтобы оперативно и качественно справляться со своими задачами в новых реалиях, и поэтому вопросы безопасности часто отходят на второй план или вовсе остаются за бортом.
— Это значит, что большинство утечек происходит из-за человеческого фактора?
— Это действительно так. По нашему мнению, в госорганах и организациях есть две группы сотрудников, которые могут спровоцировать непредумышленные утечки. Первая — люди старшего возраста, которые не очень хорошо разбираются, как устроены современные технологии. Им не понятно, почему, перенося данные на личный носитель или пересылая информацию на электронную почту, чтобы вечером поработать с домашнего ПК, они подвергают реальным рискам своего работодателя и информацию субъектов персональных данных. Человек может и не подозревать, что его учетная запись скомпрометирована или компьютер заражен трояном — программой, автоматически передающей в фоновом режиме любые данные с зараженного компьютера на сервер «хозяина».
Так или иначе, данные могут попасть к злоумышленникам, которые могут распорядиться ими самыми разными способами. Сведения могут начать в искаженном виде попадать в СМИ или распространяться в Darknet. Данные могут быть использованы для атаки на организацию, в частности, если документ содержит сведения о сотрудниках или внутренних процессах. Сценариев последствий может быть много вплоть до атаки организаций, с которыми компания-жертва взаимодействует.
Вторая группа людей, по вине которых может случиться непреднамеренная, но резонансная утечка,— молодые сотрудники. В госсектор сейчас приходит много студентов, которые живут в информационно насыщенном мире, активно пользуются сервисами и мессенджерами, но гораздо свободнее относятся к информационному обмену. Зачастую они просто не отдают себе отчет в том, насколько критические данные проходят через них на госслужбе и чем чревато их распространение.
Предположим, сотрудник, который готовит первую версию проекта письма одного министра к другому, поделится им со своим другом, с которым любит обсудить политическую повестку. Тот начнет распространять эту информацию, опираясь на источник в министерстве. И поскольку проект письма проходит много этапов согласования, вероятно, из того, что подготовил сотрудник-нарушитель, мало дойдет до финальной версии. Однако это сложно объяснить уже взволнованной общественности.
— Можно ли сократить вероятность информационных утечек в госорганах и организациях, если проводить обучения сотрудников цифровой грамотности?
— Говоря медицинскими терминами, обучение — это профилактика, но едва ли кто-то видел, чтобы одним лишь витамином С можно было победить болезнь. Безусловно, обучать сотрудников нужно, чтобы они по незнанию не совершили ошибку.
По данным Минфина России, в 2019 году в России насчитывалось около 2,4 млн работников государственных и муниципальных органов. Обучить их всему тому, что знают специалисты по ИБ, невозможно. При этом есть доля людей, которые хуже поддаются обучению, и тех, кто с обучением справится, но на практике будут ошибаться.
Повышение цифровой грамотности определенно принесет свои плоды, но оно не способно исключить вероятность утечек полностью, поэтому защита от них — задача более комплексная. Она требует также формирования подходов и политик безопасности внутри организации и обязательного использования специальных технических средств мониторинга.
— Получается, можно решить проблему утечек информации благодаря вводу жестких ограничений, правил доступа к служебной информации и документам?
— Теоретически это способно значительно снизить вероятность утечек. Однако это слабо реализуемо на практике, потому что жесткие ограничения серьезно замедляют процессы внутри любой организации.
Запреты на перемещение информации должны быть разумно обоснованы. Например, можно создать более жесткие рамки для групп сотрудников, которые пришли в компанию недавно и еще не прошли испытательный срок. Для государственных организаций имеет смысл ограничивать действия сотрудников по отправке на внешние домены и печати документов, составляющих конфиденциальную информацию, если это не требуется для выполнения их обязанностей. Ограничения в данном случае должны касаться лишь тех групп лиц, которым обычно не требуются эти действия. Все зависит от специфики процессов и данных конкретной организации — меры контроля гибко конфигурируются.
Если в организации есть DLP-система, сотрудник ИБ-службы оперативно и в автоматическом режиме получает уведомления, когда возникает любое подозрение на некорректную работу с данными на рабочем устройстве.
— Какие каналы следует защищать в первую очередь? Какими функциями должна обладать эффективная система для защиты от утечек?
— По нашим данным, самые важные функции систем защиты от утечек информации, по мнению представителей государственных организаций,— контроль USB-носителей (68%), электронной почты (64%), возможность интеграции с другими системами (62%), контроль мессенджеров (58%), контроль веб-трафика (56%), профилактика инцидентов UBA (56%).
— Кроме защиты от утечек какие задачи решают DLP-системы в государственных организациях?
— Системы мониторинга DLP также позволяют выявлять нарушения федерального закона «О государственной гражданской службе РФ» от 27 июля 2004 года №79-ФЗ. В частности, DLP-система при соответствующей настройке политик может выявлять признаки нарушений статей 14, 15, 16 и 17 и других, которые содержат перечень обязанностей, ограничений и запретов, связанных с нахождением на гражданской службе. Нарушение некоторых из них является основанием для наложения дисциплинарного взыскания, а других — для немедленного увольнения человека с государственной службы.
Например, в соответствии со статьей 14 госслужащий обязан предупреждать работодателя о любой дополнительной оплачиваемой работе, даже если это преподавание в авторитетном вузе. Другой пример — участие сотрудника в управлении коммерческой организацией, которое во многих случаях исключает возможность занимания должности в госоргане (статья 17). Благодаря автоматизированному мониторингу можно обнаружить признаки подобных нарушений.
Причем проблема скорее в том, что многие не отдают себе отчета, что их действия являются нарушениями. Молодые сотрудники в силу принятых сейчас культурных норм могут недостаточно серьезно подходить к выполнению всех существующих требований законодательства о государственной службе. В этом случае задачей DLP может быть помощь самому сотруднику или его руководителю в своевременном обнаружении и корректировании действия служащего, пока они не переросли в большую проблему.
— Сейчас у государственных организаций есть информационные системы, администрирование которых находится в зоне ответственности привлеченных подрядчиков. Как можно проконтролировать защиту данных, доступ к которым есть у третьих лиц?
— К тому, что доступ к чувствительной информации государственных инфосистем появляется у сторонних организаций, мы относимся с крайней тревогой. Разумеется, госконтракт на администрирование любой ГИС должен содержать пункт о конфиденциальности и неразглашении обрабатываемых сведений. Вопрос в том, как это реализуется на практике. При этом подрядчики могут меняться: сегодня одна компания администрирует ГИС, завтра — другая, исполнитель может привлекать третьих лиц для выполнения обязательств по контракту и т. д.
Решением может стать положение об обязательном применении подрядными организациями системы для предотвращения утечек конфиденциальной информации. Это поможет исключить выход данных за корпоративный периметр любой организации, администрирующей государственные инфосистемы. Аналогичные требования, по нашему мнению, должны также применяться в отношении любых исполнителей, которых подрядчик планирует привлекать для оказания соответствующих услуг.