«Гораздо опаснее урон, который приносят внутренние инсайдеры»
Даниил Бориславский — о не спадающем риске утечек данных
Объем утечек данных в РФ продолжает расти. Только за январь—июль 2023 года в сеть было выложено 188,7 млн записей с данными россиян. Объем слитой информации превысил число жителей РФ, по оценке DLBI. При этом до сих пор значительная часть утечек, как признают эксперты, связана с действиями сотрудников организаций (инсайдеров). О том, как компании могут эффективно бороться с утечками и какие для этого уже сейчас есть механизмы, “Ъ” рассказал руководитель проектного офиса Staffcop Даниил Бориславский.
Руководитель проектного офиса Staffcop Даниил Бориславский
Фото: Предоставлено Staffcop
Руководитель проектного офиса Staffcop Даниил Бориславский
Фото: Предоставлено Staffcop
— С чем, на ваш взгляд, связана тенденция роста утечек данных в 2023 году?
— Тенденции роста утечек связаны с тем, что хакерским группировкам (в том числе из недружественных стран) потребовалась информация о персональных данных людей, чтобы делать атаки более таргетированными, проводить больше массовых рассылок и подогревать напряженность. С этим связан в том числе рост целенаправленных атак для краж любых данных. Если раньше атаки были больше нацелены на то, чтобы украсть какую-либо финансовую составляющую, то теперь фокус сместился больше в сторону хищения персональных данных.
— Какие сейчас на рынке есть решения, которые позволили бы бизнесу и госсектору снизить возможные риски от инсайдерских утечек?
— Решения, которые существуют, можно разделить на несколько групп. Есть сервисы, которые защищают от внешних атак, есть те, которые больше ориентированы на внутренние угрозы. От внешних атак мы довольно неплохо защищаемся. И как показывает статистика и практика, эти атаки приносят не самый большой урон. Гораздо опаснее урон, который приносят внутренние инсайдеры: на него приходится примерно две трети ущерба от атак.
Если говорить о решениях для внутренней защиты, то их тоже несколько классов. Есть решения, которые стоят на шлюзе выхода в интернет, делают контентную фильтрацию всей передаваемой информации и на основании ключевых слов или атрибутов файлов блокируют ее передачу. Есть решения, которые устанавливаются непосредственно на компьютер и фиксируют все, что на нем происходит. Есть решения, которые устанавливаются на компьютер и осуществляют блокировку отчуждения передачи любой информации. Лучше использовать те решения, которые соответствуют актуальным требованиям бизнеса (которые в зависимости от размера и профиля компании могут различаться).
— Как устроена система для расследования инцидентов внутренний кибербезопасности Staffcop Enterprise?
— Логически система состоит из двух крупных блоков. Первый — это агенты (программы), которые работают на компьютерах сотрудников. Их задача зафиксировать все, что происходит на АРМ, и передать это на сервер управления, а также дополнительно осуществить какие-то проактивные действия на рабочих станциях. Например, заблокировать передачу информации при массовом копировании или ввести учет внешних накопителей информации и администрирование доступа к ним. Второй блок — это сервер управления и хранения данных. Он управляет агентами, получает от них информацию, хранит информацию для последующего анализа и обработки как в реальном времени, так и в ретроспективе — например, когда нам нужно расследовать инцидент, который мог начаться несколько месяцев назад.
— Какие задачи решает платформа Staffcop Enterprise и как она помогает повысить эффективность бизнеса?
— Основные задачи — расследование инцидентов и учет рабочего времени сотрудников. Платформа включает в себя функционал по сбору данных с рабочих мест сотрудников и их анализ, она обеспечивает поиск по всем данным с помощью фраз и регулярных выражений, изучение корреляций событий, настройку оповещений и проактивных действий. Технология drilldown позволяет находить данные, очищенные от информационного шума, в несколько кликов. Еще одна возможность — блокировка на рабочих местах операций с файлами по контенту и цифровым меткам, а также администрирование доступа к съемным носителям информации, блокировка запуска приложений, доступа к сайтам, использования Wi-Fi сети. Ведение учета рабочего времени сотрудника и построение карты рабочего дня, по сути, точка входа для расследования инцидентов, она в том числе позволяет обогащать информацию при расследовании. Также платформа позволяет выполнить требования регуляторов, когда необходимо сертифицированное ПО для определенного типа организаций.
— Для каких категорий бизнеса будет полезно решение Staffcop?
— Для всех компаний, где есть важная информация и риски от действий или бездействия сотрудников. Сейчас риски информационной безопасности актуальны для всех категорий бизнеса. И это подтверждает наша статистика по анализу клиентов: мы востребованы во всех компаниях. В том числе из списка Forbes топ-100 нашими клиентами являются более 15 компаний. К тому же недавно Staffcop Enterprise стал единственным российским вендором, который вошел в список Forbes Advisor в номинации «Лучшее соотношение цены и функционала».
— Как, на ваш взгляд, будет развиваться спрос на подобное решение в ближайшие годы?
— Спрос продолжит расти. Влиять на него будут как новые требования законодательства и риски получения оборотных штрафов за утечку персональных данных, так и рост сознательности руководителей компаний. Сейчас все больше и больше компаний понимают, что средства ИБ — необходимость цифровой гигиены, как и мыть руки, а также это программы, которые помогают вести эффективный бизнес. Поэтому спрос будет расти.
Реклама