Тема утечек на фоне кризиса актуальна, как никогда.
Мы провели интересую беседу с Анной Поповой об утечках информации, мотивах инсайдеров, переменах в каналах передачи информации на фоне кризиса.
Как изменилась картина утечек информации сегодня, какие новые каналы передачи информации появились, и что такое утечки информации в новом поколении?
На самом деле, изменения не заставили себя ждать.
Стали задействованы не то, чтобы новые каналы – они существовали, они были и даже более того, было возможно их детектировать. Например, DLP-системами. Но они просто практически не использовались, как каналы утечки информации.
Утечки раньше происходили в основном по двум каналам: это либо почта, либо копирование на съёмный носитель. Это ни для кого не секрет, ежедневная статистика компаний, например Infowatch, об этом говорит.
Что происходит сейчас?
Сейчас такое ощущение, что всё работает по принципу “Все средства хороши”. Почему-то используются облачные хранилища, причём иностранные, которые заведомо расположены на зарубежных серверах.
Либо используется иностранное ПО и коммуникаторы. Тот же самый Teams, например.
Почему это удобно, почему это используется?
Потому что, например в корпоративной среде используется приложение Teams на стационарном компьютере работника, и там есть какая-то информация. Там всегда какие-то чаты, можно прикреплять файлы, какая-то есть переписка. И в то же самое время у Teams очень хорошее приложение для телефонов, и оно полностью синхронизировано. То есть это одна учётная запись, под который ты заходишь и с рабочего компьютера, и на телефоне в приложении у тебя аналогично такой же доступ. Ты на рабочем компьютере можешь закачать туда без преувеличения любые файлы, а потом с телефона из приложения, из неконтролируемой среды ты можешь делать с этими файлами всё что угодно.
Поэтому я бы обратила на это пристальное внимание и сотрудников безопасности, и вообще владельцев бизнесов, владельцев компаний.
На то, что в целом это ПО в силу определённых обстоятельств является уязвимым, оно уже в какой-то момент уже может перестать работать. Т.е. “дырки”, которые появляются с точки зрения безопасности, обращают на себя внимание. Я бы, наверное, об этом задумалась как минимум с точки зрения того, чтобы не давать возможность в корпоративной среде этому использоваться.
Это должен быть запрет какой-то на использование?
Да! Это административный запрет на уровне компаний. Мы знаем по своим заказчикам, что очень многие такой запрет уже вводят.
Ты говоришь, что надо обратить внимание именно специалистам информационной безопасности, именно заказчикам, но не говоришь о том, что вендоры должны тоже рассматривать новые каналы. Вендоры вообще успевают за появившимися новыми каналами?
Да, вендоры пытаются успеть за каналами за этими. Но они не совсем новые, потому что тот же Teams или Zoom стали активны с начала пандемии.
И конечно вендоры сразу получили от заказчиков огромное количество пожеланий на доработку, и мы всё это радостно начали реализовывать.
Кто-то реализовал, кто-то нет, потому что с мессенджерами всегда история сложная. Ты никогда не успеешь за их версионностью просто потому, что нет никакого обмена техническими знаниями.
Например, если Microsoft нам всё-таки что-то передавал, то его коммуникаторы с нами никаким образом техническими данными или драйверами не обменивались. Поэтому выходит какая-то версия, и для нас всех это огромный сюрприз.
И в этом тоже состоит одна из технических проблем. Успеть за этим действительно очень сложно. А сейчас им на смену приходят отечественные коммуникаторы, существующие или разрабатываемые, и мы уже должны думать о них. То есть мы должны в свой функционал, фактически в роудмап, сформированный на этот год, который уже расписан, вносить оперативно какое-то невероятное количество изменений.
То есть я правильно понимаю, что с начала периода пандемии нагрузка на вендоров, на разработку возросла в несколько раз?
Возросла в каком-то невероятном объеме. У всех вендоров, по сути, огромный технический долг перед заказчиком. И учитывая, что сейчас идёт активный процесс импортозамещения, у нас заказчиков становится больше. То есть у нас приток идёт от существующих, от потенциальных, от приходящих и так далее, потому что кто-то высказывает пожелания уже в рамках пилотирования нашей системы, и мы не можем это не принять. Поэтому нагрузка просто колоссальная.
Есть, наверное, какая-то живая очередь, да?
Безусловно, огромная живая очередь, да.
Давай поговорим немного про портрет инсайдеров: кто это, как он выглядит, есть ли какие-то характеристики?
К сожалению, с инсайдером всё развивается в негативном ключе, потому что по всем предыдущим годам наш условный “злоумышленник”, сотрудник внутри компании, не был злоумышленником скорее всего.
Чаще всего передача тех же самых конфиденциальных данных производилась на его почту. Сотрудник мог уехать в командировку, мог захотеть поработать из дома. Это могли быть какие-то не злонамеренные действия, когда, пытаясь отправить один файл, он прикреплял другой, который содержал чувствительную информацию. И расследование подводило итог и говорило о том, что злого умысла не было.
Этими данными он нигде не воспользовался, никуда их не продал, и вроде как всё хорошо. Это всё детектировали, собирали, и вроде всё замечательно.
А сейчас мы понимаем, что у “злоумышленника” кавычки исчезают, и он становится злоумышленником. То есть в отличие от неосторожности появляется умысел, если мы говорим об уголовном законодательстве.
И у сотрудников под влиянием текущей обстановки, психологических факторов эмоциональное состояние меняется очень быстро.
Зачастую до такой степени, что они перестают осознавать реальность.
Они пытаются выжить, они пытаются подсобрать капиталы, разглашая сведения той компании, в которой они работают. Действуют очень быстро, оперативно. Зачастую над ними довлеют какие-то внешние силы.
Это могут быть друзья, знакомые, это может быть интернет-пространство, которое что-то говорит нам каждый день о чём-то, и они начинают предпринимать эти хаотичные действия в попытке слить просто всё, причинить какой-то злонамеренный ущерб в состоянии, скажем так, аффекта.
А есть те, кто хладнокровно, трезво планирует конкретные действия, как раньше планировалось мошенничество.
Сейчас так же планируется утечка, и сотрудник злонамеренно в попытках причинить какой-то ущерб своей компании переходит в состояние какого-то мщения за увольнение, сокращение и тому подобное. Тогда он с одной стороны пытается защититься, а с другой стороны действует по принципу “Лучшая защита – это нападение”. И, к сожалению, теперь мы имеем перевес в сторону умысла. А вот это уже действительно серьёзно. Это говорит нам о том, что раньше компании могли где-то пренебречь технической, организационной защитой, потому что DLP-системы никогда не были базовыми, не стояли наравне с антивирусами, а сейчас они резко выскочили в течении первых месяцев.
Мы открыли двери, а там стоит огромное количество заказчиков, которые говорят, что им это надо, что им всё равно что написано в нормативной базе, что им говорит закон, они должны что-то с этим делать.
Насколько я понимаю, когда мы готовились к эфиру и собирали количество кейсов и утечек, это было практически каждый день. Какой-то кейс случается, об этом говорят. Это всё-таки связано именно с сегодняшней ситуацией, или это как-то накапливалось и сейчас вылилось на нас большими проблемами?
Безусловно это связано с нынешней ситуацией. Абсолютно точно, потому что все изменения начались буквально с 25`го февраля.
Безусловно эти вещи связаны, но тут тоже надо понимать, что как правило кризисные ситуации – это ситуации прорыва. И то, что копилось и формировалось, те проблемы, которые были под капотом, они переходят в острую фазу и становятся реальными проблемами текущего времени, на которые ты уже не можешь закрыть глаза.
Не только мы не можем закрыть глаза, но и наше государство, правительство предпринимает какие-то меры. Как ты считаешь, законодательно вообще реально это урегулировать, или потребуется достаточно много времени и совокупной работы вендоров и правительства?
Я думаю, что здесь нужно думать и так, и так. Потому что какие-то меры должны быть приняты очень быстро, и они принимаются государством, надо отдать должное. Очень быстрые и оперативные меры, без которых невозможно. Есть то, что заставляет задуматься, и над чем нужно подумать. Мне очень нравится тенденция, что регуляторы приглашают вендоров, вендоры приглашают интеграторов, и у нас проходят совершенно замечательные совещания, которых не было раньше, потому что мы в ситуации, когда что-то делать надо было ещё вчера.
Здесь работа предстоит, конечно, огромная, и она возможно только совместными усилиями всех, так скажем без преувеличения, заинтересованных лиц.