Алексей Дрозд
После эфира «Саботаж со стороны работников. Как выявлять инсайдера?», побеседовали с начальником отдела ИБ, компании SearchInform—Алексеем Дроздом. Обсудили с чего должна начинаться защита информации и что должно в ней поменяться, чтобы утечек было меньше; мотивы людей, причастных к утечкам; запросы заказчиков и перспективы развития продуктов ИБ отрасли.
В последнее время мы видели несколько громких информационных утечек: Почта России, Яндекс.еда, СДЭК. Как вы считаете, есть ли какие-то общие причины у подобных утечек данных?
Общими причинами конкретно для этих утечек я бы назвал рост настроений по миру относительно активизма. То есть “Ломай всё, что легко ломается! Давай, пробуй и обязательно это публикуй!”, куча призывов то от анонимусов, то ещё от каких-то группировок.
Это способствовало напряжению. С другой стороны, общее в них то, что сливались в первую очередь не какие-то корпоративные секреты в публичку, а сами люди, то есть происходила утечка персональных данных.
В этом плане любопытно, что взяли пример, который с двадцатого года уже был использован, когда сливается массив персональных данных, и эти данные визуализируются. То есть не сам факт слива информации, когда данные недоступны широким массам, а скажем так юзер-френдли утечка, назовём её так.
Как по мне, это такая знаковая веха. С одной стороны, они почерпнули саму идею, может быть, у команд, которые оперируют вирусами-шифровальщиками.
Такие команды года с 2018`го переняли тактику, чтобы стимулировать жертву платить выкуп начинать переговоры, и если они заходят в тупик, то делать сайт-витрину и начинать реально выкладывать данные, чтобы показать серьёзность своих намерений. Здесь начали выкладывать данные, но не для того, чтобы простимулировать выкуп, а для того, чтобы показать масштаб и всю глубину “наших” глубин.
То есть поменялся мотив?
Да. А ещё если, с другой стороны, зайти, то интересно то, что все эти компании публично признали эту утечку информации, чего раньше на российском рынке не особо наблюдалось. Здесь возбудились и общественность, и Роскомнадзор, и сами компании не стали играть в неосознанную, а чуть более открытыми стали с точки зрения рассказа про эти инциденты.
Вероятно, это как-то связано с новыми требованиями регуляторов.
Как вы считаете, насколько сильно ужесточение закона влияет сейчас на организацию защиты информации в российских компаниях?
Конкретно сейчас, в моменте, на мой взгляд ещё не сильно влияет, но обязательно повлияет. Почему? Потому что законов можно напринимать много, и ввести оборотные штрафы, и ввести обязательства о том, чтобы уведомлять надзорные органы об утечке, если таковая произошла, или о взломе, о любом инциденте, но в то же время глупо было бы отрицать исторический посыл, который преследует Россию, а именно “Строгость законов нивелируется необязательностью их исполнения”.
И вот здесь законы есть, строгость вроде бы тоже теперь присутствует. Любопытно, что есть ощущение, что наконец-то государство решило следить ещё и за тем, как эти законы соблюдают.
То есть та самая вторая часть поговорки: “Обязательность исполнения”. И вот это, я думаю, даст синергетический эффект, что защищённость данных повысится. Безопасность информации будет не для галочки, а для дела.
Как вы думаете, что должно меняться в защите компании сейчас, чтобы сливов данных становилось меньше?
В целом, наверное, системный подход должен быть в том качестве, что сначала в идеале надо порядок навести. То есть знать, с чем имеешь дело. Какие данные имеешь, кто к ним имеет доступ, совпадает ли это с тем, как это задумывалось. Потому что, грубо говоря можно думать и в бумажках прописать матрицу доступа, а на практике окажется, что туда может заходить встречный поперечный каждый. Соответственно первым делом, как по мне, надо навести порядок с данными. Понять, где что лежит, так ли это задумывалось, имеют ли доступ люди, которые к этому должны иметь доступ, а все левые не имеют.
Кто должен наводить порядок в данных?
Сотрудники Информационной безопасности. Это как раз таки именно выстраивание ИБ. С этим разобраться. С другой стороны, определиться как в документах формально прописана модель угроз, портрет нарушителя, вот это вот всё. То есть, что для компании важно?
Определиться с приоритетами.
Потому что защищаться от всего невозможно, потому что это очень дорого и ресурсоёмко может быть. Поэтому компания должна определиться от кого и как защищать данные. От внешних злоумышленников, от внутренних, от конкурентов, или от ещё от кого-то. Исходя из этого уже подбирается тот пул инструментов, который наиболее эффективно эту задачу решает.
Ну а дальше заниматься. То есть надо быть, а не казаться безопасником в этом плане. Благо законы подтягивают сейчас всё больше и больше под то, что бумажная безопасность перестаёт существовать в отрыве. Если раньше было так, что если выполнить все регламенты, то работать будет невозможно, то сейчас в принципе если разбираться с бумажками, то они стали тоже более бизнес-ориентированными. И их можно брать за какую-то основу, за первичный план и реализовывать.
DLP-системы – это зрелый класс решений. Тем не менее в вашей компании вы активно реализовываете новый функционал. Это больше маркетинговые решения или ответ на запросы заказчиков?
В первую очередь это всегда было, есть и, я надеюсь, будет реакция на запрос заказчиков. То есть что людям надо? Мы не создаём моду, а консультируемся с нашими заказчиками и делаем то, что в первую очередь было бы полезно им и отрасли, в которой они работают. Здесь, однако 22`й год внёс свои коррективы.
Параллельно по разработке пошло два направления. Одно я бы назвал подкапотным. То есть это направление, связанное с импортозамещением. Не секрет, что в первую очередь все DLP-системы были Windows-ориентированными, потому что это наиболее распространённая десктопная ОС была у заказчика. И весь функционал в первую очередь выкатывался под винду, поддержка винды была в первую очередь самой полноценной и отработанной.
Сейчас, очевидно, есть тенденция на то, чтобы с одной стороны поддерживать другие ОС с точки зрения пользователей, а с другой стороны и по серверной части. То есть переезд на отечественные базы данных, переезд на отечественные серверные системы – это одно направление.
Другое направление – новый функционал, который нужен клиентам.
Потому что, например у нас всё-таки не только в России есть клиенты. По миру нет некоторых проблем, которые есть у российского заказчика. И всё равно новый функционал люди хотят. И в России тоже хотят. Поэтому здесь много чего выкатывается, и осенью мы традиционно подробно про это рассказываем, но, скажем так, больше стали развивать по просьбам заказчика развивать ориентацию на пользователя.
То есть чтобы мог пользователь взаимодействовать с безопасником, либо с DLP-системой. То есть это графический интерфейс на агенте, какие-то возможности взаимодействия, если информацию система заблокировала, чтобы пользователь сам её мог разблокировать, либо быстрее послать запрос на разблокировку. Плюс ИИ тоже внедряется.
Это защита от фотографирования информации с мониторов с помощью смартфонов и так далее. Вот два направления. На самом деле любопытно видеть, как некоторые вендоры DLP-систем заявляют: “Нам некуда расти. Вот как у вас буханка. 50 лет, идеальный дизайн, нам больше нечего сюда привнести!” Не так! Вы тогда значит не спрашивали своих клиентов о том, что им надо.
А с другой стороны, бывает маркетинговые штуки, которые на самом деле больше модные, чем полезные. Из таких, если вспомнить, это давно было реализовано, например поиск по транслитерации. То есть, когда человек транслитом пишет русские слова. Очень было можно, и все вендоры это сделали, но практически очень редко такое применяется. Но тем не менее все сделали, потому что волна была, и заказчикb такие: “Да! Дайте! ДАЙТЕ!” Ну, дали.
На рынке SIEM и тем более DCAP ситуация иная. Здесь российские решения до последнего времени были представлены гораздо скромнее. Насколько хорошо заказчики встречают ваше решение, и как вы думаете почему?
Ну, наверное, сразу надо слона заметить в комнате. То есть не было счастья, да несчастье помогло. Продажи выросли, причём кратно. Я ради интереса нет-нет, да и спрошу коммерческий отдел на эту тему. Давали мне цифры, что в два раза, в пять раз спрос вырос. Ну, и здесь, с одной стороны, DLP – это отдельная история. Там всегда позиции были сильные. А вот с DCAP получилось так, что решение востребовано, оно надо, и у заказчиков либо планировалось это купить, либо уже было что-то зарубежное, и вот помимо естественного прироста клиентской базы случился переход клиентов, которые чем-то пользовались, но этот софт у них превратился в тыкву. Соответственно здесь в принципе мы навстречу клиентам шли. И дисконты объявляли, чтобы безболезненно для бюджета можно было перейти. И в том числе государство определённые меры принимало, помогая закупать тот или иной софт. Всё это дало позитивный эффект.
Ваша компания так же один из пионеров на рынке ИБ-аутсорсинга в сегменте защиты от внутренних угроз. Вы начинали говорить про него, когда ещё считалось, что внутреннюю безопасность на сторону отдавать нельзя. Оправдались ли ваши ставки на аутсорсинг? С какими запросами обращаются заказчики?
В целом оправдались, потому что в принципе ИБ-аутсорсинг с точки зрения модели продаж, которые есть на российском рынке, так как продукты стоят определённую сумму, то кота в мешке никто не хочет покупать.
Это нормально, когда компания приценивается и может одновременно или последовательно пилотировать несколько решений. То есть одно и то же решение, но от разных вендоров. Три разных производителя, и они каждый по месяцу смотрят и выбирают оптимального под свои задачи, под свою загрузку и так далее.
В итоге получается что?
ИБ-аутсорсинг хорош тем, что позволяет в принципе такой аэродром подскока делать. Не в рамках пилота, а в рамках большего временного промежутка, например полгода, год, посмотреть, насколько экономически оправдана покупка или использование такого софта.
По подписочной ли модели, или лучше купить и вырастить своего спеца.
То есть аэродром подскока. Чем приятен ИБ-аутсорсинг, так это тем, что в пилоте все вендоры стремятся сделать вау-эффект. Максимум выжать за месяц и так далее. Хорошо. А через полгода такая же эффективность инцидентов будет, или нет? Не получится ли, что через год ты останешься у разбитого корыта? И в этом случае ИБ-аутсорсинг – грамотное, логичное вложение денег. Кроме того, не стоит забывать, что в этом году отметились государственники новыми указами. Что есть 250-й указ на тему того, что под кустом должен быть безопасник в каждой компании, и вот что “персональная ответственность!”, или ещё что-то. То есть кадровый голод не то, что куда-то не ушёл, но он ещё и вырос.
И здесь тоже ИБ-аутсорсинг помогает. Он помогает взять экспертизу, и это можно рассматривать, как некий институт наставничества, менторства.
Берем своего сотрудника информационной безопасности, в тандем берём от ИБ-аутсорсинга опытного специалиста, и за год передаём знания, натаскиваем. То есть не экспресс-курсами за три дня, когда информация вываливается, но не усваивается. Опять же она выдаётся на каких-то лабораторных примерах, а не прям на тех примерах, которые актуальны именно и только для одной компании.
И вот ИБ-аутсорсинг в этом плане и интересен. То есть если со стороны компании есть желание вырастить своего безопасника, а он ещё и толковый, то можно за три месяца всё освоить, понять ценность этого дела, и получить до кучи специалиста уже своего, который перенял опыт, и уйти в свободное плавание.
В свободное плаванье от аутсорсинга?
Да, в свободное от аутсорсинга. То есть это как велосипед с колёсиками. Некоторых всё устраивает: “Катаюсь и катаюсь. Так нормально!” А некоторые хотят: “Хорошо, я теперь не боюсь, я умею. Дальше сам буду учиться делать всякие трюки интересные.”
Как вы считаете, можно ли создать систему ИБ, которая целиком способна справляться без человека?
Я считаю, что теоретически да, на практике нет.
Потому, что ИБ в нашем случае, в случае с внутренним нарушителем мы работаем с человеком. Соответственно с человеком, увы, надо работать тоже человеку. Можно полностью автономно сделать, если загнать работников в очень жёсткие формализованные рамки. То есть если мы способны описать систему, как сотрудник живёт на работе “от” и “до”, тогда мы способны это автоматизировать. Если же мы не знаем, как это сделать, то всё.
Автоматика будет либо ложноположительные сработки давать, либо чего-то не ловить, либо вообще толком не будет работать.
Поэтому полностью автоматизировать процесс защиты информации можно, но это для сотрудников одной задачи. Вот есть линия хелпдеска, у него вся жизнь – это отвечать на звонки, заполнять карточки в CRM-системе. Вот если вся жизнь сводится к этому, да, это можно автоматизировать со всех сторон. Если у нас чуть более сложное что-то, продажи, творческое что-то, дизайн, не дизайн, архитектор, то есть, где надо мозгами подумать, то всё, здесь под универсальную гребёнку не получится. Если мы будем формализовывать, то мы придём к тому, что хороший разработчик это тот, который пишет 200 строк кода в день. Но можно 200 строк ерунды написать, а формально пройти под все критерии.
Тут скорее решение задач нужно, а не количество строк.
Вот! Именно! И опять же тогда. А какие задачи? А все ли задачи одинаково сложные, одинаково полезные ли? И начинается то, что мы либо это никогда не формализуем, либо получим систему с миллиардом параметров, которые мы не сможем отладить, либо всё это будет работать криво и косо.
Поэтому я считаю, что от человека избавиться – нет. А вот автоматизация поможет оптимизировать труд сотрудника информационной безопасности. То есть скинуть рутинные какие-то процессы. Может, по подготовке служебных записок, отчётности. Вот это действительно могло бы облегчить.
Если вы раскрыли инсайдера, можно ли дать сотруднику второй шанс и на каких условиях?
Зависит от инцидента, скажем так. Трудовой кодекс нам говорит, что за неоднократные грубые нарушения уже можно увольнять человека.
Но то трудовой кодекс, а это человеческие отношения.
Безопасник в данном случае скорее не должен решать.
Безопасник – это инструмент, который выявил что-то.
А дальше в идеале он эту фактуру передаёт управленцам или кадровикам, которые должны по совокупности факторов принимать решения.
Откуда безопасник имеет право или знает какую ценность с точки зрения принесения пользы компании представляет сотрудник?
То есть безопасник знает сотрудника в данном случае с негативной стороны: “Он столько-то плохого сделал!” А сколько хорошего сделал?
Безопасник же это не фиксирует, у него не было этого в задачах. А это знает руководство. Поэтому на мой взгляд нет утопии, что второй шанс заслуживают все.
Скорее так: каждый должен заниматься своим делом, и в данном случае давать второй шанс или не давать должны управленцы.
