Найти и обезвредить
Восемь лет назад началась моя история работы в проектах по защите от утечек корпоративной информации.
Компания Infosecurity, сотрудницей которой я была, стала выстраивать процесс мониторинга и реагирования на инциденты, связанные с подозрением на утечку конфиденциальных данных в одной из самых крупных финансовых корпораций в России. Ядром этой корпорации были многочисленные банки, и с каждым годом их становилось все больше, поэтому процесс интеграции никогда не заканчивался.
Когда в 2012 году я пришла в компанию, то столкнулась с огромным количеством инцидентов. Потребовалось немало времени, чтобы разгрести этот массив. Несколько лет работы были полностью посвящены процессу мониторинга.
Стоит отметить, что отношение к безопасности в целом в корпорации было всегда очень серьезным. Мне довелось работать с очень профессиональными специалистами-безопасниками, которые стремились доводить процесс реагирования на инциденты до логического конца – наказания нарушителя.
По такому принципу и строилась наша работа: мы выявляли инциденты, сообщали в службы безопасности корпорации, где затем начинался процесс реагирования, проводилось внутренние расследования обстоятельств и принималось решение о мерах ответственности.
Со временем наша работа благодаря регулярному обучению сотрудников помогла существенно повысить уровень осведомленности о правилах и принципах информационной безопасности в корпорации. Зрелость организации с точки зрения информационной безопасности значительно выросла.
Применяемые меры ответственности для сотрудников были взвешены и определялись индивидуально, решение принималось коллегиально и исключало превращение правильного процесса мониторинга и реагирования в борьбу за увеличение количества выявленных инцидентов без смысла и пользы для бизнеса.
Расследование мошеннических планов
Но сам по себе мониторинг - это только часть всей картины. Большое значение с течением времени стали иметь ретроспективные расследования всех возможных действий, которые уже нанесли или потенциально могут нанести ущерб компании.
Здесь мы, конечно, говорим о заранее спланированных мошеннических действиях, сговорах, лоббировании, конфликтах и актах проявления нелояльности сотрудников. Такие действия в своей основе могут быть связаны с утечками информации и фактически благодаря им и выявляются.
Однако утечка данных – это не оторванный от прочих событий факт, а как правило, либо причина, либо следствие третьих событий. Даже если сотрудник допустил утечку по ошибке, а статистика ежегодно говорит о том, что таких случаев – большинство, мы не можем быть уверены, что человек не воспользуется данными в будущем (если мы, конечно, не предпримем действий по нейтрализации последствий инцидента).
Интуиция не подвела
Приведу в качестве примера один из своих самых любимых кейсов. Сотрудница отдела внутреннего аудита записала на флэш-носитель огромное количество конфиденциальной информации компании. Надо сказать, что сотрудники отдела внутреннего аудита, как правило, имеют некоторые привилегии и в том числе право записывать данные по аудиту на съемные носители. Но нечто в том конкретном случае насторожило и нас, и службу безопасности ее работодателя. Вероятно, большой объем данных, записанных единовременно.
В процессе расследования руководитель службы безопасности обнаружил на компьютере, куда были в итоге перенесены файлы, данные и другой организации, а точнее весьма крупного коммерческого банка, где работал муж сотрудницы. Таким образом было установлено, что семейная пара коллекционировала конфиденциальную информацию двух весьма значительных финансовых структур нашей страны на общем ПК.
Сразу скажу, что работа со службами безопасности корпорации научила меня не верить таким объяснениям, как «отправил по ошибке», «скопировал (распечатал) для себя», «не собирался воспользоваться этими данными» и т.д.
Мы должны всегда помнить, что сотрудник не будет ничего выносить, копировать и сохранять, если сейчас или в будущем не допускает возможности использования данных, им собранных. А значит, в каждом случае мы имеем дело с осознанными нарушителями, которые не исключают для себя возможности причинения ущерба своего нынешнему работодателю тем или иным образом.
Особый контроль
Это знание дало нам возможность смотреть шире и дальше самого факта утечки. Мы научились исследовать и анализировать причины инцидентов, их последствия и влияние на других сотрудников компании.
Так неизбежно появляются группы риска или группы особого контроля. Как известно, в них сотрудники попадают по разным причинам, среди которых конфликты с коллегами или руководством, недовольство работой и поиск новой, участие в определенном происшествии. Значение имеют даже несущественные на первый взгляд детали и факты.
Само собой, тут без психологии не обойтись. Работая в сфере информационной безопасности, приходится быть не только аналитиками, но и психологами, что, конечно, делает специалистов, работающих в нашей сфере, довольно редкими и узконаправленными, а значит, более ценными для рынка.
Новый опыт и развитие сервиса
Около двух с половиной лет назад наша компания стала частью корпорации Softline.
Тогда перед нами встал вопрос: будет ли востребован в рамках услуг по информационной безопасности такой сервис, как защита от утечек информации? Как правило, организации самостоятельно реализуют подобные работы. Есть и те, кто может встроить систему защиты, оптимальным образом комбинируя внутренние и внешние ресурсы.
В то время мы познакомились со своим будущим, а сейчас уже постоянным, клиентом – Группой «М.Видео-Эльдорадо».
Появились интереснейшие задачи, а главное – началась эволюция нашего сервиса.
Заказчик никогда не ставил во главу угла наказание нарушителя и применение санкций к нему. Важной была и остается защита информационных активов компании.
Открытая работа с бизнесом
Поэтому история нашего взаимодействия с компанией началась именно (и логично) с аудита информационных активов. А каким образом можно их выявить и распознать? Конечно, только с помощью бизнес-подразделений и их руководителей, а зачастую – топ-менеджеров.
Принято считать, что бизнес вовлекать в историю с инцидентами и расследованиями стоит минимально. Но опыт проектов с «М.Видео-Эльдорадо» изменил эту традицию. Если работать с бизнесом каждый день по принципу открытости и двустороннего взаимодействия, результат получается лучше. Безопасники понимают потребности руководства и реалии его работы, бизнес в ответ прилагает все усилия для формирования принципов и мер защиты данных компании.
Все инциденты, фиксируемые крупной организацией в течение года, можно разделить на несколько десятков типов, объединенные единым контекстом с соответствующем сценарием реагирования. Это позволяет существенно снизить объем работ по реагированию, и результат будет намного эффективнее.
Новый подход к классификации инцидентов
В некоторых случаях инциденты и меры целесообразно обсуждать с бизнесом, демонстрируя статистику, и совместно искать безопасные форматы и процедуры работы.
Между собой мы называем такой подход наиболее продвинутым и зрелым.
Для давно придуманного и уже сформировавшегося процесса защиты от утечек по шаблону это – до сих пор большая редкость. Раньше перед нами никогда не ставилась задача оценивать и анализировать статистику и динамику инцидентов с точки зрения влияния на бизнес и особенно на показатели компании. Многие говорят об оценке предотвращенного ущерба от утечек, но мало кто действительно занимается этим вопросом. Поэтому ценность и пользу от, например, закупленной системы защиты от утечек (DLP) или сотрудников, ее администрирующих или эксплуатирующих, сложно определить и, главное, – посчитать.
Для нас как для сервисной компании это было кардинальное изменение подхода к классификации инцидентов, их критичности и особенно мерам, которые принимаются после выявления проблемы, в частности, внесению изменений в какой-либо бизнес-процесс для исключения нежелательных ситуаций в будущем.
Защита от утечек – далеко не единственная услуга, в рамках которой мы работаем с заказчиком, благодаря чему анализ эффективности мер, принимаемых компанией, становится более широким и разносторонним.
Мы поступили абсолютно правильно, предложив широкому кругу клиентов Softline нашу услугу по защите от утечек.
Анна Попова
руководитель блока DLP компании Инфосекьюрити