in4security 7/16/20 2:39 PM Page 26
СПЕЦПРОЕКТ
Защита от утечек информации как непрерывный процесс Анна Попова, руководитель блока DLP, Infosecurity a Softline company
К Моя история взаимодействия с этим вопросом началась восемь лет назад. В том же году наша компания – Infosecurity (тогда еще без приписки a Softline Company) начала выстраивать процесс мониторинга и реагирования на инциденты, связанные с подозрением на утечку конфиденциальной информации, в одной из самых крупных финансовых корпораций России. Ядром этой корпорации являлись банки. Их было немало и с каждым годом присоединялось еще больше, так что процесс интеграции никогда не заканчивался. Когда в 2012 г. я пришла в компанию, то сразу столкнулась с огромным количеством инцидентов и потребовалось немало времени, чтобы "разгрести" этот массив и впоследствии уменьшить число инцидентов. Однако первые годы моей работы были посвящены процессу мониторинга инцидентов, количество которых из-за постоянных интеграций никак не хотело снижаться.
Классический подход к выявлению инцидентов Отношение к безопасности в целом в корпорации было всегда очень серьезным, и мне довелось работать с высокопрофессиональными безопасниками, которые стремились доводить процесс реагирования на инциденты до неотвратимого наказания нарушителя. Наша работа строилась по такому принципу: мы выявляли инцидент, сообщали в службы безопасности корпорации, где начинался процесс реагирования, проводились внутренние расследования обстоятельств и принималось решение о применении мер ответственности. По сути, это классический подход к выявлению инцидентов.
26 •
азалось бы, тема защиты от утечек информации довольно избита и вряд ли в ней можно сказать что-то новое. Но я попробую…
Со временем это позволило существенно повысить уровень осведомленности сотрудников о правилах и принципах информационной безопасности в корпорации, благодаря регулярному обучению сотрудников, и, как следствие, уровень зрелости самой ИБ. Но важно было то, что применяемые меры ответственности для сотрудников были взвешенны и определялись индивидуально, в связи с чем в процесс разбирательства всегда были вовлечены непосредственные и вышестоящие руководители нарушителей. Таким образом, решение принималось коллегиально и исключало превращение правильного процесса мониторинга и реагирования на инциденты в борьбу за увеличение количества выявленных инцидентов с отсутствием смысла и пользы для бизнеса. Но сам по себе мониторинг – это только одна часть процесса.
Утечка не появляется сама по себе Со временем большое значение стало придаваться ретроспективным расследованиям инцидентов. Вернее, даже не инцидентов или не только инцидентов, а всех возможных действий, которые нанесли или потенциально могут нанести вред или ущерб компании. Здесь мы, конечно, говорим о заранее спланированных мошеннических действиях, сговорах, лоббированиях, конфликтах и актах проявления нелояльности сотрудников. Такие действия в своей основе могут быть связаны с фактами утечки информации и фактически благодаря им и выявляются. Однако утечка информации – это не оторванный от прочих обстоятельств и событий факт, а, как правило, причина либо следствие какого-то негативного процесса. Мы также должны осознавать, что даже если сотрудник допустил утечку по ошибке (статистика каждого года говорит о том, что таких случаев большинство), то мы не можем быть уверены в том, что он не воспользуется этими данными в будущем (если, конечно, не предприняты действия по нейтрализации последствий инцидента).
Реальный кейс Приведу в качестве примера один из своих самых любимых кейсов. Сотрудница отдела внутреннего аудита записала на флеш-носитель громадное количество конфиденциальной информации компании, полученной в рамках ее работы. Надо сказать, что такие сотрудники, как правило, имеют некоторые привилегии и право записывать данные аудита на съемные носители. Но что-то в этом случае насторожило и нас, и службу безопасности ее компании. Вероятно, массовость данных, записанных единовременно. В результате расследования для минимизации последствий инцидента руководитель службы безопасности обнаружил на компьютере, куда были перенесены данные, информацию и другой организации, а точнее – весьма крупного коммерческого банка, где работал муж сотрудницы. Таким образом было установлено, что семейная пара коллекционировала конфиденциальную информацию двух весьма значимых финансовых структур нашей страны на общем ПК.
Смотреть шире и дальше утечки Работа со службами безопасности корпорации научила меня исключить из сознания такие варианты, как "отправил по ошибке", "скопировал (распечатал) для себя", "не собирался воспользоваться этими данными" и т.д. Мы должны понимать и всегда помнить, что сотрудник не будет ничего "выносить" или "сливать", если сейчас или в будущем не допускает использования украденных данных. А значит, в каждом случае мы имеем дело с осознанными нарушителями, которые не исключают для себя возможности причинения ущерба своему нынешнему работодателю тем или иным образом. Это знание позволило нам смотреть шире и дальше самого факта утечки. Мы научились исследовать и анализировать причины инцидента, его последствия и влияние на других сотрудников компании. Так, неизбежно появляются группы риска или группы особого контроля. Как известно, сотрудники попадают в них по разным причинам: конфликты с коллегами или руководством, недоволь-
