Прослойка между угрозами и бизнесом
Автор
Олег Седов
Проблема в том, что утечки информации, как и всё, что с ними связано, относятся к той части ИБ, которую принято называть бизнес-безопасностью.
Первые практики противодействия утечке информации, исходящей от собственных сотрудников, показали своеобразие и деликатность этой задачи. Если защита внешнего корпоративного периметра имеет целью не допустить проникновения злоумышленника, а потому больше напоминает работу пограничников, то борьба с инсайдерами куда более тонкое дело, ближе скорее к контрразведке.
В результате перед службой информационной безопасности (ИБ) встают новые задачи: мониторинг поведения пользователей, расследование нарушений, сбор/представление доказательной базы и пр. Все это свидетельствует о том, что противодействие инсайдерству становится проблемой номер один в профессиональном сообществе. Редакция журнала «IT Manager» и компания «МакАфи Рус» предложили обсудить эту тему в формате круглого стола.
Итак, программа круглого стола «Особенности борьбы с инсайдерством. Предотвращение утечек информации и расследование инцидентов» предполагала несколько коротких докладов, представляющих различные взгляды на эту острую проблему в контексте сегодняшнего дня. В мероприятии приняли участие пятнадцать специалистов, включая докладчиков и приглашенных руководителей служб ИТ и ИБ (ввиду специфики их деятельности не все имена удастся назвать).
Однако прежде чем приступать к разговору, который имеет шанс очень скоро выйти за предполагаемые тематические рамки, неплохо бы договориться о терминологии: что следует рассматривать под угрозами, исходящими от действий инсайдеров, и кто такие инсайдеры? И, уже исходя из этого, описать модель угроз и оценить решения для борьбы с этим злом.
По классическому определению, инсайдеры это люди, которые имеют возможность использовать критически важную информацию. Но тогда первые, кто приходит на ум в вышеозначенном списке, – генеральный директор компании, а вслед за ним и сотрудники службы ИБ. Но это так называемые «доверенные лица». В противном случае им никто бы не поручил защиту секретов компании.
Кто же тогда будет сторожить сторожей? Кому доверен контроль за всем процессом ИБ? В учебниках рекомендуют привлекать внешних экспертов, которые работают в интересах акционеров. И с этим можно было бы согласиться, если бы время от времени не появлялись сообщения о сливе информации аудиторами. Получается, что в компании вообще нет доверенных лиц? Но это кратчайший путь к паранойе. Поэтому стоит ограничиться рассмотрением «инсайда по глупости». И отказаться от «целевого инсайда», ибо от него не существует технических средств защиты. Иными словами, заводить речь о защите от целенаправленной инсайдерской атаки – все равно что ставить перед полицейским управлением крупного города задачу полностью искоренить профессиональную преступность. Но ведь даже ребенок скажет, что это в принципе невозможно. Так что ограничимся уровнем уличного или бытового хулиганства.
Подобной точки зрения придерживается и директор департамента международных проектов, аудита и консалтинга Group-IB Андрей Комаров. По его словам, злоумышленник, с которым сегодня приходится иметь дело экспертам компании, это далеко не многоопытный хакер. По оценкам аналитиков IDC, количество инцидентов растет с каждым годом, несмотря на то что DLP-решений появляется все больше и внедряются они все шире. Однако в 80% случаев установить с помощью DLP-системы вину того или иного сотрудника, а тем более доказать ее, практически невозможно.
Андрей Комаров
DLP – это тот инструмент, который нельзя поставить и забыть. Соблазн продавать DLP как серебряный руль для бизнеса, как универсальное средство от всех проблем исчезает при первом же внедрении. Бизнес не хочет выделять ресурсы на DLP. И его можно понять. По мнению Михаила Чернышева, инженера по поддержке продаж Mc’Afee, для того чтобы предотвращать утечки, необходимо понимать, о чем конкретно идет речь. Прежде всего нужно определить данные и правила их обработки, которые могут динамично изменяться в зависимости от множества условий. Например, пресс-релиз не может быть опубликован до принятия решения совета директоров, но через десять минут это ограничение может быть снято, а ни один разработчик DLP об этом ничего не знает. DLP можно сравнить с «тамагочи»: если этому игрушечному существу не уделять внимания, оно умирает.
По мнению Михаила Чернышева, с точки зрения работы с клиентом вовсе не обязательно решение задач по борьбе с инсайдерами сводить именно к DLP. И вообще, при решении комплексной задачи защиты информации какой-то одной системой закрыть вопрос не удается. Но при этом появляется перечень задач и строится платформа, в которой DLP-функционал может присутствовать отдельным звеном, но не являться самоцелью.
Михаил Чернышев
Судьба DLP-решений
Проблема в том, что утечки информации, как и всё, что с ними связано, относятся к той части ИБ, которую принято называть бизнес-безопасностью. В результате те, кто этим занят как со стороны поставщиков решений, так и со стороны заказчиков, это специалисты в области инфраструктурной безопасности, и очевидно, что они переносят свое понимание этой проблемы на новую почву противодействия инсайдерству. Бизнес-безопасность живет тем, что все правила ИБ проецируются на конкретные процессы бизнеса. Без этого «работа из коробки» любого DLP-решения наталкивается на количество ложных срабатываний в пределах 50:50. Это означает, что система никогда не решит за вас, что можно, а чего нельзя доверить тому или иному конкретному сотруднику. Скажем, если главный бухгалтер шлет баланс в налоговую инспекцию, то ему это дозволено, а вот если этот документ пытается переслать в тот же адрес системный администратор, то нельзя.
По мнению исполнительного директора Appercut Security Рустэма Хайретдинова, там, где нет комплекса по DLP, где никто четко не представляет себе, что и как следует защищать, там обычно говорят: «У нас все секретно». Но DLP не годится для защиты всего от всех, как, например, антивирусы. Там, где заказчики поймут, что за них никто ничего не решит, что на вход DLP подаются не только документы, но и бизнес-правила, там быстрее начнет работать DLP. Чем проще в компании БП и чем реже они внедряются, тем проще внедряется DLP. Но процесс изменения правил может не поспевать за бизнесом. Например, время отражения новых правил в системе, тестирование и настройки занимают два месяца, а бизнес меняется чаще.
Рустэм Хайретдинов
Однако, по словам самих заказчиков, их первичная потребность в DLP сводится к расследованию инцидентов. Но для этого им нужен инструмент, позволяющий разобраться в том тумане, который называется бизнесом. Сам бизнес сформулировать этого не может. Тем более когда он вырастает из маленькой компании в несколько человек до многотысячной корпорации. Вот тогда решения принимаются в терминах «давай переманим этого человека, он с собой приведет команду, и они нам что-нибудь сделают…». Очевидно, что в таких условиях ни о каких бизнес-процессах говорить не приходится. DLP хорошо работает там, где все бизнес- процессы отлиты в бронзе.
То, что можно быстро продать, всегда будет продано быстро. Вот и DLP-поставщики приняли решение: если не удается быстро внедрять Prevention, давайте будем заниматься инцидентами. И практически весь DLP-рынок отступил сегодня на позиции инцидент-менеджмента. Большинство DLP-систем работают в пассивном режиме, накапливают трафик и дают возможность для какого-то расследования. Хотя изначально эти решения затачивались совсем не на это. Но в силу того, что в первую очередь покупатели (а вовсе не продавцы) не смогли продвинуть их в бизнес, то и пришли к тому, к чему пришли. По-хорошему, каждый сотрудник, генерирующий документы, должен подыгрывать DLP: правильно писать, сохранять, ставить грифы… А если он этого не делает, то свалить эту работу на DLP-систему мы не сможем. Поэтому и судьба DLP в России выглядит как путь от предотвращения утечек к инцидент-менеджменту.
Если не изменить взгляд на DLP, то мы будем пользоваться инцидент- менеджментом либо блокировать очень узкий круг заранее проиндексированных документов. Если же сузить задачу для DLP до определенного набора документов, а не информации, то можно будет решить ее с помощью любого DLP-продукта. Однако до чего же обидно, что столь многогранный и умный продукт, ориентированный разработчиками на решение огромного круга самых сложных задач, в результате задействуется в пределах крайне ограниченного спектра вопросов.
DLP по-русски
После экономического кризиса 2008 года ИТ-рынок начал менять профиль и отказываться от длительных стратегических проектов в пользу коротких, способных на небольшом промежутке времени показать свою эффективность. DLP-системы в этом списке на призовых местах, потому что позволяют публично уличить злоумышленника, допустившего утечку. Но к истинному DLP они не имеют никакого отношения. В профессиональной среде это называют «DLP по-русски», расшифровывая саму аббревиатуру – «Dля Lюбителей Pодглядывать».
Бывали случаи, когда, внедрив средства DLP, поймать на краже информации кого-либо не удавалось, но зато были выявлены (по переписке в корпоративной почте) беременные сотрудницы. Что ж, и то хлеб: руководство успеет их уволить до того, как придет время выплачивать им «декретные». О том, что все это никакого отношения не имеет к утечкам информации, мало кто задумывается. Да и никакой информации, которую нужно описывать и отслеживать средствами DLP, здесь нет и в помине.
Как правило, все инициативы вокруг темы инсайдерства заканчиваются ничем, и все, чего удается добиться в этом случае, – настоять на увольнении сотрудника по какой-нибудь другой статье. Конкретно за инсайдерство крайне редко удается привлечь сотрудника к судебной ответственности. И это несмотря на то, что каждый принимаемый на работу подписывает кипу документов, однако у него не всегда бывает возможность вникнуть в их содержание. По этому поводу даже есть анекдот: «В России самые быстро читающие люди, которые умудряются ознакомиться и подписать лицензионное соглашение раньше, чем оно отобразится на экране». Тем более что в этой «автограф-сессии» трудно вникнуть в регламентные документы, касающиеся корпоративной безопасности и работы с информацией. В дальнейшем публичная поимка инсайдера заставляет сотрудников фокусировать внимание на инструкциях и корпоративных регламентах. И это лучше многих технических средств удерживает многих от необдуманных действий.
Но Михаил Чернышев постарался прокомментировать подобные практики не на эмоциях, а взвешенно. Хорошо, если «выпороли» публично бедолагу и все в страхе ходят целый год. Ждут новую жертву? В этой ситуации скучающий отдел по борьбе с инсайдерством может быть легко мотивирован на огульную охоту на ведьм. А во-вторых, не факт, что кто-то из руководства оценивал подобные действия отдела ИБ в контексте снижения рисков для самого бизнеса.
Когда, казалось бы, на теме DLP в дискуссии был поставлен крест, вдруг блеснул луч надежды. Ведь система DLP способна предотвратить убытки, возникающие в результате утечки информации, даже при условии, что не удалось предотвратить саму утечку. Например, ушла какая-то информация, которая может попасть в надзорные органы, и это становится поводом для проверок по определенному направлению. Система позволяет подготовиться к проверкам регуляторов и тем самым снизить издержки компании. Однако для всего этого нужна компетентная служба, умело работающая с данным инструментом. Служба, способная извлекать уроки из инцидентов.
Место для обновленных компетенций
«Когда я искал себе сотрудников, то для меня профнепригодными считались бывшие ИТ-секьюрити, – рассказывает Рустэм Хайретдинов, – Я брал людей с опытом внедрения ERP, документооборота, порталов. Эти специалисты оказывались самыми успешными, потому что понимали, как живет информация». Но с точки зрения сотрудников службы ИБ, задача становится много проще и понятней, если она соответствует требованиям нормативных документов. Если четко определить ресурс, который мы защищаем, то эффективность защиты от этого только вырастет. Может быть, надо повернуть вопрос в законодательную плоскость? Если чаще обращаться к определениям и терминам правового поля, то путаницы будет много меньше. А этого не сделано во многих компаниях, даже там, где уже предлагают решения.
На практике, прежде чем переходить к техническим средствам защиты, очень часто приходится решать множество правовых вопросов. Однако в результате слово «бумажная безопасность» приобрело некий негативный оттенок. И все же надо понимать, что изначально цель была благородная – развить привычки обращения с информацией, которые облегчают техническую защиту. Нас очень быстро приучили к тому, что нельзя игнорировать оставленную в метро сумку или пакет. Участники дискуссии были единодушны: если не выработать аналогичную культуру обращения с информацией, то никакие технические средства не спасут.
Однако неожиданно (думаю, что не только для меня) тему борьбы с инсайдерством предложили передать из ИБ в… бизнес. Во-первых, ИБ-бюджеты маловаты для решений, представленных на рынке. Во-вторых, ИТ ближе к бизнесу, чем безопасность. Так сложилось исторически еще со времен внедрения и поддержки бизнес-систем, например тех же ERP. ИТ проще донести необходимость инициатив до бизнеса, чем специалистам по ИБ. ИТ уже контролируют информационные потоки в корпоративном документообороте. Вставить туда контролируемую зону более понятно, нежели начинать эту работу с нуля силами службы ИБ.
Так получилось, что DLP случайным образом занялись антивирусные компании. В результате мы не говорим, где находится информация, мы постоянно говорим о «точках контроля», так как в ИБ этот подход более понятен. Но самое интересное, что этот подход более понятен и для бизнеса, где нередко можно слышать: «А зачем нужна DLP, если вопрос блокирования флеш-накопителей реализован в антивирусных продуктах?» Казалось бы, а бизнес-то об этом как узнал? Да ему это в ИТ уже рассказали.
Точно так же ИБ занимается ПДн случайным образом. Их никто не учил юрисдикции и соответствию требованиям регуляторов. Вот и DLP случайно попали в ИБ. От ИБ привыкли требовать 90%-ного уровня безопасности и защищенности. Но в DLP и 80% замечательный результат! С DLP количество ложных срабатываний возрастает, а следовательно, KPI службы ИБ понижается.
Отсюда сам собой напрашивается вывод, к которому пришли участники круглого стола: противодействие инсайдерству нужно убрать из функций службы ИБ. В противном случае обновление компетенций займет все ее время и бюджеты. Но беда в том, что другие службы которым стоит эти функции перепоручить, не намного больше ИБ продвинуты в этих вопросах.
Опубликовано 24.12.2012
Об авторах
