«Ростелеком-Солар» представил портрет типичного нарушителя внутренней безопасности на Форуме DLP+

В Москве завершился крупнейший общенациональный Форум DLP+, посвященный противодействию внутренним угрозам корпоративной безопасности. Площадка собрала порядка 650 специалистов по информационной безопасности, которые обсудили актуальные технологии, практические методы защиты компании от внутренних угроз и решения, ориентированные на определенные потребности бизнеса.

В рамках Форума DLP+ организатор «Ростелеком-Солар» представил портрет типичного нарушителя в российской организации. Специалисты компании проанализировали обезличенные данные отчетов о пилотировании DLP-системы Solar Dozor компании «Ростелеком-Солар» почти в 150 российских организациях с 2018 по 2020 год на предмет признаков нарушений информационной безопасности и служебной дисциплины.

Эксперты пришли к выводу, что типовой нарушитель служебной дисциплины в российской организации – это мужчина до 40 лет со средним стажем работы в компании около 5 лет. Нарушитель занимает должность в сфере финансов и закупок или технической поддержки в организации производственной сферы, финансовых услуг или оборонного комплекса. В течение рабочего дня нарушитель в лучшем случае занят просмотром развлекательного контента, а в худшем – осуществляет бесконтрольную отправку внутренней информации и служебных документов неизвестному кругу получателей за пределами организации-работодателя или массово копирует информацию с грифом «ДСП» на личный съемный носитель.

Форум DLP+ открылся вводной дискуссией «Этика, право и безопасность». Ее участники обсудили правовые аспекты защиты, можно ли уберечь конфиденциальные данные, не нарушая неприкосновенность частной жизни сотрудников, как совместить права сотрудников и компании как работодателя.

Заместитель декана экономического факультета МГУ имени М. В. Ломоносова Александр Курдин видит решение в достижении общего понимания целей обработки и контроля данных: «Существует общественный консенсус, что нехорошо убивать или нехорошо воровать. Если мы сможем достигнуть такого же консенсуса в одобрении сотрудниками технических решений для защиты корпоративной информации, вопросы этики значительно упростятся».

Александр Курдин согласился с другими участниками дискуссии, что повышать издержки нарушения правил важно. «Однако вместе с этим мы сталкиваемся с другим — мы с утра до вечера вынуждены следить, чтобы никто ничего не нарушил. В условиях жёсткого контроля проще становится использовать решения из прошлого поколения технологий. Когда компании сталкиваются с серьёзным надзорным контролем — когда они боятся сделать шаг вправо или шаг влево, чтобы ничего не нарушить — это плохо сказывается на деловой активности. Важно, чтобы в какой-то момент правовой механизм заработал и поднял издержки, но надо понимать, что это избыточное регуляторное контрольно-надзорное бремя надо снижать. Потому что так мы развиваться не будем».

Участники ключевой дискуссии «Человек для бизнеса: главная ценность или основная угроза» затронули такие темы, как новые вызовы от выросшего в сети поколения Z, изменение ИТ-среды в постпандемийном мире и взаимодействие человека с ней, концепция Zero Trust в отношении людей.

«В современном мире сотрудник является главной ценностью компании. Трансляция недоверия к персоналу со стороны работодателя, особенно в ключе zero trust и тотального контроля, может привести только к тотальному разрушению внутренних процессов и продуктивности людей», – поделился мнением Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком».

После пленарной дискуссии программа разделилась на два потока. В рамках секции «DLP – для бизнеса?» ведущие эксперты отрасли рассказали о том, как эволюционировали DLP-системы и как благодаря этому растет пул решаемых ими задач бизнеса. В параллельной секции «Технологии обнаружения инсайдеров и защиты от внутреннего злоумышленника» выступили с докладами крупнейшие российские вендоры систем защиты от утечек и разработчики таких комплементарных DLP-системам технологий корпоративной безопасности, как средства контроля и управления доступом в компаниях, защиты конечных точек сети и мобильных устройств, контроля рабочего времени сотрудников, управления доступом к неструктурированным данным.

Максим Бузинов, руководитель исследовательской группы компании «Ростелеком-Солар», рассказал о технологиях анализа поведения сотрудников: «Человек – не застывшая сущность, а непрерывный процесс, поэтому системы поиска инсайдеров должны быть способны вести измерения непрерывно, учитывать относительность и многогранность поведения. Такими способностями обладают решения класса UBA, которые реализуют мониторинг в реальном времени, учитывают всю совокупность поведенческих моделей пользователя в окружении других пользователей и при этом позволяют рассматривать поведенческие паттерны с разных точек зрения».

UBA самообучаемая адаптивная система, поэтому помимо функциональности непосредственного поиска нарушителя, заказчики получают возможности прогнозирования потенциального ущерба и построения ретроспективы по любому инциденту, пояснил Максим Бузинов.

Вторая половина деловой программы началась с круглых столов. Участники «DLP: ожидание и реальность» узнали, как правильно выбрать поставщика, в каких случаях стоит внедрять DLP самим, а в каких – отдать на аутсорсинг, как оценить эффективность внедрения и безопасность бизнес-процессов. Отдельного внимания удостоили тему ошибок при внедрении DLP.

В фокусе круглого стола по вопросам кадровой безопасности оказался человек и все, что с ним связано. Аудитория обсудила темы контроля рабочего времени и эффективности труда, создания кадрового резерва, выгорания сотрудников и безопасности в новом, гибридном формате работы.

В завершающей части Форума DLP+ участники трека «Отраслевые особенности противодействия внутренним угрозам в финансовом секторе, промышленности и ТЭК» рассмотрели отраслевую специфику информационных активов, подлежащих защите от утечек, особенности внутренних отраслевых регламентов в части защиты информации и др. В рамках данного трека, а также еще трех были проведены онлайн-голосования по самым острым вопросам программы.

Василий Окулесский, заместитель начальника Службы информационной безопасности Банка «Возрождение» отметил: «Большинство аналитиков сходятся во мнении, что тема предотвращения утечек является наиболее важной именно для финансового сектора. Это самая очевидная мишень для злоумышленников, так как доступ к информации финансовой организации открывает доступ к денежным средствам. В частности, в банке в первую очередь необходимо защищать финансовые и персональные данные.

Кроме этого, по мнению Василия Окулесского, существенный ущерб также может нанести утечка информации о стратегическом развитии, о внутреннем анализе рынка, планах развития коммерческих продуктов, о реальной инфраструктуре и т.д. «Защита всех этих сведений предполагает целый комплекс организационных и технических мер: от категорирования всевозможных данных, систем их обработки, контуров безопасности, доступов, формирования правил перемещения информации, до обучения сотрудников, реализации технических средств управления доступом, регистрации событий доступа к ресурсам. То, что я перечислил, лишь верхушка айсберга всех мер, которые необходимо предусмотреть до внедрения DLP».