Моя история взаимодействия с этим вопросом началась восемь лет назад. В том же году компания Infosecurity начала выстраивать процесс мониторинга и реагирования на инциденты, связанные с подозрением на утечку конфиденциальной информации, в одной из самых крупных финансовых корпораций России.
Ядром этой корпорации являлись банки. Их было немало и с каждым годом присоединялось еще больше, так что процесс интеграции никогда не заканчивался.
Когда в 2012 г. я пришла в компанию, то сразу столкнулась с огромным количеством инцидентов и потребовалось немало времени, чтобы "разгрести" этот массив и впоследствии уменьшить число инцидентов. Однако первые годы моей работы были посвящены процессу мониторинга инцидентов, количество которых из-за постоянных интеграций никак не хотело снижаться.
Классический подход к выявлению инцидентов
Отношение к безопасности в целом в корпорации было всегда очень серьезным, и мне довелось работать с высокопрофессиональными безопасниками, которые стремились доводить процесс реагирования на инциденты до неотвратимого наказания нарушителя.
Наша работа строилась по такому принципу: мы выявляли инцидент, сообщали в службы безопасности корпорации, где начинался процесс реагирования, проводились внутренние расследования обстоятельств и принималось решение о применении мер ответственности.
По сути, это классический подход к выявлению инцидентов.
Со временем это позволило существенно повысить уровень осведомленности сотрудников о правилах и принципах информационной безопасности в корпорации, благодаря регулярному обучению сотрудников, и, как следствие, уровень зрелости самой ИБ.
Но важно было то, что применяемые меры ответственности для сотрудников были взвешенны и определялись индивидуально, в связи с чем в процесс разбирательства всегда были вовлечены непосредственные и вышестоящие руководители нарушителей.
Таким образом, решение принималось коллегиально и исключало превращение правильного процесса мониторинга и реагирования на инциденты в борьбу за увеличение количества выявленных инцидентов с отсутствием смысла и пользы для бизнеса. Но сам по себе мониторинг – это только одна часть процесса.
Утечка не появляется сама по себе
Со временем большое значение стало придаваться ретроспективным расследованиям инцидентов. Вернее, даже не инцидентов или не только инцидентов, а всех возможных действий, которые нанесли или потенциально могут нанести вред или ущерб компании.
Здесь мы, конечно, говорим о заранее спланированных мошеннических действиях, сговорах, лоббированиях, конфликтах и актах проявления нелояльности сотрудников.
Такие действия в своей основе могут быть связаны с фактами утечки информации и фактически благодаря им и выявляются.
Однако утечка информации – это не оторванный от прочих обстоятельств и событий факт, а, как правило, причина либо следствие какого-то негативного процесса. Мы также должны осознавать, что даже если сотрудник допустил утечку по ошибке (статистика каждого года говорит о том, что таких случаев большинство), то мы не можем быть уверены в том, что он не воспользуется этими данными в будущем (если, конечно, не предприняты действия по нейтрализации последствий инцидента).
Реальный кейс
Приведу в качестве примера один из своих самых любимых кейсов.
Сотрудница отдела внутреннего аудита записала на флеш-носитель громадное количество конфиденциальной информации компании, полученной в рамках ее работы. Надо сказать, что такие сотрудники, как правило, имеют некоторые привилегии и право записывать данные аудита на съемные носители. Но что-то в этом случае насторожило и нас, и службу безопасности ее компании. Вероятно, массовость данных, записанных единовременно.
В результате расследования для минимизации последствий инцидента руководитель службы безопасности обнаружил на компьютере, куда были перенесены данные, информацию и другой организации, а точнее – весьма крупного коммерческого банка, где работал муж сотрудницы. Таким образом было установлено, что семейная пара коллекционировала конфиденциальную информацию двух весьма значимых финансовых структур нашей страны на общем ПК.
Смотреть шире и дальше утечки
Работа со службами безопасности корпорации научила меня исключить из сознания такие варианты, как "отправил по ошибке", "скопировал (распечатал) для себя", "не собирался воспользоваться этими данными" и т.д.
Мы должны понимать и всегда помнить, что сотрудник не будет ничего "выносить" или "сливать", если сейчас или в будущем не допускает использования украденных данных. А значит, в каждом случае мы имеем дело с осознанными нарушителями, которые не исключают для себя возможности причинения ущерба своему нынешнему работодателю тем или иным образом.
Это знание позволило нам смотреть шире и дальше самого факта утечки. Мы научились исследовать и анализировать причины инцидента, его последствия и влияние на других сотрудников компании. Так, неизбежно появляются группы риска или группы особого контроля. Как известно, сотрудники попадают в них по разным причинам: конфликты с коллегами или руководством, недовольство работой и поиск новой, участие в каком-то инциденте, происшествии. Значение имеют даже несущественные, на первый взгляд, детали и факты.
Само собой, без психологии не обойтись. Но вряд ли дипломированные психологи когда-нибудь захотят работать за компьютером, да еще и с непрерывным потоком информации.
Таким образом, в сфере информационной безопасности приходится становиться не только аналитиками, но и психологами. Конечно, это делает специалистов ИБ довольно редкими и узконаправленными, а значит более ценными для рынка.
Это была первая часть истории, связанная с так называемым классическим подходом к выявлению и особенно реагированию на утечки информации.
Бизнес-ориентированная стратегия
Около 2,5 лет назад наша компания вошла в состав крупной корпорации Softline, появилась вторая часть нынешнего названия – a Softline Company.
Тогда перед нами встал вопрос: будет ли востребован в рамках услуг по информационной безопасности такой сервис, как защита от утечек информации? Как правило, компании самостоятельно делают это внутри, но есть и те, кто может встроить систему защиты, оптимальным образом комбинируя внутренние и внешние ресурсы.
В то время мы и познакомились со своим будущим (а сейчас уже постоянным) клиентом – Группой "М.Видео – Эльдорадо". Начался интереснейший процесс работы, а главное – эволюции нашего сервиса.
Клиент никогда не ставил во главу угла наказание нарушителя и применение санкций. Важной была и остается защита информационных активов компании. Поэтому история нашего взаимодействия началась именно (и логично) с аудита информационных активов. А как можно их выявить и распознать? Конечно, только с помощью бизнес-подразделений и их руководителей, а зачастую – топ-менеджеров компании.
По классике принято считать, что надо минимально вовлекать бизнес в историю с инцидентами и расследованиями, только с позиции нарушителя и его руководителей. С этим мы и работали долгие годы.
Но опыт проектов "М.Видео – Эльдорадо" опроверг такую позицию: при коммуникации с бизнесом каждый день по принципу открытости и двустороннего взаимодействия результат получается лучше. Безопасность понимает потребности бизнеса и реалии его работы, бизнес в ответ осознает ценность информации компании и прилагает все усилия для формирования принципов и мер ее защиты.
Например, все инциденты, фиксируемые крупной компанией в течение года, можно разделить на несколько десятков типов, объединенных единым контекстом с соответствующим сценарием реагирования. Это позволяет существенно снизить объем работ по реагированию, на порядок эффективнее будет результат.
Безусловно, есть доля кейсов, связанных с нежелательными, но безусловно неизбежными действиями. Сотрудник выполнял свои обязанности, запретить ему подобные действия можно, но потенциальный ущерб от разглашения мы заменим совершенно очевидным ущербом от остановки бизнеса. В этом случае целесообразно инциденты и меры обсуждать вместе с бизнесом, демонстрировать статистику, искать не менее эффективные, но безопасные форматы и процедуры работы.
Другие действия – другие результаты
Между собой мы называем описанный подход наиболее продвинутым и зрелым. Для давно придуманного и уже сформировавшегося процесса защиты от утечек по шаблону это большая редкость. Раньше перед нами никогда не ставилась задача оценивать и анализировать статистику и динамику инцидентов с точки зрения влияния на бизнес, и особенно показатели компании. Много кто говорит об оценке предотвращенного ущерба от утечек, но мало тех, кто в реальности занимается этим вопросом. Потому ценность и пользу от, например, закупленной системы защиты от утечек (DLP-системы) или сотрудников, ее администрирующих или эксплуатирующих, сложно определить и, главное, посчитать.
Для нас как сервисной компании это было кардинальное изменение подхода к классификации инцидентов, их критичности и мерам, которые принимаются после их выявления, в частности к внесению изменений в какой-либо бизнес-процесс для исключения инцидентов в будущем.
Конечно, защита от утечек – далеко не единственная услуга, которую мы оказываем клиентам, благодаря чему анализ эффективности мер, принимаемых компанией, становится более широким и разносторонним. Осознавая это, мы понимаем, что поступили абсолютно правильно, предложив широкому кругу клиентов Softline нашу услугу по защите от утечек.
Но более ценно то, что любая, даже самая рутинная, работа (какой была и наша) может превратиться в интересный и познавательный процесс, который позволяет идти дальше и совершенствоваться с каждым днем.
Своим рассказом я хочу призвать все компании любого масштаба, из любой отрасли и их руководителей более широко посмотреть на свой подход к безопасности. Вы удивитесь, как много вы узнаете и как много сможете сделать для своей компании и ее благополучного развития.
Автор: руководитель блока DLP, Infosecurity a Softline company