"Ростелеком-Солар" представил типичный портрет нарушителя внутренней безопасности на Форуме DLP+
В конце мая в Москве прошел первый крупнейший общенациональный Форум DLP+, посвященный противодействию внутренним угрозам корпоративной безопасности. Площадка собрала порядка 650 специалистов по информационной безопасности, которые обсудили актуальные технологии, практические методы защиты компании от внутренних угроз и решения, ориентированные на определенные потребности бизнеса.
В рамках Форума DLP+ организатор "Ростелеком-Солар" представил портрет типичного нарушителя в российской организации. Специалисты компании проанализировали обезличенные данные отчетов о пилотировании DLP-системы Solar Dozor компании "Ростелеком-Солар" почти в 150 российских организациях с 2018 по 2020 год на предмет признаков нарушений информационной безопасности и служебной дисциплины.
Эксперты пришли к выводу, что типовой нарушитель служебной дисциплины в российской организации – это мужчина до 40 лет со средним стажем работы в компании около 5 лет. Нарушитель занимает должность в сфере финансов и закупок или технической поддержки в организации производственной сферы, финансовых услуг или оборонного комплекса. В течение рабочего дня нарушитель в лучшем случае занят просмотром развлекательного контента, а в худшем – осуществляет бесконтрольную отправку внутренней информации и служебных документов неизвестному кругу получателей за пределами организации-работодателя или массово копирует информацию с грифом "ДСП" на личный съемный носитель.
Форум DLP+ открылся вводной дискуссией "Этика, право и безопасность". Ее участники обсудили правовые аспекты защиты, можно ли уберечь конфиденциальные данные, не нарушая неприкосновенность частной жизни сотрудников, как совместить права сотрудников и компании как работодателя.
Заместитель декана экономического факультета МГУ имени М. В. Ломоносова Александр Курдин видит решение в достижении общего понимания целей обработки и контроля данных: "Существует общественный консенсус, что нехорошо убивать или нехорошо воровать. Если мы сможем достигнуть такого же консенсуса в одобрении сотрудниками технических решений для защиты корпоративной информации, вопросы этики значительно упростятся".
Александр Курдин согласился с другими участниками дискуссии, что повышать издержки нарушения правил важно. "Однако вместе с этим мы сталкиваемся с другим — мы с утра до вечера вынуждены следить, чтобы никто ничего не нарушил. В условиях жёсткого контроля проще становится использовать решения из прошлого поколения технологий. Когда компании сталкиваются с серьёзным надзорным контролем — когда они боятся сделать шаг вправо или шаг влево, чтобы ничего не нарушить — это плохо сказывается на деловой активности. Важно, чтобы в какой-то момент правовой механизм заработал и поднял издержки, но надо понимать, что это избыточное регуляторное контрольно-надзорное бремя надо снижать. Потому что так мы развиваться не будем".
Участники ключевой дискуссии "Человек для бизнеса: главная ценность или основная угроза" затронули такие темы, как новые вызовы от выросшего в сети поколения Z, изменение ИТ-среды в постпандемийном мире и взаимодействие человека с ней, концепция Zero Trust в отношении людей.
"В современном мире сотрудник является главной ценностью компании. Трансляция недоверия к персоналу со стороны работодателя, особенно в ключе zero trust и тотального контроля, может привести только к тотальному разрушению внутренних процессов и продуктивности людей", – поделился мнением Игорь Ляпунов, вице-президент по информационной безопасности ПАО "Ростелеком".
После пленарной дискуссии программа разделилась на два потока. В рамках секции "DLP – для бизнеса?" ведущие эксперты отрасли рассказали о том, как эволюционировали DLP-системы и как благодаря этому растет пул решаемых ими задач бизнеса. В параллельной секции "Технологии обнаружения инсайдеров и защиты от внутреннего злоумышленника" выступили с докладами крупнейшие российские вендоры систем защиты от утечек и разработчики таких комплементарных DLP-системам технологий корпоративной безопасности, как средства контроля и управления доступом в компаниях, защиты конечных точек сети и мобильных устройств, контроля рабочего времени сотрудников, управления доступом к неструктурированным данным.
Максим Бузинов, руководитель исследовательской группы компании "Ростелеком-Солар", рассказал о технологиях анализа поведения сотрудников: "Человек – не застывшая сущность, а непрерывный процесс, поэтому системы поиска инсайдеров должны быть способны вести измерения непрерывно, учитывать относительность и многогранность поведения. Такими способностями обладают решения класса UBA, которые реализуют мониторинг в реальном времени, учитывают всю совокупность поведенческих моделей пользователя в окружении других пользователей и при этом позволяют рассматривать поведенческие паттерны с разных точек зрения".
UBA самообучаемая адаптивная система, поэтому помимо функциональности непосредственного поиска нарушителя, заказчики получают возможности прогнозирования потенциального ущерба и построения ретроспективы по любому инциденту, пояснил Максим Бузинов.
Вторая половина деловой программы началась с круглых столов. Участники "DLP: ожидание и реальность" узнали, как правильно выбрать поставщика, в каких случаях стоит внедрять DLP самим, а в каких – отдать на аутсорсинг, как оценить эффективность внедрения и безопасность бизнес-процессов. Отдельного внимания удостоили тему ошибок при внедрении DLP.
В фокусе круглого стола по вопросам кадровой безопасности оказался человек и все, что с ним связано. Аудитория обсудила темы контроля рабочего времени и эффективности труда, создания кадрового резерва, выгорания сотрудников и безопасности в новом, гибридном формате работы.
В завершающей части Форума DLP+ участники трека "Отраслевые особенности противодействия внутренним угрозам в финансовом секторе, промышленности и ТЭК" рассмотрели отраслевую специфику информационных активов, подлежащих защите от утечек, особенности внутренних отраслевых регламентов в части защиты информации и др. В рамках данного трека, а также еще трех были проведены онлайн-голосования по самым острым вопросам программы.
Василий Окулесский, заместитель начальника Службы информационной безопасности Банка "Возрождение" отметил: "Большинство аналитиков сходятся во мнении, что тема предотвращения утечек является наиболее важной именно для финансового сектора. Это самая очевидная мишень для злоумышленников, так как доступ к информации финансовой организации открывает доступ к денежным средствам. В частности, в банке в первую очередь необходимо защищать финансовые и персональные данные.
Кроме этого, по мнению Василия Окулесского, существенный ущерб также может нанести утечка информации о стратегическом развитии, о внутреннем анализе рынка, планах развития коммерческих продуктов, о реальной инфраструктуре и т.д. "Защита всех этих сведений предполагает целый комплекс организационных и технических мер: от категорирования всевозможных данных, систем их обработки, контуров безопасности, доступов, формирования правил перемещения информации, до обучения сотрудников, реализации технических средств управления доступом, регистрации событий доступа к ресурсам. То, что я перечислил, лишь верхушка айсберга всех мер, которые необходимо предусмотреть до внедрения DLP".
В фойе Форума DLP+ были представлены новейшие разработки ведущих вендоров систем защиты от внутренних корпоративных угроз.
Посетители мероприятия смогли опробовать любую разработку в действии на интерактивных демонстрационных стендах экспонентов, а также принять участие в розыгрышах призов и конкурсах. Партнерскую поддержку форуму оказали ведущие компании российской отрасли информационной безопасности McAfee, Softline, Гарда Технологии, Zecurion, StaffCop, InfoSecurity, One Identity, Makves и другие.
Организаторы мероприятия – компания "Ростелеком-Солар" и Медиагруппа "Авангард" планируют проводить Форум DLP+ ежегодно с целью регулярного обмена лучшими практиками, которых так не хватает российскому ИБ-сообществу, чтобы восполнить существующий недостаток реальных знаний на рынке.