Журнал "Information Security/ Информационная безопасность" #3, 2020

Моя история взаимодействия с этим вопросом началась восемь лет назад. В том же году наша компания – Infosecurity (тогда еще без приписки a Softline Company) начала выстраивать процесс мониторинга и реагирования на инциденты, связанные с подозрени- ем на утечку конфиденциальной инфор- мации, в одной из самых крупных финансовых корпораций России. Ядром этой корпорации являлись банки. Их было немало и с каждым годом присоединялось еще больше, так что процесс интеграции никогда не заканчивался. Когда в 2012 г. я пришла в компанию, то сразу столкнулась с огромным коли- чеством инцидентов и потребовалось немало времени, чтобы "разгрести" этот массив и впоследствии уменьшить число инцидентов. Однако первые годы моей работы были посвящены процессу мони- торинга инцидентов, количество которых из-за постоянных интеграций никак не хотело снижаться. Классический подход к выявлению инцидентов Отношение к безопасности в целом в корпорации было всегда очень серьез- ным, и мне довелось работать с высо- копрофессиональными безопасниками, которые стремились доводить процесс реагирования на инциденты до неотвра- тимого наказания нарушителя. Наша работа строилась по такому принципу: мы выявляли инцидент, сообщали в службы безопасности кор- порации, где начинался процесс реаги- рования, проводились внутренние рас- следования обстоятельств и принима- лось решение о применении мер ответ- ственности. По сути, это классический подход к выявлению инцидентов. Со временем это позволило суще- ственно повысить уровень осведомлен- ности сотрудников о правилах и прин- ципах информационной безопасности в корпорации, благодаря регулярному обучению сотрудников, и, как следствие, уровень зрелости самой ИБ. Но важно было то, что применяемые меры ответственности для сотрудников были взвешенны и определялись инди- видуально, в связи с чем в процесс раз- бирательства всегда были вовлечены непосредственные и вышестоящие руко- водители нарушителей. Таким образом, решение принималось коллегиально и исключало превращение правильного процесса мониторинга и реагирования на инциденты в борьбу за увеличение количества выявленных инцидентов с отсутствием смысла и пользы для бизнеса. Но сам по себе мониторинг – это только одна часть процесса. Утечка не появляется сама по себе Со временем большое значение стало придаваться ретроспективным рассле- дованиям инцидентов. Вернее, даже не инцидентов или не только инцидентов, а всех возможных действий, которые нанесли или потенциально могут нанести вред или ущерб компании. Здесь мы, конечно, говорим о заранее спланированных мошеннических дей- ствиях, сговорах, лоббированиях, кон- фликтах и актах проявления нелояльно- сти сотрудников. Такие действия в своей основе могут быть связаны с фактами утечки инфор- мации и фактически благодаря им и выявляются. Однако утечка информации – это не оторванный от прочих обстоятельств и событий факт, а, как правило, при- чина либо следствие какого-то нега- тивного процесса. Мы также должны осознавать, что даже если сотрудник допустил утечку по ошибке (статистика каждого года говорит о том, что таких случаев большинство), то мы не можем быть уверены в том, что он не вос- пользуется этими данными в будущем (если, конечно, не предприняты дей- ствия по нейтрализации последствий инцидента). Реальный кейс Приведу в качестве примера один из своих самых любимых кейсов. Сотрудница отдела внутреннего ауди- та записала на флеш-носитель громад- ное количество конфиденциальной информации компании, полученной в рамках ее работы. Надо сказать, что такие сотрудники, как правило, имеют некоторые привилегии и право записы- вать данные аудита на съемные носите- ли. Но что-то в этом случае насторожило и нас, и службу безопасности ее компа- нии. Вероятно, массовость данных, запи- санных единовременно. В результате расследования для мини- мизации последствий инцидента руко- водитель службы безопасности обнару- жил на компьютере, куда были перене- сены данные, информацию и другой организации, а точнее – весьма крупного коммерческого банка, где работал муж сотрудницы. Таким образом было уста- новлено, что семейная пара коллекцио- нировала конфиденциальную информа- цию двух весьма значимых финансовых структур нашей страны на общем ПК. Смотреть шире и дальше утечки Работа со службами безопасности корпорации научила меня исключить из сознания такие варианты, как "отправил по ошибке", "скопировал (распечатал) для себя", "не собирался воспользовать- ся этими данными" и т.д. Мы должны понимать и всегда пом- нить, что сотрудник не будет ничего "выносить" или "сливать", если сейчас или в будущем не допускает использо- вания украденных данных. А значит, в каждом случае мы имеем дело с осо- знанными нарушителями, которые не исключают для себя возможности при- чинения ущерба своему нынешнему работодателю тем или иным образом. Это знание позволило нам смотреть шире и дальше самого факта утечки. Мы научились исследовать и анализи- ровать причины инцидента, его послед- ствия и влияние на других сотрудников компании. Так, неизбежно появляются группы риска или группы особого конт- роля. Как известно, сотрудники попадают в них по разным причинам: конфликты с коллегами или руководством, недоволь- 26 • СПЕЦПРОЕКТ Защита от утечек информации как непрерывный процесс азалось бы, тема защиты от утечек информации довольно избита и вряд ли в ней можно сказать что-то новое. Но я попробую… К Анна Попова, руководитель блока DLP, Infosecurity a Softline company

RkJQdWJsaXNoZXIy Mzk4NzYw