Журнал "Information Security/ Информационная безопасность" #5, 2018

носит ощутимый результат. Лучше решать проверенной технологией новые задачи, чем для старых задач использо- вать новые продукты. Из прикладных рекомендаций: в любом случае нужно ставить систему защиты данных (DLP). Чтобы развеять сомнения в необходимости такого ПО, можно просто провести пилот. Не все, но многие вендоры предоставляют воз- можность бесплатного теста в течение месяца. Этого времени чаще всего достаточно, чтобы увидеть проблемы, связанные с защитой информации, и на основе этих данных принять решение. Самое распространенное заблуждение руководителей – что все вокруг "белые и пушистые". Система, как правило, помогает убедиться, что в собственной компании все не так хорошо, как вы думаете. В любой компании, где больше 50 человек, найдутся недобросовестные люди, которые захотят получить от орга- низации больше, чем просто зарплату. Наша практика показывает, что в сред- нем после одного-двух месяцев экс- плуатации системы руководитель биз- неса принимает решение об увольнении 2% персонала за различные выявленные нарушения. В случае с безопасностью бизнеса уместна та же аналогия с дверью. Не помню, где и от кого слышал, но очень понравилось: если считаешь, что вкла- дываться в информационную безопас- ность не нужно, сними входную дверь в квартиру, а на вырученные деньги купи мягкий диван и оставь квартиру открытой. Мягкого дивана, да и других вещей, очень скоро не станет. – Вы сказали, что за рубежом больше внимания уделяется част- ной жизни сотрудников. Как с правовой точки зрения, не нару- шает ли DLP права человека? – Не нарушает, если не ставить DLP на личное устройство сотрудника и не контролировать его работу тайком. Прак- тика документального оформления рабо- ты DLP-системы в компаниях давно про- работана. Если совсем просто: нужно прописать необходимые пункты в тру- довом контракте, внутренних регламен- тах организации и ознакомить работника с этими правилами под роспись. В дополнение подчеркну, что компании обязаны контролировать работу сотруд- ников, так как должны защищать, напри- мер, персональные данные клиентов от утечки, охранять медицинскую, коммер- ческую, государственную, военную тайну, другую критически важную информацию. – То есть получается, что DLP- технологии неприменимы к тех- нологии BYOD, когда человек работает со своего устройства. – И да, и нет. Неприменимы, потому что это личное устройство. Работодатель не имеет права ничего устанавливать на него. Потому здесь два пути: либо предоставить работнику корпоративный телефон, планшет или ПК, либо сми- риться с рисками, которые несет BYOD- концепция. При этом если человек пользуется Wi-Fi-сетью, которая принадлежит ком- пании, то все потоки данных, которые через нее проходят, могут контролиро- ваться работодателем на законном осно- вании, потому что Wi-Fi и роутер – собст- венность работодателя. – Многие вендоры сейчас сосре- доточились на технологии UEBA. Как вы к ней относитесь? – Это хороший маркетинговый ход, да и сама технология интересна, но результата пока нет. Вендоры заявляют ее, но никто не может показать в дей- ствии, с прикладными, а не надуман- ными кейсами. Это в основном краси- вые слова о том, что на основании поведения пользователя что-то и как- то определяется. Когда интересуешься деталями, что технология позволяет сделать такого, чего нельзя сделать другими средствами, то понимаешь – ничего. В прошлом году на конференции Gart- ner на мою прямую просьбу рассказать о кейсах с реально работающей техно- логией спикер привел в пример ситуа- ции, которые отрабатываются без вся- кой UEBA. В итоге мы пришли к совместному выводу, что UEBA – это просто статистические отчеты, выход за рамки “среднего”, а не попытка понять и оцифровать человеческое поведение. В нашей системе подобное реализовано уже 5–7 лет назад, но еще тогда мы не считали это чем-то особенным, тем более – прорывным. Есть занятный кейс на тему. В одном из региональных офисов обнаружился всплеск активности по чатам. Сотрудник службы безопасности после проверки сигнала DLP установил, что один из сотрудников пришел на работу в нетрез- вом виде и весь офис вместо работы обсуждал его 40 минут в чатах. Вот вам и пример UEBA. Увы, коллеги по рынку очень любят поговорить на эту тему, но стоит задать конкретные вопросы: что она дает? как с ней работать? можно ли ее протестировать? – слышишь толь- ко уклончивые ответы: наши специа- листы изучат, проконсультируют, внед- рят, подумают и так далее. Как только начинаются разговоры про консалтинг, это означает, что готового продукта нет. – Понятно, почему вы выбрали другой вектор. Расскажите, пожа- луйста, что из себя представляет профайлинг? В чем вы видите его преимущества? – Профайлинг зародился в 60-х годах в Израиле для борьбы с терроризмом. В последнее время профайлинг используется в социально-психологиче- ских методиках для оценки достоверно- сти сообщаемой информации по пове- дению человека. Это напоминает невер- бальный детектор лжи. Мы же пошли дальше и оцифровали профайлинг, создав модуль Profile- Center в составе DLP-системы. Он дает оценку личности человека: ана- лизирует все коммуникации сотруд- ников и формирует их психологиче- ские портреты. ИБ-специалист может использовать их, чтобы прогнозиро- вать поведение работников в нор- мальных, критичных и стрессовых ситуациях, рассчитывать кадровые риски и проводить профилактику, выявлять нелояльных сотрудников и предупреждать инциденты ИБ. Плюс к этому он дает дополнитель- ные бонусы бизнесу. Например, когда решается вопрос о повышении сотруд- ника, профайлинг подскажет, кого из нескольких претендентов лучше повы- сить. Некоторые клиенты уже сейчас применяют модуль для формирования наиболее эффективных и сплоченных команд в проектной работе, для дли- тельных командировок и тому подоб- ное. Поэтому профайлинг мы рассматри- ваем как логическое продолжение информационной безопасности. Ориен- тируемся не на маркетинг и красивые слова, а на продукты, которые помогут службе безопасности и дадут реальные результаты бизнесу. Если люди видят эти результаты, они готовы вкладывать деньги. – Верно ли, что UEBA и профай- линг довольно близки друг другу по функционалу? – Если ориентироваться на маркетин- говые описания – да, если смотреть на реальный функционал – нет. UEBA – это статистика (например, кто сколько сообщений пишет) и корреляция стати- стических данных. А профайлинг – это психолингвистика. На основании анализа текстов, которые пишет человек, состав- ляется его психологический портрет. Цель одна – предотвратить ИБ-инци- денты, но подходы и результат совсем разные. • 43 ЗАЩИТА СЕТЕЙ www.itsec.ru