Журнал "Information Security/ Информационная безопасность" #3, 2025

Тихая угроза в рутине Большинство инсайдерских инциден- тов – это не шпионские триллеры, а повседневные мелочи. Сотрудник ухо- дит из компании и забирает с собой шаблоны, базу клиентов, рабочие таб- лицы. "Свое", "авторское", "полезное на будущее" – все это звучит привычно, даже логично. Но формально это – утеч- ка. Еще один элемент в статистике, которая никем не фиксируется. За громкими кейсами вроде слива телеком-баз теряется айсберг рутины: письма самому себе "на поработать", забытые вложения, домашние копии, открытые черновики. Все это – точки утечек, которые никому не интересны до тех пор, пока не становится слишком поздно. А ведь именно они составляют массу, а не исключение. Именно они подтачивают систему – не со стороны, а изнутри. Ситуация усугубляется переходом на удаленную работу. Кто проверяет, как сотрудник настроил домашний компью- тер? Кто следит за тем, что его VPN прокладывает путь не только к корпора- тивным ресурсам, но и открывает обрат- ный путь для информации к домашней или облачной папке? Кто контролирует флешку, воткнутую в ноутбук на кухне, рядом с чайником и собакой? Без DLP-решений защита становится формальностью. Такие инструменты, как "Кибер Протего" 1 , не предназначены для поиска "агентов влияния" или явных злоумышленников – они работают с тем, что происходит каждый день: контроли- руют рутину, отслеживают обыденность, предотвращают случайности. Инсайдер по своей природе не гром- кий, но системный. И если мы по-преж- нему ориентируемся на "громкое" – мы просто смотрим не туда. Халатность или умысел? Одна из самых неприятных иллюзий, в которую может впасть команда инфор- мационной безопасности, – вера в то, что технология поможет определить мотив. Будто можно, глядя на логи, понять: сотрудник ошибся или предал. Но в реальности даже лучшие DLP-систе- мы, включая "Кибер Протего", не способ- ны гарантированно провести такую грань. Потому что на уровне данных все выгля- дит одинаково: файл отправлен, канал зафиксирован, получатель – внешний. А то, что происходило в голове у отпра- вителя – вне зоны видимости. Рассмотрим предельно житейский сце- нарий: сотрудник отправляет рабочий документ и по инерции добавляет в копию "вчерашнего адресата" – старого знакомого, который, по совпадению, работает в конкурирующей компании. Что это – халатность или слив? Он покля- нется, что не хотел. И в юридическом смысле будет прав. Файл-то отправлен, но без злого умысла. И как это оспо- рить? Значит ли это, что защита бессмыс- ленна? Совсем нет! Но нужно поменять точку зрения на такие инциденты – не анализировать поведение постфактум, а ограничить риски заранее. Простой пример: зачем сотруднику финансового отдела пересылать статистические мате- риалы разработчику? У каждого круга сотрудников – свои задачи, и коммуни- кация между ними должна быть регла- ментирована. Именно это реализует модель ролевых контуров и анализа данных в режиме реального времени, встроенная в "Кибер Протего": если канал взаимодействия нетипичен для этого вида данных – он блокируется. Не потому, что подозрительный, а потому, что он вне сценария. Правильная постановка задачи – не "распознать предательство", а "не дать возможности его совершить", даже слу- чайно. Современные DLP умеют не толь- ко фиксировать факт передачи, но и про- верять содержимое, момент времени, маршрут. Отправляемый файл может быть нормален по содержанию, но пере- дан "не в тот" момент – например, за день до увольнения. Или не туда – на личный ящик, а не в корпоративную зону. Когда система смотрит не на умы- сел, а на контекст и структуру взаимо- действий, она становится эффективной. Поведенческий анализ, ИИ, машинное обучение – все это звучит убедительно, но есть риск слишком сфокусироваться на косвенных признаках, а они обман- чивы. Один и тот же паттерн поведения может говорить и о халатности, и о попытке скрыть утечку. В этом смысле архитектурные ограничения работают надежнее. Не потому, что они умнее, а потому, что они честнее: не ищут мотив, а устраняют возможность. DLP – связующее звено Часто в ИБ-среде можно услышать: "Ну у нас же уже есть SIEM, чего еще надо?" Или: "SOC все видит, у нас там мониторинг 24/7". Но при ближайшем рассмотрении оказывается, что види- мость – не то же самое, что понимание, а наличие данных мониторинга – не то же, что управление. SIEM, SOC, поведенческие модули, прокси, насыщенные событиями журналы и прочие элементы корпоративной без- опасности – все это, без сомнения, крайне важные элементы. Однако без глубокой интеграции с DLP они работают либо вхолостую, либо слишком поздно. SIEM собирает все: от сетевых пакетов до активности антивируса. Но если в этом мега-потоке нет понимания, что в момен- те сотрудник передает файл с персо- нальными данными через сторонний облачный сервис – вся эта красота ста- новится просто панелью с виджетами. DLP умеет видеть то, что другие фик- сируют только поверхностно: какой имен- но документ, содержит ли он критичный 22 • СПЕЦПРОЕКТ Чужое в допустимом контуре нсайдерские угрозы редко становятся поводом для громких пресс-релизов, но именно они остаются наиболее устойчивы- ми и в то же время сложно выявляемыми источниками уте- чек. А с приходом удаленки, облаков и мнимой цифровой зрелости проблема и вовсе переместилась в категорию еже- дневных рисков. Давайте подумаем, как подходить к инсай- дерской угрозе не с позиций охоты на ведьм, а через архи- тектуру, анализ поведения, доверие и автоматизированный контроль. Без паранойи, но и без вредных иллюзий. И Сергей Вахонин, директор направления систем информационной безопасности “Киберпротект” Фото: Киберпротект 1 https://cyberprotect.ru/products/dlp/