Журнал "Information Security/ Информационная безопасность" #5, 2021

Ни в одной организации сотрудники ИТ- и ИБ-под- разделений не знают, где хранится конфиденциальная информация, и кто из сотрудников имеет к ней доступ. Неконтролируемый доступ опасен тем, что файлы из папок с ограни- ченным доступом (с ограни- ченным кругом лиц, имею- щим к ним доступ) становят- ся доступными всем сотруд- никам компании. В 100% случаев в любой организации, в которой больше 10 человек, есть проблемы с доступом. Системы класса DCAP умеют читать файлы по их содержимому, сверять с определенными словаря- ми, определять персональ- ные данные и отличать бан- ковскую тайну от коммерче- ской. – Роман, как понять, насколько остро в кон- кретной организации стоит проблема неструк- турированных данных и неподконтрольных храни- лищ файлов? И зачем вообще нужно эти данные структурировать? – Для начала необходимо выявить источники проблемы. В каждой организации созда- ется огромное количество документов, которые впослед- ствии объединяются в храни- лища. Со временем сотрудни- ки, которые имеют доступ к этим документам, меняются, в том числе меняются и айтиш- ники, управляющие правами пользователей. В итоге из ско- пившихся файлов образуется хаос. На самом деле ни в одной организации сотрудники ИТ- и ИБ-подразделений не знают, где хранится конфиденциаль- ная информация и кто из сотрудников имеет к ней доступ. Они думают, что знают, но на самом деле – нет. Потому что в любой момент любой сотрудник легко может пере- местить файлы из одной папки в другую, в которой может быть иной вид доступа, и все: система хранения нарушена, безопасность нарушена. Неконтролируемый доступ опа- сен тем, что файлы из папок с ограниченным доступом (с ограниченным кругом лиц, имеющим к ним доступ) стано- вятся доступными всем сотруд- никам компании, – это про- блема безопасности. Самым простым примером является нарушение хранения персональных данных. Прихо- дит регулятор, проводит про- верку. Выясняется, что персо- нальные данные вместо того, чтобы храниться в нужном месте, хранятся в открытом доступе и видны всем сотруд- никам компании. А это как минимум штрафы по ФЗ-152. Штрафы пока небольшие, но беда в том, что люди получают доступ к информации, которой владеть не должны. И как они эту информацию потом исполь- зуют – неизвестно. Проблема достаточно серьезная, и чтобы понять, насколько она критична в конкретной компании, необхо- димо провести аудит с помощью автоматизированной системы. – Как часто выявляются подобные нарушения, свя- занные с хранением и доступом? – В 100% случаев в любой организации, в которой больше 10 человек, есть проблемы с доступом. Перед внедрением нашего решения мы проводим аудит рисков, связанных с хра- нением данных и доступом к ним. Когда мы приходим к заказчикам, то всегда спра- шиваем их: "Вы правда думаете, что доступ у всех правильный?" И каждый раз по результатам аудита мы доказываем, что это далеко не так. Допустим, в орга- низации 6 тыс. сотрудников и миллион файлов. Чтобы узнать, кто на самом деле имеет доступ к каждому из файлов, нужно открыть каждый файл, его свой- ства и посмотреть, какие поль- зователи добавлены конкретно к этому файлу. Даже если у нас есть настройки централизован- ной группы безопасности в Acti- ve Directory, то это не значит, что кто-то напрямую не дал доступ, а увидеть это можно только в свойствах файла. Поэтому без систем, которые могут совершать проверку авто- матически, мы никоим образом не сможем выяснить масштаб проблемы. – Можно ли приоритизи- ровать разные данные и по каким критериям? – Конечно, можно и нужно. Часто заказчики говорят: "А нам хотелось бы ставить метки" – чтобы пользователь сам ставил гриф "конфиденциально" на файл, который он создает. Но в этом случае пользователь может забыть поставить метку, специально или случайно. Системы класса DCAP умеют читать файлы по их содержи- мому, сверять с определенными словарями, определять персо- нальные данные и отличать бан- ковскую тайну от коммерческой. Например, на производствен- ных предприятиях есть свои категории документов – черте- жи и химические растворы – это конфиденциальная инфор- 42 • УПРАВЛЕНИЕ Makves: спонтанные файловые хранилища под контролем аждая организация ежедневно генерирует огромное количество данных, которые хранятся и перемещаются внутри периметра. Сотрудники непрерывно копируют и пересылают файлы, назначая новых владельцев, создавая уровни доступа. Некоторые из этих файлов могут оказаться критически важными – отсутствие полной картины прав доступа является серьезной угрозой информационной безопасности. Makves DCAP – эффективный инструмент автоматического мониторинга данных, с помощью которого можно оптимизировать работу ИТ-отдела и снизить финансовые и репутационные риски. Подробнее о нем – в интервью с Романом Подкопаевым, генеральным директором компании Makves. К Роман Подкопаев, генеральный директор компании Makves