Алексей Дрозд, СёрчИнформ: 60% задач «безопасника» – это работа с людьми

Начальник отдела информационной безопасности российского разработчика «СёрчИнформ» Алексей Дрозд рассказал Cyber Media, чем внутренний нарушитель опаснее хакера, и из чего состоит работа типичного сотрудника службы информационной безопасности.

Cyber Media: В текущих реалиях с какими запросами чаще всего обращаются клиенты?

Алексей Дрозд: После 24 февраля перед заказчиками встал вопрос по мощностям, железу и софту. Раньше можно было пойти и купить, а сейчас есть нюансы: дефицит, санкции, логистика.

Если пойти по конкретным вопросам, то клиентов интересует:

1. Поддержка отечественных операционных систем в рамках тренда на импортозамещение. Исторически многие производители ПО разрабатывали функционал под Windows, как самую распространённую ОС. Сейчас ситуация меняется и клиенты интересуются, насколько функциональны решения, если операционка отличается от Windows.

2. Замена зарубежных ИБ-решений на отечественные. Не секрет, что некоторые зарубежные решения «превратились в тыкву». В итоге бизнес остался и без денег (уплаченных за техническую поддержку), и без работающих инструментов. Понятно, что можно купить другие, но это дополнительные траты. На запрос бизнеса некоторые вендоры отреагировали и начали предлагать  варианты миграции, которые не били бы по финансам.

3. Оптимизация. В условиях дефицита железа (либо его возросшей стоимости), клиенты стали больше внимания уделять вопросам оптимизации. Например, есть ли у DLP-системы механизмы дедупликации данных, чтобы перехваченная информация занимала меньше места. Насколько эффективно система использует мощности, на которых развёрнута. Грубо говоря, на одних и тех же мощностях одна система обрабатывает N событий в единицу времени, а другая в 1,5 раза больше.

Кроме того, часть клиентов интересовалась, можно ли проблему с дефицитом мощностей решить переходом в облако? Грубо говоря, если сейчас сервера нет, а он очень нужен, его можно арендовать на какой-то срок в облаке. А потом посмотрим.

Cyber Media: Не опасно ли в текущих условиях Кибервойны пользоваться облаками?

Алексей Дрозд: Было бы желание и деньги. На самом деле облака многослойные и многогранные. Есть представители, которые делают облако на собственном оптоволокне и не передают данные через Интернет. Есть аттестованные облака, которые могут использовать компании – субъекты KИИ.

Cyber Media:  Зачем DLP-системам функционал для отслеживания эффективности работы сотрудников? Разве это их задача?

Алексей Дрозд: Как бы это банально ни звучало, но «рынок порешал». И пандемия Covid-19, кстати, здесь очень даже поспособствовала. Дело в том, что когда начались повальные локдауны и удалённая работа, оказалось, что бизнес не знает, чем заняты его сотрудники теперь. И дело здесь совсем не в желании компании за кем-то следить. Упрощённо объяснить действия бизнеса можно следующим образом: деньги сотрудникам платятся за выполнение тех или иных задач\показателей. Эти показатели были придуманы на основе определённых условий (пандемии нет, границы открыты, все работают из офиса). Но условия изменились. Следовательно, оценивать работу людей в новых условиях по старым показателям стало некорректно. Нужно придумать новые критерии. Но для этого нужно понимать, в каких конкретно условиях сейчас работают люди.

«Главная опасность внутреннего нарушителя — то, что он внутренний. Хакеру нужно что-то там взламывать, а сотруднику не надо, он уже внутри каждый день с 9 до 18».

Cyber Media: Какие задачи решают с помощью DLP-систем?

Алексей Дрозд: В любом инциденте есть несколько стадий: формирование намерений, сбор информации, отправка информации вовне. Человек не становится сволочью вдруг, по щелчку пальцев. Далеко не всегда есть кнопка, чтобы все слить или скопировать. Инцидент – это не факт, а процесс, который заканчивается утечкой данных. И чем раньше мы его обнаружим, тем больше шансов не дать ему дойти до стадии отправки информации. Поэтому где-то 60% задач «безопасника» –  это работа с людьми.

Ещё 40% задач —  это работа по контролю перемещения документов, отслеживание выполнения текущих регламентов. Например, в компании есть процедура тендера. Документ с определенным содержимым должен создаваться одними лицами, отправляться на проверку другим, утверждаться третьими, размещаться на площадке четвёртыми. Если я как безопасник знаю, как организован процесс, то могу настроить правило. Оно будет показывать, если документ «сбился с пути».

Cyber Media: На ваш взгляд, какая защита более важна: от внешнего или от внутреннего нарушителя?

Алексей Дрозд: И та, и та важна, но у многих сохраняется ощущение, что внешняя защита важнее. Думаю, это из-за того, что внешняя безопасность более «распиарена». По внутренним инцидентам компаниям традиционно свойственно «не выносить сор из избы». Если хакер взломал, он сам с удовольствием всем растрезвонит. Поэтому кажется, что везде много хакеров, а внутренних нарушителей нет. Хватает!

Главная опасность внутреннего нарушителя — то, что он внутренний. Хакеру нужно что-то там взламывать, а сотруднику не надо, он уже внутри каждый день с 9 до 18. Внутренний нарушитель может быть легальным пользователем, который по рабочей необходимости может копаться в данных. Так всё начинается...