Круглый стол: защита данных и доступов от внутренних нарушителей

В рамках первого круглого стола проекта Global Digital Space и Cyber Media эксперты обсудили, как внутренние нарушители угрожают бизнесу и какую роль DCAP и IDM-системы играют в защите данных.

В разговоре приняли участие:

• Андрей Каганский, начальник отдела систем управления учетными данными и доступом, УЦСБ;
• Иван Корешков, менеджер по продукту Ankey IDM компании «Газинформсервис»;
• Роман Подкопаев, генеральный директор Makves (входит в группу компаний «Гарда»).

Эксперты рассказали порталу Cyber Media об актуальных проблемах внутренних нарушителей, разобрали кейсы утечек, риски инсайдерских угроз и реальные методы предотвращения инцидентов.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube или на Дзене.

Cyber Media: Коллеги, насколько актуальна проблема внутренних нарушителей для бизнеса? Может быть, поделитесь типовыми кейсами из вашей практики?

Андрей Каганский, УЦСБ: Тема внутренних нарушителей всегда актуальна. Она была, есть и остается важной для бизнеса. Внутренние нарушения — это одна из ключевых причин, по которой многие компании внедряют IDM-системы.

Одна из основных целей внедрения IDM — это контроль жизненного цикла доступа сотрудников. В частности, это необходимо для:

• своевременного прекращения доступа уволенным сотрудникам;
• контроля избыточных или токсичных полномочий, которые могут накапливаться у сотрудников при кадровых переводах, если процессы выстроены неправильно.

Эти аспекты часто становятся причиной внутренних инцидентов, таких как утечки данных и другие нарушения. Конечно, это не единственный аспект, но он — фундамент. Именно поэтому многие компании в первую очередь задумываются о внедрении IDM-систем для решения подобных проблем.

Иван Корешков, «Газинформсервис»: Буквально в прошлом году произошел достаточно известный случай, который широко освещался в прессе. Бывший системный администратор, чья учетная запись не была заблокирована после увольнения, зашифровал данные своего бывшего работодателя и потребовал выкуп в размере 19 млн рублей.

Этот случай далеко не единичный. То, что попало в прессу, — лишь верхушка айсберга. Множество подобных инцидентов остаются в закрытых контурах, не становясь достоянием общественности. По сути, мы видим классическую «ошибку выжившего»: один случай стал известен, а сколько других остались в тени?

Проблема внутренних нарушителей более чем актуальна. Однако вопрос всегда упирается в целесообразность, особенно со стороны бизнеса. Зачастую компании не готовы тратить десятки миллионов рублей на защиту от таких угроз. Но стоит лишь один раз столкнуться с подобным инцидентом или услышать о таком от коллег по рынку, как мнение мгновенно меняется. Как это часто бывает, все решается по-русски: пока гром не грянет, мужик не перекрестится.

Роман Подкопаев, Makves: Проблема внутренних нарушителей, или инсайдеров, всегда актуальна. Инсайдер — это человек, который легально имеет доступ к информации, например, бухгалтер или системный администратор. Если доступ получен незаконно — это уже другая история.

Главная сложность — контролировать тех, кто имеет право работать с данными. Классический вопрос: как защититься от сисадмина? Таких сотрудников меньше, но риски от их действий выше.

На практике в 99% случаев права доступа не соответствуют политикам безопасности. Например, в настройках групп безопасности часто обнаруживается группа «Everyone», которая открывает доступ всем. В результате любой сотрудник может стать «инсайдером», даже если по документам у него таких прав нет.

Это создает огромную поверхность для атак. Злоумышленнику не нужно взламывать бухгалтера, чтобы получить доступ к финансовым данным — достаточно компрометировать любого сотрудника с ошибочно открытым доступом.

Проблема в том, что такие уязвимости не видны на поверхности. В крупных организациях с сотнями пользователей и групп найти их вручную невозможно. Это и есть главный вызов для бизнеса.

Cyber Media: Какие организационно-технические факторы способствуют появлению внутренних нарушителей? И какие технологии помогают минимизировать эти риски?

Андрей Каганский, УЦСБ: Многие компании на этапе внедрения IDM-систем пренебрегают консалтингом. Все хотят быстрого результата и полной автоматизации, но не готовы подготовить почву для этого. Часто формирование ролевой модели ограничивается созданием матриц доступа силами внутренних администраторов. И компании уверены, что этого достаточно. Однако формирование правильной ролевой модели, матриц доступа и оценки рисков — это сложный процесс, требующий участия специалистов-консалтеров.

Консалтеры анализируют системы, доступы, бизнес-функции и операции, чтобы минимизировать риски неправомерных полномочий. Да, такой консалтинг недешев, и многие пытаются обойтись без него. Но как только происходят инциденты, подобные тем, что описал Иван, взгляды быстро меняются — правда, часто уже поздно.

Приведу пример: у одного заказчика при интеграции IDM с доменом выяснилось, что на 15 000-18 000 активных учетных записей сотрудников приходилось около 90 000 учеток, большинство из которых принадлежали уволенным сотрудникам. Половина из них даже не была заблокирована. Причина оказалась банальной: в одной из систем были криво настроены LDAP-фильтры, и при удалении учетной записи из домена возникала ошибка синхронизации.

Из-за этой ошибки в домене хранились десятки тысяч лишних учетных записей, что стало причиной взломов и инцидентов. С помощью IDM мы быстро определили владельцев всех учетных записей, а те, что остались без владельца, были удалены. Зачем создавать риски, если их можно легко минимизировать?

Иван Корешков, «Газинформсервис»: Как говорится, «жареный петух, он и в Африке жареный петух». Это абсолютно точная парадигма. Самый важный момент в управлении доступом сотрудников и файлами — это понимание, кто имеет доступ, куда и зачем.

Начинать нужно с двух ключевых принципов:

1. Любая учетная запись должна иметь владельца. Неважно, сервисная это учетка или техническая, созданная 10-15 лет назад. Нужно выяснить, что это за учетка, и назначить на нее владельца или группу ответственных.
2. Прозрачность структуры прав доступа. Многие управляют доступом через группы безопасности в Active Directory, но мало кто действительно понимает, что скрывается под этими группами.

Вот пример. В 1С структура прав доступа выглядит просто — профили, группы, роли. Но как только начинаешь углубляться в состав ролей, открывается много интересного.

Эти две парадигмы — основа безопасности: понимание, какие права и куда они ведут и наличие владельца для каждой учетной записи. Этого достаточно для базового уровня безопасности в управлении авторизацией и аутентификацией.

Роман Подкопаев, Makves: Представим, что в компанию попала фишинговая ссылка, и это не просто шифровальщик, а полноценное проникновение. Специалисты по пентесту утверждают, что на взлом домена нужно от 2 дней до 2 недель. Но что происходит дальше?

На практике хакеры, взломав систему, не сразу начинают действовать. Они изучают периметр, повышают привилегии на одной учетке, потом на другой, на сервисах. Даже если безопасность обнаруживает взлом и блокирует учетку, злоумышленники просто переходят на другую и продолжают наблюдать.

Например, у одного заказчика на 1 500 сотрудников было 40 000 учетных записей. Учетки были заведены на телефоны, переговорки, розетки — на все. Такая «политика безопасности» создала идеальные условия для повышения привилегий и дальнейшего проникновения.

Коллеги уже говорили про IDM-системы, но важно понимать, что прежде чем настраивать права, нужно разобраться, что происходит сейчас. DCAP-системы могут автоматизировать этот процесс. Ни один человек вручную не сможет найти на файловом хранилище, даже на 10 ТБ, все файлы со сломанным наследованием прав или прямым доступом.

Проблема в том, что вручную это просто невозможно. Как говорится, «чтобы подслушивать всех советских людей, нужны все китайские». Поэтому автоматизация здесь критически важна.

И последнее: когда шифровальщик проникает в систему через учетку, это внутренний нарушитель или внешний? Формально — внутренний, но сотрудник может быть ни при чем, если он просто кликнул на фишинговую ссылку. На это тоже нужно обращать внимание.

Cyber Media: Давайте перейдем к обсуждению продуктов. Как IDM помогает в защите от внутренних нарушителей? Какие проблемы ИБ можно решить с помощью DCAP?

Иван Корешков, «Газинформсервис»: IDM — это мощный инструмент, который мы начали развивать еще в 2008 году. С тех пор он сильно изменился. Раньше он просто синхронизировал данные из Active Directory и назначал группы безопасности. Сейчас он работает на гораздо более глубоком уровне: управляет транзакциями в SAP, ролями в 1С, проектными доступами в Jira и другими системами. Основные функции IDM:

1. Снижение уровня доверия. Если сотрудник провалил антифишинговые учения, система автоматически снижает уровень доверия: отключает доступ к Google Drive или другим критическим ресурсам до прохождения повторного инструктажа.
2. Защита перед увольнением. За 7 дней до увольнения IDM отзывает доступы к чувствительным данным, таким как персональные данные или коммерческая тайна. Это помогает предотвратить утечки, которые часто случаются в последние дни работы сотрудника.
3. Множественное трудоустройство. В крупных компаниях сотрудники часто работают в нескольких ЮЛ или подразделениях. IDM позволяет автоматизировать процессы управления их доступами, что экономит время и ресурсы. Например, один из заказчиков сэкономил 16 000 000 рублей в год, отказавшись от ручной сертификации доступов при переводе сотрудников на новые должности.
4. Интеграция с Zero Trust. Один заказчик внедрил Zero Trust, интегрировав IDM с NAC. Это позволило контролировать доступ в интернет даже для обычных учетных записей. Чтобы мотивировать сотрудников использовать корпоративный Wi-Fi, компания предложила бесплатный доступ к развлекательным ресурсам. В результате большая часть офиса перешла на корпоративный интернет, и весь трафик стал прозрачным для безопасности.

IDM — это не просто инструмент для управления учетками. Это комплексное решение, которое помогает минимизировать риски внутренних нарушителей, автоматизировать рутинные процессы и повысить общий уровень безопасности.

Роман Подкопаев, Makves: IDM помогает в защите от внутренних нарушителей, но прежде чем раздавать доступы, нужно понять, кто и что уже имеет. Одно дело — посмотреть на бумаге или в группах безопасности, но реальность часто отличается. Доступы на файловых хранилищах хранятся в ACL, и там часто творится хаос. Например, по группам безопасности все может выглядеть идеально, но при детальном анализе выясняется, что наследование прав сломано, и документы доступны не тем, кому нужно.

В одной организации мы обнаружили схему, где топ-менеджер готовил рейдерский захват. Он брал документы из закрытого контура и перекладывал их в общую папку. Другие сотрудники забирали их оттуда и уже использовали в своих целях. Классические средства защиты не видят таких действий, потому что перемещение файлов внутри офиса не считается нарушением. Основные функции DCAP:

1. Контроль за файловыми операциями. У одного заказчика файловое хранилище объемом 1,2 петабайта и 350 серверов по всей России. В сутки там происходит 100 000 000 файловых операций: создание, удаление, копирование, перемещение. Вручную отследить это невозможно. DCAP автоматически анализирует такие операции, выявляя аномалии. Например, если сотрудник вдруг начинает массово копировать файлы или заходить в папки, куда раньше не заглядывал, система сигнализирует о подозрительной активности.
2. Поведенческий анализ. DCAP-система, интегрированная с IDM, отслеживает поведение сотрудников. Если кто-то начинает активно работать с файлами, которые ему обычно не нужны, система предупреждает службу безопасности. Это позволяет заранее выявить потенциальные угрозы, например, перед увольнением сотрудника.
3. Управление привилегиями. У одного заказчика еженедельно менялись позиции 100 сотрудников: найм, увольнения, переводы. Раньше специальный сотрудник вручную корректировал права доступа. После внедрения DCAP выяснилось, что у 50 уволенных сотрудников доступы оставались активными полгода. Система автоматически выявила и устранила эти риски.
4. Минимизация избыточных прав. Часто сотрудники получают доступ к папкам, которые им не нужны. Например, в одной компании доступ к папке маркетинга был у 10 человек, но реально использовали ее только двое. DCAP предложил убрать избыточные права, сократив поверхность для атак.

Таким образом, DCAP не только помогает выявлять и устранять существующие уязвимости, но и предотвращает потенциальные угрозы, связанные с внутренними нарушителями. Автоматизация процессов управления доступом и контроль за файловыми операциями позволяют значительно повысить уровень безопасности и минимизировать риски утечек данных.

Андрей Каганский, УЦСБ: IDM-система — это мощный инструмент, который помогает автоматизировать управление доступом и контролировать уровень доверия к сотрудникам. Раньше все было просто: новый сотрудник получал учетку и начинал работать. Сейчас компании не всегда готовы сразу давать доступ, особенно если есть сомнения в доверии.

Вот пример: сотрудник проходит инструктаж по информационной безопасности — IDM автоматически открывает ему ограниченный доступ в интернет. Или другой сценарий: если из кадровой системы поступает информация о предстоящем увольнении, система заранее отключает удаленный доступ или ограничивает права. Мы не ждем, пока у сотрудника появятся «грязные мысли» — действуем на опережение.

В течение карьеры сотрудника IDM тоже помогает. Например, при переводе в другой отдел система автоматически запускает сертификацию имеющегося у сотрудника доступов. Это предотвращает накопление избыточных прав, которые часто становятся причиной утечек или злоупотреблений.

Но чтобы внедрить такие сценарии, нужна серьезная подготовка. Мы работали с одним заказчиком, готовили регламенты, макеты, демонстрации. Но когда дело дошло до масштабирования на 100 000 ролей в трех системах, процесс остановился. Это требует времени, денег и готовности бизнеса идти до конца.

Основная ценность IDM — в автоматизации процессов, которые вручную выполнить невозможно. Он минимизирует риски, связанные с внутренними нарушителями, и обеспечивает прозрачность управления доступом. Но чтобы раскрыть весь потенциал системы, нужно быть готовым к глубокой аналитике и внедрению сложных сценариев.

Cyber Media: Можете привести примеры, как IDM и DCAP помогают в смежных сферах, например, управлении IT, бухгалтерии или других отделах?

Андрей Каганский, УЦСБ: IDM и DCAP приносят пользу не только в части информационной безопасности, но и в других сферах бизнеса. Например, для IT-отдела IDM — это инструмент автоматизации рутинных, ежедневных действий системных администраторов. Раньше для управления учетными записями и ролями в 10 системах требовалось 10 администраторов. Сейчас достаточно одного человека, который следит за процессом. Остальных можно перевести на более полезные задачи.

Часто возникают возражения: «IDM дорого, лучше нанять 10 администраторов». Но здесь важно понимать риски. Доверяете ли вы этим администраторам доступ к критическим системам? Ошибки или злоупотребления с их стороны могут привести к миллионным ущербам. Автоматизация через IDM снижает такие риски.

Еще один плюс — снижение нагрузки на техническую поддержку. Раньше пользователи звонили в поддержку, чтобы узнать, какие доступы им нужны. С внедрением IDM и самообслуживания, где есть понятный каталог ролей, количество таких запросов значительно сокращается. Это освобождает ресурсы и экономит бюджет.

Для других подразделений, например, бухгалтерии или ERP-систем, IDM тоже полезен. Когда все риски просчитаны, а ролевая модель выстроена, это снижает вероятность ошибок и злоупотреблений, таких как ФРОД. Хотя такие выгоды сложнее измерить, они очевидны.

Отдельно хочу отметить почтовые системы, например, Exchange. Их часто недооценивают с точки зрения безопасности. Все думают о переполнении хранилищ, но забывают о рисках, связанных с переадресацией или сложными сценариями, которые могут использовать злоумышленники. Exchange и другие почтовые системы заслуживают большего внимания в контексте безопасности.

IDM и DCAP — это не только про защиту, но и про оптимизацию процессов, снижение рисков и повышение эффективности бизнеса в целом.

Иван Корешков, «Газинформсервис»: IDM и DCAP помогают не только в информационной безопасности, но и в других сферах бизнеса. Например, в управлении IT или работе с HR. Вот реальный кейс, который иллюстрирует, как IDM может решать проблемы в разных отделах.

Мы познакомились с заказчиком в 2019 году. У них была высокая текучка — до 3 000 сотрудников в квартал. При этом информация о новых сотрудниках и увольнениях не сразу попадала в HR-системы, а застревала в корпоративных приложениях. Это создавало хаос в управлении доступом. Мы предложили использовать IDM для автоматизации процесса: данные из корпоративных приложений могли бы автоматически передаваться в HR-системы, а доступы сотрудников — настраиваться без участия администраторов.

Через два года к нам снова обратились, но уже с другой проблемой. HR-отдел завалил IT-службу тикетами на создание и удаление учетных записей. В итоге HR начал просто присылать Excel-таблицы, что тоже не было идеальным решением. Мы снова предложили IDM, который мог бы автоматизировать этот процесс, но заказчик решил вложить деньги в другие проекты, например, в закупку оборудования для искусственного интеллекта.

Еще через полгода к нам пришел новый начальник информационной безопасности. Бизнес, HR и IT-отдел были в отчаянии из-за проблем с управлением доступом. Мы снова предложили решение на основе IDM, актуализировали список систем, учли новые требования и подготовили расчет. Прошло уже полгода, и мы ждем ответа.

Таким образом, IDM может решать проблемы в разных отделах: от HR до IT. Он автоматизирует рутинные процессы, снижает нагрузку на сотрудников и предотвращает ошибки. Но чтобы реализовать такие решения, нужна готовность бизнеса инвестировать в автоматизацию.

Роман Подкопаев, Makves: DCAP и IDM — это решения, которые работают на стыке разных сфер. Например, DCAP часто используется не только для безопасности, но и для оптимизации работы с файловыми хранилищами. Вот несколько примеров, как это помогает в смежных отделах.

Файловые хранилища не резиновые, и рано или поздно место заканчивается. Раньше админы просто добавляли новые диски, но это не решало проблему мусора. Люди не любят удалять старые данные, потому что боятся ответственности: вдруг что-то понадобится завтра? DCAP помогает решить эту проблему.

На одном из пилотов мы освободили 40% хранилища, просто удалив дубликаты, старые файлы и ненужные данные. Например, в одной компании нашли несколько терабайтов презентаций для новогоднего корпоратива, которые лежали без дела несколько лет. DCAP автоматически находит такие файлы, а затем отправляет отчет владельцам с предложением разобраться. Если они не реагируют, админ может удалить данные через интерфейс системы.

Еще один пример — управление доступом к почтовым ящикам в Exchange. Часто сотрудники получают доступ к чужим ящикам, например, чтобы подменить коллегу в отпуске, но потом забывают его отозвать. DCAP показывает, у кого есть доступ к каким ящикам, и помогает выявить такие ситуации.

Однако не все хотят использовать эту функцию. Например, один админ сказал: «Мне это не нужно, я и так знаю, кому и куда дал доступ». Но проблема в том, что такие вещи часто упускаются, и доступы остаются активными годами.

DCAP также помогает автоматизировать рутинные задачи. Например, можно настроить еженедельные отчеты о самых больших файлах или самых активных пользователях. Это позволяет IT-отделу и бизнесу контролировать использование ресурсов и вовремя принимать меры.

Одна из ключевых фишек DCAP — это возможность переложить ответственность за удаление данных на владельцев файлов. Админ не решает, что удалять, а просто отправляет отчеты. Если владельцы не реагируют, система автоматически чистит хранилище.

Cyber Media: Какие рекомендации вы могли бы дать бизнесу или службе ИБ, которая выбирает для себя эти системы, на что ориентироваться, какие аспекты выбирать?

Андрей Каганский, УЦСБ: Мой главный совет — не выбирайте решения только по табличкам или сравнительным анализам. Такие материалы часто носят маркетинговый характер и не дают полного понимания, что система действительно может, и какие возможности есть у партнера, который будет ее внедрять. Основные рекомендации:

1. Делайте пилоты. Проводите пилотные проекты с участием интегратора, с которым планируете работать. Это отличный способ оценить их экспертизу, подходы и компетенции. IDM-проекты — это долгосрочные истории, и важно, чтобы партнер был надежным.
2. Готовьтесь к внедрению. Формализуйте кадровые процессы и сформируйте внутреннюю команду. Внедрение IDM — это двусторонний процесс, и успех зависит от вовлеченности заказчика.
3. Не пренебрегайте консалтингом. Рассматривайте консалтинг как инвестицию. Если на начальном этапе всё оценить и спроектировать правильно, с учетом лучших практик и стандартов, это поможет избежать многих проблем в будущем и сократить сроки реализации проекта.
4. Оценивайте не только систему, но и партнера. Важно, чтобы интегратор не только знал продукт, но и понимал ваши бизнес-процессы. Это особенно критично для сложных проектов, где требуется глубокая настройка и адаптация.
5. Учитывайте долгосрочную перспективу. IDM — это не разовое внедрение, а долгосрочная инвестиция. Убедитесь, что выбранное решение и партнер смогут поддерживать и развивать систему по мере роста вашего бизнеса.

Следование этим рекомендациям поможет избежать типичных ошибок и сделать внедрение IDM максимально эффективным.

Иван Корешков, «Газинформсервис»: IDM и IGA-решения — это многофункциональные комбайны, но они не заменят DCAP, DAG, DLP или другие специализированные системы. Важно понимать, что каждая система решает свои задачи, и IDM — это не «серебряная пуля». На что стоит обратить внимание:

1. Проверяйте, как система работает с вашими конкретными требованиями. Например, если у вас есть специфические пожелания, убедитесь, что разработчик сможет их реализовать.
2. Не бойтесь фичефакторинга. Если у вас есть уникальные требования, обсудите их с разработчиком. Современные системы часто позволяют гибко адаптироваться под нужды бизнеса, но это требует времени и ресурсов.

Главное — не пренебрегайте подготовкой. Чем лучше вы подготовитесь на старте, тем меньше проблем возникнет в процессе внедрения и эксплуатации.

Роман Подкопаев, Makves: Я бы хотел акцентировать внимание на проблематике, а не на конкретных системах.

Главная проблема в том, что многие компании до сих пор не привели в порядок свои права доступа к файлам и не разобрались, где что лежит. Пока мы не поймем, как обстоят дела на самом деле и насколько они отличаются от прописанных политик безопасности, любые другие меры защиты будут малоэффективны.

Сейчас поверхность для атаки — это практически вся компания: все учетные записи, файловые хранилища, данные. Внешний и внутренний нарушитель — это почти одно и то же, потому что всё упирается в учетные записи.

DCAP-системы помогают решить эти проблемы. Они не только готовят почву для внедрения других систем, но и облегчают жизнь IT-отдела и службы безопасности.

Моя рекомендация — не откладывать эту тему. Начните с анализа текущей ситуации, приведите в порядок права доступа и внедряйте автоматизированные решения. Это важный шаг к повышению уровня безопасности в вашей организации.