Роман Морозов, Capital Group: Есть поговорка, что незнание закона не освобождает от ответственности, но с рабочими процессами внутри организации все наоборот

Роман Морозов, руководитель по информационной безопасности Capital Group, рассказал Cyber Media о специфике обеспечения информационной безопасности в сфере недвижимости, наиболее опасных угрозах в этой отрасли и подходах, которые помогают защитить данные клиентов.

Cyber Media: Как вы оцениваете уровень киберрисков в сфере недвижимости, учитывая высокую стоимость активов и конфиденциальность данных? Какие угрозы становятся наиболее критичными?

Роман Морозов: Сфера недвижимости — это очень разнообразная отрасль. Если смотреть на нее со стороны, кажется, что есть только застройщики и девелоперы, которые на слуху, как Capital Group и другие большие компании. На самом деле в недвижимости много различных отраслей и игроков, которые обеспечивают работу всей отрасли: риэлторы, агентства, застройщики, строительные компании, девелоперы, ипотечные брокеры. Но всех их объединяет стройка и продажа результатов стройки.

Уровень киберрисков компании зависит от объема данных, от цифровизации. Если у застройщика только один проект, то достаточно Excel, чтобы вести его. Если же компания становится крупной, количество проектов растет, то нужно вести управленческий учет, инженерное проектирование, контроль и т.д.

Стоимость активов в сфере недвижимости, действительно, очень высока по отношению к различным другим видам деятельности. Также нужно учесть, что вся девелоперская деятельность происходит за счет кредитного плеча, любая задержка, сдвиг по срокам выливается в дополнительные расходы.

В строительной отрасли есть два набора данных: данные о проектах и данные клиентов. Цифры сами по себе, например, сколько стоит стройка, не так критичны. Самую большую ценность имеет факт выставления проекта на продажу, если проект интересный, потому что появляется много желающих его купить. Важно сделать несколько вещей:

1. Вовремя купить проект. Чтобы это сделать, данные о покупке проекта должны быть конфиденциальны.
2. Быстро спроектировать, чтобы проектировщики, специалисты могли легко и быстро создать результат.
3. Продать результат нашей деятельности.

Также для любого девелопера очень важно сохранить данные своих клиентов, не допустить утечки. Раньше утечка данных грозила девелоперу прежде всего репутационными рисками. Но после принятия Советом Федерации штрафов по персональным данным, эти риски стали еще и финансовыми.

Cyber Media: Какие подходы и инструменты вы считаете наиболее эффективными для защиты данных в информационных системах, связанных с недвижимостью?

Роман Морозов: В информационной системе, связанной с недвижимостью, важна реализация популярной сейчас концепции Zero Trust, которая включает в себя принцип минимального доступа, минимальных привилегий. Она решает 80% проблем с защитой данных.

За долгие годы я сталкивался в практике с тем, что люди фотографируют экран, когда у них есть избыточные доступы, переписывают информацию в тетради и т. д. Существует много разных путей попробовать похитить данные, не оставив никакого цифрового следа, кроме того, что эти данные просто были открыты.

Единственный эффективный способ защитить данные — это минимизация прав доступа к ним. Для этого используется определенный набор инструментов, распределение прав и назначение ролей. В каждой системе есть ролевая модель, над ней есть оркестратор доступов — это, безусловно, IdM, и есть каналы доступа, которыми люди пользуются в своей работе, например:

• обычный компьютер;
• удаленный доступ по VPN, при котором очень сложно протоколировать и журналировать действия;
• удаленный доступ через VDI, когда работник работает в режиме киоска и не может скопировать никакие данные, все его действия видны;
• PAM-система, когда мы уже переходим от обычного работника к привилегированному пользователю, который работает с большим объемом данных, с административными правами, либо с просто с критичными данными. И все его действия система детально журналирует, делает скриншоты и записывает видео.

На практике мы столкнулись с тем, что скриншоты или видеозаписи очень помогают при возникновении неоднозначных ситуаций, особенно если дело доходит до судебного разбирательства. Не специалистам сложно понять информацию из журналов, а если предоставить видео, как человек работает с данными, то у всех вопросы снимаются.

Cyber Media: Подходы, которые вы перечислили, нужно внедрять вместе или по отдельности?

Роман Морозов: Можно внедрить по отдельности, но каждая дополнительная система информационной безопасности или мера контроля в любом процессе усложняет его и увеличивает трудозатраты. Например, если просто внедрить PAM, то появятся новые задачи: нужно создавать учетные записи, нужен дополнительный администратор. Удаленный доступ также добавляет сложности: сначала подключение, затем обучение сотрудников, техподдержка и т. д. При внедрении IdM нужно проработать все ролевые модели. IT-специалисты должны провести ролевую модель так, чтобы доступ выдавался гранулированно и можно было создавать роли по конкретным доступам к конкретным объектам, чтобы назначить доступы можно было абсолютно различному набору пользователей, которые могут в рамках жизненных ссылок системы или развития процессов постоянно меняться.

Все дополнительные меры сами по себе усложняют процесс управления доступом. Нужно поддерживать интеграции между IdM и системой, между PAM решением и конечной системой. Чтобы снизить трудозатраты, в том числе и на поддержку, необходимо соединить все эти элементы в цельный процесс управления доступом и автоматизировать его. Безусловно, это требует определенных капитальных затрат, но это устраняет риски, которые были описаны выше, и ускоряет операционную деятельность компании.

Cyber Media: Вы заметили какие-нибудь изменения эффективности работы сотрудников после внедрения, например, решения для защиты привилегированного доступа? Как изменились рабочие процессы?

Роман Морозов: После внедрения решения эффективность, конечно, повышается. Это происходит за счет автоматизации защиты привилегированного доступа и ускорения предоставления доступа.

Если систем управления доступом в компании нет, то процесс выглядит следующим образом. Сотруднику для работы нужен доступ к определенной системе, он делает заявку в IT-отдел, там ее направляют ответственному за соответствующую систему специалисту. Проходит время, специалист получает заявку, связывается с сотрудником, уточняет детали и настраивает доступы вручную. Не всегда это происходит сразу так, как нужно, и приходится пройти несколько итераций. Естественно, это растягивается по времени.

Другой подход, который более эффективен и по времени, и по результату — когда в компании есть каталог прав и роли. Допустим, роль казначея в платежной системе. Например, в холдинге несколько компаний и казначею необходимо получить доступ к набору каталогов. Казначей оформляет заявку, в которой отмечает, какие доступы ему нужны, руководитель согласовывает заявку, задача передается в IdM и администратор IdM предоставляет доступ.

Такая же система с привилегированным доступом. Когда нужен доступ к системе с правами администратора или удаленному подрядчику, то заполняется заявка. В ней прописано, кто запрашивает доступ, что нужно, выбирается из каталога, какой системе нужно предоставить доступ. IdM создает учетную запись, обращается к PAM-системе, PAM-система предоставляет доступ на необходимые административные ресурсы и пользователю отправляется приветственное письмо с инструкциями, куда зайти и как пользоваться.

По разным причинам часто возникают проблемы во взаимоотношениях бизнес-пользователей и IT-администраторов, потому что одни не понимают других. Поэтому в процессе защиты привилегированного доступа очень важен элемент прозрачности. Компании, которая работает с ключевыми данными, должна знать, кто видит эти данные, что с ними делают. И как раз различные системы информационной безопасности снимают этот вопрос. Администратор знает, что в любой момент, в любой непонятной ситуации он может сослаться на записи системы, чтобы доказать, что все сделано по инструкции. Также при авариях: можно посмотреть по журналу, видеозаписи и PAM-системе, что и как произошло.

Таким образом, системы защищают не только компанию от злоумышленников, но сотрудников от ложных обвинений, помогают доказать, что человек действовал по инструкции. Если взять стандартное гауссовское распределение, то в компании должно быть 5% абсолютно законопослушных людей и 5% — злоумышленников. Остальные 90% — где-то посередине, и если в компании хорошая корпоративная культура и здоровая атмосфера, то они работают без каких-либо злых умыслов. Получается, что для 95% сотрудников решения, фиксирующие действия в системе, — гарантия, что они смогут доказать свою правоту и их не накажут.

Cyber Media: Как специфические данные (например, планы объектов и данные собственников) в недвижимости повышают требования к безопасности? Есть ли отраслевые особенности, которые отличают ваш подход к ИБ от других сфер?

Роман Морозов: Специфические данные, безусловно, есть. Если мы возьмем строительство гражданское, например, постройку дома. Проектная документация на гражданский дом в себе ничего привлекательного не несет. Но, если в работе есть различные схемы коммуникаций или это сложное инженерное строительство, связанное с инженерными сетями, с канализацией, электричества это уже касается инфраструктуры города и эти проектные решения не стоит открыто публиковать. Строительство еще более сложных объектов находится под грифом. Любая проектная документация таких объектов секретна и совсем другие требования к защите, которые установлены государством.

Кроме проектной документации, есть персональные данные клиентов. Покупателю жилья совсем не хочется, чтобы его паспортные данные, оказались разбросанными во дворе управляющих компаний. Такие утечки данных у застройщиков были. А если это происходит регулярно и массово, то репутация застройщика неизбежно страдает.

В нашу цифровую эпоху достаточно совсем небольшого количества инцидентов, чтобы репутация застройщика сильно пострадала. Хватит, условно говоря, пяти сообщений в чате ЖК о том, что кому-то звонят и хотят купить квартиру, чтобы остальные жильцы решили, что у застройщика утекла база. Начинается активное обсуждение этой новости и, естественно, репутация застройщика страдает. Неприятные новости нужно опровергать, доказывать, что это всего лишь обезличенная маркетинговая рассылка, а не утечка, проводить расследование.

Дом для человека остается местом, в которое он не готов никого пускать — «мой дом — моя крепость». Люди категорически не хотят делиться данными о себе, своей семье, о том, кто живет в их квартире, что они туда заказывают, кто к ним приходит в гости и   т. д. Поэтому эти данные, безусловно, очень важны и требования по безопасности к ним крайне высокие.

Cyber Media: Какие стандарты и регуляторные требования наиболее актуальны для защиты информации в недвижимости?

Роман Морозов: Отдельных законов такого рода по строительной отрасли нет. Недвижимость подчиняется, как и большинство компаний, основополагающим требованиям — это закон о персональных данных. Большие компании, связанные со строительной отраслью, входят в список системообразующих компаний, а значит, они подчиняются Указу Президента №250. Требования по информационной безопасности к ним выше, чем к остальному рынку строительной.

Cyber Media: Какова роль обучения сотрудников и управления доступом в вашей стратегии безопасности? Есть ли специфические для недвижимости подходы к снижению внутреннего риска?

Роман Морозов: Обучение сотрудников — это крайне важный элемент любого процесса, не только безопасности. Есть поговорка, что незнание закона не освобождает от ответственности, но с рабочими процессами внутри организации все наоборот. Всегда, прежде чем наказать сотрудника за невыполнение обязанностей или нарушение регламента, его нужно ознакомить с правилами и должностной инструкцией.

Например, необходимо ввести коммерческую тайну. Сначала эта коммерческая тайна вводится специальным приказом, после этого все сотрудники с ним должны ознакомиться и соблюдать. Сначала сотрудникам нужно рассказать, что от них требуется, показать, как это правильно сделать, обеспечить инструменты, чтобы эти требования можно было выполнить. И только после этого, если сотрудник сознательно нарушает, можно применять санкции. Это правильный подход. Всегда на моей практике руководство требует именно такой реализации: обучить, рассказать, показать и тех, кто принципиально не хочет жить по правилам, наказать.

И в этом плане управление доступом — это тоже часть обучения. Например, человек пришел на работу, никто его не обучал, не знакомил с процессами. Внезапно руководитель поручает срочное задание — дает в пятницу данные за полгода, которые нужно подготовить к понедельнику. Сотрудник понимает, что ему придется работать с данными в выходные. Он не знает, как получить удаленный доступ, поэтому скачивает их на личную флешку или посылает по почте, чтобы работать с ними дома.

Ситуация была бы совсем иная, если бы сотруднику заранее сказали, что в компании есть удаленный доступ, как им пользоваться, и предупредили бы, что данные уносить нельзя. Рассказали бы куда обратиться, чтобы получить доступ, то сотрудник бы спокойно выполнил необходимые действия и работал из дома по удаленному доступу. В этом случае и компания снизила риск — данные не покинули периметр, и сотрудник не ищет способы, как самостоятельно перенести данные и еще так, чтобы не получить наказание.

Cyber Media: Какие лучшие практики по управлению инцидентами вы применяете для обеспечения безопасности данных в условиях постоянного изменения угроз?

Роман Морозов: Обеспечение безопасности данных — это процесс: процесс доступа к данным, работы с ними и контроля, где они появляются. Поэтому мы используем различные инструментарии.

Мы используем решения, перечисленные выше, а также решение по контролю перемещения данных. Кроме этого, все потоки данных мы стараемся описывать. Потому что данные все равно будут пытаться вырваться оттуда, где они хранятся. Данные могут попасть на домашние устройства или на рабочие компьютеры системы, в какие-нибудь мессенджеры, уйти на почту, через удаленный доступ и т.д.

Я считаю, что главная практика — это быть вовлеченным и постоянно описывать процессы перемещения данных. Любое описание не должно быть формальным и лежать как бумага, это должен быть живой документ. После того как процессы описаны, можно отслеживать отклонения от них и уделять внимание к гранулированному написанию правил. Тогда мы сможем понимать, нормальная работа сотрудника или отдела или это отклонение от их обычного бизнес процесса.

Ничто быстрее не разрушает систему, чем безнаказанность. Поэтому еще одна важная практика — контроль за выполнением правил, когда каждый сотрудник знает, что за любое нарушение он будет наказан.

Именно контроль обеспечивает результативность работы всех предыдущих средств. И это касается не только рынка недвижимости, а любой сферы. Например, операторы связи, банковская отрасль. Статистика показывает, что пока нет средств контроля, большое количество сотрудников пытаются нарушать правила и продать данные. Но, когда ИБ-отдел публично заявляет, что следит, как сотрудники работают с данными, кто открывает данные клиента и куда они передаются, то количество инцидентов снижается в три раза. А после того как выявляются первые нарушители, снижается еще в 2 раза и остаются те самые 5%, которые в любом случае нарушат. И их надо выявить и в процессе работы контроля предыдущий 90% людей будут видеть, что есть правила и система работает.

Здесь можно привести пример с курением в общественных местах. Еще 10-15 лет назад курили повсеместно. Государство начало бороться с этим и начало определенную политику против курения. И если сейчас человек достанет сигарету в метро, то получит десятки замечаний от окружающих. Изменилась культура, и именно культура ограничивает от нарушений. Поэтому я считаю, что контроль действительно может поддержать все предыдущие меры по обеспечению безопасности данных.

Cyber Media: Чем и как обеспечивать контроль, о котором вы говорите?

Роман Морозов: Контроль лучше всего обеспечивать с помощью уже имеющихся средств, даже если их немного. Нужно банально настроить гранулированные уведомления, которые сообщают об отклонениях, и уделять внимание отчетам, не лениться и разбираться, почему было выслано то или иное уведомление.

Раньше образ безопасника у многих был негативный. Представим, что в компании принят регламент и при его нарушении ИБ-специалисты сразу пытаются наказать, вместо того, чтобы разбираться, почему происходит так, а не иначе. А если начать задавать вопросы, то можно обнаружить, что регламент неудобен, мешает процессам, сотрудник нарушает правила не по злому умыслу, а потому что пытается качественно выполнить свои обязанности.

Очень важно задавать вопросы: «Зачем вы это делаете? Зачем это отправляете?»

И это тоже форма контроля. Сотруднику задан всего один вопрос, но он видит, что с ним взаимодействуют. Это нормальная практика взаимодействия — задавать вопросы и учитывать ответы в работе безопасности, настраивать под ответы средства обеспечения безопасности. Другие подразделения видят, что вы также нацелены на результат и учитываете их бизнес-процессы.

Cyber Media: На что еще стоит обратить внимание при выстраивании информационной безопасности в сфере недвижимости?

Роман Морозов: Сфера недвижимости — это достаточно большая отрасль экономики, где много специализированных различных компаний, и очень важно отслеживать, с кем вы взаимодействуете, и проявлять должную осмотрительность. Аутсорсинг используется повсеместно, особенно у девелоперов, которые привлекают проектировщиков, дизайнеров, маркетинг агентств, застройщиков, риэлторов, брокеров.

Привлекая в свои процессы и проекты другие организации, очень важно понимать, как они буду работать с вашими данными. Потому что, когда данные утекут у подрядчика,

связанного с вашей компанией, то обвинят в утечке данных и вас. Оправдание, что данные утекли у субподрядчика, а не у вас, не возымеют никакого эффекта. В новости часто читают только заголовок, а в детали обычно никто не погружается.

Важно проверить подрядчиков не только перед началом взаимодействия, но и в процессе. Узнавайте, как они работают в своих системах, какая у них защита, проводят ли они аудит. Попросите показать документацию и процессы. Ответы даже на эти несколько вопросов помогут понять, как компания уделяет внимание безопасности данных клиентов. А затем нужно постоянно мониторить подрядчиков, знать, что с ними происходит, есть ли у них риски. Самый простой пример: если в сети появились учетные данные этих подрядчиков, то, скорее всего, злоумышленники попытаются воспользоваться ими и могут попасть к вам. К этому риску тоже надо быть готовым. Поэтому мы стараемся всесторонне подходить к цепочке поставок и мониторить, кроме того, как данные у нас лежат, и то как обеспечивается их сохранность у ближайшего круга наших подрядчиков.