Мы продолжаем изучать одну из ключевых тем нынешнего года – как можно защититься от утечек данных или хотя бы свести их вред к минимуму. В рамках конференции Mobile Forensics Day 2022 журналист портала Cyber Media побеседовал с Владимиром Ульяновым, руководителем аналитического центра компании Zecurion. Эксперт поделился своими мыслями о том, как ситуация будет развиваться в ближайшее время и какие шаги следует предпринять бизнесу.
О спикере: Владимир Ульянов работает в сфере кибербезопасности с 2005 года. За его плечами богатый опыт и широкий круг интересов в области защиты информации. Владимир – автор более 350 экспертных статей для профильных печатных изданий и крупнейших федеральных СМИ. В 2012 году Владимир Ульянов возглавил аналитический центр Zecurion Analytics.
Cyber Media: Какова сейчас динамика в области угроз инсайдеров? Можно ли ждать в ближайшем будущем, что этот тренд будет расти?
Владимир Ульянов: Сложно сказать, прогнозы – это всегда дело неблагодарное. Вместо того, чтобы пытаться угадать проценты, лучше говорить о качественных изменениях. В меняющемся мире прогнозировать ситуацию сложно, но есть факторы, которые могут поспособствовать увеличению количества утечек.
За последние годы современные технологии вошли во все, даже самые «деревянные», если можно так сказать, отрасли, где большинство данных были в бумажном виде. Теперь все цифровизировалось, а раз есть электронные данные, они могут утечь (случайно или украдены специально в том числе инсайдерами). Ведь не нужно тащить кипу бумаг через проходную с турникетом – есть флешки, смартфоны и электронная почта.
С другой стороны, ценность информации со временем повышается, поскольку все переходит в электронный формат. Вот это и будет приводить к тому, что утечек будет становиться больше.
Плюс, сказывается нестабильная ситуация, когда люди не уверены в завтрашнем дне. Это началось с пандемией – все на нервах, никто не знает, будет он завтра работать или нет. В те времена даже субъективно, без каких-то исследований было видно, что количество утечек выросло в разы. Информацию тащили даже без злого умысла, а на всякий случай: «Дай-ка я скопирую эту базу, может, она мне на новом месте пригодится». Сейчас нельзя сказать, что обстоятельства улучшились. Люди в такой ситуации ищут средства заработка на стороне.
Поэтому можно выделить два фактора: целенаправленные хищения, когда человек знает, что он делает и когда будет использовать эту информацию, и случайные события, когда вроде скопировал или отправил по ошибке без злого умысла, но потом данные всплывают где-то не там.
На другой чаше весов, во-первых, развитие и активное распространение средств защиты информации. Во-вторых, все уже, мягко говоря, поразились масштабным утечкам, которые затрагивают миллион людей, а то и несколько миллионов. А компании выплачивают смешные штрафы – конечно, им проще заплатить и не заниматься защитой информации. Ужесточение ответственности за утечки информации приведет к тому, что компании начнут серьезнее к этим вопросам подходить. Причем ответственности как должностных, так и юридических лиц.
И в целом в обществе появляется понимание ценности. Заходишь в любой бизнес-центр, и первым делом у тебя берут паспорт, сканируют, копируют, куда-то переписывают и подшивают. Наверняка это когда-нибудь утечет, люди это понимают и сами начинают с этим бороться. После утечки «Яндекс.Еды» я впервые в России услышал про планы подачи коллективного иска. Это действительно показатель зрелости. За рубежом мы видим процессы с безумными суммами, огромными штрафами. Это признак самосознания обычных людей, которые понимают, чем им грозит утечка данных. Это может сподвигнуть компании заниматься такими вопросами.
Другими словами, одни тренды увеличивают вероятность утечек, другие – уменьшают. Как будет развиваться ситуация – посмотрим. Не стоит ожидать, что появится какая-то волшебная пилюля и информация вдруг не будет иметь ценности (это будет совсем плохо). Мы исходим из того, что и информация будет ценной, и утечки будут происходить. Обычное противоборство брони и снаряда.
Cyber Media: Как часто вообще удается привлечь инсайдеров к ответственности?
Владимир Ульянов: Зависит от желания самой компании. Это большие затраты по времени, деньгам, силам. Скорее всего, нужно будет привлекать внешних специалистов (форензик-специалисты) – мало у кого есть «готовые» сотрудники, которые смогут этим заниматься и имеют весь необходимый инструментарий. Поэтом,у бывает, что грозят пальцем или увольняют, если случилось что-то серьезное. А бывает, что и просто машут рукой.
Если есть желание, то найти и наказать виновного – вполне возможно. Современные системы оставляют очень много разных следов, а продукты для защиты информации позволяют отследить все передвижения информации внутри инфраструктуры компании.
Cyber Media: Есть же еще нежелание компаний афишировать произошедшее. Либо у них нет внутренней процедуры, поэтому они выбирают простую модель.
Владимир Ульянов: Бизнес считает деньги. Он пытается понять, что получит на выходе, если начнет расследование, сможет ли вернуть расходы, которые понесет в процессе. Поэтому бывает по-разному, исходя из условий каждой конкретной ситуации.
Есть инсайдеры, которые до Верховного суда доходят с жалобами, что их незаконно уволили или следили за ним на рабочем месте, читали переписку, но, как вы понимаете, если компания все делала по закону, то и инсайдеру нужно будет отвечать по всей строгости.
Cyber Media: Где компания может подстелить себе соломку на случай возможной утечки?
Владимир Ульянов: Во-первых, полностью защититься и на 100% исключить вероятность утечки нельзя. Ни одна система не дает гарантии на 100% защиту, да и нужно отметить, что часто люди быстрее придумывают новый способ кражи, чем компании реализуют защиту от этого метода, ведь выпуск или обновление продукта, а также и доведение до конечного потребителя это довольно сложный и длительный процесс. Так что важно проработать систему реагирования – что мы делаем, если неприятность случилась.
Во-вторых, использовать средства информационной безопасности, которые сокращают вероятность инцидентов. Чтобы не воровали информацию, чтобы не приходили в сеть вредоносные программы. Чем больше таких систем, тем «толще» соломка.
Но все равно инцидент может случиться, даже если вы полностью окружили себя системами защиты информации. Есть человеческий фактор – одни злоумышленники более подготовлены, другие менее.
Cyber Media: Как может выглядеть план реагирования?
Владимир Ульянов: Универсального шаблона, как действовать в той или иной ситуации, нет. Прежде всего, нужно оценить риски: понять, что в принципе может произойти, какая информация может представлять ценность для преступников, а какая информации наиболее дорога для компании, какие последствия утечки именно этих данных, сколько она стоит, какова вероятность, что она утечет. По каждому риску нужно сделать оценку. В крупной компании это может быть длинная-длинная «портянка» с сотней или тысячей рисков.
Потом мы начинаем их распределять по разным корзинам: наиболее вероятные, наиболее серьезные, менее серьезные. И концентрируем усилия на самых серьезных, где высока вероятность потери или наступления события.
Затем мы начинаем эти риски минимизировать. Прежде всего, средствами информационной безопасности. Потом, организационные меры – собрать людей, рассказать, какие угрозы существуют, чем они неприятны для компании.
Есть темы публичные, к которым нужно будет привлекать пресс-службу. Есть сугубо внутренние, для которых достаточно провести расследования. Есть случаи, когда мы можем сократить убытки, есть – когда не можем и вынуждены разбираться с последствиями. Разумеется, нужно расследовать произошедшее, чтобы в будущем такие события не повторялись.
Риски также можно страховать, чтобы в случае наступления события, страховщик взял на себя возмещение.
Есть и такой вариант, как игнорировать риск, если компания понимает для себя, что потери от него будут приемлемыми. Случится – исправим.
Cyber Media: На ваш взгляд, какой необходимый набор продуктов нужен бизнесу?
Владимир Ульянов: Набор стандартный – у кого-то меньше, у кого-то больше. Это, во-первых, защита шлюза, где происходит обмен трафиком между внутренней и внешней сетью. Во-вторых, проверки того, что уходит изнутри и что приходит снаружи, потому что там очень много вредоносного контента. Плюс, защита информации на конечных точках, те же системы предотвращения утечек, которые минимизируют риски.
Не забываем про стандартные средства вроде обновления систем и ПО. Вредоносное ПО работает не в вакууме, а на «живых» станциях, поэтому своевременные апдейты очень важны. Не только из-за новых функций и иконок – прежде всего, с точки зрения безопасности. Не существует абсолютно неуязвимых программ, везде есть бреши, через которые злоумышленники могут проникнуть в инфраструктуру.
И, конечно, антивирусы, антиспам – и на шлюзе, и на рабочих станциях это маст-хэв. Шифрование данных часто используется для защиты информации при хранении. Кстати, что касается хранимых данных есть проблема, о которой часто забывают. Очень часто в компаниях сотрудники плохо знают, что где хранится. Вроде есть какая-то презентация, а кто знает, есть там секретные данные или нет? А там какие-то цифры из будущего отчета, которые знающие люди смогут использовать, чтобы повлиять на положение компании на рынке.
Очень часто у компании нет понимания, где хранится и как функционирует конфиденциальная информация, через каких людей проходит, есть ли избыточные права доступа.
Cyber Media: Как же это можно отследить и урегулировать?
Владимир Ульянов: Есть два варианта. Во-первых, вручную – владельцы информации следят, чтобы она не выходила за рамки определенных процессов. В большой компании с десятками тысяч сотрудников это невозможно. Поэтому, во-вторых, автоматизировать эти задачи. Есть решения класса DCAP (Data-Centric Audit and Protection), чтобы выявлять потенциальные угрозы и случаи несоответствия политикам.
Cyber Media: С генеральным директором Oxygen Software Ольгой Гутман мы обсуждали продукт, который помогает расследовать инциденты. Складывается впечатление, что такие решения пока не очень активно внедряются. Как вы смотрите на подобные системы?
Владимир Ульянов: Расследовать инциденты нужно всем, невзирая на размер компании. Даже если у вас 15-20-30 компьютеров, вам нужно понимать, какие инциденты случились, что у вас работает не так. Расследование и наказание виновных – это очень полезно, потому что спустя годы сотрудники будут друг другу рассказывать, как кого-то поймали на нарушениях. Другим будет неповадно.
Cyber Media: Какой вы можете посоветовать план для подобных расследований?
Владимир Ульянов: Прежде всего, должна быть рабочая группа. Если в компании такой группы нет, то нужно ее собрать как можно скорее. Во-вторых, нужно оперативно собрать как можно больше информации. В ИТ-системах данные, бывает, перезаписываются. Сегодня есть информация, а завтра ее уже нет, так что нужно скорее сделать резервные копии, чтобы дальше с ними разбираться.
Скорее всего, информации будет много, за час-два с ней не разберешься. Нужно будет отсортировать данные – что нужно, что не нужно, что может послужить доказательством. И следует максимально стремиться к объективности, чтобы, условно говоря, не назначить виновником человека, который не нравится начальнику.
Cyber Media: А какое у вас мнение насчет нейросетей и их возможностей для выявления поведенческих аномалий, противоправного поведения?
Владимир Ульянов: Это очень активно используется. Фактически поиск отклонений был всегда, другой вопрос – как их детектировать? Можно это сделать вручную, например, поставить, что с 10 до 19 у нас рабочее время, так что если человек в этот период активно что-то пересылает, все в порядке. А если он что-то отправляет в 20 часов, это уже подозрительно.
Но если мы говорим о выявлении каких-то менее очевидных паттернов и применении этих подходов в компании с десятком тысяч рабочих мест, ручная работа становится гораздо более проблематичной. И здесь технологии искусственного интеллекта нам очень помогут, потому что они сами формируют типовые шаблоны поведения. На уровне одного человека, отдела, компании. Потом мы переключаем систему в другой режим, и она начинает выявлять отклонения.
Системы ИИ сейчас очень выросли, стали доступными и дешевыми, больше не нужны большие вычислительные мощности, чтобы их реализовать. Если есть нормальная обучающая база, они очень точно делают слепки.
Не стоит представлять искусственный интеллект так, как он изображен в «Терминаторе». Тут речь об элементах интеллекта, моделях, которые работают, как наш мозг. Они используются в многих классах решений.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
