Владимир Ульянов, Zecurion: Если у вас нет рабочей группы для реагирования на инциденты, ее нужно собрать прямо сейчас

Мы продолжаем изучать одну из ключевых тем нынешнего года – как можно защититься от утечек данных или хотя бы свести их вред к минимуму. В рамках конференции Mobile Forensics Day 2022 журналист портала Cyber Media побеседовал с Владимиром Ульяновым, руководителем аналитического центра компании Zecurion. Эксперт поделился своими мыслями о том, как ситуация будет развиваться в ближайшее время и какие шаги следует предпринять бизнесу.

О спикере: Владимир Ульянов работает в сфере кибербезопасности с 2005 года. За его плечами богатый опыт и широкий круг интересов в области защиты информации. Владимир – автор более 350 экспертных статей для профильных печатных изданий и крупнейших федеральных СМИ. В 2012 году Владимир Ульянов возглавил аналитический центр Zecurion Analytics.

Cyber Media: Какова сейчас динамика в области угроз инсайдеров? Можно ли ждать в ближайшем будущем, что этот тренд будет расти?

Владимир Ульянов: Сложно сказать, прогнозы – это всегда дело неблагодарное. Вместо того, чтобы пытаться угадать проценты, лучше говорить о качественных изменениях. В меняющемся мире прогнозировать ситуацию сложно, но есть факторы, которые могут поспособствовать увеличению количества утечек.

За последние годы современные технологии вошли во все, даже самые «деревянные», если можно так сказать, отрасли, где большинство данных были в бумажном виде. Теперь все цифровизировалось, а раз есть электронные данные, они могут утечь (случайно или украдены специально в том числе инсайдерами). Ведь не нужно тащить кипу бумаг через проходную с турникетом – есть флешки, смартфоны и электронная почта.

С другой стороны, ценность информации со временем повышается, поскольку все переходит в электронный формат. Вот это и будет приводить к тому, что утечек будет становиться больше.

Плюс, сказывается нестабильная ситуация, когда люди не уверены в завтрашнем дне. Это началось с пандемией – все на нервах, никто не знает, будет он завтра работать или нет. В те времена даже субъективно, без каких-то исследований было видно, что количество утечек выросло в разы. Информацию тащили даже без злого умысла, а на всякий случай: «Дай-ка я скопирую эту базу, может, она мне на новом месте пригодится». Сейчас нельзя сказать, что обстоятельства улучшились. Люди в такой ситуации ищут средства заработка на стороне.

Поэтому можно выделить два фактора: целенаправленные хищения, когда человек знает, что он делает и когда будет использовать эту информацию, и случайные события, когда вроде скопировал или отправил по ошибке без злого умысла, но потом данные всплывают где-то не там.

На другой чаше весов, во-первых, развитие и активное распространение средств защиты информации. Во-вторых, все уже, мягко говоря, поразились масштабным утечкам, которые затрагивают миллион людей, а то и несколько миллионов. А компании выплачивают смешные штрафы – конечно, им проще заплатить и не заниматься защитой информации. Ужесточение ответственности за утечки информации приведет к тому, что компании начнут серьезнее к этим вопросам подходить. Причем ответственности как должностных, так и юридических лиц.

И в целом в обществе появляется понимание ценности. Заходишь в любой бизнес-центр, и первым делом у тебя берут паспорт, сканируют, копируют, куда-то переписывают и подшивают. Наверняка это когда-нибудь утечет, люди это понимают и сами начинают с этим бороться. После утечки «Яндекс.Еды» я впервые в России услышал про планы подачи коллективного иска. Это действительно показатель зрелости. За рубежом мы видим процессы с безумными суммами, огромными штрафами. Это признак самосознания обычных людей, которые понимают, чем им грозит утечка данных. Это может сподвигнуть компании заниматься такими вопросами.

Другими словами, одни тренды увеличивают вероятность утечек, другие – уменьшают. Как будет развиваться ситуация – посмотрим. Не стоит ожидать, что появится какая-то волшебная пилюля и информация вдруг не будет иметь ценности (это будет совсем плохо). Мы исходим из того, что и информация будет ценной, и утечки будут происходить. Обычное противоборство брони и снаряда.

Cyber Media: Как часто вообще удается привлечь инсайдеров к ответственности?

Владимир Ульянов: Зависит от желания самой компании. Это большие затраты по времени, деньгам, силам. Скорее всего, нужно будет привлекать внешних специалистов (форензик-специалисты) – мало у кого есть «готовые» сотрудники, которые смогут этим заниматься и имеют весь необходимый инструментарий. Поэтом,у бывает, что грозят пальцем или увольняют, если случилось что-то серьезное. А бывает, что и просто машут рукой.

Если есть желание, то найти и наказать виновного – вполне возможно. Современные системы оставляют очень много разных следов, а продукты для защиты информации позволяют отследить все передвижения информации внутри инфраструктуры компании.

Cyber Media: Есть же еще нежелание компаний афишировать произошедшее. Либо у них нет внутренней процедуры, поэтому они выбирают простую модель.

Владимир Ульянов: Бизнес считает деньги. Он пытается понять, что получит на выходе, если начнет расследование, сможет ли вернуть расходы, которые понесет в процессе. Поэтому бывает по-разному, исходя из условий каждой конкретной ситуации.

Есть инсайдеры, которые до Верховного суда доходят с жалобами, что их незаконно уволили или следили за ним на рабочем месте, читали переписку, но, как вы понимаете, если компания все делала по закону, то и инсайдеру нужно будет отвечать по всей строгости.

Cyber Media: Где компания может подстелить себе соломку на случай возможной утечки?

Владимир Ульянов: Во-первых, полностью защититься и на 100% исключить вероятность утечки нельзя. Ни одна система не дает гарантии на 100% защиту, да и нужно отметить, что часто люди быстрее придумывают новый способ кражи, чем компании реализуют защиту от этого метода, ведь выпуск или обновление продукта, а также и доведение до конечного потребителя это довольно сложный и длительный процесс. Так что важно проработать систему реагирования – что мы делаем, если неприятность случилась.

Во-вторых, использовать средства информационной безопасности, которые сокращают вероятность инцидентов. Чтобы не воровали информацию, чтобы не приходили в сеть вредоносные программы. Чем больше таких систем, тем «толще» соломка.

Но все равно инцидент может случиться, даже если вы полностью окружили себя системами защиты информации. Есть человеческий фактор – одни злоумышленники более подготовлены, другие менее.

Cyber Media: Как может выглядеть план реагирования?

Владимир Ульянов: Универсального шаблона, как действовать в той или иной ситуации, нет. Прежде всего, нужно оценить риски: понять, что в принципе может произойти, какая информация может представлять ценность для преступников, а какая информации наиболее дорога для компании, какие последствия утечки именно этих данных, сколько она стоит, какова вероятность, что она утечет. По каждому риску нужно сделать оценку. В крупной компании это может быть длинная-длинная «портянка» с сотней или тысячей рисков.

Потом мы начинаем их распределять по разным корзинам: наиболее вероятные, наиболее серьезные, менее серьезные. И концентрируем усилия на самых серьезных, где высока вероятность потери или наступления события.

Затем мы начинаем эти риски минимизировать. Прежде всего, средствами информационной безопасности. Потом, организационные меры – собрать людей, рассказать, какие угрозы существуют, чем они неприятны для компании.

Есть темы публичные, к которым нужно будет привлекать пресс-службу. Есть сугубо внутренние, для которых достаточно провести расследования. Есть случаи, когда мы можем сократить убытки, есть – когда не можем и вынуждены разбираться с последствиями. Разумеется, нужно расследовать произошедшее, чтобы в будущем такие события не повторялись.

Риски также можно страховать, чтобы в случае наступления события, страховщик взял на себя возмещение.

Есть и такой вариант, как игнорировать риск, если компания понимает для себя, что потери от него будут приемлемыми. Случится – исправим.

Cyber Media: На ваш взгляд, какой необходимый набор продуктов нужен бизнесу?

Владимир Ульянов: Набор стандартный – у кого-то меньше, у кого-то больше. Это, во-первых, защита шлюза, где происходит обмен трафиком между внутренней и внешней сетью. Во-вторых, проверки того, что уходит изнутри и что приходит снаружи, потому что там очень много вредоносного контента. Плюс, защита информации на конечных точках, те же системы предотвращения утечек, которые минимизируют риски.

Не забываем про стандартные средства вроде обновления систем и ПО. Вредоносное ПО работает не в вакууме, а на «живых» станциях, поэтому своевременные апдейты очень важны. Не только из-за новых функций и иконок – прежде всего, с точки зрения безопасности. Не существует абсолютно неуязвимых программ, везде есть бреши, через которые злоумышленники могут проникнуть в инфраструктуру.

И, конечно, антивирусы, антиспам – и на шлюзе, и на рабочих станциях это маст-хэв. Шифрование данных часто используется для защиты информации при хранении. Кстати, что касается хранимых данных есть проблема, о которой часто забывают. Очень часто в компаниях сотрудники плохо знают, что где хранится. Вроде есть какая-то презентация, а кто знает, есть там секретные данные или нет? А там какие-то цифры из будущего отчета, которые знающие люди смогут использовать, чтобы повлиять на положение компании на рынке.

Очень часто у компании нет понимания, где хранится и как функционирует конфиденциальная информация, через каких людей проходит, есть ли избыточные права доступа.

Cyber Media: Как же это можно отследить и урегулировать?

Владимир Ульянов: Есть два варианта. Во-первых, вручную – владельцы информации следят, чтобы она не выходила за рамки определенных процессов. В большой компании с десятками тысяч сотрудников это невозможно. Поэтому, во-вторых, автоматизировать эти задачи. Есть решения класса DCAP (Data-Centric Audit and Protection), чтобы выявлять потенциальные угрозы и случаи несоответствия политикам.

Cyber Media: С генеральным директором Oxygen Software Ольгой Гутман мы обсуждали продукт, который помогает расследовать инциденты. Складывается впечатление, что такие решения пока не очень активно внедряются. Как вы смотрите на подобные системы?

Владимир Ульянов: Расследовать инциденты нужно всем, невзирая на размер компании. Даже если у вас 15-20-30 компьютеров, вам нужно понимать, какие инциденты случились, что у вас работает не так. Расследование и наказание виновных – это очень полезно, потому что спустя годы сотрудники будут друг другу рассказывать, как кого-то поймали на нарушениях. Другим будет неповадно.

Cyber Media: Какой вы можете посоветовать план для подобных расследований?

Владимир Ульянов: Прежде всего, должна быть рабочая группа. Если в компании такой группы нет, то нужно ее собрать как можно скорее. Во-вторых, нужно оперативно собрать как можно больше информации. В ИТ-системах данные, бывает, перезаписываются. Сегодня есть информация, а завтра ее уже нет, так что нужно скорее сделать резервные копии, чтобы дальше с ними разбираться.

Скорее всего, информации будет много, за час-два с ней не разберешься. Нужно будет отсортировать данные – что нужно, что не нужно, что может послужить доказательством. И следует максимально стремиться к объективности, чтобы, условно говоря, не назначить виновником человека, который не нравится начальнику. 

Cyber Media: А какое у вас мнение насчет нейросетей и их возможностей для выявления поведенческих аномалий, противоправного поведения?

Владимир Ульянов: Это очень активно используется. Фактически поиск отклонений был всегда, другой вопрос – как их детектировать? Можно это сделать вручную, например, поставить, что с 10 до 19 у нас рабочее время, так что если человек в этот период активно что-то пересылает, все в порядке. А если он что-то отправляет в 20 часов, это уже подозрительно.

Но если мы говорим о выявлении каких-то менее очевидных паттернов и применении этих подходов в компании с десятком тысяч рабочих мест, ручная работа становится гораздо более проблематичной. И здесь технологии искусственного интеллекта нам очень помогут, потому что они сами формируют типовые шаблоны поведения. На уровне одного человека, отдела, компании. Потом мы переключаем систему в другой режим, и она начинает выявлять отклонения.

Системы ИИ сейчас очень выросли, стали доступными и дешевыми, больше не нужны большие вычислительные мощности, чтобы их реализовать. Если есть нормальная обучающая база, они очень точно делают слепки.

Не стоит представлять искусственный интеллект так, как он изображен в «Терминаторе». Тут речь об элементах интеллекта, моделях, которые работают, как наш мозг. Они используются в многих классах решений.