Юрий Драченин, Контур.Эгида: Человеческий фактор остается самым слабым звеном в информационной безопасности — так было, есть и будет

Российские компании вынуждены по-новому выстраивать приоритеты в области информационной безопасности после вступления в силу законов, усиливающих ответственность за утечку и неправомерное использование ПДн, и на фоне растущего числа киберинцидентов. Одни организации впервые начинают выделять бюджеты на защиту данных, другие пересматривают подходы и стараются эффективнее использовать имеющиеся инструменты. Юрий Драченин, заместитель руководителя направления информационной безопасности Контур.Эгида, в интервью для Cyber Media рассказал, как изменились подходы бизнеса к защите информации, какие ошибки совершаются чаще всего и что действительно помогает снижать риски утечек.

Cyber Media: Как за последние пару лет изменились приоритеты компаний в области ИБ? Особенно на фоне участившихся утечек и изменений в законодательстве.

Юрий Драченин: На самом деле, спасибо регуляторам — они грамотно меняют законодательство, и это помогает руководству компаний, которые напрямую не связаны с ИБ, лучше понимать, насколько это важно. В итоге компании стали выделять больше бюджета на развитие информационной безопасности.

Если бюджет ограничен, теперь к его планированию подходят более осознанно: стараются продумать, как защитить данные и какие инструменты купить. Но это в основном касается зрелых и крупных компаний. Средний бизнес постепенно подтягивается и начинает учитывать все риски, а малый пока отстает.

Cyber Media: Есть ли конкретные процессы или системы, которые стали защищать в первую очередь?

Юрий Драченин: В компаниях по-прежнему в первую очередь смотрят на атаки извне, то есть, фокусируются на внешнем периметре. Хотя уже давно известно, что 75% и более утечек и успешных атак связаны с действиями сотрудников, то есть, с внутренними рисками.

Мне бы хотелось, чтобы специалисты по ИБ и руководство уделяли больше внимания именно этому направлению, потому что человек остается самым слабым звеном в цепочке защиты информации.

«75% и более утечек и успешных атак связаны с действиями сотрудников, то есть, с внутренними рисками»

Cyber Media: Повлиял ли закон об обороте ПДн на реальное снижение утечек или пока больше на отчетность?

Юрий Драченин: Исторически информационная безопасность начиналась с «бумажной безопасности». Сейчас в первую очередь компании стремятся формально закрыться перед регуляторами и соблюсти требования законодательства.

О реальном сокращении утечек пока говорить рано: прошло совсем немного времени с момента вступления изменений в силу, и статистические данные нельзя достоверно сравнивать с предыдущим периодом.

Закон уже повлиял на действия компаний. Они стремятся уменьшить риски и возможные санкции: регистрируются в реестре операторов ПДн, приобретают средства защиты информации, разрабатывают и утверждают нормативные документы, организуют работу с персональными данными в соответствии с новыми требованиями. По моей информации, многие компании уже ужесточили или доработали свои процессы.

Cyber Media: Какие схемы утечек персональных данных сейчас наиболее распространены, как со стороны инсайдеров, так и внешних атакующих?

Юрий Драченин: Наиболее распространенные схемы утечек персональных данных сегодня включают:

• Использование личных мессенджеров для рабочих задач.
• Не защищенная почта и отправка документов с персональными данными без пароля или двухфакторной аутентификации.
• Слабые пароли для входа в рабочие системы.
• Невнимательность сотрудников при открытии незнакомых писем и ссылок, использование непроверенных внешних ресурсов.
• Недостаточная работа компаний с кибергигиеной — сотрудники не получают информации о возможных атаках и способах воздействия.
• Слабая защита собственных персональных данных сотрудников — личных телефонов, мессенджеров и почты.

То есть, слабо защищая себя, сотрудники автоматически слабо защищают и организацию. Все это взаимосвязано, и над этим нужно работать постоянно.

Cyber Media: Вы упомянули недостаточную кибергигиену сотрудников. После изменений в законе об обороте персональных данных, изменился ли подход компаний к обучению сотрудников, или пока все остается как прежде?

Юрий Драченин: Честно говоря, я не вижу прямой связи с законом об обороте персональных данных. Скорее, изменения в подходе к обучению сотрудников связаны с ростом атак социальных инженеров и кибермошенников на обычных людей.

Компании и государство стараются объяснять сотрудникам базовые правила: не общаться с непонятными людьми, не переходить по подозрительным ссылкам, ни в коем случае не сообщать коды из СМС.

Но о комплексной работе по кибергигиене пока говорить рано. Некоторые компании уже уделяют этому внимание, но даже среди них это все еще меньше половины рынка.

Cyber Media: Стали ли организации чаще признавать инциденты с утечками ПДн публично или все еще предпочитают замалчивать?

Юрий Драченин: С этим вопросом ситуация неоднозначная. Крупный бизнес находится на виду, и если у него происходят утечки, компании обычно стараются объяснить их причинами, не связанными с ошибками самой организации, — то есть, как-то «обелить» себя. Но о таких инцидентах хотя бы сообщают.

Средний и малый бизнес, напротив, чаще предпочитают не афишировать утечки, чтобы не повредить репутации, не вызвать недовольство клиентов и не создать дополнительные проблемы.

То есть, крупные компании под «лупой» и о них больше знают, поэтому они чаще публично признают инциденты, а средний и малый бизнес все еще старается замалчивать.

Cyber Media: Какие типичные ошибки в защите ПДн вы видите чаще всего?

Юрий Драченин: Чаще всего встречаются следующие типичные ошибки в защите персональных данных:

• Недостаточная грамотность сотрудников — люди не понимают, как работать с персональными данными и как их защищать, а объяснений со стороны компании часто нет.
• Не подано уведомление в реестр операторов Роскомнадзора.
• Не назначено ответственное лицо за организацию обработки персональных данных.
• Отсутствие необходимых документов по работе с персональными данными.

«Крупные компании чаще публично признают инциденты, а средний и малый бизнес все еще старается их замалчивать»

Cyber Media: Насколько критична проблема неправильной классификации данных и контроля доступа?

Юрий Драченин: Наверное, это одна из самых важных проблем. Дело в том, что многие сотрудники до конца не понимают, что такое персональные данные. Например, не ясно, является ли имя и фамилия персональными данными сами по себе или только в сочетании с паспортом или другими сведениями.

Из-за этого люди не знают, как с такими данными работать и как их защищать. Поэтому важно, чтобы данные были четко классифицированы, а каждый сотрудник, работающий с персональными данными, понимал, что это такое, как с ними обращаться и как их защищать.

На начальных этапах полезно даже проводить небольшие тесты, например, раз в неделю. Если сотрудник отвечает неправильно, специалисты могут объяснить, как действовать правильно, пока эти знания не закрепятся полностью.

Cyber Media: Есть ли какие-то типичные уязвимости или бреши, через которые чаще всего происходят инциденты при хранении информации в облачных сервисах?

Юрий Драченин: На самом деле, здесь сложно сказать что-то определенное. Хорошие облачные сервисы зачастую защищены даже лучше, чем on‑prem решения некоторых компаний. Поэтому связывать утечки именно с атакой на облачное хранилище я бы не стал.

Самый простой путь для злоумышленников — работать через инсайдеров: получить у сотрудника пароли и ключи доступа и с его рабочего места скопировать персональные данные. Еще проще — убедить человека просто переслать или передать данные. Для социальных инженеров и мошенников это самый легкий способ, тогда как все остальные варианты атак гораздо сложнее.

Cyber Media: Повлияло ли ужесточение ответственности за утечки на действия внешних и внутренних нарушителей?

Юрий Драченин: На внутренних нарушителей ужесточение ответственности повлияло. Люди стали понимать, что штрафы выросли, и стараются внимательнее относиться к своим действиям. Особенно это заметно среди тех сотрудников, на которых уже распространяются новые правила.

На внешних нарушителей это почти не влияет. У них обычно есть достаточные технические и финансовые ресурсы для атак, и они считают, что их не поймают. Поэтому внешние злоумышленники продолжают действовать примерно так же, как раньше.

Cyber Media: Изменились ли методы внешних атак после ужесточения законодательства?

Юрий Драченин: Пока критических изменений в методах внешних атак не наблюдается. Все остается по классике: злоумышленники ищут уязвимости снаружи — «дыры в стенах», через которые можно проникнуть, а также слабые места внутри компании. Кардинально новых подходов пока не появилось.

«Простой путь для злоумышленников — работать через инсайдеров: получить у сотрудника пароли и ключи доступа»

Cyber Media: Какой тренд в сфере информационной безопасности вы считаете ключевым на ближайшие 1–2 года?

Юрий Драченин: Наверное, ключевой тренд в ближайшие 1–2 года — это использование комплексных средств защиты информации в виде единого программного пакета для внутренней защиты IT‑систем организации.

Скорее всего, государство и IT- и ИБ-компании будут способствовать развитию таких решений, объединяя свои продукты в небольшие экосистемы. В итоге появится набор средств, которые можно рекомендовать заказчикам с пояснением, как и почему их использовать. Мне кажется, именно такой подход станет трендом №1 в ближайшее время.

Cyber Media: Как ужесточение закона повлияло на распределение бюджета в компаниях: технологии, процессы или обучение персонала — что сейчас в приоритете?

Юрий Драченин: Для зрелых компаний в области ИБ сейчас тренд такой: они более осознанно оценивают существующие решения в своем периметре и стараются их оптимизировать. То есть, вместо того чтобы просто тратить дополнительные деньги, они пытаются более эффективно использовать имеющийся бюджет и качественно выстроить защиту.

Компании, которые раньше не уделяли много внимания информационной безопасности, только начинают задумываться об этом и выделять бюджет.

Cyber Media: Что, на ваш взгляд, действительно способно снизить количество утечек персональных данных в России?

Юрий Драченин: На мой взгляд, для снижения количества утечек персональных данных в России важно, прежде всего, обучать сотрудников и руководителей основам кибергигиены. Люди должны понимать схемы массовых атак и постоянно помнить об угрозах. Начинать стоит с личности, а не только с сотрудника в компании. Если человек научится защищать себя, например, настроит двухфакторную аутентификацию на личную почту, мессенджеры и облачные сервисы — это значительно повышает общую киберзащищенность предприятия.

Также важно, чтобы средства защиты информации работали совместно и гармонично. Сейчас часто встречается «зоопарк решений», когда новые инструменты ИБ конфликтуют друг с другом, и настройка таких систем требует больших затрат времени, сил и средств. Было бы здорово, если вендоры и компании стремились к интеграции и совместимости решений.

Наконец, важно уделять внимание расследованию инцидентов и устранению первопричин. Каждое событие происходит не случайно, и понимание того, почему оно случилось, позволяет предотвратить повторение. А если еще учиться на опыте других компаний, а не только на своем, — это значительно повышает уровень защиты персональных данных.

Cyber Media: Есть ли меры, которые уже доказали свою эффективность в российских компаниях?

Юрий Драченин: Как я уже говорил, кибергигиена и ее основы уже доказали свою эффективность в российских компаниях. Например, в нашей компании СКБ Контур регулярно проводятся киберучения и обучение сотрудников кибергигиене. Специалисты по информационной безопасности время от времени рассылают тестовые фишинговые письма. Они не наносят никакого ущерба, но позволяют увидеть, кто из сотрудников делает ошибки. После этого сотрудники получают точечные рекомендации и обучение, чтобы понимать, как действовать правильно.

Кроме того, важно использовать рекомендованные программные и аппаратные средства защиты, например, те, что одобрены ФСТЭК. Особенно это касается организаций, работающих с КИИ: все требования регуляторов нужно выполнять в полном объеме. Желательно не просто формально покупать лицензии и устанавливать системы «на бумаге», а развернуть их и реально использовать. Это тоже серьезно повышает уровень защиты.

Cyber Media: Где сложнее добиться изменений — в технологиях, процессах или культуре сотрудников?

Юрий Драченин: Безусловно, сложнее всего добиться изменений в культуре сотрудников. Технологии прозрачны: их используют все, они понятны, а системы работают так, как их настроишь. С людьми все иначе. Человеческий фактор остается самым слабым звеном в информационной безопасности — так было, есть и будет. Алгоритмы и программы можно выстраивать и менять достаточно быстро, а людей — нет.