«Если у вас есть Щелкунчик, нужно начинать колоть орехи»

Самое главное, что должно быть создано в компании независимо от того, какую систему вы внедряете, – процессы управления ИБ. Нужно проанализировать свои ИБ-процессы, понять, где есть проблемы, наметить и реализовать действия по их устранению. Это первый инструмент корпоративной ИБ-гигиены. Второй – тоже организационный: можно провести классификацию информации, которая используется в компании, выяснить, какие виды информации имеют наибольшие риски с точки зрения утечек и нарушения целостности и доступности, и отработать по ним, для начала оргмерами. Стоит разработать регламенты для сотрудников, описывающие правила обращения с данными, – программу инструктажей. Разобравшись в процессе, определив цели и способы защиты, можно уже подобрать технические инструменты для достижения этих целей.

Имеет смысл проводить инструктаж при приеме сотрудника на работу, а затем повторно, с заданной периодичностью, например, раз в 1–2 года. Инструктаж может включать в себя рассказ о конкретных кейсах, самых распространенных типах инцидентов, правилах использования информационных ресурсов, которых должен придерживаться сотрудник.

Целесообразно проведение тестирования «по горячим следам» – по мотивам полученных сотрудником знаний с установленным проходным баллом. Если человек делает много ошибок, инструктор дает пояснения: почему ответ неверен и как стоило поступить в описанной в тесте ситуации. Завершающим аккордом должно быть подписание новым сотрудником документов, обязывающих его соблюдать установленные в компании правила ИБ.

В обязательном порядке необходимо проводить инструктаж по факту нарушения, чтобы выяснить для себя причины, приведшие к нему, и объяснить пользователю, в чем состоит его нарушение, почему это плохо для компании.

Если у вас есть централизованная база инцидентов ИБ, вы можете вести статистику по подразделениям – кто и что нарушает, какие типы нарушений встречаются чаще. Эта информация должна фидбэком идти в планы проведения инструктажей и адаптацию программы обучения.

Очень важно предусмотреть возможность многоканальной обратной связи от сотрудников, это повышает эффективность обучения. Вообще, если человек замотивирован на нарушение, вы его не остановите, другими словами, если к вам пришел технически подготовленный инсайдер, вы 100%-но не препарируете его своей DLP. Но, к счастью, таких случаев немного. Подавляющее большинство нарушений из моей практики были не преступной халатностью, а просто ошибками, в том числе по незнанию. Вина за подобные ошибки частично лежит и на ИБ-подразделении: незнание – это недоработка того, кто проводит обучение. Может быть, у сотрудника не было возможности спросить, уточнить, как правильно/неправильно, например, какие файлы нельзя отправлять по почте за пределы компании/заливать на публичные файлообменники.

Хорошая тема – короткие, не более трех минут, видеоролики о конкретных случаях нарушений. Истории для видеороликов нужно черпать из практики, по результатам анализа статистики инцидентов. Можно делать скринсейверы на ИБ-тематику, это особенно хорошо работает в open space: человек идет с чаем по офису, а на всех компьютерах в спящем режиме мелькают образы, показывающие как нельзя поступать с информационными ресурсами и носителями информации. Вы получаете перманентное обучение.

С ними нельзя перебарщивать. Например, я ограничиваю людям доступ в Интернет, и они начинают пользоваться публичными Wi-Fi-сетями. Мы получаем нулевой результат с точки зрения ИБ и вдобавок недовольных пользователей. Ограничения, как правило, неэффективны, вызывают негатив и мешают людям работать. Правильнее дать сотрудникам возможность полноценно использовать корпоративные ресурсы и мониторить их действия, отлавливая нарушения и инциденты, проводя корректирующую работу. Конкретно по обозначенной проблеме: исключите применение съемных носителей для переноса данных между корпоративными компьютерами. Создайте сетевые папки – пусть люди используют их для обмена файлами. Для передачи между компаниями создайте корпоративный файлообменник, доступный партнерам через Интернет. Никогда не нужно пренебрегать возможностью контролировать свои данные как можно дольше, а вы контролируете их, пока они на ваших ресурсах.

Навскидку я могу привести пару примеров. Во-первых, помогает реализация принципа круговой поруки, ее модное название – Segregation of Duties. То есть нужно исключить ситуации, когда исполнение какой-либо критичной операции закреплено лишь за одним человеком в компании. Сделайте так, чтобы ее подтверждал или контролировал хотя бы еще один сотрудник. Вспоминается старая байка: почему при запуске ракеты нужно одновременно повернуть 2 ключа, находящиеся друг от друга на расстоянии нескольких метров? Чтобы это можно было сделать только вдвоем.

Во-вторых, эффективно использование полиграфов – оно дает хороший процент выявлений. Причем эту функцию можно аутсорсить и регулярно менять партнеров, чтобы в компании не было замотивированного Полиграф Полиграфыча. Использовать этот метод целесообразно в подразделениях, где велик риск мошенничества, – это закупки, розница.

Но самое главное здесь – повышение лояльности сотрудников и формирование корпоративной культуры, их едва ли можно назвать «организационными мерами», при этом они точно не технические. Здесь наблюдается полное сходство с тем, как патриотизм и любовь к Родине, интегрированные в культуру и воспитание, способствуют снижению вероятности появления недовольных. Вообще корпоративная кадровая и социальная политика – эффективнейший инструмент, позволяющий значительно повысить качество результатов работы сотрудников, однако почему-то об этом мало говорят.

Лояльный работник, преданный компании, ценящий корпоративную культуру, будет без дополнительных принуждений делать так, как того требует от него компания: общая корпоративная культура трансформирует «исполнение требований» в «общепринятую практику». В итоге сотрудник будет не напрягаться в отношении исполнения требований, он будет выполнять работу так, как это принято в компании, иначе он не сможет влиться в трудовой коллектив.

DLP-система – достаточно интимная вещь, ее нужно адаптировать под себя. Чем лучше вы это сделаете, тем больший эффект получите. Я не знаю ни одного успешного кейса с DLP «из коробки», так что не могу сказать, целесообразен ли такой вариант. В то же время я много занимался мониторингом событий ИБ – работал с системами обнаружения вторжений, фильтрации Интернет-трафика и считаю, что дефолтные сигнатуры в таких случаях малоэффективны.

Разумно сначала запуститься в режиме мониторинга, ничего не блокируя, риска в этом нет, поскольку раньше вы жили без DLP вовсе. Должны появиться ИБ-специалисты, которые регулярно анализируют логи системы. Спустя какое-то время вы поймете, что у вас летает по сети, и что из этого создает риски ИБ. Далее обязательно должен быть выстроен процесс обработки результатов работы DLP. Мы выявили инцидент – куда и кому его передавать? Мы можем сообщить о нем специалисту, отвечающему за проведение инструктажей, руководителю сотрудника, совершившего нарушение, и т.д.

Во втором случае руководитель, ознакомившись с фактами, принимает решение о дальнейших действиях. Естественно, должно быть не только организационное, но и техническое последствие. Например, мы зафиксировали большое количество drive-by загрузок через интернет-шлюз с последующим сливом чего-то по SSL – имеет смысл запретить загрузку определенного контента с неклассифицированных сайтов. Upload имеет смысл запретить вообще везде, за редким исключением. То есть, например, если с сайта происходит перенаправление на ресурс, который неизвестен нашему категоризатору ресурсов, мы не даем загружать с него PDF, Flash, Java и прочий потенциально опасный контент. Это техническое последствие, по сути, является результатом анализа инцидентов.

Процесс регулярного улучшения работы системы. То есть мы ставим DLP и начинаем «глазами» смотреть в объем: что «летает», кому, куда. Затем анализируем, что из этого – зло, и решаем, как мы будем с ним поступать: блокировать, модифицировать «на лету» или настраивать другие реакции системы. Например, когда сотрудник увольняется, он обычно начинает сливать данные на съемные носители. Верно и обратное: если фиксируется большой объем сохраненных на съемные носители данных, например, 500 ГБ за неделю, значит, человек думает уходить из компании. Имеет смысл сообщить об этом факте его руководителю, показать ему список названий файлов, возможно, он узнает среди них документы, содержащие критичную для бизнеса информацию. Далее следует изъятие файлов у нарушителя. И выявление подобных случаев можно поставить на поток: написать скрипт, который будет в автоматическом режиме фиксировать такие факты, установить систему, «автоматом» отправляющую вам письмо о том, что кто-то из сотрудников накопировал себе определенное количество ГБ.

Таким образом, ты используешь свои знания об инцидентах как базу для настройки ИБ-систем под себя. В первый раз ты находишь событие вручную, а затем автоматизируешь поиск подобных случаев. Когда знакомые кейсы у тебя отрабатывает автоматика, ты идешь дальше – находишь новые «болевые точки» и настраиваешь под их устранение систему. Это поступательное движение. Разница между человеком и машиной состоит в том, что человек не работает четко по алгоритмам, он может догадываться, устанавливать и анализировать косвенные признаки. Позднее, когда целостная картина об инциденте собрана, он переводится в разряд стандартных/типовых и автоматизируется, а аналитик приступает к более глубокому анализу, и все повторяется.

Нужную информацию можно добыть разными путями. Был случай, когда заговор сотрудников одной компании был раскрыт с помощью данных из Skype. Они обсуждали свои планы, используя этот официально разрешенный в компании мессенджер. Дело в том, что клиент Skype кэширует сообщения, ИБ-шники собрали все кэши разговоров и установили, кто именно вел диалог по предмету расследования. Так была найдена вся группа.

Многие системы пишут свои логи, они могут рассказать вам о коммуникациях и действиях сотрудников компании. Причем имеет смысл заложиться в хранилище, чтобы иметь возможность собирать все подряд. А если у вас стоит система их анализа, например, Splunk, логи индексируются и находятся на раз-два.

Афиширование наличия контроля – тонкий момент. Если человек подготовлен и заинтересован в том, чтобы вынести из компании конфиденциальную информацию, он сделает это, что называется, на высоком уровне. Здесь вам поможет только intelligence: нужно очень много всего анализировать и по косвенным признакам вычислять злоумышленника. Если он к тому же будет знать о DLP и принципах ее работы, эта задача еще более усложнится. В любом случае у вас крайне мало шансов его остановить.

Для обычных нарушителей знание о работе DLP не станет панацеей от проблем – часто они случайно совершают ошибки. Другое дело, что сотрудника в таком случае не обязательно сразу вызывать на ковер, можно провести разъяснительные мероприятия, заодно проанализировав его поведение и проверив уровень лояльности к компании.

Никогда не нужно пренебрегать возможностью дополнительно побеседовать с человеком. Безопасники любят заострять внимание на железках: если они нормально работают, значит, все хорошо. Но потенциальный ущерб живет не в них, а в бизнес-процессах и в их исполнителях. Так что нужно разбираться в человеческой психологии. Опять же из практики: часто люди поступают неправильно, не потому что они злодеи, а потому что не было возможности поступить правильно – не было нужного сервиса для выполнения их задач, имеющиеся возможности были неудобны или работали плохо, и т.д. Всю эту обратную связь обязательно нужно собирать, чтобы построить удобные и безопасные ИТ-сервисы. Не провоцируйте пользователя рисковать корпоративной информацией из-за отсутствия возможности удобно работать.

Измерять нужно обязательно. Когда ты начинаешь что-то делать, ты ставишь себе цели и задачи. И здесь важно понимать, насколько твои действия приводят к их достижению, делаешь ли ты правильные вещи и делаешь ли ты их правильно. Это и есть мерило твоей эффективности. Допустим, ты борешься с мошенничеством, предотвратил совершение хищений и можешь точно оценить, во сколько бы они обошлись компании. Сравнив это с инвестициями в процесс ИБ, позволивший выявить хищения, можно оценить эффективность. Область незнания – сколько еще не выявленных фактов мошенничества и сколько на этом теряет компания – в расчет при этом брать невозможно, потому что ты не знаешь того, что не знаешь. Нужно опираться на чистые факты: сколько ИБ сохранила компании, столько она стоит.

Важно понимать еще одно назначение метрик: помимо описания того, что было сделано, они позволяют определить слабые места, на которых в будущем следует акцентироваться. На мой взгляд, это наиболее важное свойство метрик, и именно на эту оценку следует бросить усилия, поскольку она позволит адаптироваться к ситуации, совершенствовать свою информационную безопасность.