Компания РАССЭ (ГК «АйТеко») продолжает серию эксклюзивных интервью с лидерами рынка информационной безопасности, с решениями которых она работает. Очередная беседа состоялась с Сергеем Вахониным, директором по решениям в DeviceLock.
Уже больше месяца вы работаете в удаленном режиме, как перестроился формат работы? Как контролируете работу сотрудников и оцениваете эффективность?
Наша компания и до пандемии активно использовала модель SOHO. Все сотрудники, у кого нет прямой необходимости присутствовать в офисе, были обеспечены защищенным удаленным доступом к внутренним ресурсам – соответственно, перестраивать что-то нам в принципе не пришлось. Просто число тех, кто работает из дома, несколько увеличилось. Эффективность мы всегда оценивали по результатам, а не методикам псевдоконтроля рабочих часов и времени, проведенного в приложениях!
Разрешать ли работу с личного ПК? Можно ли снизить риски ИБ при работе с личных устройств с помощью DeviceLock?
Если сотрудник предпочитает личный компьютер служебному или у организации нет возможности обеспечить всех работающих удаленно сотрудников корпоративными устройствами, то запрет работы с личного устройства будет попросту во вред бизнесу. Конечно, надо разрешать. Вопрос только в том, как личное устройство будет использоваться. Доступ к корпоративным порталам, VPN – это замечательно, но никак не решает задачу защиты информации. Если между личным компьютером и корпоративной средой не стоит DLP-система, перенос конфиденциальных данных с корпоративных серверов или удаленного рабочего стола на домашний компьютер – только вопрос времени. Очевидно, что на домашний компьютер DLP-систему не поставить…
Для решения этой проблемы мы разработали и многие годы успешно продвигаем технологию Virtual DLP, когда работа в удаленном режиме принудительно организуется через терминальные сессии. При этом поток данных в терминальной сессии (через буфер обмена данными, перенаправленные устройства) и доступные в терминальной сессии коммуникационные сервисы контролируются и защищаются в режиме реального времени. В такой модели у сотрудника есть все необходимые инструменты для выполнения своих бизнес-задач, а у организации есть инструмент защиты от переноса данных на личные устройства и их дальнейшего бесконтрольного распространения.
В последнее время мы наблюдаем большое количество утечек конфиденциальной информации, среди который — данные пользователей YouDo, СДЭК, данные автовладельцев и так далее. Это результат пандемии или обычная ситуация?
Это абсолютно обычная ситуация. Никакого всплеска утечек, который можно было бы ассоциировать с пандемией, нет. Рост количества утечек – не следствие пандемии, а результат все возрастающей ценности информации. «Данные – новая нефть», – говорит народная мудрость. Чем больше информации используется в цифровом виде и чем хуже она защищена, тем больше утечек мы будем наблюдать.
Как изменился подход к защите от утечек конфиденциальной информации в период самоизоляции?
Мы, как специализированный вендор DLP-решений, наблюдаем взрывной рост интереса к технологиям защиты данных при удаленной работе сотрудников. Доступ к корпоративной среде через терминальные сессии превратился из технического решения в техническую необходимость, что вызывает и рост потребности в защите данных, которые могут быть переданы на неконтролируемые личные устройства при удаленном доступе. К сожалению, не все организации осознают этот риск. Более того, мне известны случаи, когда этот риск откровенно игнорируется. Люди озабочены созданием VPN-туннелей, лишь бы работа шла… Это замечательно, но этого мало. Последствия, я думаю, еще будут.
Как правильно выстроить процесс предотвращения утечки конфиденциальной информации в компании, чтобы купленное СЗИ приносило пользу?
Это вопрос, с одной стороны, довольно глобальный, чтобы дать на него качественный ответ в рамках интервью, с другой – есть фундаментальные принципы, на которые стоит опираться. Мы рекомендуем опираться на характерный для зарубежной практики кейс – активное применение логики zero trust, или сценария минимальных привилегий. Его суть предельно проста и заключается в том, что доступ предоставляется только к тем типам устройств (или конкретным авторизованным устройствам), каналам передачи данных, которые необходимы сотруднику для исполнения его бизнес-задач. Никакого слепого доверия нет, игры в демократию в информационной безопасности непродуктивны. Если доступ потребуется, то его надо обосновать, и тогда служба ИБ его предоставит. Такой подход (реализуемый не только через DLP-системы, разумеется) значительно снижает число ложных срабатываний и позволяет резко минимизировать число потенциальных каналов утечки данных. Система защиты информации от утечек будет приносить реальную пользу, если будет функционировать максимально без участия человека (специалиста из ИБ-подразделения). Акцент на мониторинг при вседозволенности в отношении каналов передачи данных, не говоря уже об «обеспечении безопасности посредством видеозаписи экранов», толкает злоумышленников на риск, когда они полагаются на осечку службы ИБ при работе с огромными объемами информации в централизованном архиве DLP-системы. Судя по потоку новостей об утечках из банков, эта гипотеза вполне рабочая.
Следить и наказывать после инцидента или ограничивать права и возможности до потенциального инцидента?
Заблокированная DLP-системой попытка хищения данных при уведомлении сотрудников о недопустимости передачи защищаемой информации – тоже инцидент ИБ. Можно и наказать такого сотрудника, особенно если попытки неоднократные. Другой вопрос, есть ли смысл в наказании после утечки, если данные уже вышли из-под контроля? А вот инцидент с множественной попыткой передачи конфиденциального документа, да еще и по разным каналам – как раз тот случай, когда и волки сыты, и овцы целы. И работа для расследования инцидента и наказания злоумышленника у специалистов по ИБ есть, и данные не утекли. В любом случае, в ограничении прав и возможностей нет ничего плохого – так устроена жизнь, и тем более на этом принципе всегда строится любой бизнес.
Как снизить вероятность утечки информации с помощью мобильных телефонов? Например, злоумышленник может сфотографировать любую конфиденциальную информацию.
Да, всегда можно сфотографировать экран. А можно еще переписать нужные цифры и буквы в блокнот или просто запомнить. Но много ли информации можно украсть такими методами? Бороться с хищением информации малого объема – непродуктивно и почти бесполезно, если говорить о противодействии техническими методами. Некоторые DLP-вендоры даже сознательно ограничивают минимальный объем анализируемых данных несколькими сотнями символов, чтобы исключить загрузку системы малозначимыми данными, подчеркивая истинное назначение системы защиты информации от утечек – техническими средствами не допустить утечку данных значимого объема. В нашей системе DeviceLock DLP такого ограничения нет, но в подходе мы полностью солидарны.
Есть ли у вас планы по расширению возможностей агента для MacOS?
Планы, конечно, есть. Другой вопрос, что нет адекватного спроса на рынке, который позволил бы в приемлемые сроки вернуть вложенные в такую разработку затраты. Поэтому на данный момент и в обозримом будущем возможности агента DeviceLock для Mac будут ограничены контекстным контролем устройств и портов.
Как предотвратить утечку конфиденциальной информации в облаке?
Если информация уже попала в облако, то предотвратить утечку уже не получится. Публичные сервисы файлового обмена и синхронизации по своей сути являются ширпотребовскими решениями, где вся модель безопасности заточена на пользователя, а не организацию. Задача DLP-систем – не допускать утечки в облака. Вот эта задача решаемая, и решение для нее у нас есть.
Возможно ли провести пилотный проект DeviceLock?
Да, возможно. Для этого необходимо обратиться к нашему надёжному партнеру – компании «РАССЭ».
