Вы наверняка сталкивались с парадоксом: чем строже становятся правила безопасности, тем чаще сотрудники ищут обходные пути. Исследование “СёрчИнформ” показывает тревожную статистику: 66% утечек конфиденциальной информации происходят без злого умысла. Основные причины – персонал не всегда понимает правила информационной безопасности, не может оценить важность данных и не осознает последствия нарушений. При этом лишь 18% российских компаний могут похвастаться по-настоящему высокой киберграмотностью сотрудников.
Автор: Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”
Решением этой проблемы становится открытый контроль – подход, при котором системы защиты информации (например, DLP и DCAP) работают в режиме взаимодействия с пользователями. Сотрудники видят и понимают, какие действия отслеживаются, получают пояснения о причинах блокировок и могут напрямую контактировать со службой безопасности. Таким образом создается единая цепочка, где ИБ-отдел, технические средства и пользовтели действуют согласованно. Расскажем, как работает такой подход и что нужно для того, чтобы его использовать.
Практическое обучение
Открытый контроль на практике реализуется через пользовательский интерфейс (GUI) в DLP-системах. Говоря простыми словами, GUI – это лицо программы, экраны и кнопки, с которыми взаимодействует пользователь. В контексте DLP (защита от утечек данных) такой интерфейс становится окном, через которое сотрудник видит работу системы безопасности и понимает ее логику.
Долгое время открытый контроль, а значит, и удобный GUI для пользователей, не были популярны на российском рынке. Преобладал так называемый закрытый контроль: считалось, что мониторинг действий сотрудников без диалога с ними эффективнее, ведь он не позволяет злоумышленнику подготовиться и скрыть следы. Однако у рядовых сотрудников этот подход зачастую вызывал раздражение от непонятных запретов – и желание их обойти, например работать через личное устройство или облачные сервисы.
GUI создает прозрачную среду для диалога, он превращает абстрактную концепцию открытого контроля в работающий механизм, понятный и доступный каждому.
Например, в DLP-системе "СёрчИнформ КИБ" через GUI сотрудники получают уведомления о запретах с пояснениями. Почему нельзя использовать эту флешку? Потому что политика компании запрещает копирование данных на внешние носители. Почему доступ к сайту ограничен? Ресурс обозначен как небезопасный.
Такие уведомления наглядно демонстрируют, что каждое ограничение имеет логичное обоснование, и помогают сформировать понимание: правила безопасности – это не произвольные запреты, а меры защиты.
Интерактивность способствует запоминанию
Еще одно преимущество открытого контроля – интерактивность, которую обеспечивают системы защиты. В DLP- и DCAP-системах "СёрчИнформ" сотрудники не только получают уведомления о блокировках, но и могут, например, запрашивать временный доступ к флешкам, принтерам, папкам, документам.
Эта интерактивность выгодна всем. Если пользователь осознанно готов принять риск для срочной задачи, он может запросить доступ, а служба безопасности, в свою очередь, получит полную информацию о его действиях и возможность вмешаться. Практика показывает, что такой подход снижает операционные потери и помогает ИБ-специалистам лучше понимать реальные бизнес-процессы.
Кроме того, ИБ-специалистам не приходится ломать выстроенную систему безопасности и всякий раз перенастраивать права пользователей: выдача доступа "под задачу" позволяет применять исключения точечно, к тому же по истечении заданного времени ограничения автоматически возвращаются.
Каждый несет ответственность за безопасность
Следующий шаг для укрепления корпоративной ИБ-культуры – научить сотрудников самостоятельно оценивать риски и принимать решения. Например, самим разблокировать письма, попавшие в карантин – специальный модуль в DLP, который останавливает подозрительную почту, не давая ей уйти адресату.
Представим ситуацию: отправлять сведения об ИТ-инфраструктуре за пределы компании нельзя, но эта информация необходима подрядчику для выполнения работ (для спокойствия представим также, что с этим подрядчиком подписан NDA). Сотрудник при попытке отправить ее подрядчику получит такое уведомление: "Ваше письмо содержит конфиденциальные сведения. Вы уверены, что хотите его отправить?". И сможет сам продолжить отправку, разблокировав письмо: по ссылке в уведомлении или ответным сообщением. DLP это зафиксирует, так что у службы ИБ останутся доказательства, что пользователь знал, на что шел.
Еще один инструмент открытого контроля – система графической разметки данных, реализованная в "СёрчИнформ FileAuditor". DCAP автоматически классифицирует все файлы в компании по содержимому и определяет их ценность – это видно ИБ-службе в интерфейсе программы. Если включить графические метки, то уровень конфиденциальности документов будет понятен и пользователям – они увидят своего рода грифы внутри файлов
(например, "Конфиденциально", "Для служебного пользования", "ПДн") и соответствующую иконку на их ярлыках. Удобно, что метки можно кастомизировать, чтобы учесть бизнес-процессы в конкретной компании: например, настроить отображение грифа "Только для бухгалтерии" на финансовых документах. А затем – поручить сотрудникам ставить эти метки самостоятельно.
Например, можно ввести практику, чтобы секретарь обязательно проставлял метку "Конфиденциально" на все файлы, которые готовит для директора. Система не позволит сохранить документ или отправить письмо без метки. При попытке это сделать сотрудник получит оповещение: "Сохранение документа не может быть выполнено. Установите метку классификации".
Более того: если сотрудник попытается изменить уровень метки или снять ее, система автоматически запросит объяснение, почему возникла такая необходимость. Это поможет оценить, насколько сотрудники понимают смысл разметки, и принять решение, разрешить или запретить изменения. Когда же пользователи привыкнут к разметке, ИБ-служба получит союзников для решения рутинных задач – учитывать и оценивать важность новых активов, которые постоянно появляются в компании. И сразу же брать их под защиту: ведь по меткам FileAuditor автоматически применяет разграничения доступа внутри компании, а КИБ – блокировки при попытке отправить секреты вовне.
Не вместо, а вместе Важно понимать: открытый контроль не заменяет традиционные меры безопасности, а усиливает их, создавая синергию между технологиями и людьми. DLP "СёрчИнформ КИБ" продолжает мониторить действия персонала, а DCAP "СёрчИнформ FileAuditor" – классифицировать данные, но теперь они работают в прозрачном режиме.
При этом перейти на открытый контроль можно постепенно:
- включите пользовательский интерфейс и интерактивные уведомления сотрудников;
- внедрите практику запроса доступов к ресурсам в КИБ и постановку графических меток в FileAuditor;
- делегируйте пользователям решения об оценке важности документов и безопасности отправки данных.
Все эти функции доступны в продуктах "СёрчИнформ" бесплатно во время 30-дневного пробного периода [1]. Они позволят наглядно обучить сотрудников, вовлечь их в защиту данных и снизить нагрузку на ИБ-специалистов за счет автоматизации рутинных операций.
Реклама: ООО "СёрчИнформ". ИНН 7704306397. Erid: 2SDnjdir5Wq