Интервью с Даниилом Бориславским (Staffcop) про защиту от внутренних угроз в информационной безопасности

Редакция CISOCLUB поговорила с Даниилом Бориславским, директором по продукту Staffcop (“Атом безопасность” входит в ГК СКБ Контур). В интервью обсуждались актуальные проблемы внутренней информационной безопасности (ВнИБ), которая всё чаще становится источником инцидентов для современных компаний. По словам Даниила, около 2/3 всех инцидентов ИБ возникают из-за действий сотрудников — как намеренных, так и случайных. Внешние угрозы легче предсказать и отразить, поскольку они чаще всего автоматизированы, в то время как с внутренними угрозами бороться сложнее. Это связано с тем, что сотрудники могут быть технически подкованы, мотивированы различными идеями, а также уязвимы для внешнего воздействия.

В ходе беседы были затронуты методы мониторинга и анализа действий сотрудников на рабочем месте. Эксперт пояснил, что любые действия сотрудника, включая редактирование файлов, интернет-активность и использование корпоративной сети, оставляют цифровые следы. Эти следы собираются и анализируются с помощью OCR, нейросетей, регулярных выражений и других инструментов, которые помогают выявлять аномалии и подозрительные активности. Расширенные методы логирования и поиска позволяют определить возможные инциденты, такие как попытки несанкционированного доступа, загрузка больших объемов данных, а также посещение сайтов с вакансиями, что может указывать на намерение сотрудника сменить работу.

Особое внимание в интервью было уделено вопросам контроля и ограничения доступа. Применение модели Zero Trust позволяет предоставлять сотрудникам минимально необходимый доступ для выполнения их обязанностей, снижая риски утечек и нарушений. Даниил также отметил важность выбора подходящих отечественных решений для внутренней ИБ, учитывая не только лицензионные затраты, но и расходы на поддержку и инфраструктуру. Такой системный подход помогает не только в расследовании инцидентов, но и в предупреждении потенциальных угроз, создавая комплексную экосистему информационной безопасности.

Почему угрозы внутренней информационной безопасности важны для современных компаний и каковы их основные источники?

По обратной связи от клиентов Staffcop и коллег, примерно 2/3 инцидентов информационной безопасности возникают из-за действий самих сотрудников. Это могут быть как намеренные действия (например, саботаж при увольнении или действия инсайдеров), так и из-за незнания или неосторожности сотрудников.

Внешние угрозы более понятны по происхождению и реализации, зачастую они автоматизированы, – их можно успешно отражать автоматическими средствами защиты. Но с внутренними угрозами сложнее. Сотрудники могут быть технически подкованы или мотивированы какими-либо идеями. Это делает их действия менее предсказуемыми и хорошо подготовленными. Инсайдеры могут действовать умышленно или под влиянием извне (манипуляции, угрозы). Такие угрозы существовали всегда и будут существовать, пока в компании работают сотрудники. Ключевая проблема и уязвимое звено — это сам человек, который одновременно ценный актив компании.

Какие методы помогают определить, что сотрудник делал за своим рабочим ПК, и насколько точна информация о его действиях?

Любое действие сотрудника на рабочем месте оставляет цифровой след. Даже если что-то просто печатать в редакторе — под капотом операционной системы происходят множество процессов: открытие файлов, доступ к учетной записи, использование корпоративной сети и интернета, и т.д. Все это можно собрать и анализировать.

Одним из основных методов анализа – это поиск среди собранных данных по атрибутам файлов или событий, который помогает быстро выявить подозрительные объекты на основе расширений, имен файлов и других внешних признаков. Поиск по текстовому содержимому файлов позволяет углубленно анализировать информацию, но он уже более ресурсоемкий. Технология оптического распознавания (OCR) помогает извлекать текст из изображений, PDF-файлов и скриншотов, что значительно расширяет возможности расследований.

Также уже и большие языковые модели, и нейронные сети помогают выявлять аномалии в действиях сотрудников, что может быть полезно для автоматизированных расследований, или строить обобщенную аналитику о сотруднике.

Какие цифровые следы оставляют сотрудники и как они используются при расследовании инцидентов внутренней ИБ?

Цифровые следы — это, в первую очередь, метаданные (кто, где и когда что-то делал); ещё это содержимое файлов, логи ПО, ошибки и события операционных систем. Современные информационные системы позволяют включить расширенное логирование, что помогает собирать огромное количество информации, вплоть до действий, которые происходят в фоновом режиме. Это включает в себя доступ к файлам, попытки несанкционированного доступа и ошибки программ, которые могут указывать на нарушения.

Например, когда сотрудник получает ошибку при доступе к запрещенному файлу, это записывается в лог и может быть использовано в расследовании инцидентов. Эти данные позволяют выявлять аномалии и потенциальные угрозы, что особенно важно при работе с внутренними угрозами. Чем больше информации собирается и чем точнее она анализируется, тем легче выявлять отклонения от нормы, что помогает быстрее реагировать на инциденты.

Насколько эффективны нейросети, OCR и регулярные выражения при анализе содержимого и в каких случаях их лучше использовать?

OCR-технологии уже достаточно развиты и используются для извлечения текста из изображений. Движков OCR много, они хорошо применимы для использования в расследованиях.

Затем для более точного поиска информации в извлеченных данных используются словари и регулярные выражения. Например, можно искать документы, которые связаны с определенными словами или содержащие фразы и части документа.

Регулярные выражения позволяют искать конкретные паттерны в данных. Например, для поиска номеров ракетных двигателей можно задать шаблон РД-XXX-2024-ХХ, где X — цифры. А для поиска номеров кредитных карт используются специальный алгоритм для снижения количества ложных срабатываний.

Нейросети и большие языковые модели — это следующий этап в развитии анализа данных. Они помогают автоматизировать и ускорить рутинные процессы (например, анализ учёта рабочего времени), дать больше контекста для расследования, но всё равно ещё не применимы без участия и контроля человека. Также с ИИ в ИБ нужно действовать аккуратно, с ним связано много сложных рисков, которые проецируются на человеческий фактор.

Что можно узнать из показателей учёта рабочего времени и как это связано с внутренней безопасностью?

Анализ рабочего времени сотрудников состоит из трех ключевых составляющих: дисциплина, активность и продуктивность. Во-первых, необходимо понять, когда сотрудник начал и закончил работу, и были ли у него перерывы. Во-вторых, анализируется активность за компьютером: работает ли сотрудник или просто включил компьютер и ушел, оставив его включенным. И, наконец, анализируется продуктивность — насколько действия сотрудника за компьютером соответствуют его обязанностям и приносят пользу бизнесу. Всё это является контекстом при проведении расследования, а ещё часто является “точкой входа” для изучения действий сотрудника.

Для всех сотрудников эти метрики и данные одинаковые?

Нет, для разных подразделений компании эти показатели будут иметь разное значение. Например, для сотрудников колл-центра критически важно быть на месте во время работы, тогда как для менеджеров по продажам, которые часто работают “в полях”, важнее анализировать передаваемую и обрабатываемую ими информацию, их дисциплина учитывается меньше.

Далее, есть сотрудники, например, разработчики или архитекторы систем, для которых ни дисциплинарный контроль, ни контроль за передачей коммерческой информации не применим, но у них есть риски в контексте выгорания или опасных хобби (ведь многие любят экстремальные виды спорта). Это может снизить так называемый «Bus factor», — вероятность, что из-за ухода или потери ключевого сотрудника пострадает бизнес. Для таких сотрудников, важно учитывать их эмоциональное состояние, настроение, внутренние коммуникации.

Особого внимания требуют сотрудники на испытательном сроке и те, кто готовится к увольнению. О первом типе мы ещё мало что знаем, а второй тип может представлять потенциальные риски для компании. Для этих сотрудников лучше всего применять расширенное логирование и ограничивать доступ к важной информации. Так компания сможет иметь полную картину их действий и предотвратить утечку данных.

Ещё один важный аспект – правильное разграничение доступа к данным для различных групп внутри компании. Например, HR-служба может иметь доступ к дисциплинарным данным, но только в пределах своей зоны ответственности. Руководители подразделений должны видеть полную картину работы своих подчиненных, но не сотрудников других подразделений. Офицеры информационной безопасности и внутреннего контроля должны иметь доступ ко всем данным, но с ограничениями на изменение настроек системы. Это часть модели Zero Trust – каждому предоставляется минимально необходимый доступ, который помогает защитить данные и оптимизировать процессы.

Какие риски информационной безопасности создаёт намерение сотрудника уволиться? По каким индикатором можно понять, что сотрудник планирует увольнение; какие меры следует предпринять для снижения рисков?

Попытку утечки данных можно предсказать, анализируя логи систем и поведение сотрудника. Один из ключевых индикаторов — это активный поиск работы. Системы мониторинга могут зафиксировать посещение соответствующих сайтов, отправку резюме или отклики на вакансии с рабочего компьютера. Это сигнал для HR-службы провести беседу с сотрудником и выяснить причины его действий. Часто это позволяет выявить внутренние проблемы в компании или недовольство, которое могут привести к увольнению или саботажу.

Если обнаружено, что сотрудник планирует увольнение и меры по его удержанию не помогают, важно оповестить его руководителя и офицеров безопасности. Часто сотрудники считают, что все, что они создавали в компании, принадлежит им, и пытаются забрать результаты работы. Еще более опасно, когда сотрудник пытается использовать корпоративные данные в своих интересах или в интересах новой компании. Это может включать копирование данных на съемные носители, облачные хранилища или другие носители информации. Такие действия можно отследить с помощью систем DLP (Data Loss Prevention) и IRM (Insider Risk Management). Эти системы позволяют выявить аномалии в поведении сотрудника, например, скачивание большого объема данных или передача конфиденциальной информации на внешние устройства.

Нарушения регламентов ИТ являются инцидентами ВнИБ? Возможна какая-то синергия между ИТ и ИБ для борьбы с нарушениями?

Нарушения регламентов ИТ тесно связаны с внутренней информационной безопасностью, поскольку многие из них могут создавать серьезные риски ИБ. Например, использование слабых паролей, работа под чужими учетными записями, нарушение прав доступа — все это потенциальные угрозы для безопасности данных компании. Системы мониторинга легко выявляют такие нарушения, и в таких случаях важно не только зафиксировать инцидент, но и обучать сотрудников, показывать им правильные действия.

Системы информационной безопасности могут также проводить инвентаризацию ПО и оборудования, это помогает выявлять случаи несанкционированного использования. Например, если сотрудник включает ПО с флешки для подделки документов, его можно поймать через снимки экрана и системный мониторинг. Этот инцидент на первый взгляд может быть простым нарушением ИТ-регламента, но при более глубоком анализе может оказаться частью крупной финансовой махинации.

Интеграция систем ИТ и информационной безопасности позволяет и предотвратить подобные нарушения, и эффективно реагировать на инциденты. Совместная работа офицеров информационной безопасности и ИТ-подразделений помогает оперативно реагировать на любые отклонения и предупреждать их последствия.

Как обеспечить полный цикл расследования инцидентов ВнИБ и какую роль в этом играет ИБ-экосистема компании?

Ключевым элементом успешного расследования инцидентов является понимание, что причина каждого инцидента — человек. Процесс работы с сотрудником должен начинаться с анализа сотрудника ещё на этапе отбора кандидата и продолжаться на протяжении всего его жизненного цикла в компании, включая мониторинг его активности, доступа к данным, поведения и коммуникаций.

Экосистема информационной безопасности объединяет различные решения, которые помогают контролировать и анализировать действия сотрудников на каждом этапе. Чем полнее будет интеграция систем безопасности, тем проще и эффективнее проводить расследования. Такая экосистема не только упрощает контроль, но и повышает эффективность работы офицеров безопасности, помогая им быстрее выявлять инциденты и реагировать на них.

Важным преимуществом экосистемы является общее использование накопленных данных и интеграция продуктов. Так мы сокращаем время на расследование инцидентов и сосредоточиться на решении более сложных задач, например, выявление аномалий и предотвращение потенциальных угроз.

Экосистема информационной безопасности компании играет ключевую роль в обеспечении полного цикла расследования инцидентов, начиная от мониторинга и заканчивая анализом и предотвращением последствий. Вот почему мы сейчас идём по пути создания и объединения наших продуктов ИБ.

Какие критерии являются основными при выборе системы для внутренней информационной безопасности?

Важно учитывать несколько ключевых факторов. Один из самых важных — это стоимость владения. Многие компании совершают ошибку, когда оценивают только стоимость лицензии на одного пользователя. Надо учитывать и затраты на инфраструктуру (например, количество серверов, пропускная способность каналов связи), а также на продление лицензии, техподдержку и обучение персонала, который будет администрировать систему. Поэтому важно рассчитать общую стоимость владения системой на хотя бы ближайшие три года.

Стоит обратить внимание на происхождение программного обеспечения. Сейчас нужно выбирать отечественные решения, которые обеспечивают стабильное обновление и техническую поддержку. Многие известные, но зарубежные – могут быть недоступны для обновлений и поддержки.

Простота внедрения и работы системы также имеет значение. Важно, чтобы поставщик программного обеспечения был отзывчивым и оперативно решал возникающие проблемы. Если на этапе тестирования поддержка не отвечает на запросы, или делает отписки — после внедрения ситуация лучше не станет.

Система должна решать конкретные задачи компании, а не просто быть модной или популярной. Хорошо, если она будет полезна для нескольких подразделений и при этом, чтобы не мешала бизнесу работать. Всё это обеспечит более рациональное использование ресурсов и сократит затраты на эксплуатацию.