Интервью с Романом Подкопаевым (Makves) про защиту данных и DCAP

Редакция CISOCLUB обсудила с Романом Подкопаевым, генеральным директором Makves, (входит в группу компаний «Гарда»), наиболее актуальные аспекты защиты данных и роль DCAP (Data-Centric Audit and Protection) в обеспечении информационной безопасности современных компаний. Эксперт рассказал, как меняются каналы утечек данных под влиянием новых технологий, и почему организациям стоит сосредоточиться не только на защите внешнего периметра, но и на управлении доступом и контроле действий сотрудников внутри компании.

Роман детально описал ключевые технологии предотвращения утечек данных, включая DCAP, DLP и IDM. Он подчеркнул, что подход DCAP позволяет не просто контролировать доступ, но и проводить проактивный мониторинг подозрительных действий сотрудников. В интервью он объяснил, как DCAP помогает определить, кто и к каким данным имеет доступ, и выявлять аномалии в поведении пользователей, что позволяет компаниям предотвращать инциденты еще до их возникновения. Это особенно важно для крупных компаний, где риск утечек возрастает из-за сложности контроля доступа и разнообразия файловых хранилищ.

Также эксперт поделился практическими примерами использования DCAP в различных отраслях, подчеркнув, что для каждой компании важность внедрения такой системы индивидуальна. Он отметил, что DCAP особенно полезен для крупных организаций с большим количеством данных, так как помогает оптимизировать файловые хранилища и снижает затраты на оборудование. Роман акцентировал внимание на необходимости тщательного тестирования и настройки DCAP, чтобы система полностью соответствовала требованиям конкретной компании и интегрировалась с другими решениями, например с DLP и SIEM.

Какие основные каналы утечек данных существуют на сегодняшний день и как они эволюционируют?

Каналы утечек данных продолжают эволюционировать по мере того, как появляются новые технологии и методы кибератак. Утечки данных часто становятся возможными из-за уязвимостей в корпоративных процессах, таких как отсутствие сегментации и фильтрации доступа к системам хранения данных, недостаточный контроль прав доступа и привилегированных пользователей.

Человеческий фактор является серьезной проблемой для информационной безопасности. Простые ошибки сотрудников или их халатное отношение к информационной безопасности часто становятся причиной серьезных утечек. Угроза конфиденциальности данных всегда есть внутри самой организации. И несмотря на беспрецедентное количество атак злоумышленников извне, данные необходимо защищать в первую очередь внутри периметра.

Важно отметить, что атаки становятся все более целенаправленными и изощренными. Киберпреступники используют технологии, которые сейчас у всех на слуху – искусственный интеллект и нейросети. Реалистичная подмена голоса и внешности (например, представителей топ-менеджмента компании), возможность анализа огромных объемов данных играют на руку злоумышленникам.

Насколько часто происходят утечки данных в современных организациях и что является их основными причинами?

Утечки данных в современных организациях, к сожалению, происходят достаточно часто.

Роскомнадзор отмечает, что хоть количество инцидентов незначительно снижается, ущерб от утечек и объем слитых данных возрастает многократно год от года. Проблема актуальна для крупных компаний, где могут возникать проблемы с доступом к данным, что связано, прежде всего, с отсутствием эффективного контроля. Когда файлы разбросаны по разным хранилищам, а единой системы контроля доступа нет, риск утечки данных значительно возрастает. Еще один важный фактор — это отсутствие контроля над правами пользователей в организации. Когда сотрудники меняют должности, права должны меняться, при увольнении права нужно убрать. Часто это забывают сделать, что может привести к тому, что конфиденциальная информация оказывается в руках тех, кто не должен иметь к ней доступ. Если за этим процессом нет четкого контроля – утечка данных неминуема.

Нельзя забывать и о человеческом факторе, который я уже упомянул. Представьте, что в отдел продаж компании, поставляющей промышленное оборудование, пришел новый сотрудник с целью бизнес-разведки. Он получил доступ в CRM, где ему доступна информация только по своим клиентам. Однако на файловых хранилищах компании есть папка, доступная только отделу отгрузок, куда злоумышленник получил доступ через неопытного сисадмина. Теперь он может выяснить всю необходимую ему информацию по условиям поставки, в том числе данные о клиентах, и передать эту информацию конкурентам. При этом не было копирования документов или отправки через каналы связи — сотрудник просто передавал конфиденциальную информацию конкурентам, оставаясь незамеченным для DLP-системы, которую использовали в компании.

Какие технологии и средства защиты информации наиболее эффективны для предотвращения утечек данных?

Наиболее эффективная мера защиты данных – это комплексный подход, где сочетаются программные решения и организационные меры. Для CISO важно полагаться не только на программные решения, но и на такие регулярные меры, как бумажная безопасность, обучение сотрудников и проведение регулярного аудита информационных ресурсов компании.

Среди решений, которые помогают предотвратить утечки данных, можно выделить такие классы решений, как DCAP, DLP, IDM и другие. Такие решения позволяют навести порядок в файловых хранилищах и проследить за доступом к ним, анализируя поведение пользователей и содержимое файлов. Надежный контроль данных в пределах ИТ-инфраструктуры компании помогает сократить вероятность утечек. Использование DCAP в комплексе с DLP и IDM системами помогает организовать в компании эффективный процесс защиты информации.

Как работает DCAP в контексте защиты данных? Какие ключевые особенности отличают его от других решений?

Долгое время, когда мы говорили об информационной безопасности, мы оперировали понятием «защита периметра». При этом часто забывая о том, что внутри периметра образуется доверенная зона, в которой пользователи обладают определенной свободой действий. Внутри каждой компании перемещаются тысячи документов, которые имеют реальную коммерческую ценность, а их утечка может привести к финансовым и репутационным рискам. Сейчас оставлять без внимания то, что находится внутри периметра, крайне рискованно.

В основе DCAP-подхода лежит иная, датацентричная концепция, которая делает приоритетной защиту данных, интересующих злоумышленников в первую очередь. Основная идея DCAP заключается в том, чтобы дать четкое понимание, кто и к каким данным имеет доступ, и соответствуют ли эти права внутренним политикам безопасности. Например, с помощью DCAP можно легко определить, где в хранилищах компании находятся файлы с конфиденциальными данными. По нашему опыту, сканы паспортов и другие файлы с персональными данными в компаниях часто оказываются в папках с общим доступом, что значительно увеличивает риск утечки конфиденциальной информации. DCAP отслеживает, как перемещаются файлы внутри ИТ-инфраструктуры компании, и кто к ним обращается – это позволяет мониторить процессы внутри компании в автоматическом режиме.

Кроме того, современные DCAP-системы не просто собирают информацию, но и анализируют поведение пользователей, выявляя аномалии. Например, если сотрудник начинает обращаться к папкам, которыми ранее не пользовался, или если вместо обработки 20 файлов в день он начинает работать с 200, система сразу фиксирует такие изменения. Это не всегда означает утечку данных, но подобные изменения могут быть признаками подготовки к ней. В таких ситуациях DCAP повышает эффективность реагирования на потенциальные угрозы еще до того, как произойдет инцидент. Благодаря этим возможностям DCAP помогает реализовать проактивный или превентивный подход для защиты корпоративных данных.

В каких сценариях применение DCAP дает наибольшие результаты? Можно ли выделить конкретные отрасли, где его внедрение критически важно?

DCAP-системы востребованы в компаниях различных отраслей, если для таких компаний актуальна защита информационных активов. При этом для каждой компании ценность использования DCAP индивидуальна.

Рассмотрим, например, крупную биотехнологическую компанию с большой историей, в которой значительно разрослись файловые хранилища. Информация не удалялась, файлы и документы копились годами и складывались в архивы. Помимо важных документов, содержащих финансовую и производственную информацию, накапливался и файловый мусор. Стало ясно, что потеря химических формул приведет к остановкам бизнес-процессов, а компания понесет прямые финансовые потери. Внедрение DCAP-системы помогло компании получить четкое представление о файловой структуре, местах хранения информации и доступе к корпоративным ресурсам, что позволило оптимизировать файловые хранилища и сократить риски потери данных.

Помимо этого, ключевым фактором является размер компании. В каждой компании есть что защищать, но чем она больше, чем больше в ней обрабатывается данных, тем сложнее обеспечить их безопасность. Так, например, если в компании с небольшим количеством сотрудников контроль доступа можно обеспечить за счет ручной работы специалиста или самописных скриптов, то в крупных компаниях с сотнями и тысячами учетных записей такие методы приведут к неминуемым угрозам безопасности данных.

Как правильно оценить эффективность DCAP и какие метрики необходимо учитывать при анализе его работы?

Поскольку DCAP — это решение на стыке ИТ и ИБ, важно учитывать выгоды и потери как с технической, так и с бизнес-стороны. Эффективность работы системы можно оценить по тому, насколько DCAP помогает сохранять доступность, целостность и конфиденциальность данных. Для компании, где данные являются основным активом, простой системы из-за недоступности информации может обернуться огромными финансовыми потерями. Например, можно посчитать, сколько компания потеряет, если ключевые бизнес-сервисы будут недоступны в течение часа, дня или недели. Также DCAP-системы помогают обеспечить целостность данных и избежать человеческих ошибок или намеренных изменений данных. Представим, если данные о поставках или клиентах будут искажены: сколько ресурсов компания потратит на восстановление или устранение последствий, каким будет репутационный ущерб?

Важным результатом работы DCAP-систем также является оптимизация файловых хранилищ, помощь в очистке файловых хранилищ от ненужных файлов, которые занимают место на серверах компании, что позволяет сократить расходы на приобретение нового дорогостоящего оборудования для хранения данных.

Какие функции DCAP являются обязательными для обеспечения полноценной защиты данных? Что стоит учитывать при выборе решения?

Выбирая продукт класса DCAP, обратите внимание на его функциональные возможности. Современный DCAP должен отвечать за аудит файловых хранилищ, служб каталогов и корпоративной почты, поведенческий анализ и выявление аномалий, а также активно реагировать на выявленные инциденты с помощью автоматических сценариев.

Ключевым этапом выбора DCAP-системы является ее тестирование. Обычно процесс длится около одного месяца, в течение которого можно оценить все возможности решения в условиях реальной ИТ-инфраструктуры. Я рекомендую протестировать минимум две системы от разных вендоров, чтобы понять, какое из них решит ваши задачи наиболее эффективно.

Хочу отметить, что в условиях активно развивающегося рынка DCAP-решений, ключевым фактором в выборе продукта становится экспертность технической поддержки и уровень сервиса: скорость реагирования на запросы, возможность вызова технического специалиста или качество онлайн-поддержки. Покупка такого ИБ-продукта как DCAP-система предполагает ее длительное использование, поэтому особенно важно удостовериться, что она будет поддерживаться производителем на протяжении всего срока использования.

Каким образом DCAP получает, обрабатывает и защищает данные? Насколько он способен обеспечить их целостность и конфиденциальность?

Именно системы класса DCAP призваны обеспечивать целостность, доступность и конфиденциальность данных компании. Когда мы говорим о доступности информации, мы подразумеваем, что сотрудники, которые работают с информацией, могут беспрепятственно пользоваться ею в соответствии с правами доступа. Потеря доступности важных документов, например, договоров с заказчиками или маркетинговых планов компаний, может привести к прерыванию бизнес-процессов и другим негативным последствиям.

Чтобы избежать этого, DCAP-система проводит аудит и мониторинг учетных записей и выданных прав, и на основе этих данных выстраивает прозрачную матрицу доступа. В результате сотрудникам ИБ-отдела будет доступна подробная информация о том, какие данные считаются критически важными, где они расположены и кто имеет к ним право доступа. А что, если один из сотрудников намеренно с целью нанесения ущерба внесет изменения в документы, от которых зависит работа бизнеса? При этом изменения будут выглядеть полностью легитимно для других пользователей. И что делать с бесконечными копиями версий документов, содержащих коммерческую тайну, производственную документацию секретного характера или персональные данные, которые часто оказываются в открытом доступе по вине сотрудников? Всё это несет в себе угрозы для целостности, доступности и конфиденциальности данных.

Широкая функциональность DCAP-систем позволяет оперативно выяснять, кто действительно обращается к конфиденциальным данным и нормально ли для пользователя такое поведение. Отследить подозрительные действия и события системы и предотвратить инцидент еще до того, как будет нанесен урон компании. А также обнаружить в открытом доступе файлы с документами, удостоверяющих личность, и их копиями, платежные данные карт и другую информацию, которая считается конфиденциальной.

Как интегрировать DCAP с существующими решениями по защите информации, такими как DLP, SIEM и другими?

DCAP-системы легко интегрируются с широким кругом решений: DLP, SIEM и т. д. При этом DCAP никак не конфликтует с DLP. Часто служба безопасности компании, обнаружив передачу файла с помощью DLP, хочет узнать, что происходило с этим файлом ранее: кто и куда его перемещал, где могут храниться копии и так далее. Также DCAP-система автоматически определяет тип данных (персональные данные или финансовые документы и прочее), маркирует их на основе политики безопасности и может передавать эту информацию в DLP-систему. DLP использует полученные метки для предотвращения утечек, блокируя отправку конфиденциальных данных за пределы организации, если это нарушает установленные политики.

Когда DCAP фиксирует подозрительное или важное событие, оно генерирует лог (журнал) и может передать его в SIEM-систему. Логи могут включать информацию о пользователе, типе операции, объеме данных, времени и месте выполнения операции. Анализируя полученные от DCAP данные, SIEM может сопоставить события доступа к данным с попытками несанкционированного входа в систему, чтобы выявить сложную атаку.

Какие трудности могут возникнуть при внедрении DCAP в уже функционирующую инфраструктуру? Как их можно избежать?

Критичных трудностей при внедрении решений класса DCAP нет, но стоит отметить, что каждая компания использует уникальное сочетание технологий и их версий, поэтому каждому заказчику нужен индивидуальный подход. Обычно запуск DCAP-системы занимает один день и сразу дает результат. Однако для полноценной работы и максимального покрытия всех задач может потребоваться несколько месяцев. Здесь важно учитывать особенности конкретной ИТ-инфраструктуры, бизнес-процессов и нюансы работы компании.

Результатом успешного внедрения является точная настройка системы под нужды клиента. Это включает автоматизацию основных процессов, генерацию нужных отчетов и своевременное выявление и устранение рисков. Чтобы избежать трудностей, очень важно тесное взаимодействие между инженерами вендора и командой клиента на этапе внедрения и настройки. Такой подход помогает оперативно решать возникающие вопросы и обеспечить беспроблемную работу DCAP с самого начала.

Также важно помнить, что DCAP-системы требовательны к архитектуре и для их внедрения потребуется выделить определенные ИТ-ресурсы. Поэтому важно обратить внимание на то, как в DCAP-системе настраивается сбор данных для анализа. Использование агентов (когда для сбора данных драйвер устанавливается непосредственно на файловый сервер) может негативно повлиять на отказоустойчивость системы и привести к замедлению работы файлового сервера или даже его сбою. Безагентские режимы работы минимизируют риски, но могут потребовать предварительной настройки логирования. Большим преимуществом DCAP-решения будет возможность выбора режима работы системы.