Set лицемерие_mode = on(включить режим лицемерия)

Николай Федотов
Главный аналитик компании InfoWatch

Внутренние нормативные акты предприятия тоже часто создаются по этому образцу. Когда бюрократ пишет или утверждает явно неисполнимый документ, он оправдывает себя одним из следующих соображений:

• а) пусть норма неисполнимая и большинство ее нарушает, но само ее существование удержит хоть кого-то от нарушения;
• б) наличие этой бумажной нормы позволит отчитаться перед начальством и регулирующими органами, а реальное исполнение тут не нужно;
• в) неисполнимая норма сделает всех виноватыми - это позволит при необходимости наказать любого.

Такая практика повелась в России издавна. И кстати, не помешала ей быть великой державой на протяжении нескольких веков. Многие считают ее естественной, а умение жить по неписаным нормам и пренебрегать писаными - полезным свойством ума и показателем профессиональной квалификации.

Но тут появились компьютеры, и они сразу же отказались следовать российским традициям. Машины выполняют только писаные инструкции (программы), причем буквально. Безо всяких скидок на "по понятиям", "это формальность", "надо же понимать" и "уважаемых людей не трогай". Поэтому в западном обществе со старыми легистскими традициями автоматизация предприятий пошла легко. А в России ей встретились специфические препятствия.

DLP-система - овеществленная политика безопасности

Она охраняет периметр информационной системы по заранее определенным правилам. Правила эти могут быть достаточно сложны, изменчивы, с массой условий и взаимозависимостей. Но они детерминированные. Мы в своей работе неоднократно наблюдали, как наши клиенты, приобретая DLP, пытались перевести существовавшую у них на бумаге политику безопасности в электронные правила. Обычно это заканчивалось неудачей. Обнаруживались нормы, которые либо невозможно выполнить (без ущерба для бизнеса), либо они с самого начала не предназначались для исполнения. В итоге правила для DLP-системы писались "по мотивам" или вообще с нуля.

Зато показал свою плодотворность обратный подход. DLP-система ставится в тестовом режиме, собирается статистика, создаются правила, испытываются, вводятся в действие. Затем на базе этих машинных правил пишется уже приказ для людей. Когда даже компьютер способен выполнить указание, то человек - тем более.

Давно известно, что с точки зрения бизнеса мягкая исполняемая политика безопасности лучше, чем жесткая неисполняемая. Требования ИБ надо снизить до того предела, при котором большинство работников соблюдают их добровольно - в силу сознательности, понимания их необходимости. Тогда оставшееся меньшинство можно принудить без особых проблем. Общая защищенность системы равна защищенности слабейшего звена. Учитывая это, подтягивать слабейшие места гораздо выгоднее, чем закручивать гайки в других. Надо подгонять отстающих, а не тех, кто идет в середине. Тем более что это вызывает меньше всего недовольства.

В Европе, когда на определенного пользователя не приходит уведомлений о нарушении политик ИБ, офицер безопасности может расслабиться и считать, что с ним все в порядке. А в российских офисах ситуация прямо противоположная. Если на действия какого-то пользователя нет уведомлений (ситуация, кстати, довольно редкая), это означает, что он - главный нарушитель политики безопасности. Либо этот пользователь пробросил VPN-туннель в обход системы, либо принес ЗG-модем и подключился через него, либо работает под чужим аккаунтом. Отсутствие фиксируемых нарушений говорит не о послушности данного пользователя, а о том, что контроль над ним не работает.

Здесь дело уже не в том, что слишком много запретов, которые невозможно не нарушить. Здесь дело снова в вековых традициях народа, у которого лояльность и законопослушность - суть взаимно противоречивые качества. Жить строго по правилам считается не вполне приличным. Требовательность этих правил можно снижать до уровня, приемлемого для подавляющего большинства работников. Но приемлемость и исполнимость не дадут автоматически исполняемости. Поток уведомлений от DLP-системы (и вовсе не ложных срабатываний) не удается свести к нулю. Он будет всегда. Служба ИБ предприятия не может, как служба IT, все автоматизировать, настроить и отдыхать. СИ Б вынуждена будет всегда обрабатывать некий поток внутренних инцидентов ИБ и постоянно выносить некоторый поток взысканий работникам.