Главной проблемой безопасности остается человек

– Какие проблемы и угрозы информационной безопасности на международном уровне вы могли бы выделить?
– Проблемы на международном уровне те же, что и в России, – внешние атаки и злоумышленники внутри компании. Это как деструктивные действия хакерских групп, так и недобросовестные сотрудники, которые "сливают" информацию и вредят компании. За рубежом с информационной безопасностью все чуть хуже, чем в РФ, в силу ряда законодательных, политических и исторических причин. Например, в сентябрьском дайджесте¹ мы публиковали обзор утечек данных в мире. В нем есть информация о крупнейшей утечке в американском бюро кредитных историй Equifax, из-за нее пострадало 147 млн человек. У нас таких масштабных инцидентов зафиксировано не было. ИТ-безопасность – одна из немногих областей, где Россия впереди других стран.

– Как вы оцениваете состояние рынка ИБ в России?
– Позитивно. Он быстро растет: мы подсчитали, что потенциальный объем рынка – порядка миллиарда долларов в год. Сейчас все больше людей понимает, что информационная безопасность не менее важна, чем физическая.

– В чем вы видите главные проблемы ИБ в России?
– В госсекторе, который принимает правильную программу по цифровизации, однако реальной безопасностью заниматься не очень-то стремится. При этом госорганизации хранят наиболее критичную с точки зрения утечек информацию – полный набор персональных данных граждан: паспорта, данные о месте жительства, налогах, медицинская информация и другая, государственная и военная тайны. Перечислять можно долго.

Чем больше такой информации переходит в цифру, тем лучше ее надо охранять. Госкорпорации осознают это в части защиты собственных данных. Но с информацией граждан все обстоит печальнее, потому что вроде как она ничья, а значит и защищать ее не надо.

С цифровизацией можно привести такую аналогию: строится хороший дом, а входную дверь поставить забывают. Дверь по сравнению с ремонтом недорого стоит, так что вопрос не в деньгах. Просто забыли, и могут ворваться вандалы или воры. Цифровизация, в отличие от простой двери, создает больше проблем в плане защищенности людей.

Пара конкретных примеров из отрасли. Сканируют паспорта в гостиницах, а потом в Интернете можно купить эти копии по очень доступным ценам – около 300–400 рублей. Те же админы в гостиницах подрабатывают этим. Никто не озабочен вопросом ввода обязательных правил по установке системы информационной безопасности, которая бы элементарно отслеживала, что сканы паспортов уходят наружу. В любой, даже маленькой, гостинице это не те затраты, которые не позволят бизнесу развиваться.

Или медицина. Это вообще больная тема. Идет перевод в "цифру": истории болезней, протоколы лечения, назначения лекарств и прочее – все в открытом виде, ничего не защищено. Тут как раз за рубежом лучше, чем в России.

– Какие угрозы в сфере ИБ наиболее сильно затронули бизнес в 2018 году?
– Проблемы типовые: фишинг не теряет актуальности, атаки на отказ в обслуживании все еще результативны, инсайд, шантаж, шпионаж, интернет-мошенничество – это неполный список. Сравнительно недавно стала актуальной еще одна угроза, точнее тренд, – распространение облачных технологий. Возможности Интернета стали активнее использоваться как бизнесом, так и конечными пользователями, многие перешли на облачные сервисы и заливают туда огромные массивы информации. Но остается проблема "сквозной авторизации" (использование одного аккаунта для ряда систем), при ошибочном использовании она объединяет сферы, которые соединяться не должны: личную и корпоративную. Сейчас огромный массив рабочих данных можно переместить из корпоративной инфраструктуры в личную, в один клик, просто по ошибке. Для бизнеса это актуальная проблема.

– Можете ли порекомендовать бизнесу инновационные методы борьбы с угрозами?
– Прежде чем внедрять инновационные методы, нужно обеспечить основы защиты. Прежде всего отдавайте предпочтение, пусть не самым инновационным, но проверенным технологиям. Машинное обучение, нейросети, элементы искусственного интеллекта, поведенческая аналитика – звучит, конечно, прогрессивно, но далеко не всегда приносит ощутимый результат. Лучше решать проверенной технологией новые задачи, чем для старых задач использовать новые продукты.

Из прикладных рекомендаций: в любом случае нужно ставить систему защиты данных (DLP). Чтобы развеять сомнения в необходимости такого ПО, можно просто провести пилот. Не все, но многие вендоры предоставляют возможность бесплатного теста в течение месяца. Этого времени чаще всего достаточно, чтобы увидеть проблемы, связанные с защитой информации, и на основе этих данных принять решение.

Самое распространенное заблуждение руководителей – что все вокруг "белые и пушистые". Система, как правило, помогает убедиться, что в собственной компании все не так хорошо, как вы думаете. В любой компании, где больше 50 человек, найдутся недобросовестные люди, которые захотят получить от организации больше, чем просто зарплату. Наша практика показывает, что в среднем после одного-двух месяцев эксплуатации системы руководитель бизнеса принимает решение об увольнении 2% персонала за различные выявленные нарушения.

В случае с безопасностью бизнеса уместна та же аналогия с дверью. Не помню, где и от кого слышал, но очень понравилось: если считаешь, что вкладываться в информационную безопасность не нужно, сними входную дверь в квартиру, а на вырученные деньги купи мягкий диван и оставь квартиру открытой. Мягкого дивана, да и других вещей, очень скоро не станет.

– Вы сказали, что за рубежом больше внимания уделяется частной жизни сотрудников. Как с правовой точки зрения, не нарушает ли DLP права человека?
– Не нарушает, если не ставить DLP на личное устройство сотрудника и не контролировать его работу тайком. Практика документального оформления работы DLP-системы в компаниях давно проработана. Если совсем просто: нужно прописать необходимые пункты в трудовом контракте, внутренних регламентах организации и ознакомить работника с этими правилами под роспись.

В дополнение подчеркну, что компании обязаны контролировать работу сотрудников, так как должны защищать, например, персональные данные клиентов от утечки, охранять медицинскую, коммерческую, государственную, военную тайну, другую критически важную информацию.

– То есть получается, что DLP-технологии неприменимы к технологии BYOD, когда человек работает со своего устройства.
– И да, и нет. Неприменимы, потому что это личное устройство. Работодатель не имеет права ничего устанавливать на него. Потому здесь два пути: либо предоставить работнику корпоративный телефон, планшет или ПК, либо смириться с рисками, которые несет BYOD-концепция.

При этом если человек пользуется Wi-Fi-сетью, которая принадлежит компании, то все потоки данных, которые через нее проходят, могут контролироваться работодателем на законном основании, потому что Wi-Fi и роутер – собственность работодателя.

– Многие вендоры сейчас сосредоточились на технологии UEBA. Как вы к ней относитесь?
– Это хороший маркетинговый ход, да и сама технология интересна, но результата пока нет. Вендоры заявляют ее, но никто не может показать в действии, с прикладными, а не надуманными кейсами. Это в основном красивые слова о том, что на основании поведения пользователя что-то и как-то определяется. Когда интересуешься деталями, что технология позволяет сделать такого, чего нельзя сделать другими средствами, то понимаешь – ничего.

В прошлом году на конференции Gartner на мою прямую просьбу рассказать о кейсах с реально работающей технологией спикер привел в пример ситуации, которые отрабатываются без всякой UEBA. В итоге мы пришли к совместному выводу, что UEBA – это просто статистические отчеты, выход за рамки “среднего”, а не попытка понять и оцифровать человеческое поведение. В нашей системе подобное реализовано уже 5–7 лет назад, но еще тогда мы не считали это чем-то особенным, тем более – прорывным.

Есть занятный кейс на тему. В одном из региональных офисов обнаружился всплеск активности по чатам. Сотрудник службы безопасности после проверки сигнала DLP установил, что один из сотрудников пришел на работу в нетрезвом виде и весь офис вместо работы обсуждал его 40 минут в чатах. Вот вам и пример UEBA.

Увы, коллеги по рынку очень любят поговорить на эту тему, но стоит задать конкретные вопросы: что она дает? как с ней работать? можно ли ее протестировать? – слышишь только уклончивые ответы: наши специалисты изучат, проконсультируют, внедрят, подумают и так далее. Как только начинаются разговоры про консалтинг, это означает, что готового продукта нет.

– Понятно, почему вы выбрали другой вектор. Расскажите, пожалуйста, что из себя представляет профайлинг? В чем вы видите его преимущества?
– Профайлинг зародился в 60-х годах в Израиле для борьбы с терроризмом.

В последнее время профайлинг используется в социально-психологических методиках для оценки достоверности сообщаемой информации по поведению человека. Это напоминает невербальный детектор лжи.

Мы же пошли дальше и оцифровали профайлинг, создав модуль Profile-Center в составе DLP-системы. Он дает оценку личности человека: анализирует все коммуникации сотрудников и формирует их психологические портреты. ИБ-специалист может использовать их, чтобы прогнозировать поведение работников в нормальных, критичных и стрессовых ситуациях, рассчитывать кадровые риски и проводить профилактику, выявлять нелояльных сотрудников и предупреждать инциденты ИБ.

Плюс к этому он дает дополнительные бонусы бизнесу. Например, когда решается вопрос о повышении сотрудника, профайлинг подскажет, кого из нескольких претендентов лучше повысить. Некоторые клиенты уже сейчас применяют модуль для формирования наиболее эффективных и сплоченных команд в проектной работе, для длительных командировок и тому подобное.

Поэтому профайлинг мы рассматриваем как логическое продолжение информационной безопасности. Ориентируемся не на маркетинг и красивые слова, а на продукты, которые помогут службе безопасности и дадут реальные результаты бизнесу. Если люди видят эти результаты, они готовы вкладывать деньги.

– Верно ли, что UEBA и профайлинг довольно близки друг другу по функционалу?
– Если ориентироваться на маркетинговые описания – да, если смотреть на реальный функционал – нет. UEBA – это статистика (например, кто сколько сообщений пишет) и корреляция статистических данных. А профайлинг – это психолингвистика. На основании анализа текстов, которые пишет человек, составляется его психологический портрет. Цель одна – предотвратить ИБ-инциденты, но подходы и результат совсем разные.

– DLP – один из наиболее удачных примеров отечественных технологий. Востребованы ли российские разработки за рубежом?
– Да, востребованы. Однако, выходя на международный рынок, мы сознательно изменили позиционирование. DLP, которые есть на Западе, очень ограниченны по функционалу. Компании их ставят для галочки, они не решают большинства проблем, а просто блокируют информацию, не имея нормальной аналитики.

В России же DLP развиты гораздо сильнее. Наша DLP, например, не просто перехватывает информацию, но анализирует ее так хорошо, что обеспечивает минимум ложных срабатываний, позволяет проводить качественные расследования, от кого и куда уходит информация, какие еще некорректные инциденты происходят в компании и ведут к потере денег. Поэтому мы позиционируем нашу систему за рубежом как MLP – Money Loss Prevention – решение для предотвращения потери денег.

– В чем заключается принципиальная разница в подходах к разработке DLP-систем российских и зарубежных вендоров?
– У российских служб безопасности другие требования к продукту. В России исторически сложилось, что после распада Советского Союза в коммерческий сектор пришло много бывших сотрудников органов, которые возглавили службы безопасности. Эти люди прекрасно понимали, что такое информация, какова ее ценность и как нужно строить работу по ее защите. У них был прикладной оперативный опыт, под который они выбирали подходящие инструменты. На Западе – наоборот, на имеющихся инструментах нарабатывался опыт, не выходя за рамки их возможностей, естественно.

Мы развивали систему исходя из запросов клиентов и реальных кейсов, о которых они нам рассказывали. Так и получилось, что мы разрабатывали ПО на основе жизненных реалий и построили защиту даже от самых изощренных мошеннических действий.

– Куда движется сейчас развитие DLP-продуктов? Можно ли ожидать какой-то технологический прорыв в данном направлении? Например, в ближайшие год-два.
– DLP движутся от средств защиты данных к средствам защиты бизнеса. Это закономерно, так как разработчики наращивали функциональные возможности систем согласно потребностям заказчиков. Заказчикам, в свою очередь, недостаточно только защиты данных, их запросы направлены на защиту бизнеса в целом. Сюда входит и детектирование групп риска, вопросы занятости сотрудников, проблемы воровства и откатов и тому подобное. И если в РФ отрасль привыкла, что некоторые из перечисленных задач решаются через DLP, то на Западе такой подход вызывает "вау-эффект".

В качестве перспектив развития я бы назвал движение защитных решений в сторону укрупнения. Теперь заказчику мало одной DLP, он хочет закрывать внутренние угрозы комплексным продуктом от одного вендора.

Именно поэтому мы расширяем линейку ПО и избавляем заказчиков от головной боли с так называемым зоопарком продуктов. Они увидят результат в едином AlertCenter, им будет удобно проводить расследования. Ситуация, когда клиент сначала видит аномалию в SIEM-системе, а затем проводит расследование в DLP, – нередкая. Прыгать из одного ИТ-решения в другое – неудобно и долго. Если такая ситуация случается раз в полгода – не проблема, но если в компании сидят 10 аналитиков и ежедневно работают с инцидентами? Здесь экономия даже 20 минут на каждом расследовании – это огромные деньги.

– Каковы ваши прогнозы по основным угрозам 2019 года? Ожидается ли что-то кардинально новое по сравнению с 2018-м?
– Не уверен, что это будет в 2019-м, возможно, позже, в 2020 или 2021 году. Но вообще грядет новая угроза – умные вещи. Холодильники, микроволновки, браслеты и прочие смарт-устройства, которые сами общаются по Интернету и еще много чего делают. Рано или поздно они станут серьезной угрозой. Ведь они знают вас лучше всех (вплоть до показателей здоровья), а хранят данные "где-то там". Как они защищены и защищены ли вообще – загадка.

Если умное устройство используется в офисе, его изолируют от корпоративной сети. Но домашнюю сеть человек не будет защищать так, как работодатель защищает корпоративную, и есть косвенная угроза: унесенный домой документ может "утечь" в руки злоумышленников, проникших через умные устройства, которые человек установил у себя в квартире.

На Западе сейчас эта проблема стала настолько критичной, что появляется законодательное регулирование. В Калифорнии появился закон о недопустимости дефолтных паролей (паролей по умолчанию) для устройств, каждое устройство должно иметь уникальный пароль. Пока за этим не следят, 90% пользователей не меняет пароль у умного устройства. Не нужно быть хакером, чтобы узнать идентификатор смарт-устройства интересного тебе человека, а если у него еще и умный чайник, умная камера со стандартным паролем, то и "в гости" к pнему зайти вообще ничего не стоит.

– Какие технологические тенденции являются наиболее перспективными?
– Пока сложно сказать. Нельзя прогнозировать все, что в мире может появиться. Часто интересные новинки появляются в результате стечения обстоятельств, на стыке разных технологий. Тот же автоматизированный профайлинг не смогли бы создать отдельно ни профайлеры, ни технические специалисты. Просто так совпало, что в мое поле зрения попал один из основателей профайлинга в России, это случайность, потому что этот человек психолингвист и далек от ИТ-стартапов.

Но вот, кстати, профайлинг укладывается в общие технологические тенденции. В безопасности все возрастает роль оценки человека по косвенным признакам. Мы сейчас собираемся сделать распознавание электронного почерка человека, это косвенный показатель оценки его состояния. В отрыве от других эта технология особого смысла не имеет, но в комплексе с тем же профайлингом позволяет получить о человеке гораздо больше информации.

На Западе есть технологии, которые по тембру голоса определяют, в каком человек настроении. Пока это на уровне развлечения. Тенденция – максимальная оценка по общедоступным косвенным признакам того, какие риски и угрозы ждать от человека. Потому что главная угроза безопасности – сам человек.