CNews: Начнем с того, что такое внутренние угрозы. Что под этим понимают, когда говорят об их предотвращении?

Елена Черникова: Понятие внутренней угрозы появилось вместе с классической системой предотвращения утечек информации (DLP). Тогда под угрозой понимался вывод чувствительной для работодателя информации за периметр организации. Со временем концепция DLP трансформировалась. В частности, пилотирование нашей DLP-системы у заказчиков показало, что спектр внутренних угроз давно перерос факт утечки как таковой. Помимо утечек, это и нецелевое использование рабочего времени, и обсуждение важной информации за пределами рабочей переписки, и нездоровый психологический климат в коллективе — то есть любое поведение сотрудника, которое может навредить работодателю.

CNews: Какое место занимают организации госсектора на ландшафте организаций, которые сталкиваются с подобными нарушениями?

Елена Черникова: Пока наши выводы о характере и изменениях внутренних угроз основаны на отчетах о пилотировании DLP-системы Solar Dozor за два периода 2018 —2020 годы и 2021 год. На основании этих данных можно говорить об определенных тенденциях.

Есть несколько красноречивых цифр в нашем исследовании «Какие организации чаще других становятся жертвами внутренних нарушений?». В подборку опрошенных компаний вошли самые разные организации — производственные, строительные, медицинские учреждения, ретейл — практически все отрасли. В первом отчете доля госструктур в подборке составляла 10%, во втором — уже 25%. Причем если в первом отчете эти 10% в основном были представлены средними по размерам организациями с количеством сотрудников от 100 до 500 человек, то во втором свыше 50% — структуры со штатом свыше 1000 сотрудников. Вырос объем критичных нарушений: в первом случае их было 460, во втором — 1900. При этом количество организаций с критичными нарушениями упало в два раза, а 1600 из 1900 таких нарушений пришлось всего на одну организацию.

«Кажется, что критичных нарушений стало больше, но скорее мы можем говорить о том, что их стали чаще выявлять»

CNews: Как бы вы прокомментировали эти цифры?

Елена Черникова: Как ни странно, здесь есть позитивный момент. Кажется, что критичных нарушений стало больше, но скорее мы можем говорить о том, что их стали чаще выявлять. Больше государственных организаций устанавливают DLP-системы — соответственно, о большем количестве нарушений становится известно.

Что же касается случая с аномально высокой концентрацией критичных нарушений в одной организации, причиной мы считаем неточные настройки политики безопасности — отсюда такая цифра. Во избежание подобных ситуаций при внедрении «боевой» системы мы предлагаем заказчикам совместно отработать тонкую настройку политики в соответствии с реальным контекстом их жизни: действительно важная, специфическая информация, критичные бизнес-процессы, сотрудники на контроле.

Например, при условии отсутствия в организации корпоративного почтового домена зашкаливает объем инцидентов, связанных с пересылкой на личную почту служебной информации. При том, что для конкретного заказчика данное условие — лишь особенность организации конкретного бизнес-процесса (почтовый обмен). Кто-то после такого сигнала со стороны DLP-системы переведет это правило в разряд исключений в настройке политики, а кто-то, возможно, серьезно задумается о возвращении рабочей переписки в информационный периметр организации.

CNews: Есть ли какие-то нарушения, которые можно назвать типичными для государственных организаций?

Елена Черникова: В отчетах 2018-2021 гг. мы выделили три самых распространенных типа внутренних угроз, характерных для госструктур. Два из них общие для обоих отчетов, а вот третий отличается.

Возглавляет «топ-3» пересылка документов ДСП (для служебного пользования) за информационный периметр организации: например, на личную электронную почту. По мнению наших заказчиков, количество намеренных и случайных утечек делится примерно поровну: 48 на 52% (мы проводили такой опрос в 2021 году). Но даже если утечка ненамеренная — например, сотрудник пересылает себе документ, чтобы поработать дома, — система расценивает это как угрозу. Потому что неизвестно, что с этим документом будет потом. Почту могут взломать, сотрудник может случайно отправить информацию не тому адресату, и информация уйдет в открытый доступ.

Второе самое распространенное нарушение — нецелевое использование рабочего времени. Сюда, в частности, попадает подработка втайне от работодателя. При этом и подработка — если она ведется без уведомления работодателя, и просмотр видеороликов в Youtube в рабочее время нарушают Федеральный закон «О государственной гражданской службе» (79-ФЗ), устанавливающий ограничения и запреты для госслужащих. Такие случаи Solar Dozor тоже выявляет.

Третье по «популярности» нарушение в первом и втором отчетах разное.

В отчете за 2018—2020 это различные нарушения парольной политики. Сюда относится использование слишком простых или типовых паролей, размещение в свободном доступе (например, в общей папке в облаке) логинов и паролей для доступа к ГИС, пересылка учетных данных в мессенджерах или по электронной почте.

А вот в 2021 году на первый план вышла пересылка персональных данных за пределы информационного периметра организации. И в нескольких случаях это персональные данные, выгружавшиеся из государственных информационных систем, в том числе, в формате технических выгрузок фрагментов БД.

CNews: С чем вы связываете эти изменения?

Елена Черникова: То, что из топа ушла парольная политика, скорее всего, результат целенаправленной политики по снижению рисков ИБ и повышению киберграмотности служащих, которую, как мы знаем, активно проводят госорганы в последние годы. Кто-то использует программные средства, которые автоматически блокируют попытку задать слишком простой или стандартный пароль. Кто-то проводит среди сотрудников просветительскую работу: семинары, вебинары, памятки и так далее. «Ростелеком-Солар» со своей стороны оказывает поддержку коллегам из федеральных органов исполнительной власти, реализуя подпрограмму повышения грамотности государственных гражданских служащих Российской Федерации по вопросам информационной безопасности.

Вместе с тем информированности в вопросах утечек по-прежнему не хватает. Больше половины из них случайные: по небрежности, по незнанию и так далее. В основном данные утекают через соцсети и личную переписку. И если с парольной политикой, как видно из отчетов, более или менее разобрались, то с утечками еще предстоит работать.

CNews: Как в госсекторе борются с утечками персональных данных?

Елена Черникова: Здесь те же способы, что и в случае с парольной политикой: повышение информированности и программные средства. Кто-то учит сотрудников. Кто-то устанавливает DLP-системы. У нас все больше заказчиков из числа государственных организаций. Определенно могу сказать, что борются — должны бороться — все, поскольку есть 149 Федеральный закон «Об информации, информационных технологиях и защите информации». Он предусматривает ответственность за сохранность персональных данных пользователей, которые хранятся в ГИС, и несет ее оператор этой системы.

«Помимо персональных данных пользователей, в государственных организациях хранится много другой конфиденциальной информации»

CNews: Какой еще конфиденциальной информацией, помимо персональных данных граждан, оперируют госструктуры? Представляет ли она какой-либо интерес для злоумышленников, чем опасна ее утечка?

Елена Черникова: Помимо персональных данных пользователей, в государственных организациях хранится много другого рода информации, раскрытие которой может повлечь за собой большой вред.

Это ДСП-документы, о которых мы уже говорили. Это информация из межведомственной переписки. Например, когда готовится, скажем, поправка в федеральный закон. В обсуждении могут фигурировать варианты, которые никогда не окажутся в итоговом документе и не являются официальной позицией. Однако если они где-то всплывут до того, как появится утвержденная версия правового акта, это может стать неприятным инцидентом. В условиях современной напряженной политической обстановки — инцидентом критическим.

Это финансовая информация: детали о распределении сумм госконтрактов, подрядчиках и субподрядчиках; данные о доходах/расходах служащих, на которые не распространяются требования об их раскрытии в соответствии с законодательством; информация о сделках с государственным имуществом, находящимся в оперативном управлении, и так далее.

То есть в целом можно говорить о том, что спектр чувствительной информации, хранящейся в госструктурах, чрезвычайно широк: это и персональные данные граждан, и чувствительная внутренняя информация о работе самой структуры.

CNews: Установка DLP-системы может предотвратить утечки этих данных?

Елена Черникова: Выше мы говорили о расширении функций и возможностей DLP-систем. Современные DLP-системы могут делать все больше выводов на основе одного и того же цифрового трафика. Спектр нарушений, которые замечает Solar Dozor, намного шире, чем предотвращение утечек. Например, система умеет выявлять признаки важных для госструктур нарушений ограничений и запретов для госслужащих в соответствии с 79-ФЗ.

Оснований для увольнения госслужащего намного больше, чем для работников организаций, которые живут по Трудовому кодексу. Существует список того, что сотрудники госструктур делать не должны, — правил, нарушение которых может стать поводом для увольнения. Это касается и намеренных нарушений — например, несогласованной с работодателем подработки, — и случайных. Как человек, работавший в госструктурах, могу сказать, что новичку на госслужбе очень сложно: и сходу запомнить все пункты, и понять, как нарушения, описанные в законе, выглядят в реальной жизни. В некоторых случаях ты можешь просто не понять, что делаешь что-то не так. А система — при соответствующих настройках — поможет предупредить человека, что вот то, что он сейчас делает, возможно, содержит признаки дисциплинарного нарушения. Мы в компании предпочитаем принцип «презумпции невиновности» со стороны сотрудника: если человек что-то делает (если это «что-то», конечно, сильно не напоминает сознательное преступление) — вполне возможно, для начала ему стоит просто напомнить о правилах корпоративной этики.

Еще один важный бонус DLP-системы — возможность выявления признаков конфликта интересов на ранних этапах. В этом смысле система может выступить хорошим помощником для подразделений госорганов по урегулированию конфликта интересов и противодействию коррупции, в задачи которых входит такая деятельность. Можно аккуратно подсвечивать признаки таких ситуаций. А в сочетании с вышеприведенным примером про уведомление самого госслужащего о возможном нарушении реальный полезный эффект для всех сторон увеличивается на порядок.

CNews: Насколько активно государственные организации берут на вооружение средства защиты от внутренних угроз?

Елена Черникова: Интерес к DLP-системам растет, и можно сказать, что их использование становится хорошим тоном. В открытом доступе нет данных о том, сколько именно госструктур установили у себя DLP-системы, но, по моим наблюдениям, они есть примерно у половины организаций. Другое дело, что мне не известно ни одного случая, чтобы DLP-системой были охвачены все сотрудники. Скажем, при штате в 1000 человек охват в 50%—предел. И это мы говорим об организациях, у которых нет территориальных органов. Потому что, если они есть, это десятки или даже сотни тысяч человек. Таких инсталляций пока в принципе не существует. Хотя, конечно, так или иначе к этому все стремятся.

CNews: Как в госструктурах относятся к аутсорсингу услуг по защите данных?

Елена Черникова: Отрицательно. Причем резко отрицательно. Именно из-за того объема чувствительной информации самого разного характера, которой оперируют госструктуры. Аутсорсинг означает, что данные, собранные в ходе работы DLP-системы, будут сгружаться в облако и попадать к сторонним аналитикам. И, не смотря на подписываемые в обязательном порядке NDA, ментально ни один из серьезных госзаказчиков не готов к тому, чтобы внутреннюю информацию видели посторонние. Цифровой трафик может включать что угодно: от закрытых документов до переписки в мессенджерах. Поэтому все ограничивается установкой DLP-систем. Никаких облаков и сторонней аналитики.

Мы как вендор с пониманием и уважением относимся к такой позиции заказчиков и всегда констатируем готовность активно помогать на тех этапах внедрения DLP, где наша помощь будет уместной: при точной настройке политики и подготовке собственных кадров заказчика для работы с ней. Так, для наших сотрудников становится хорошей традицией участие в образовательных мероприятиях для ИБ-специалистов государственных органов.

«Именно в случае с DLP никакого импортозамещения не происходит»

CNews: В последние месяцы вопрос импортозамещения остро стоит для всех. Если говорить о DLP-системах: госсектор давно стал использовать отечественные решения или только под влиянием текущей ситуации?

Елена Черникова: Именно в случае с DLP никакого импортозамещения не происходит, потому что зарубежные DLP-системы госзаказчики не использовали никогда. Всегда только отечественные. Что выглядит крайне оправданным по разным причинам: российские DLP-системы давно превосходят иностранные аналоги и с точки зрения функциональных возможностей, и глубиной аналитической проработки той же политики. Определенно специфику жизни российского бизнеса и госсектора «свои» производители знают куда лучше.

CNews: А самих разработчиков — с точки зрения производства самого продукта, DLP - коснулись тенденции импортозамещения?

Елена Черникова: Разработчиков — да. В DLP-системе есть две части. Это агент — программа, которая устанавливается на рабочую станцию сотрудника и собирает данные. И серверная часть, где эти данные обрабатываются. Каждая из этих частей работает на какой-то операционной системе. Они могут быть разными, но в абсолютном большинстве случаев это выбор между семействами Linux (условно отечественной, или, по крайней мере, независимой операционной системой) или Windows (безусловно импортной). DLP, которые работали на Windows, сейчас повсеместно сталкиваются с последствиями курса на импортозамещение. И естественно, в случае с государственными заказчиками это проявляется наиболее ярко.

Что касается Solar Dozor, можно сказать, что он — настоящий «аксакал импортозамещения» среди российских DLP-систем. В частности, Endpoint-агент системы на базе импортонезависимой ОС существует так давно, что уже сравнялся по функциональности с Windows-агентом — это позволяет полноценно работать в среде с несколькими ОС и плавно осуществлять импортозамещение.

CNews: Расскажите о самых интересных DLP-проектах в госсекторе, которые вам удалось реализовать в этом году.

Елена Черникова: Для одного крупного госзаказчика мы придумали нестандартный способ перехвата нелегитимных действий сотрудников в большой ведомственной информационной системе (ГИС), в которой хранится информация обо всех гражданах России старше 14 лет. Нелегитимными действиями являются попытки получить конфиденциальную информацию — запросы к базе данных. Количество сотрудников, работающих в этой ГИС, исчисляется тысячами человек, подразделения заказчика размещены во всех регионах России, что может сделать эту инсталляцию и по объему, и по важности охраняемой информации сопоставимой с нашей самой крупной на данный момент инсталляцией в коммерческом заказчике — Сбербанке.

При этом мы как эксперты в защите информации не только в коммерческих заказчиках, но и в государственных органах и организациях видим именно защиту информации ГИСов одним из приоритетов при работе с ними. Таким образом, мы помогаем операторам ГИС снизить риски законодательной ответственности за ее неправомерное копирование, распространение и предоставление третьим лицам, защиту от которых оператор должен обеспечивать.

Также мы хорошо понимаем, что ввод и хранение информации в разных ГИСах организованы по-разному. И мы готовы использовать для защиты всей этой разнообразной информации разные сценарии и функциональные возможности Solar Dozor. Так, помимо уже упомянутого заказчика, на другой площадке для перехвата утечек данных из другого ведомственного ГИСа мы использовали регулярные выражения, позволяющие идентифицировать типовые идентификаторы записей из федерального реестра, который ведется в этом ГИСе. А еще в одном случае «ловили» цифровые отпечатки типовых форм документов, которые хранятся в ГИС с еще одним федеральным реестром.