DLP для кадровой безопасности: опыт экспертов

В конце сентября 2022 года состоялась очередная онлайн-конференция AM Live, организованная информационно-аналитическим центром Anti-Malware.ru. Мероприятие было посвящено сценариям использования DLP-систем для задач кадровой безопасности. В ходе беседы под кадровой безопасностью понимался широкий спектр процессов в рамках обеспечения экономической безопасности: комплаенс, риск-менеджмент, противодействие коррупции и собственно работа с персоналом. В мероприятии приняли участие представители ГК InfoWatch, «Гарда Технологии», Staffcop и других компаний рынка ИБ.

Кадровая безопасность: место в структуре компании

Участники дискуссии пришли к выводу, что сложно дать точное определение кадровой безопасности, определить ее место относительно информационной безопасности и, соответственно, распределить обязанности по ее обеспечению между различными подразделениями компании: ИТ, ИБ, HR, физической безопасности. Нет никаких общих регламентирующих документов на этот счет. В каждой компании практикуются свои подходы к этому, зависящие от организационной структуры, уровня зрелости ИТ, корпоративной культуры. В общих чертах кадровая безопасность – это процессы снижения рисков со стороны сотрудников и инсайдеров, оценки и предотвращения угроз. Кадровая безопасность тесно связана с информационной безопасностью – эта связь проявляется, в том числе, в наборе применяемых программных инструментов. В идеале все виды безопасности, включая кадровую, должны работать в симбиозе.

 

Александр Клевцов, руководитель направления InfoWatch Traffic Monitor, ГК InfoWatch

 

«Кадровая безопасность – это, в первую очередь, всё, что связано с кадровым резервом и эффективностью кадров. Для меня это, например, прогнозирование увольнения сотрудника, контроль его рабочего времени. При этом сегодня любая сфера деятельности компании включает в себя элементы информационной безопасности: кадровая, экономическая безопасность и т. д. ИБ составляет конкретную ценность любого бизнес-процесса», – уточнил руководитель направления InfoWatch Traffic Monitor ГК InfoWatch Александр Клевцов.

 

Анна Попова, руководитель департамента клиентского сервиса, «Ростелеком-Солар»

 

«DLP-система всегда строится вокруг сотрудника, кадра: это идеальная система для кадровой безопасности, которая должна быть интересна собственной безопасности в первую очередь. Но несмотря на это, основным внутренним заказчиком DLP считается информационная безопасность. Поэтому сегодня мы наблюдаем классическое противостояние ИТ и ИБ, и они вместе противостоят экономической безопасности. И из-за этого много казусных ситуаций возникает во взгляде на DLP и применении этой системы», – обозначила проблему руководитель департамента клиентского сервиса, «Ростелеком-Солар» Анна Попова.

 

Дмитрий Горлянский, руководитель направления технического сопровождения продаж «Гарда Технологии»

 

«Информационная, кадровая, сетевая безопасность – это всё пересекающиеся множества. Применение того или иного понятия зависит уже от того, с чем мы работаем в каждом определенном случае. Допустим, в компании накопилась файловая помойка с какой-то информацией. Если в нее можно проникнуть извне, пользуясь уязвимостями в протоколах, – это компетенции сетевой безопасности. Если есть сотрудники, которые имеют доступ к этим файлам и могут ими воспользоваться в личных целях, – это уже кадровая безопасность. Если затрагиваются какие-то бизнес-процессы, – это уже информационная безопасность. Часто приходится наблюдать в последнее время, что с людьми специалисты работать разучились, идет очень сильный перекос в сетевую и информационную части», – добавил руководитель направления технического сопровождения продаж «Гарда Технологии» Дмитрий Горлянский.

 

 

Издание Anti-Malware.ru провело опрос среди зрителей конференции: «Используете ли вы DLP для анализа поведения сотрудников?». 41% респондентов ответили, что уже применяют, успешно эксплуатируют DLP. 30% сказали, что изучали вопрос, но пока не применяли – это большой резерв потенциальных потребителей DLP. 26% знают общие принципы системы. 3% никогда не слышали о DLP.

Роль DLP в решении задач кадровой безопасности

Сотрудники организаций являются причиной большого количества рисков, многими из которых можно управлять с помощью DLP-систем. Причем источником угроз далеко не всегда является желание умышленно причинить компании вред и нанести ущерб. Например, существенный процент утечек, которые в последние годы были выявлены с помощью DLP, происходил по неосторожности. Однако сегодня, как отметили эксперты, фиксируется всё больше случаев умышленного нарушения правил – когда сотрудник компании является или организатором, или соучастником кибератаки. Правильное применение систем DLP становится главным способом борьбы с такими угрозами. Участники дискуссии сошлись во мнении: DLP помогает в предотвращении злонамеренных действий сотрудников.

 

Дмитрий Кандыбович, директор по развитию Staffcop

 

«По моему мнению, DLP должна выполнять в первую очередь функцию архива, который собирает данные. Уже потом эти данные должны экспортироваться в зависимости от того, какие риски для себя считает бизнес. На базе этого архива можно расследовать любой инцидент – неважно, какое подразделение к тебе обращается. Поверх этого находится большой вспомогательный класс инструментов, обеспечивающий визуализацию и автоматизацию этих процессов», – отметил директор по развитию Staffcop Дмитрий Кандыбович.

 

Александр Канатов, CEO «Стахановец»

 

«Организацию, будь то государственное учреждение или частный бизнес, можно сравнить с живым организмом. И кадровая безопасность, как и любой другой вид безопасности, – это иммунная система организма. Она нужна для поддержания гомеостаза внутри этого организма, чтобы процессы жизнедеятельности, бизнес-процессы, протекали нормально, чтобы ничто не угрожало компании», – привел сравнение CEO компании «Стахановец» Александр Канатов. Отдельно он отметил, что такие функции DLP, как запрет фотографирования с экрана, выводит функции безопасности за периметр тех процессов, которые происходят внутри рабочей станции.

 

Евгений Михайлов, заместитель начальника управления ИТ по ИКТ компании отрасли ОПК

 

«DLP, по крайней мере российские, на мой взгляд, – это один из классов систем, которые в настоящий момент напоминают швейцарский нож. Приспособить их можно под достаточно большой круг задач, и даже «из коробки», не преднастроенные, они могут быть использованы работниками с не самым высоким уровнем компетенций. В каждой компании существует своя модель рисков, свои приоритетные риски. И если утечке подвержена информация, составляющая государственную ценность, – это риск уже не в масштабах компании, а в масштабах страны», – высказался Евгений Михайлов, заместитель начальника управления ИТ по информационно-коммуникационным технологиям одного из предприятий ОПК. 

 

 

Опрос на тему «Должны ли HR-специалисты использовать DLP-систему?» показал следующие результаты: 18% респондентов ответили «да, они должны быть полноценными пользователями», 40% – «должны иметь доступ только к своей витрине», 31% – «нет, DLP – это инструмент информационной экономической безопасности».

Поведенческая аналитика в кадровой безопасности

Кроме DLP в кадровой безопасности широко применяются системы класса User Behavior Analytics (UBA) – инструменты для поведенческого анализа пользователей. DLP и UBA могут работать вместе, или в системе DLP может присутствовать модуль UBA.

«Помимо непосредственного просмотра инцидентов, событий, можно использовать DLP в сочетании с поведенческой аналитикой. Без нее компании приходится сложно, особенно в текущих условиях, когда речь идет об удаленных сотрудниках. Также я хотел бы подчеркнуть – в кадровой безопасности сотрудник не обязательно является нарушителем. Часто нам просто нужно понять, как он адаптирован в коллективе, нормально ли у него выстроены связи. Или, например, сотрудник внезапно уехал в другую страну, разрушил какие-то связи в компании. Это тоже аспект кадровой безопасности: нужно восстановить данные, с кем он общался, какие у него контакты внутри компании, за ее пределами. Поэтому здесь визуальная аналитика становится не просто очередным отчетом, а очень принципиальным инструментом», – добавил Александр Клевцов (InfoWatch).

Так, при помощи продуктов InfoWatch компания может решать такие задачи, как прогнозирование увольнения, обнаружение подготовки к утечке, обнаружение нарушений бизнес-процессов (отклонений от бизнес-процессов), выявление дискредитации компании и нелояльного поведения сотрудников. В этих сценариях нет инцидентов с точки зрения DLP. Угрозы оцениваются путем анализа поведения сотрудников.

Проблема с распространением технологий UBA связана с излишним хайпом вокруг поведенческой аналитики и соответствующими спекуляциями на рынке. Многие производители решений ИБ так или иначе заявляют о включении в них функции UBA, независимо от наличия реальной экспертизы.

Мифы о DLP

Участники дискуссии назвали наиболее популярные заблуждения, встречающиеся у заказчиков систем DLP. Перечислим некоторые из них.

«DLP это дорого». На самом деле DLP-система далеко не всегда бывает дорогая.

«DLP это только про утечки». DLP уже давно стала инструментом, предоставляющим гораздо более широкий функционал для разных служб.

«DLP это не про ИБ, а больше про HR». На самом деле и то, и другое.

«DLP это и есть безопасность». На самом деле безопасность зависит от компетенций сотрудника, а DLP – это один из инструментов, которые он использует наряду с другими.

«С DLP очень сложно работать». Необходимо просто правильно настроить систему.

«DLP это враг сотрудника, она вмешивается в его личную жизнь, ущемляет права».

«Вендоры DLP сливают данные заказчиков».

Отметим, что участники дискуссии разошлись во мнениях – может ли DLP эффективно работать «из коробки».

Практика применения DLP в кадровой безопасности

Работа DLP-системы должна быть подготовлена организационно: собирать события можно в легитимной и нелегитимной форме. В первом случае компании необходимо создать определенный пакет документов, а сотрудник – ознакомиться с ним и поставить подпись. Это позволит компании использовать полученные DLP данные по собственному усмотрению, в том числе как доказательную базу в суде. Второй сценарий используется, как правило, для проверки гипотезы по конкретному сотруднику. О нем собираются данные из системы, и по ним делаются некие выводы, анализируются прямые и косвенные признаки инцидента. Недостаток такого подхода в том, что в суде такой нелегальный сбор информации могут не признать в качестве доказательства – скорее он нужен для внутренних расследований.

По мнению Дмитрия Горлянского («Гарда Технологии»), классический кейс внедрения DLP начинается с поиска критической информации, персональных данных, которые могут быть перехвачены из-за неправильного хранения. Сначала компания разбирается с этим, а уже после начинает дальнейшие шаги. Отдельный важный аспект – грамотно ставить задачу для DLP, чтобы предотвратить большое количество ложных срабатываний.

Применение DLP в кадровой безопасности не имеет концептуальных различий как в корпоративном периметре, так и по отношению к сотрудникам на «удаленке». Если сотрудник со своего устройства личного подключается к корпоративной сети, правила для него устанавливаются абсолютно те же, – рассказала Анна Попова («Ростелеком-Солар»).

Дмитрий Кандыбович (Staffcop) добавил, что использовать результаты DLP для профилактики рисков можно в двух режимах. Первый подход – устраивать регулярные показательные разборы инцидентов для поддержания коллектива в тонусе. Можно даже вовлечь в использование системы сотрудника, предоставить ему некую статистику его активности. Второй подход – не афишировать работу системы DLP, а действовать точечно по инциденту. Применение того или иного подхода зависит от задач компании.

 

Владимир Клеев, эксперт по комплаенс и антикоррупции Клуба Страховых Конференций»

 

«Возникло консолидированное мнение, что результат нашей работы с системой DLP можно использовать для профилактики, но надо это делать осторожно, дозировано, ювелирно – с точки зрения профилактической деятельности, освещения результатов расследований», – резюмировал модератор конференции, эксперт по комплаенс и антикоррупции Клуба Страховых Конференций Владимир Клеев.

Итог: прогнозы развития DLP от экспертов

Александр Канатов, «Стахановец»: «Наш клиент всегда хочет «большую красную кнопку», нажав на которую он мог бы получить максимальный результат. Соответственно, системы будут стремиться обрабатывать входные данные комплексно, чтобы предоставлять возможность пользователям принимать управленческие решения на основе этих объективных данных».

Александр Клевцов, ГК InfoWatch: «Одна из тенденций развития DLP-систем – они становятся умнее, снижаются трудозатраты на эксплуатацию системы, на выявление инцидентов, конфигурирование, настраивание политик безопасности. Часть работы за человека уже может делать машина – для того, чтобы человек сконцентрировался не на разборе архива, документов, трафика и т. д., а на принятии ключевых решений».

Анна Попова, «Ростелеком-Солар»: «DLP будут развиваться по двум направлениям. Первое техническое – мы будем двигаться к некой экосистемности, интеграции решений. Второе, если мы говорим о «внутренности» системы, – это UBA. Мы могли бы использовались некие паттерны, которые позволяют разобраться в большом потоке информации. Нужно идти к тому чтобы с большими данными можно было работать быстро и эффективно».

Дмитрий Кандыбович, Staffcop: «ИБ становится все более осмысленной, DLP воспринимается как один из инструментов в большой экосистеме. Наверное, мы будем идти в сторону более плотной интеграции с решениями типа DCAP, UEBA, SIEM. Будущее – за такой совместной работой ради общего блага».

Дмитрий Горлянский, «Гарда Технологии»: «Я не очень верю в системы UEBA, они слишком разрозненные, там слишком много форматов, видов, способов подачи данных. Пока не будет нормальной формализации данных, которые поступают в UEBA, она работать не будет. И второе – необходим инструмент, который мог бы выстраивать правильно и хорошо работающие цепочки событий. Мы все работаем с какими-то единичными событиями, но я пока не встречал инструмента, который мог бы эффективно обрабатывать их последовательность».

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, InfoWatch, DLP, Solar Security, Гарда Технологии