Андрей Арефьев, руководитель отдела развития продуктов InfoWatch, начал свое выступление с того, как в его глазах выглядит трансформация бизнеса, его «диджитализация». На рис. 1 изображены одни из наиболее актуальных на сей день ИТ-технологий.
Рис. 1.
Все эти технологии приводят к определенным нюансам, связанным с информационной безопасностью. С помощью аналитического агентства InfoWatch можно увидеть картину роста утечек информации, которая показывает, как из года в год растет их число и это несмотря на то, что на рынке существует большое число ИБ-систем.
Рис. 2.
На рис. 2 представлено распределение утечек по каналам в России и в мире по данным аналитического центра InfoWatch. Удивительно, но 45% утечек в мире связано с бумажными документами.
Естественно, основным инструментом по борьбе с утечками являются DLP- системы, которые прежде всего позволяют быть в compliance с требованиями регуляторов. На основе тех данных, что DLP- система собирает, можно выявлять аномальное поведение сотрудников, выявлять распространение социальных эффектов как внутри компании, так и снаружи. Эта система может использоваться для выявления сговоров, саботажей, мошенничества, распространения клеветнической информации, в том числе в социальных сетях. DLP-система ищет причины инцидентов, устанавливает скрытые связи между персонами и событиями.
Здесь важно отметить, что полноценная DLP- система должна обрабатывать миллионы событий в день с помощью контентного анализа пересылаемых данных, в том числе использовать морфологического анализ более 20 иностранных языков, поддерживать анализ графической информации. Если DLP-система обрабатывает миллион событий в день, то даже один процент ложных срабатываний будет очень сильно влиять на нагрузку службы информационной безопасности. Производительность мощной DLP-системы должна позволять анализировать до 2 Тбайт почтового трафика в день.
Существенным фактором снижения количества ложных срабатываний является хорошая интеграция с бизнес-системами, в первую очередь с ERP-системами. По словам Андрея Арефьева, в конце 2018 года InfoWatch анонсировал интеграцию своего ПО с ERP-системой компании SAP.
Почему InfoWatch это сделал? Простой жизненный пример: если вы хотите с помощью DLP-системы защитить информацию о ваших клиентах, чтобы контролировать и выявлять факты, когда их контакты покидают периметр вашей компании. С помощью каких-то регулярных выражений или стандартных правил это сделать практически невозможно, поскольку информация в виде номеров телефонов и электронных адресов постоянно курсирует через периметр компании, другое дело что, как правило, это данные о сотрудниках. Как решить задачу выявления утечки инфо о ваших партнерах или клиентов? Единственный способ – это опираясь на базу данных SAP проверять что данные этого вендора не пересекают периметр компании в любом виде. Для этого и сделала интеграция с системой SAP.
Интеграция с сетевым оборудованием также важна для DLP-системы, поскольку это естественный источник информации, который DLP-системой и обрабатывается.
Любая современная DLP-система должна интегрироваться с SIEM-системой, она не может обойтись без блокировки, которая должна базироваться на политиках безопасности. Это не значит, что вы должны заблокировать копирование, например, на сетевые носители, или на USB-флешки, или в облачные хранилища. В определенной ситуации нормально, когда сотрудники имеют доступ к облачным хранилищам, но важно при этом чтобы контент анализировался и выявлял не легитимные операции.
По представлению Андрея Арефьева, примерно 70% сотрудников имеют доступ к корпоративной информации с мобильных устройств, но такой доступ как правило плохо контролируется DLP-системами. Скажем, если у вас есть доступ к корпоративной почте, вместо того, чтобы отправлять конфиденциальный документ, вы можете написать драфт письма, приложить этот документ к драфту письма, спокойно открыть этот драфт на своем мобильном устройстве и скачать аттачмент к письму, при этом ни одна DLP-система не в состоянии обнаружить этот документ, потому что по факту информация не никуда не отправлялась. Таким образом злоумышленник имеет возможность беспрепятственно пересекать границу вашей компании и при этом никто его не отловит.
Есть для такого случая решения, но они должны быть специальным образом внедрены. Другой простой пример: кража или потеря оборудования. Большинство компаний разрешают использовать персональные мобильные устройства, т.е. BYOD-устройства. Однако возникает факт: вы не можете полностью его контролировать, поскольку сотрудник как бы отдает свое устройство в аренду.
Не всегда возможно полноценно настроить политики безопасности на устройстве сотрудника, а при этом часто появляется желание дать ему доступ, потому что это увеличивает эффективность работы этого человека, что особенно актуально для полевых сотрудников, им необходим непрерывный доступ к корпоративной информации. И тут возникает проблема кражи и потери таких устройств, при этом нет возможности 100-процентрой гарантии безопасного хранения информации на этих устройствах, значит эта информация скомпрометирована и может оказаться в руках злоумышленников, особенно это касается кражи.
Какие способы борьбы с этим существуют? «Некоторое время назад мы пробовали создать агента на мобильные устройства, - отметил Андрей Арефьев, - и наша практика показала, что это не очень эффективно. Это хорошо с точки зрения работы, поскольку с помощью агента решаются задачи безопасности для ноутбуков, рабочих станций, но проблема с мобильными устройствами в их разнообразии, не всегда удается на них поставить агента, а примерно на 10% устройств – это сделать просто невозможно».
В мировой практике получило широкое распространение использование контейнеризации, когда доступ к корпоративной информации возможен с мобильного устройства, но из специально установленного на него контейнера. В таком случае возникает возможность разграничить доступ: с одной стороны, у сотрудника остается своя область приватной безопасности, где он может вести свою частную жизнь, при этом компания за ним не следит. А с другой стороны - компания получает гарантию того, что сотрудник, использующий доступ через контейнер к корпоративной инфраструктуре, контролируем с точки зрения той информации, которую он использует. Важно, чтобы ИБ-службы могли выяснить какие корпоративные документы были на мобильном устройстве в случае его кражи, что там реально находилось, есть ли серьезные риски, связанные с инцидентом.
Благодаря использованию контейнеров появляется возможность контролировать какая информация может покинуть контейнер, а какая не может. Существует ряд стандартных контейнеров, но они не решают всех задач.
Большинство контейнеров позволяют просто ограничить покидание информации из этого контейнера, а выявлять что именно попало в него и что покинуло, как сотрудник использовал свой доступ к корпоративной информации через мобильное устройство, они как правило не позволяют. Единственное решение, которое может позволить это, это когда вы такой контейнер интегрируете с DLP-системой.
На данный момент известна только одна такая интеграция, это интеграция InfoWatch Traffic Monitor и WorksPad – решения от компании «МобилитиЛаб» («Лаборатория корпоративной мобильности»).
WorksPad – это безопасный защищенный контейнер, с помощью которого ИБ-служба получает возможность контролировать что попадает на устройство, что покидает его, как используется доступ и при этом сохранять «прайвеси» сотрудников, которые используют это решение.
Далее слово взял Сергей Орлик, генеральный директор компании «МобилитиЛаб».
Одним из проектов Национальной технологической инициативы по направления Техно, является SaveNet и в частности в SaveNet одним из тематических проектов стало построение российского программного BlackBerry. Здесь важно, что решение должно быть чисто программным и могло функционировать на личных устройствах. Здесь также важно разделение личной и корпоративной информации. «Мы не должны вмешиваться в приватность пользователя, но и должны обеспечивать конфиденциальность документов. – сказал Сергей Орлик. - Когда мы говорим об использовании мобильных устройств, то (из свежей статистики) 2/3 сотрудников использует личные планшеты и смартфоны для работы. Даже есть термит BYOD (Bring Your Own Device) – что означает дословно «принеси свое устройство».
Если посмотреть на наиболее востребованные сервисы, помогающие работать сотруднику, который постоянно не находится за своим стационарным рабочим местом, это конечно почта, доступ к библиотекам, документам, файловым ресурсам, которые находятся в интранете, и к различным внутренним системам, обладающим вэб-интерфейсом.
Эти задачи могут решаться по-разному. Там, где не очень задумываются о конфиденциальности информации, начинают использовать множество приложений, предустановленных на мобильных устройствах, ставят свои почтовые клиенты, различные средства доступа к документам, но возникает достаточно большая проблема потери продуктивности.
Стандартный пример. Вам переслали на почту ZIP-архив, в котором находится два файла: a.doc и a.xlsx. В почтовом клиенте вы скачиваете этот архив, сделаете open in – открытие в специальном приложении, которое занимается работой с архивами, оттуда откроете a.xlsx в каком-то офисном редакторе, a.doc – в другом приложении, внесете в файл a.xlsx какие-то правки. Теперь вам нужно этот документ сохранить и поделиться этим документом с коллегами, т.е. положить на какой-то внутренний портал. А теперь представьте сколько при таком сценарии возникло копий данных документов? И насколько сложно проконтролировать эти все приложения - dropbox, outlook и другие, причем outlook кеширует данные в облаке. Возникает достаточно серьезный комплекс вопросов. «С нашей точки трения таких вопросов три: мы не можем работать, когда объектами работы являются различные информационные сущности - почта, календари, документы, внутренние сайты, у нас дублируются различные версии документов по разным приложениям и мы не можем контролировать работу с информацией, - констатирует Сергей Орлик. - Насколько актуальна утечка информации, насколько актуальна мобильность на сегодняшний день в корпоративном секторе»?
Приведем другой пример. На корпоративную почту получен документ и при этом в стандартном почтовом клиенте подключено несколько аккаунтов, корпоративный аккаунт и личный аккаунт.
А дальше, если сделать форвард сообщения, происходит интересная картина, если бы сотрудник находился в корпоративном периметре и использовал штатный корпоративный почтовый клиент на десктопе, никаких бы вопросов не было, и тот же traffic monitor не дал отправить документ на личный адрес (mail.ru или gmail.com). Однако на мобильном устройстве мы можем сделать следующее: выбираем отправителя, переключаемся на свой личный аккаунт, и отправка конфиденциального документа на любой внешний адрес происходит, что является по сути выходом за периметр.
Каким-то образом с этими проблемами надо бороться, особенно учитывая, что мобильное устройство используется именно сотрудниками, которые обладают доступом к значимой для организации информации. Для iOS и Android мы сталкивается не только с проблематикой продуктивности, но и с общей проблематикой безопасности, даже если мы забываем о личных устройствах, во многих организациях выдаются корпоративные, по крайней мере определенным категориям сотрудников.
Мобильные устройства очень часто связаны с облаками и здесь сочетание использования персональных приложений для работы с корпоративной информацией и неконтролируемых облачных сервисов также представляет проблему, которая переросла в нечто достаточно серьезное.
«Создавая концепцию нашего решения, мы пытались решить озвученные выше три ключевых задачи, - сказал Сергей Орлик. - Мы использовали подход, связанный с контейнеризацией, т.е. вся корпоративная информация находится внутри приложения. Когда я уезжаю из офиса, то начинаю с блокировки экрана, возвращаясь, я экран разблокирую. У меня на ноутбуки открыто несколько писем и презентаций, несколько документов, с которыми я продолжаю работать. На мобильном устройстве в конкретный момент времени у меня максимум идет работа с двумя приложениями. Но сценарий любого информационного сотрудника – он многозадачный. Эти проблемы продуктивности мы пытались решить».
Разработчики «МобилитиЛаб» объединили в рамках единого приложения, в качестве среды доступа и работы с корпоративной информацией, ключевые функциональные возможности почты, календарей, контактов, доступа к файловым ресурсам, а с другой стороны предложили то, что мы называем многоэкранностью, т. е. средство поддержки многозадачности, когда одновременно можно открыть несколько документов и непосредственно на месте получить доступ к своим файловым ресурсам.
На экране реальный WorksPad и есть возможность выбрать соответствующий документ, можно его открыть в отдельном экране.
Можно легко между этими экранами переключаться, при этом в любой момент можно обратиться к почте.
И открыть в отдельном экране свое сообщение, редактировать его и открыть вложение из этого сообщения, переключившись автоматически в файлы. Аналогом Alt-Tab является левая нижняя иконка, которая отображает ленту всех открытых документов. Если выгрузить WorksPad, а потом снова загрузить его, то все документы и письма, сайты, которые были открыты, они снова будут доступны в любой момент времени, нажав Tab для переключения в любую из этих сущностей.
Например, зайти на внутрикорпоративный сайт, войти в какую-то систему (это административная консоль WorksPad), скачать и сохранить файлы здесь же в файловой системе или переключиться в календари и поработать там, причем не только со своими календарями, но и календарями коллег, если они подключены на настольной системе.
Таким образом у нас есть единая среда, которая позволяет, не покидая ее, работать со всей необходимой корпоративной информацией, уделяя очень серьезное внимание аспектам безопасности. Существует редакция с ГОСТ-шифрованием на базе алгоритмов компании ИнфоТеКС, также существуют различные политики, которые позволяют запретить полученной информации не только выход за пределы контейнера, но и тьюнить какие-то моменты, связанные с доступностью тех или иных ресурсов. У нас есть файловый web-клиент, который обеспечивает привычные в персональных сервисах удобные инструменты.
Можно взять любой документ, который есть на внутреннем ресурсе, если у вас есть права доступа к этому, то опубликовать это для внешних пользователей, задав определенные политики таких внешних пользователей к соответствующему документу. Это все дает единую инфраструктуру, которая обеспечивает более удобное и не ущербную с точки зрения ИБ работу.
Существуют различные средства контроля корпоративной информации. DLP здесь играет ключевую роль. К сожалению не каждый сотрудник поставит DLP-агента или Mobile Device Management, а геопозиционирование в последнем варианте включено по умолчанию Для топ-руководителей или акционеров компании, это не только вопрос информационной, но и физической безопасности.
На уровне соответствующих политик мы можем задать, что мы считаем интранетом, что считаем Интернетом, и таким образом определить, что для определенных категорий пользователей можно посещать только вот такие сайты…