Известные риски в новом контексте

Обострение геополитической ситуации неизменно сопровождается ростом киберугроз. Многие из таких угроз, реализованные в виде мощных DDoS-атак, ведущие российские банки уже испытали на себе. «Для достижения преступных целей в ход идет все: эксплуатация уязвимостей, подкуп сотрудников, методы социальной инженерии, активация ранее неизвестных “закладок” в ПО», — отметил Алексей Антонов, управляющий партнер Swordfish Security. 

Иностранные вендоры под давлением властей могут перевести незаявленные функции ПО в «боевой режим», открывающий доступ хакерам в корпоративные информационные системы. Также в распоряжении злоумышленников имеются базы с уязвимостями «нулевого дня».

«Новые риски утечек связаны прежде всего с кратным ростом спроса на конфиденциальную информацию. Самыми востребованными остаются персональные данные, которые используются не только в различных мошеннических схемах, но в социальной инженерии», — рассказала  Виолетта Красова, эксперт департамента информационной безопасности Softline.

При этом киберпреступники прибегают к помощи изнутри, которая требует гораздо меньше финансовых затрат и усилий. Активизации инсайдеров, по мнению эксперта, способствуют усиление конкуренции на рынке труда и неуверенность сотрудников в завтрашнем дне. В этих условиях наличие базы данных клиентов, условий их обслуживания и так далее дает специалисту конкурентное преимущество при поиске работы.

Хакеры собирают и техническую информацию. Их интересуют структура сети организации, средства защиты, которые в ней используются, технологические учетные данные. «Добывают эти сведения как в ходе целенаправленных атак, так и у бывших сотрудников, владеющих такими данными», — констатировал Дмитрий Горлянский, руководитель службы технического сопровождения продаж «Гарда Технологии».

Дополнительный вызов для служб ИБ банков — уход с рынка зарубежных поставщиков ПО и «железа», с которым раньше никто не сталкивался. «Условно, еще вчера файрвол мог работать, а сегодня вендор не продлил лицензию и у ИБ-специалиста возникла “дыра в безопасности” на ровном месте», — признал трудности Алексей Парфентьев, руководитель отдела аналитики Searchinform.

Для инфраструктуры ИБ банков, которые всегда старались внедрять современные программные продукты (преимущественно зарубежного производства), это может стать серьезной проблемой.

Инструмент, нуждающийся в настройке

Задачи минимизации рисков возникновения инцидентов по компрометации данных внутри организации решают DLP-системы. Защита от внутренних инцидентов по компрометации данных, сбор доказательств нарушений в работе с конфиденциальной информацией, а также контроль соответствия требованиям регулятора и риск-менеджмент стали основными задачами российских систем этого класса.

Три российских разработчика и поставщика DLP-систем были включены в 2017 году компанией Gartner в исследовании Magic Quadrant for enterprise data loss prevention в раздел «Нишевые игроки»: Zecurion, InfoWatch и Searchinform.

Во время пандемии коронавируса у российских систем DLP появились новые функции, к примеру контроль за использованием рабочего времени «удаленными» сотрудниками. И последние события, признал Дмитрий Горлянский, потребовали от сотрудников служб безопасности пересмотра текущих настроек и адаптации политик DLP к новым рискам.

По словам Алексея Парфентьева, «любая хорошая, правильно настроенная DLP-система позволяет нейтрализовать риски внутренней безопасности, связанные с человеческим фактором, в том числе риск утечки конфиденциальной информации. Отечественные системы этого класса без проблем справляются с ними». 

Однако, как показало проведенное компанией Searchinform исследование, такие системы использует только треть российских компаний, а в организациях, где DLP-системы применяются, количество лицензий не покрывает всего парка компьютерного оборудования. «Именно это негативно сказывается на защите данных, а также увеличивает количество внутренних инцидентов в банках», — считает эксперт.

По словам Виолетты Красовой, современные DLP-системы имеют модульную структуру, и банк выбирает технологии и каналы самостоятельно. Таким образом, покрытие может быть неполным. Она рекомендует провести инвентаризацию и в случае необходимости расширить систему путем дозакупки модулей и технологий. «Если банк использует полноценную DLP-систему, а также произведена ее тонкая актуальная настройка, то покрытие можно считать достаточным», — заявила Виолетта Красова. И наоборот,  даже если приобрести DLP-систему в максимальной комплектации, но регулярно не проводить инвентаризацию ее политик и их тонкую настройку, то реализовать весь ее функционал на 100% не получится.

DLP-система — это всего лишь инструмент, который нужно уметь использовать. «Для эффективной работы таких систем необходимо, во-первых, разобраться в том, какие файлы являются для компании конфиденциальными, а во-вторых, понять, кто к этим файлам может иметь доступ и как должен быть организован процесс обмена такой информацией», — рассказал Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». Иными словами, в DLP-системах должны использоваться простые правила контроля, настроенные с учетом специфики бизнеса компании. 

У систем этого класса важная роль в архитектуре ИБ компании: это основа для реагирования на внутренние инциденты по компрометации данных. Но их возможности небезграничны. «Даже самые продвинутые DLP-системы не способны предотвратить утечки данных, которые происходят напрямую через сотрудников, в том числе менеджеров высшего звена», — заявил Алексей Антонов. По его словам, в ответ на комплексные кибератаки сегодня необходимо так же комплексно подходить к обеспечению ИБ — развивать процессы, осуществлять полный мониторинг инфраструктуры, защищать ее и выстраивать безопасный процесс разработки.

Запросы на расширение функционала

Как показало исследование «Особенности защиты информации в финансовом секторе», проведенное компанией «Ростелеком-Солар» в 2021 году, 90% утечек конфиденциальной информации из банков и страховых компаний — это персональные данные клиентов и сотрудников (60%), а также данные платежных карт (30%).

Больше трети утечек приходится на интернет (личная почта, внешние облачные хранилища), чуть меньше трети — на мессенджеры и корпоративную электронную почту. Также для компрометации внутренней информации используются съемные носители, печать на принтере и специальные информационные системы организации.

И DLP-системы должны перехватывать трафик по всем этим каналам и применять к нему инструменты поведенческого анализа (User Behavior Analitics, UBA). 

Функции защиты от передачи конфиденциальных файлов по электронной почте, в мессенджерах, на съемных носителях, а также через AirDrop- и Bluetooth-соединения в современных системах уже реализованы, применяются на практике и хорошо зарекомендовали себя. И сейчас, когда риски утечек внутренних данных стали выше, у банков и финансовых организаций появилась потребность в решениях, защищающих от копирования документов путем сканирования, фотографирования, распечатывания. Они могут строиться на использовании специальных меток, которые наносятся на документы, или на разграничении доступа, отметил Алексей Антонов.  

В новых условиях службы информационной безопасности банков стали больше внимание уделять кадровой безопасности, поскольку именно сотрудники умышленно или случайно становятся субъектами инцидентов по компрометации конфиденциальных данных компании. «Также в банках стали больше обращать внимание на предупреждение внешних рисков: на входящую почту и сообщения с предложениями от сторонних HR служб, а также на рассылки с призывами и так далее», — констатировал Дмитрий Горлянский.

Еще один запрос кредитно-финансовых организаций назвал Павел Коростелев. По его словам, сегодня востребован динамический анализ документов, при котором обеспечивается их автоматическая категоризация с низким уровнем ошибки. «Второй запрос — это снижение вероятности ложных срабатываний, потому что это самая большая боль в современных DLP-системах», — считает он.

В связи с уходом зарубежных вендоров компаниям финансового сектора требуются доработки поддержки отечественной инфраструктуры: от мессенджеров до операционных систем и даже отечественного «железа», где его используют, отметил Алексей Парфентьев. «Разработчикам сейчас хватает забот и, к сожалению, они в большей степени направлены не на развитие функционала DLP-систем, дополнения их новыми возможностями, а на повторную реализацию тех функций, которые уже есть, но для нового окружения», — отметил эксперт.

Хотя российские программные продукты этого класса по уровню проникновения в компании опережают зарубежные, для их адаптации к результатам импортозамещения во всех сегментах IT-рынка потребуется немало времени и средств разработчиков.

DLP по-русски

Российский рынок систем предотвращения утечек информации достиг зрелости. Зрелыми с технологической точки зрения являются и представленные на нем программные продукты, построенные на технологиях ИИ, машинного обучения, анализа больших данных и предиктивной аналитики. Некоторые из них известны не только в России, но и за ее пределами. К примеру, cистема DeviceLock DLP (с конца 2021 года продвигается под брендом «Кибер Протего») используется в 90 странах.

Сегодня российские разработчики DLP-систем, по словам Павла Коростелева, держат руку на пульсе — отслеживают появление у клиентов, в том числе из банковского сектора, новых запросов.

«Отечественные разработчики не могут не удовлетворить новые запросы клиентов: у них нет выхода. Либо они подстраиваются под заказчиков и остаются на российском рынке, либо переориентируются на западные рынки и клиентов и направляют все свои действия в ту сторону, — считает Алексей Парфентьев. — Но последнее сложно реализовать: во многих западных странах отечественные ИБ-продукты в последние годы встречают прохладно. Так что переориентация на эти рынки выглядит крайне неперспективной».

Несмотря на необходимость вписывать свои готовые системы в ландшафт софта и «железа» российского происхождения, разработчики продолжают создавать новые решения. По оценке Алексея Антонова, их появления можно ждать в течение 12–15 месяцев.

Надо ли задумываться о переходе на российские DLP-системы банкам и другим игрокам финансового рынка? Мнения экспертов по этому вопросу разделились. Дмитрий Горлянский видит несколько причин для перехода. Во-первых, зарубежные вендоры в любой момент могут объявить о прекращении поддержки своих клиентов в России, во-вторых, совокупная стоимость владения (TCO) такими системами уже выросла, в-третьих, нельзя исключать риски появления программных закладок в ПО из недружественных стран. И все это сказывается на доверии к зарубежным DLP-системам.

Три российских разработчика и поставщика DLP-систем были включены в 2017 году компанией Gartner в исследовании Magic Quadrant for enterprise data loss prevention в раздел «Нишевые игроки»

«Тенденция внедрения доступного на рынке ПО, в том числе и российского, наблюдается у всех банков, и DLP — не исключение, — отметила Виолетта Краснова. — Приостановка технической поддержки рядом производителей критична для обслуживания систем». Павел Коростелев не уверен в том, что переход банков на отечественные системы предотвращения утечек — вопрос ближайшего будущего, поскольку сейчас речь идет о миграции на российскую инфраструктуру. «И только потом начнется внедрение каких-то прикладных вещей», — считает эксперт.

Некоторые банки идут на замену импортного поставщика. Россельхозбанк завершил внедрение системы предотвращения утечек конфиденциальной информации и системы для обеспечения безопасности веб-доступа от компании Zecurion. Внедрение заняло меньше пяти месяцев, так что свой выбор банк сделал еще до того, как попал под санкции США и Великобритании.

«Тем кредитным организациям, которые сейчас экстренно переходят на российские решения, приходится сложно, — констатировал Алексей Парфентьев, — поэтому некоторые вендоры помогают упростить этот процесс. Мы запустили акцию по переходу на наши SIEM- и DCAP-системы за цену техподдержки без оплаты лицензий».

Также особые условия перехода на решения класса DLP предлагает компания Zecurion. Воспользоваться предложением могут любые организации с действующей подпиской на аналогичные иностранные продукты. Комфортные условия перехода с зарубежных систем предотвращения утечек конфиденциальной информации готов предоставить клиентам еще один вендор.

Перед зарубежными аналогами у российских DLP-систем есть ряд преимуществ, напомнил Дмитрий Горлянский: словари, списки, категории и русскоязычная поддержка. С поддержкой вендоров банкам будет проще решиться на переход, на который их нацеливает регулятор. И хотя, как считает Алексей Антонов, полностью отказаться от иностранного ПО пока не удастся, доверие к зарубежным вендорам в области ИБ безнадежно подорвано.