Портрет внутреннего врага
Проанализировав данные пилотных проектов использования системы защиты от утечек Solar Dozor в 97 российских компаниях с 2018 г. по 2020 г., аналитики "Ростелекома" составили портрет организации - типичной "жертвы" внутренних нарушителей.
Среднестатистическая организация, в которой наиболее часто происходят различные нарушения внутренней ИБ и трудовой дисциплины (включая нарушение правил безопасного обращения с конфиденциальной информацией), относится к производственной/научно-производственной сфере, имеет в штате свыше 1000 человек. Здесь фиксируется в среднем 1900 нарушений за три месяца, семь из которых признаются ИБ-службой высококритичными.
Из 97 организаций, испытавших на себе работу системы защиты от утечек, в 70 зафиксированы различные события информационной безопасности. Их общее количество составило свыше 320 тыс. - то есть примерно 4600 потенциальных дисциплинарных и ИБ-нарушений в среднем в каждой организации. Одним из "лидеров" по количеству и частоте выявления критичных нарушений стала компания сферы управленческого консалтинга и рекрутмента: 196 критичных нарушений из зафиксированных 14,5 тыс. "событий" (каждое 80-е событие безопасности является критичным). 172 события критичного уровня зафиксированы в организации транспортно-логистической сферы, общий объем накопленного трафика в которой за два месяца пилотирования составил чуть менее 780 тыс. сообщений. Замыкает "веселую тройку" крупная финансовая организация, в которой среди накопленных 13 млн сообщений зафиксировано 54 критичных события.
В целом топ-5 отраслей, в которых компании столкнулись с наибольшим количеством критичных нарушений, включает научно-производственные организации (4181 нарушений), производство (1968), финансовые организации (1847), транспорт и логистика (1335), органы государственной власти и предоставление государственных услуг (460). Наиболее часто в компаниях этих отраслей встречаются внутренние нарушения правил работы с документами с грифом "Для служебного пользования" и иными конфиденциальными документами. Их бесконтрольно копируют на съемные носители, пересылают на внешние адреса электронной почты на бесплатных почтовых сервисах, хранят в открытом доступе во внутренней сети.
Лидеры по числу выявляемых нарушений - подразделения, обслуживающие основные производственные процессы: бухгалтерия (14,8%), ИТ и техподдержка (12,9%), кадры и маркетинг (10,3%) и закупки (9,5%). Суммарно на них приходится почти половина всех нарушений. Здесь чаще всего фигурирует распространенный вид нарушения "нецелевое использование рабочего времени". В то же время не следует недооценивать риски со стороны более "дисциплинированных" подразделений. Здесь внутренние нарушения могут обернуться самыми серьезными последствиями для компании: через отдел продаж может "утекать" чувствительная информация о клиентах, а через конструкторское бюро - уникальные технологические наработки.
Отметим, кстати, что согласно исследованию HP Inc., 76% опрошенных ИТ-сотрудников признают, что для обеспечения непрерывности бизнеса в период пандемии вопросы безопасности уходят на второй план, при этом 91% респондентов сообщают, что вынуждены идти на компромиссы в вопросах безопасности в угоду сохранения непрерывности бизнеса. При этом в том же исследовании сообщается, что почти половина (48%) опрошенных молодых офисных сотрудников (в возрасте 18-24 лет) воспринимают меры безопасности как помехи при выполнении своей работы, в результате чего почти треть (31%) опрошенных пытаются обойти корпоративные политики безопасности, чтобы своевременно выполнять поставленные задачи.
"Вопреки расхожему мнению, что для производственного блока информационные утечки нехарактерны и здесь люди заняты делом, а не сидят в соцсетях, пилотирование нашей DLP-системы в организациях этой сферы демонстрирует обратное. В целом, здесь основная доля нарушений фиксируется среди так называемого офисного, или административного, персонала производственных предприятий. Существенной долей этих нарушений являются нарушения служебной дисциплины - подработки, нецелевое использование рабочего времени и оборудования работодателя. В то же время таким компаниям есть что терять и, соответственно, серьезно охранять: утечка инновационных и секретных разработок, результатов научных исследований чревата серьезными потерями, как репутационными, так и финансовыми. А в случае с государственными научно-производственными организациями речь вполне может идти об утечках информации, составляющей государственную тайну", - отметила старший бизнес-аналитик компании "Ростелеком" Елена Черникова.
Глава отдела безопасности в подразделении персональных систем HP Inc. Йэн Пратт уверен, что тот факт, что работники активно обходят меры безопасности, должен вызывать беспокойство у любого директора по информационной безопасности – именно так возникают угрозы и случаются утечки. По его словам, если система безопасности слишком сложна и создает помехи для людей, люди так или иначе найдут способ ее обойти. "Поэтому она должна максимально соответствовать существующим рабочим процессам и задействовать ненавязчивые, защищенные и интуитивно понятные для пользователей технологии. В конечном итоге нам нужно сделать так, чтобы безопасная работа была такой же простой и удобной, как и работа без защитных технологий, и мы можем добиться этого, изначально встраивая безопасность в корпоративные системы", - комментирует Йэн Пратт.
"Директора по информационной безопасности сталкиваются с растущим объемом атак, увеличением их скорости и серьезности их характера. Их командам приходится работать круглосуточно, чтобы обеспечить информационную безопасность, и при этом стараться проводить цифровизацию бизнеса в условиях, когда устройства сотрудников находятся вне периметра компании. Бремя обеспечения безопасности не должно лежать исключительно на плечах ИТ-специалистов, ведь информационная безопасность - это комплексная задача, в решении которой должен участвовать каждый", - говорит директор по информационной безопасности (CISO) в HP Inc. Джоанна Берки.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев считает, что результаты, представленные "Ростелекомом", неплохо отражают реальную картину. "Многие научно-производственные и промышленные предприятия в России, особенно в регионах, продолжают жить на советском наследии. Это касается как общей организации работы этих предприятий, так и организации работы с информацией. В то время когда руководители различного уровня ментально по-прежнему находятся в социалистической формации, ожидать перестройки сознания сотрудников тоже не приходится", - говорит Андрей Арсентьев.
По его словам, присутствие в этом списке финансовых организаций не должно удивлять - они традиционно генерируют огромное количество информационных событий, в результате даже небольшая доля инцидентов может выражаться в существенном количестве инцидентов. "При этом, на наш взгляд, в последнее время доля критичных нарушений в финансовом секторе снизилась - банки в целом хорошо адаптировали системы защиты к работе в условиях пандемии. В то время, когда в России стремительно развивается цифровизация государственных услуг, повышенное количество событий информационной безопасности в органах государственной власти не должно удивлять. Что касается транспорта, то это динамичная сфера, где все активнее используются современные технологии, ежедневно накапливаются массивы данных о пассажирах. В то же время это довольно консервативная отрасль в плане модернизации управления и перехода на новые бизнес-процессы. В результате некий всплеск событий информационной безопасности в транспортных компаниях был вполне ожидаем", - сообщил Андрей Арсентьев.