Госорганы подтекают
Опросив госслужащих из всех регионов РФ, аналитики "Ростелеком-Солар" выяснили: более 90% представителей госаппарата видят в случайных утечках серьезные риски. Из них более половины полагают, что эти риски даже выше, чем вследствие умышленных сливов конфиденциальной информации. Такие данные получены в ходе исследования компании "Случайные утечки информации в госорганах", в котором участвовали более 100 представителей государственных органов и организаций. Свыше 60% респондентов представляли организации со штатом до 500 служащих, около 30% - со штатом свыше 1000 служащих, остальные - со штатом от 500 до 1000 служащих. Опрос участников проводился в ноябре 2021 г., география респондентов представлена всеми федеральными округами РФ.
Исследователи сообщают, что, по мнению большинства участников исследования, органы государственной власти в равной мере подвержены как случайным, так и умышленным утечкам конфиденциальной информации - об этом заявил 51% опрошенных. 36,2% респондентов все же полагают, что умышленных утечек в госорганизациях несколько больше, а 12,8% высказались в пользу преобладания в этой сфере случайных утечек.
"В целом мы наблюдаем рост и случайных, и умышленных утечек в последние годы - на это повлияли пандемия и удаленка. При этом мы считаем, что рост умышленных утечек в основном спровоцирован снижением контроля за сотрудниками на удаленке, а рост случайных - чистая корреляция с ростом объема коммуникаций в онлайне. Почти все коммуникации, которые раньше велись устно или на бумаге (например, руководитель оставлял правки на печатном экземпляре документа, который поступал к нему на согласование), в период массовой удаленной работы перешли в цифру. Кроме того, не все государственные организации оказались инфраструктурно полностью готовы перевести сотрудников в дистанционный формат с сохранением всех стандартов ИБ", - отмечает старший бизнес-аналитик компании "Ростелеком-Солар" Елена Черникова.
Руководитель направления по развитию бизнеса QRate Александр Приютов связывает растущее число непреднамеренных утечек с массовой цифровизацией государственных сервисов и услуг, не забывая и про человеческий фактор. Помочь исправить ситуацию в ближайшие пару лет, по его мнению, могут своевременные вложения в дополнительное образование и повышение квалификации персонала, которые позволят сотрудникам подходить к защите клиентских данных стабильнее и надежнее и получить значительные результаты в качестве выполняемой работы.
Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев полагает, что в ближайшие два года ситуация останется примерно на текущем уровне, поскольку, чем больше будет сотрудников госорганов, тем выше риск утечек. По его словам, снижения можно ожидать после внедрения различных инициатив, связанных с типовым рабочим местом, некой комплексной системой коммуникации внутри госорганов, специальных защищенных облачных хранилищ - но пока их нет, ситуация, скорее всего, не изменится.
По данным "Ростелеком-Солар", почти в 60% случаев из госорганов непреднамеренно утекают служебные документы и внутренняя конфиденциальная переписка, вследствие их пересылки госслужащими на личную электронную почту. А почти в каждом пятом случае источником потенциальных утечек названы обсуждения с третьими лицами позиции руководства по рабочим вопросам и содержание внутренних служебных документов.
Елена Черникова из "Ростелеком-Солар" называет себя "профессиональным пессимистом", прогнозируя развитие ситуации с утечками. По ее словам, чем больше информации переводится в цифровой вид, чем более совершенствуются технологии ее передачи - тем больше растут угрозы. Она замечает, что в случае с развитием технологий все решения, которые обеспечивают защиту информации, развиваются "догоняющими" темпами: обновился популярный мессенджер, появилась новая функция или протокол передачи информации - разработчики бросаются на поиск соответствующих технических решений.
"С другой стороны, в госорганах, где многие процессы кадровой политики централизованы на уровне государства и управляются эффективнее, чем в бизнесе - например, существуют единые подходы и определяются приоритетные направления дополнительного профессионального образования для служащих государственных органов и организаций, - ситуация с непредумышленными утечками может быть эффективно взята под контроль при условии массового "ликбеза" в вопросах защиты информации среди госслужащих. К тому же можно бороться с утечками любого типа гораздо эффективнее при наличии специальных технических средств, собирающих информацию о потенциальных и фактических утечках в режиме реального времени", - обращает внимание Елена Черникова.
По словам руководителя направления по работе с государственными структурами в "Лаборатории Касперского" Константина Игнатьева, сотрудники действительно часто становятся самым слабым звеном в защите любой организации, причем ущерб от действий тех, кто неосознанно нарушает правила кибербезопасности, может быть очень существенным. Он добавляет, что из-за низкой цифровой грамотности сотрудники могут открыть вредоносное вложение, перейти по фишинговой ссылке, использовать слишком простые пароли, поддаться методам социальной инженерии и разгласить конфиденциальную информацию. Константин Игнатьев замечает, что именно поэтому в компании рекомендуют регулярно обучать всех сотрудников правилам ИБ, в том числе с использованием автоматизированных платформ, которые позволяют проверить полученные навыки в режиме реального времени, имитируя атаку. Он отмечает, что это позволяет существенно повысить бдительность служащих и предотвратить множество инцидентов.
Авторы исследования отмечают, что чаще всего (в 51% случаев) чувствительная информация случайно покидает периметр государственных организаций через различные интернет-каналы - соцсети, внешние облачные хранилища, интернет-почту и т.п. В топ наиболее частых каналов неумышленных утечек также входит служебная электронная почта (более 23% случаев) и мессенджеры (17%).
"Следует отметить, что соотношение основных каналов, по которым случайно утекает конфиденциальная информация из госорганов, полностью соответствует картине распределения каналов утечек в коммерческом сегменте, в частности в банковской сфере. Это свидетельствует, что цифровизация российских органов государственной власти достигла высокого уровня, сопоставимого с коммерческим сегментом. А значит, для государственных организаций столь же, а в некоторых случаях и более актуальны все современные угрозы информационной безопасности - целевые атаки, утечки, взломы, инциденты несанкционированного доступа, эксплуатация уязвимостей и т.п.", - подчеркивает Елена Черникова из "Ростелеком-Солар".
Более чем в половине случаев виновниками неумышленных утечек в госорганах становятся руководители среднего звена, в 36% случаев - рядовые служащие, и лишь каждая десятая неумышленная утечка происходит по вине руководителя высшего звена. Больше всего ошибок в отношении конфиденциальной информации совершают госслужащие среднего возраста (от 30 до 50 лет) - так считает 51% опрошенных. Еще 42% случайных утечек приходится на молодежь до 30 лет. И лишь 6% - на служащих старшего возраста.
По мнению Александра Приютова из QRate, распределение долей между основными виновниками утечек впоследствии не поменяется, так как рядовые сотрудники не имеют достаточного уровня доступа к информации, а топ-менеджеры, как правило, делегируют рутинные задачи без детального погружения. Приютов предлагает во избежание неумышленных утечек выстроить автоматическую систему контроля, параллельно развивая компетенции сотрудников. С лидирующими позициями среднего звена согласен и Павел Коростелев из компании "Код безопасности", который аргументирует это наличием в нем больших объемов данных и отмечает высокую потребность в быстром взаимодействии для работы с этими данными. Как только появляется необходимость в таком взаимодействии, замечает Коростелев, то растет и риск непреднамеренных утечек.
Елена Черникова полагает, что нарушителей точно не станет заметно больше среди топ-руководителей, а соотношение между двумя другими категориями может меняться, например, вследствие массового приема на работу молодых специалистов, которые растут в культуре свободного использования современных средств коммуникаций, при этом не всегда заботясь о методах получения информации и последствиях ее огласки.
"Риски мы видим и в тенденции приема на государственную службу бывших сотрудников коммерческих организаций, работа которых ранее была связана с клиентскими базами данных, - банки, организации сферы услуг, ретейла и т.д. Особенно когда человек также принимается на работу с информационными системами с доступом к базам данных граждан - каждого такого сотрудника следует тщательно проверять на предмет его добросовестности", - отмечает Елена Черникова.
Руководитель отдела внедрения и продвижения решений департамента цифровой трансформации Crosstech Solutions Group Никита Андреянов для недопущения утечек в госструктурах считает необходимым обратить внимание на расширение ИБ-компетенций у персонала - в частности, проведение внутренних тренингов и обучений со стороны ИБ-департамента, прохождение специализированных курсов в области информационной безопасности.
"Если говорить про инструменты, которые позволяют контролировать действия пользователей и предотвращать утечки данных, то это DLP-системы и системы поведенческого анализа (UBA). В комплексе данные инструменты позволяют строить профили поведения пользователей, выявлять отклонения в части бизнес-процессов по взаимодействию и передаче чувствительных данных на ранних этапах и фиксировать происходящие инциденты. Чтобы подобные системы отрабатывали еще более качественно, необходимо регулярно контролировать и проводить аудит прав доступа к электронным документам, а также классифицировать их по различным критериям. Одним из наиболее популярных решений на отечественном рынке для закрытия таких потребностей является Docs Security Suite. Также в контроле за действиями пользователей могут помочь современные инструменты, основанные на технологиях компьютерного зрения - например, решение DataNova OR, которое позволяет анализировать пользователя и его окружение в реальном времени и выявлять отклонения в его эталонной деятельности (отсутствие пользователя за АРМ, постороннее лицо за АРМ, распитие алкоголя на рабочем месте и др.)", - приводит варианты решений проблемы Никита Андреянов.
Основной причиной случайных утечек в госорганах 55% участников исследования считают нехватку знаний в области информационной безопасности. Еще треть опрошенных полагают, что во всем виновата перегруженность многочисленными задачами, что порождает спешку и, как следствие, ошибки в обращении с чувствительной информацией. А чуть более 10% полагают, что причиной случайных утечек в госорганах является простая невнимательность, по данным аналитиков "Ростелеком-Солар".
"Согласно нашим исследованием, случайные инсайды, то есть утечки информации, - достаточно важная проблема, на борьбу с которой регулярно выделяются ресурсы. Основная причина утечек - массовое использование облачных сервисов, которые не удовлетворяют требованиям по безопасности, и отсутствие знаний по их настройке. То есть зачастую способы обмена информации, которые предусмотрены различными регламентами, неудобны и не позволяют чиновникам или сотрудникам госорганов выполнять свою работу в отведенные сроки. Поэтому они начинают пользоваться тем, что есть под рукой: какие-нибудь общедоступные облачные сервисы, порой даже иностранные. Это серьезно влияет на риск случайной утечки, потому что мало кто знает, как правильно настраивать эти сервисы для безопасной работы хотя бы в "житейском" плане, не говоря уж про требования, которые по-хорошему должны быть предъявлены к средствам обмена государственной информацией", - утверждает Павел Коростелев из "Кода безопасности".
Александр Приютов из QRate соглашается с тезисом, что нехватка знаний и человеческий фактор - самые очевидные и логичные причины утечек данных. По его словам, необходимо следить за этим в автоматических бизнес-процессах с помощью политики безопасности и контроля решений, принимаемых на местах.
"Если в первом случае есть доступное и понятное решение - уделять больше внимания профессиональному образованию, то во втором стоит обратить внимание на климат в коллективе: выгорание, усталость и отсутствие разнообразия в профессиональной деятельности могут негативно отразиться на качестве работы и привести к непреднамеренным утечкам. При этом важно, чтобы информационные системы могли автоматически отслеживать критические ошибки и нестандартное поведение пользователей. К основным причинам также относится отсутствие гибкости во внедряемых решениях. Исполнитель задачи может столкнуться с нестандартным случаем, который не заложен в алгоритм программы. Доступная коммуникация между отделами позволит предотвратить ошибку при обработке персональных данных", - заключает Александр Приютов.
При этом в наибольшей степени запрос на обучение служащих основам кибербезопасности демонстрируют государственные организации, расположенные в Центральном федеральном округе, отмечается в исследовании. Здесь почти 70% респондентов признают недостаточность компетенций в области информационной безопасности среди сотрудников. Доля аналогичных ответов среди респондентов в регионах - менее 30%. Здесь значительно больше верят в негативный эффект перегрузки госслужащих рабочими задачами: как основной фактор утечек перегрузку назвали почти 60% региональных участников исследования.
"По нашей статистике за III квартал 2021 г. госучреждения занимают лидирующую позицию по количеству атак на организации - порядка 18% по миру. Чаще всего атаки приводили к утечкам конфиденциальной информации и нарушению деятельности госучреждений - каждое из этих последствий отмечалось в 39% случаев. Эти показатели говорят о том, что утечки не всегда происходят по вине инсайдера. К сожалению, защищенность госучреждений от атак внешнего нарушителя сегодня находится на недостаточном уровне, чтобы эффективно противостоять краже конфиденциальных данных. Если говорить о причинах утечек со стороны инсайдера, то, конечно, в первую очередь стоит отметить, что госслужащие могут не осознавать последствий своих неосторожных действий с доверенной им информацией. Сотрудники, не осведомленные в вопросах ИБ или просто пренебрегающие правилами кибергигиены из-за спешки или халатного отношения, могут стать источником серьезной утечки", - приводит данные директор департамента аналитики информационной безопасности Positive Technologies Евгений Гнедин и рекомендует для защиты от утечек ценной информации применять решения класса DLP.
Директор департамента информационной безопасности компании Oberon Евгений Суханов отмечает, что количество утечек в госорганах растет ежегодно, а информация, обрабатываемая в государственных информационных системах, также растет пропорционально. По его прогнозам, ситуация с утечками будет ухудшаться в ближайшие три года до завершения проектов по цифровизации и создания полноценных и масштабируемых систем защиты.
"Основным риском при утечках большого объема информации из госструктур является внутренний нарушитель - инсайдер. Для своих клиентов, в том числе в государственном секторе, мы минимизируем риски утечек выстраиванием эшелонированной системы защиты. При этом уделяем особое внимание решениям поведенческого анализа пользователей и контроля за действиями администраторов и подрядчиков, которые имеют повышенные привилегии в информационных системах. Именно эшелонированный подход и многоуровневая система защиты позволяют контролировать потенциальных внутренних нарушителей и минимизировать риск мошеннических действий инсайдеров", - замечает Евгений Суханов.