Руслан Косарим для Коммерсанта: С точки зрения кибербезопасности все больше компаний переходят на сервисную модель
Руслан Косарим, заместитель технического директора по развитию бизнеса группы компаний Angara, рассказал газете «Коммерсантъ» о подходе Data-сentric security, а также о том, какие тренды в ИБ можно увидеть сегодня и какие ошибки допускают компании, когда выстраивают стратегию управления информацией.
— Как на рынок ИБ повлияла пандемия, какие тренды вы увидели за последние полтора года?
— До пандемии уже намечался тренд на цифровизацию: все больше компаний из различных отраслей переводили свои бизнес-процессы в цифровое пространство. И мне кажется удивительным, что COVID-2019 послужил для них катализатором. Во время пандемии стало понятно, что нужно расставлять приоритеты и делать упор на повышение эффективности и качества. И ничто не повышает их так, как переход в digital.
Когда стали внедрять гибридные формы работы, выяснилось, что многие компании с точки зрения технологической инфраструктуры к такому не готовы. Во время оптимизации IT-бюджетов вскрылись проблемы ИБ, на которые нельзя закрывать глаза — они были связаны с удаленной работой, мобильным доступом. Так что мы увидели, что какие-то проекты по ИБ замораживались, а какие-то, наоборот, получали более высокий приоритет.
— Можно ли сказать, что компании стали более осознанными в вопросах ИБ?
— Да. Я бы выделил несколько факторов, которые глобально повлияли на осознанность и рост популярности фокуса именно на данные.
В первую очередь это цифровизация бизнес-процессов: она порождает большое количество метаданных, которых у компании раньше просто не было.
Второй фактор — это размытие границ инфраструктуры. Гибридная форма работы, доступ с мобильных, использование облаков размывает такое уже устаревшее понятие, как защищаемый периметр.
— В связи с этим компании начинают использовать в работе подход Data-centric security. В чем его суть?
— Мы глубоко изучали подход Data-centric security и выяснили, что первые упоминания о нем появились задолго до пандемии и цифровизации, лет 15–20 назад. Его пропагандировали такие крупные игроки, как, например, IBM.
Основа подхода, как понятно из названия — ориентация именно на данные. Data-centric security говорит, что необходимо переоценить, какие данные вообще есть в компании, и правильно их классифицировать с учетом того, как они уже влияют на бизнес и как могут повлиять в случае утечки. И в зависимости от этой оценки организациям нужно выстраивать механизмы, средства и процессы по безопасности информации.
Долгое время методики Data-centric security пылились на полке, пока не случилась глобальная цифровизация и не стало понятно, что классические подходы просто не позволяют обеспечить сохранность данных. Ведь раньше фокус был на инфраструктуру: все понимали, что ее нужно защищать пограничными средствами, и за ее пределы не должна вытекать конфиденциальная информация. В новых условиях этого недостаточно.
— Какие тренды в сфере безопасности данных, на ваш взгляд, долгосрочные и будут актуальны в ближайшие годы?
— Я уже упомянул гибридную работу: сотрудники получают доступ с мобильных устройств и работают из других стран. Тренд на безопасность информации в таких условиях — точно долгосрочный.
Также будет набирать популярность тренд на защиту big data. Кроме того, компании по всему миру начинают применять SaaS, и данные в таком случае могут храниться где-то в облаке сервис-провайдера. Становится актуальна безопасность при использовании SaaS-модели. Отмечу, что в России она все еще не так популярна, потому что у нас не много провайдеров, а хранить данные за рубежом — серьезный риск. Но мы видим, как развиваются российские игроки, а с ними будет расти и спрос.
Наконец, есть глобальная тенденция по миграции inhouse-приложений в облачные сервисы. Это означает, что данные теперь обрабатываются не в защищаемой инфраструктуре, а на стороне облака. Доверять провайдеру или не доверять — это тот вопрос, который стоит перед ИБ и будет в ближайшее время все более актуальным.
— Кстати, как обстоят дела с доверием облачным сервисам сейчас, если мы говорим про российские компании?
— Когда мы общаемся с крупными организациями, видим, что они действительно понимают: облачные решения дают большие преимущества для бизнеса. Но, в отличие от зарубежных компаний, российские даже при использовании сервис-провайдеров внутри страны высказывают опасения по хранению данных, их обработке, и уже при миграции в облако задаются вопросом — а кто и как будет защищать корпоративную информацию.
За рубежом облачному провайдеру достаточно показать сертификат соответствия международным требованиям. У компаний-клиентов достаточно высокий уровень доверия к этим оценкам аудита. У нас такого доверия нет.
Третий фактор: бизнес становится более клиентоориентированным, и для этого сервисам необходимо собирать все больше данных о клиентах и пересматривать риски, связанные с утечками.
— Переходя к вопросам защиты данных. С какими рисками и сложностями в этой сфере компании сталкиваются сейчас?
— Новые бизнес-процессы порождают большое количество цифровых артефактов. И если раньше у компаний в основном были структурированные данные, то есть те данные, которые хранятся в базах, сейчас появляется все больше неструктурированных.
Простой пример из банковской сферы: раньше, чтобы получить кредит, человеку нужно было пройтись по определенным инстанциям, подготовить документы, отнести их в банк и дождаться одобрения. Сейчас достаточно использовать мобильное устройство, в несколько кликов эту информацию собрать и направить в цифровом виде в финансовое учреждение. Для пользователя это колоссально облегчает задачу, но тот, кто такие услуги предоставляет, обрастает огромным количеством подобных цифровых данных.
Структурированные данные — упорядоченные данные в определенном формате, которые готовы к анализу и не требуют специальной обработки. Это, например, Excel-файлы, которые содержат в себе информацию о покупателях: имена, email-адреса, даты и т.д. Неструктурированные данные — данные произвольного типа, которые не соответствуют заранее определенной модели. К ним можно отнести видео, изображения, аудиозаписи, посты в социальных сетях, письма в почте, инвойсы, медицинские карты и многое другое. Особенность этого типа данных в том, что их нельзя обработать и проанализировать с помощью классических инструментов. При этом такие данные могут составлять 70-80% от общего объема информации в компании.
— Как защищать такие неструктурированные данные, есть ли способы?
— Неструктурированные данные защищать намного сложнее, чем структурированные. Для последних есть уже известный класс решений Database Activity Monitoring (DAM), предназначенный для поиска аномалий. Существует также классическое решение Data Loss Prevention (DLP), которое позволяет выстраивать внутри инфраструктуры механизмы отслеживания утечек. Причем DLP могут просто формировать событие, связанное с безопасностью, и сообщать сотрудникам ИБ об инциденте, а могут утечки блокировать. Решения этих классов для неструктурированных данных не всегда работают идеально из-за функциональных ограничений.
Объем неструктурированных данных в компаниях каждый год увеличивается минимум на треть, появляются каталоги, в которых сотрудники с ними работают. Чем больше организация, тем сложнее контролировать доступ к данным. В результате сейчас набирают популярность решения по качественному гранулированному управлению этим доступом. Они называются Data Access Governance и в том числе позволяют встроенными механизмами обнаруживать аномалии при работе с неструктурированными данными.
— Правильно ли я понимаю, что эти решения работают в том числе в размытом периметре?
— Да. Но почему мы пропагандируем подход Data-centric security: он подчеркивает, что одно средство — это не панацея. Управлять потоками данных, их перемещением сейчас настолько сложно, что одним решением обеспечить высокий уровень защищенности не получится. Нужен комплексный подход, и тут самое важное — это внедрение не только технических решений, но и процессов. Они должны быть «живыми», то есть учитывать потребности бизнеса. Только так система защиты будет работать.
— То есть необходимо, чтобы все сотрудники компании понимали, как выстроена защита данных в организации и что делать с информацией?
— Да, абсолютно верно. Приведу простой пример на базе подхода Data-centric security. Его основной особенностью является то, что перед тем, как начать защищать информацию, нужно определить, какие данные в компании существуют, и их классифицировать.
На примере любой организации: представим сотрудника ИБ, который пытается понять, какие данные являются конфиденциальными, какие нет. Изолированно от других коллег он это сделать не сможет. Ему нужно подключать data owners, то есть владельцев информации, которые отвечают за те или иные части данных.
Допустим, ему нужно классифицировать информацию, связанную с бухгалтерией. Он не сможет это сделать без включения в процесс сотрудников, которые понимают бухгалтерские процессы, знают, потеря каких документов может нанести критический урон бизнесу. Без них реализовать нужный уровень защищенности, даже имея все перечисленные продукты, не получится.
— Можете привести яркий пример утечки из своей или чужой практики?
— Один из крупнейших инцидентов 2020 года связан с исследованиями группы Security Detectives, которая обнародовала информацию про утечку данных подписчиков весомой французской газеты Le Figaro. Мне этот кейс кажется очень интересным, во-первых, потому, что утекло более 7,5 млрд записей — огромный объем информации. А еще утечка произошла в базе данных, которая хранила информацию по работе пользователей с мобильной и онлайн-версией издания.
Это отражает нашу реальность: газета, которая раньше предоставлялась в физическом пространстве, перешла в цифровое, и как раз из-за проблем безопасности цифровой обработки, предоставления digital-контента произошла эта большая и серьезная утечка. Информация о 40 тыс. пользователей, о том, какие у них домашние и электронные адреса, имена, пароли в открытом виде попали в публичный доступ. Это показывает, с какими проблемами безопасности мы сталкиваемся в процессе цифровизации.
— По данным исследований InfoWatch и «СерчИнформ», большинство утечек данных в российских компаниях происходит по вине самих сотрудников. Вы тоже видите этот тренд? С чем он связан?
— Это действительно так. И мы говорим сейчас про человеческий фактор, который очень сильно влияет на защиту данных.
Мне кажется, эта проблема связана с тем, что в России у многих даже на бытовом уровне нет достаточного понимания или гигиены в области ИБ. С этим обязательно нужно работать: обучать сотрудников организации, объяснять им основы, лучшие практики, то, как они должны и не должны работать с данными.
— При этом, по данным EveryTag, больше половины утечек связаны с использованием бумажных носителей. На ваш взгляд, обучение поможет решить эту проблему?
— Я думаю, что обучение сотрудников и внедрение качественных процессов по защите данных должны максимально минимизировать риски в том числе таких утечек. Все-таки цифровизация приводит к тому, что мы отходим от бумажных носителей, документы переходят в цифру. Главное — понимать, где какие данные есть и как они передаются. Вовлекать в процесс нужно максимальное количество заинтересованных лиц.
— Как может выглядеть система защиты разных данных в зависимости от их уровня конфиденциальности? Ведь не всю информацию нужно защищать одинаково.
— Простой пример: я уже упомянул решения от утечек DLP. Чаще всего они контролируют все потоки данных из компании, то есть почтовые сообщения, работу через веб-браузер, по веб-каналу, работу устройств, даже если они находятся за пределами инфраструктуры.
Если мы понимаем, что информация очень чувствительная и ее нужно сберечь любой ценой, мы можем позволить себе в рамках политик безопасности блокировать любые попытки передачи этой информации, независимо от уровня сотрудника. Уже потом мы потратим время на то, чтобы разобраться, что случилось, что это за инцидент, с чем он связан, была ли это реальная попытка похитить данные. И только если мы разобрались, что это легальная коммуникация и какой-то топ-менеджер действительно пытался передать критическую информацию для решения бизнес-задачи, мы можем эту передачу разрешить на уровне продуктов и технологий.
Если мы такую политику будем применять для большого количества данных, у нас просто не хватит рук анализировать, что происходит. Так что для менее чувствительной информации мы разрешаем передачу, но при этом формируем инцидент внутри системы, и команда мониторинга видит его и начинает разбираться, что же произошло. При этом бизнес-процесс не прерывается, люди, которые должны были получить контент, получают его.
— Каковы типичные ошибки компаний при попытке выстроить стратегию защиты данных?
— Я разобью проблемы на две категории: частные и более глобальные.
Частные проблемы как раз связаны с тем, что сотрудникам ИБ внутри организации очень сложно корректно классифицировать данные, понять, какие действительно критичны, какие нет. Ошибка здесь — в том, что специалисты ИБ зачастую все же пытаются самостоятельно выполнить эту классификацию, не привлекая владельцев информации и заинтересованных лиц. Получается не всегда качественно, и так как это первый этап в цикле, он влияет на эффективность всего подхода.
Более глобальная проблема: мы сталкиваемся с тем, что ИБ не успевает за динамикой IT. Движущая сила развития IT — это потребности бизнеса. Появляется все больше новых технологий, которые заточены под решение бизнес-задач. И, к сожалению, безопасность тут играет не первую, а иногда последнюю роль.
Если взять конкретный пример: есть известный фреймворк для обработки big data Hadoop. Первые его версии ориентировались на обработку быстро появляющихся неструктурированных данных в большом объеме. Задача бизнеса здесь понятна: получить при обработке этих данных какие-то преимущества. Но, к сожалению, вопросы про ИБ в первых версиях этого фреймворка вообще не стояли, и в нем было минимальное количество механизмов, которые обеспечивали защиту.
И мы сейчас пытаемся говорить о том, что когда клиент проектирует новые сервисы, планирует их внедрять для решения каких-то задач, кроме бизнес-функций он обязательно должен учесть требования безопасности, чтобы пробелы потом не приходилось закрывать наложенными средствами. Эта практика называется создание сервисов secured by design.
Эта глобальная проблема также связана с тем, что появляется все больше новых технологий, инструментов, фреймворков. Очень сложно внутри департамента ИБ одной организации поддерживать должный уровень экспертизы, понимать, как работают все эти технологии, распознавать проблемы. Так что мы видим, как все больше компаний переходят на сервисную модель с точки зрения безопасности. Они обращаются к внешней экспертизе и аналитике.
— Получается, что сейчас оптимальное решение второй, глобальной проблемы — это внешние эксперты?
— Думаю, что да. Потому что эксперты из отрасли сталкиваются с разными задачами и понимают, как правильно и быстро их решить. Я боюсь, что прокачивать внутренние скиллы — сложно и дорого.
Но хочу отметить: по нашим клиентам мы видим, что серьезные силы сконцентрированы в области ИБ, и сотрудники обладают высокой экспертизой и большим опытом работы с современными технологиями. И они поддерживают и расширяют этот опыт.
Источник: «Коммерсантъ».