Защита вне контура

It-world

Представим себе ситуацию. Сотрудник отправляет себе в мессенджер документ, затем второй, третий. И так почти целый час. DLP сигнализирует о подозрении на утечку. Накапливается больше сотни событий, прежде чем удается связаться с нарушителем и запросить разъяснения по инциденту ИБ. По всем признакам DLP определила, что утекла коммерческая тайна. Но после изучения документов выясняется, что эта информация уже неактуальна. В перечне коммерческой тайны ее нет, да и, ко всему прочему, документам уже больше пяти лет. Расследование показало, что утечки не произошло.

Защита вне контура
© It-world

С подобной ситуацией может столкнуться любой, кто при внедрении DLP сгенерировал правила на основе нескольких месяцев мониторинга трафика. Такие системы обычно хорошо определяют персональные данные, а вот с другими видами конфиденциальной информации разобраться гораздо сложнее. О существовании части информации за период пилотного внедрения можно и не узнать. Что-то отправляется в исключительных случаях, которых не произошло, а у других данных периодичность отправки изначально редкая. А еще бывают данные, определить значимость которых, не погружаясь в процессы, почти невозможно.

Самое простое решение — запретить любую отправку информации вовне и использование личных устройств для рабочих задач. А нарушителей можно отловить на периметре. Кто-то так и поступает.

Внутренняя информационная безопасность — обзор решений и практик для бизнеса

В нашем случае руководство поставило задачу более творчески: нужно уйти от имиджа полицейского.

И начали мы с расследования инцидентов ИБ. Решили максимально дистанцироваться от дисциплинарного процесса. Не запрашивать сразу объяснительные, а дополнить процесс этапом предварительных исследований, которые нельзя называть расследованиями. Потребовалось придумать мотивацию для сотрудников помочь нам разобраться в ситуации и не доводить дело до дисциплинарной ответственности. Для этого составили мотивационное письмо, в котором указан факт обнаружения подозрительной активности и уведомление, что какое-то время служба ИБ будет внимательно следить за действиями сотрудника. И что по желанию можно помочь нам во всем быстрее разобраться и позволить переключиться на другие задачи.

Еще одной находкой стало применение ИИ. Переписку с пользователем можно прогонять через критика по своему набору правил. Несложный промпт:

Проверь сообщение на соответствие следующему стилю общения:

Четкий, уверенный и авторитетный тон. Избегать слишком неформальных или разговорных выражений. Четко и понятно объяснять сложные технические моменты. Формальный, но в то же время дружелюбный и доверительный стиль. Уважение, быть внимательным к их потребностям и ожиданиям.

По сути, с этой попытки снизить протестные реакции на жесткие ограничения и требования началась глобальная работа по формированию положительного имиджа ИБ и созданию киберкультуры. При проведении расследований это крайне важно, кстати.

По мере накопления опыта подобных инцидентов DLP неизбежно обучается. Специалист ИБ корректирует правила. Но есть и другой способ повысить качество работы DLP: выявить и документировать все артефакты всех процессов — невыполнимая задача, к слову. Однако в нашем случае процесс пошел сам собой. Помогло решение руководства по стандартизации. Все подразделения должны регламентировать свою работу. И на этапе согласования со службой ИБ мы стали внимательно проверять, чтобы все информационные потоки, сопровождающие процесс, были однозначно описаны с указанием источников, получателей и информационных систем для каждого артефакта.

Утечки информации: что думает об этом бизнес?

Теперь, когда у нас появляется подозрение на утечку, мы можем посмотреть процессную документацию и гораздо быстрее классифицировать, что именно мы перехватили. Надо отметить, что количество внутренних документов и записей по каждому процессу — это огромный объем данных. Разовые занесения в DLP нужных правил слишком трудоемки, но как источник додисциплинарных исследований процессная документация нам очень помогает.

Киберкультура как продолжение регламентов

Как я уже упоминал в попытках преодолеть сопротивление пользователей правилам ИБ мы вышли на необходимость формирования положительного имиджа ИБ и серьезно взялись за формирование киберкультуры. Ведь даже если с технической точки зрения мы можем контролировать технические каналы передачи информации, всегда остается человеческий фактор. А когда обработка информации выходит за пределы защищаемого контура, кроме киберкультуры почти ничего и не остается. Данные будут защищены за пределами контура, если работник самостоятельно устанавливает средства защиты, следит за парольной политикой и политикой чистого стола, а также не пренебрегает настройками конфиденциальности. И очень важно, чтобы был личный интерес для выполнения этих задач.

Первая сложность, с которой пришлось столкнуться, — это отсутствие готового предложения по созданию киберкультуры на рынке. Позднее они начали появляться, но на момент активной фазы работ у нас маркетологи, дизайнеры, обучающие центры как-то мало согласовывались между собой.

Формирование привычек у работников мы начали с изучения самих работников. Выделили ресурсы на проведение внутренних регулярных вебинаров. И на каждой встрече просили рассказывать, как нам улучшить формат, на каких вопросах сконцентрировать внимание. Первая обратная связь нами была получена у кофемашин. Через официальные каналы работники не особо хотели говорить о наших недостатках, зато при личных беседах советы были дельными. Нам много говорили об оформлении слайдов, личных качествах спикеров. Затем пошли советы по наполнению: что неплохо бы добавить кейсы, а еще оформить их в виде комикса. Начальную паузу ожидания можно заменить мини-игрой «Найди 10 отличий». И так далее. И уже в самом конце нам стали подсказывать тематику выступлений. Фаворитами стали «Детская безопасность», «Искусственный интеллект» и «Фишинг».

На вебинарах мы полностью сконцентрировались на личном интересе самих работников. Что именно дает им соблюдение правил ИБ, какие проблемы им это может помочь закрыть. Какие призывы к действию могут сработать. И построили подачу материала так, чтобы каждый нашел аналог КТ у себя дома. Например, подарочные сертификаты. Ведь они имеют ценность, только пока не попадут в чужие руки. Персональные данные нашли у каждого на телефоне и напомнили, почему по закону охранять их должен каждый самостоятельно. И конечно, когда мы заговорили про детей, случился максимальный отклик.

Тут же мы столкнулись с проблемой метрик. Как посмотреть, кто и как к нам относится? Кто-то поддерживает, кто-то пассивно игнорирует, кто-то пассивно радуется. Благо активных противников не нашлось. Мы начали проводить викторины с ценными призами. С одной стороны, это игровая форма, чтобы проверить свои знания. А с другой — статистика по регистрациям, то есть какие отделы посещают.

Невидимые угрозы: почему сотрудники могут стать киберриском

На следующем этапе мы провели углубленное исследование. Пригласили десятки человек на кастдевы. И сформулировали наиболее эффективные подходы к каждой группе целевой аудитории. Неожиданно выяснилось, что вебинары как способ снижения числа нарушений и протестных настроений подходят далеко не для каждой группы.

На этом этапе нам пришлось приступить к пересмотру метрик для обзора со стороны руководства. Самым сложным оказалось показать корреляцию между усилиями по созданию киберкультуры и статистикой по инцидентам. Мы отслеживаем число вовлеченных работников по факту посещения мероприятий и активности на них. Проводим небольшие опросы для оценки лояльности (NPS-опросник). И сопоставляем данные с числом переходов на фишинговые письма и числом подозрений на утечки. В планах — разработать корреляции с другими типами инцидентов.

На наших мероприятиях мы стремимся к усилению тенденций, повышающих общую культуру человека, таким образом, чтобы соблюдение правил ИБ было выгодно в первую очередь самому работнику. И не за счет страха наказаний, а за счет понимания, что правила ИБ — это как традиционные ценности, выгодные их носителям для самосохранения. А уже как следствие общий рост осознанности работников в вопросах ИБ выгоден работодателю.

Интересно, что благодаря работе с потребностями людей и росту осведомленности пользователей меняется отношение к ним и со стороны безопасников. Мы сами уходим от высокомерного представления о пользователе. В результате появляются возможности вместо полного запрета работы на личных устройствах внедрить полноценную политику BYOD.

Разумеется, обработка персональных данных по-прежнему проводится только за «закрытыми дверями» защищенного контура. Но снижение требований в пользу формирования киберкультуры позволяет извлечь выгоду из современных технологий.