"Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
Алексей Дрозд, 04/09/24
Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
Автор: Алексей Дрозд, начальник отдела ИБ “СёрчИнформ”
Осведомленность персонала об угрозах и правилах ИБ снижает количество случайных инцидентов, а тренинги и учения – это хорошая мера ИБ-ликбеза, хотя и ресурсозатратная. Повышать киберграмотность можно и в "фоновом" режиме, и эту задачу решают привычные автоматизированные средства защиты данных, такие как DLP-система. Какие инструменты для этого пригодятся?
Почему DLP
Основная задача DLP-систем – предотвращать утечки информации. С этой целью они мониторят каналы передачи информации и все действия сотрудников за ПК. Собирают много разнообразных данных: фиксируют все передаваемые сообщения, отправляемые письма, запускаемые программы и сайты и пр., данные о нажатиях клавиатуры, фото экрана или с веб-камеры и т.д. Часть действий сотрудников система может блокировать. Информация о реакциях DLP может быть полезна сотрудникам, чтобы на реальных примерах обучить их правилам ИБ.
За уведомления о работе DLP отвечает пользовательский интерфейс системы на ПК сотрудников, или, как его называют разработчики, GUI – Graphic User Interface. Это не самый распространенный в DLP инструмент: в России традиционно системы использовали в "закрытом" режиме, ограничиваясь документальным уведомлением коллектива о применении средств защиты. Использование же GUI в рамках "открытого контроля" означает, что сотрудники воочию увидят, что о них знает отдел ИБ, какие процессы под контролем, а главное – что можно и нельзя.
Таким образом, "открытый" подход решает сразу несколько задач для укрепления ИБ в компании. Во-первых, это постоянно напоминает пользователям, что контроль есть. Во-вторых, предупреждает об опасностях и потенциальных нарушениях. В-третьих, позволяет вовлекать их в процесс защиты информации: например, самостоятельно оценивать, насколько оправдан риск отправки конфиденциального документа за пределы компании, правда ли для выполнения задачи нужно подключить сомнительную флешку и т.д.
На примере DLP "СёрчИнформ КИБ" покажу, как это работает.
Что видит сотрудник
"СёрчИнформ КИБ" в открытом режиме выводит на ПК пользователя окно, в котором отображается список доступных устройств и сетевых папок с документами, а также уведомления о блокировках доступа. Эти уведомления можно кастомизировать, от стандартного "доступ запрещен" до подробного объяснения, почему. Например, стандартную "ошибку" при невозможности открыть документ можно заменить попапом с пояснением, что действия пользователя нарушают корпоративные политики безопасности. Это понятное и регулярное напоминание о правилах информационной безопасности.
Рис. 1. Пример уведомления о блокировке доступа к файлу
Еще в GUI "СёрчИнформ КИБ" можно включить визуализацию трекинга рабочего времени. На графической шкале видно, когда пользователь активно работал за ПК, а когда система зафиксировала простои (таковыми по умолчанию считается отсутствие действий с клавиатурой и мышью дольше двух минут, можно настроить исключения, например на время видеосозвонов). Это дисциплинирует. Так как напоминание перед глазами постоянно, пользователи будут объективно видеть, если с продуктивностью есть проблемы, и подтягивать "хромающие" показатели.
Рис. 2. Пример пользовательского запроса доступа к устройству
Большую часть времени GUI проводит в "спящем" режиме в строке состояния, вызывается по клику, но срочные оповещения всплывают в виде поп-апов. Впрочем, отображение гибко настраивается. Таким образом, при всей наглядности DLP не мешает обычной работе сотрудников.
Что получает ИБ-отдел
Известен так называемый хотторнский эффект, когда сотрудники, узнав о том, что их контролируют, начинали работать интенсивнее и продуктивнее. Таким же образом люди будут серьезней относиться к правилам ИБ, зная, что их постоянно проверяют.
Еще один плюс открытого контроля – возможность "подружить" бизнес с безопасностью. Сотрудники заняты в массе разных операционных процессов – создать универсальные политики ИБ, чтобы учесть их все, так же сложно, как настраивать бесконечные исключения в каждом спорном случае. GUI позволяет найти баланс и управлять защитой проще и гибче.
В "СёрчИнформ КИБ" достаточно один раз настроить "широкие" запреты, а исключения создавать в реальном времени по ситуации. Через GUI сотрудник может сформировать запрос временного доступа, например, к нужной директории или флешке, добавив обоснование: скажем, "нужно скинуть файлы в рамках срочной задачи". Причину и необходимое время доступа нужно будет указать для каждого случая. Это стимулирует пользователей внимательнее оценивать свои действия за ПК или, по крайней мере, обращаться за такой оценкой к компетентным специалистам – в ИБ-отдел.
Возможность сотрудников объяснить свои действия и оперативно "поспорить" с блокировкой уберегает от нежелательных задержек бизнес-процессов. А служба ИБ всегда в курсе потенциально опасных ситуаций и может вмешаться, если что-то идет не так. За действиями сотрудника, когда доступ предоставлен, можно настроить дополнительный контроль и отозвать разрешение, как только он совершит что-то нелегитимное. Это хорошая подстраховка.
Получается прямой "канал связи" между службой ИБ и коллективом. Сотрудники вовлечены в процессы защиты данных, что закрепляет их ИБ-навыки и ответственное отношение к информации. Снижается число инцидентов "по незнанию", а если пользователь проигнорировал предупреждения системы, стал настойчиво искать пути обхода – это служит подтверждением того, что нарушение было намеренным. В перспективе открытый контроль разгрузит службу ИБ, поэтому в дальнейшем придется реже разбираться со случайными ошибками пользователей.
Выводы
ИБ-ликбез, по крайней мере, дает понять сотрудникам: защита данных – это серьезно. Информация – такой же актив компании, как производимый продукт, реализуемый товар или оказываемая услуга, если не дороже. Автоматизация встраивает обучение правилам ИБ в ежедневную рутину, превращает теоретические знания в практический навык. Ведь людям придется вникать, а не действовать "на автопилоте": система требует от пользователей осознанного принятия решений.
Конечно, теоретическая база, те самые лекции и тренинги по ИБ нужны, как и знакомство сотрудников с действующими в компании регламентами. Но инструменты открытого контроля в DLP облегчают работу ИБ-специалистам, закрепляя у сотрудников "пройденный материал" по киберграмотности.
Попробуйте преимущества открытого контроля с "СёрчИнформ КИБ" – бесплатно на 30 дней.