Портрет внутреннего врага

Проанализировав данные пилотных проектов использования системы защиты от утечек Solar Dozor в 97-ми российских компаниях с 2018 по 2020 гг., аналитики "Ростелекома" составили портрет организации – типичной "жертвы" внутренних нарушителей. Среднестатистическая организация, в которой наиболее часто происходят различные нарушения внутренней ИБ и трудовой дисциплины (включая нарушение правил безопасного обращения с конфиденциальной информацией) относится к производственной/научно-производственной сфере, имеет в штате свыше 1000 чел. Здесь фиксируется в среднем 1900 нарушений за 3 месяца, 7 из которых признаются ИБ-службой высококритичными. Из 97 организаций, испытавших на себе работу системы защиты от утечек, в 70-ти были зафиксированы различные события информационной безопасности. Их общее количество составило свыше 320 тысяч – то есть примерно 4600 потенциальных дисциплинарных и ИБ-нарушений в среднем в каждой организации. Одним из "лидеров" по количеству и частоте выявления критичных нарушений стала компания сферы управленческого консалтинга и рекрутмента: 196 критичных нарушений из зафиксированных 14.5 тысяч "событий" (каждое 80-е событие безопасности является критичным). 172 события критичного уровня было зафиксировано в организации транспортно-логистической сферы, общий объем накопленного трафика в которой за 2 месяца пилотирования составил чуть менее 780 тысяч сообщений. Замыкает "веселую тройку" крупная финансовая организация, в которой среди накопленных 13 млн сообщений зафиксировано 54 критичных события. В целом, топ-5 отраслей, в которых компании столкнулись с наибольшим количеством критичных нарушений, включает научно-производственные организации (4181 нарушений), производство (1968), финансовые организации (1847), транспорт и логистика (1335), органы государственной власти и предоставление государственных услуг (460). Наиболее часто в компаниях этих отраслей встречаются внутренние нарушения правил работы с документами с грифом "Для служебного пользования" и иными конфиденциальными документами. Их бесконтрольно копируют на съемные носители, пересылают на внешние адреса электронной почты на бесплатных почтовых сервисах, хранят в открытом доступе во внутренней сети. Лидеры по числу выявляемых нарушений — подразделения, обслуживающие основные производственные процессы: бухгалтерия (14,8%), ИТ и техподдержка (12,9%), кадры и маркетинг (10,3%) и закупки (9,5%). Суммарно на них приходится почти половина всех нарушений. Здесь чаще всего фигурирует распространенный вид нарушения "нецелевое использование рабочего времени". В то же время не следует недооценивать риски со стороны более "дисциплинированных" подразделений. Здесь внутренние нарушения могут обернуться самыми серьезными последствиями для компании: через отдел продаж может "утекать" чувствительная информация о клиентах, а через конструкторское бюро — уникальные технологические наработки. Отметим, кстати, что огласно исследованию HP Inc., 76% опрошенных ИТ-сотрудников признают, что для обеспечения непрерывности бизнеса в период пандемии вопросы безопасности уходят на второй план, при этом 91% респондентов сообщают, что вынуждены идти на компромиссы в вопросах безопасности в угоду сохранения непрерывности бизнеса. При этом, в том же исследовании сообщается, что почти половина (48%) опрошенных молодых офисных сотрудников (в возрасте 18-24 лет) воспринимают меры безопасности как помехи при выполнении своей работы, в результате чего почти треть (31%) опрошенных пытается обойти корпоративные политики безопасности, чтобы своевременно выполнять поставленные задачи. "Вопреки расхожему мнению о том, что для производственного блока информационные утечки не характерны и здесь люди заняты делом, а не сидят в соцсетях, пилотирование нашей DLP-системы в организациях этой сферы демонстрирует обратное. В целом, здесь основная доля нарушений фиксируется среди так называемого офисного, или административного, персонала производственных предприятий. Существенной долей этих нарушений являются нарушения служебной дисциплины – подработки, нецелевое использование рабочего времени и оборудования работодателя. В то же время, таким компаниям есть что терять и, соответственно, серьезно охранять: утечка инновационных и секретных разработок, результатов научных исследований чревата серьезными потерями, как репутационными, так и финансовыми. А в случае с государственными научно-производственными организациями речь вполне может идти об утечках информации, составляющей государственную тайну?" – отметила старший бизнес-аналитик компании "Ростелеком", отмечает Елена Черникова. Глава отдела безопасности в подразделении персональных систем HP Inc Йэн Пратт уверен, что тот факт, что работники активно обходят меры безопасности, должен вызывать беспокойство у любого директора по информационной безопасности – именно так возникают угрозы и случаются утечки. По его словам, если система безопасности слишком сложна и создает помехи для людей, люди так или иначе найдут способ ее обойти. "Поэтому она должна максимально соответствовать существующим рабочим процессам и задействовать ненавязчивые, защищенные и интуитивно понятные для пользователей технологии. В конечном итоге нам нужно сделать так, чтобы безопасная работа была такой же простой и удобной, как и работа без защитных технологий, и мы можем добиться этого, изначально встраивая безопасность в корпоративные системы". – комментирует Йэн Пратт. "Директора по информационной безопасности сталкиваются с растущим объемом атак, увеличением их скорости и серьезности их характера. Их командам приходится работать круглосуточно, чтобы обеспечить информационную безопасность, и при этом стараться проводить цифровизацию бизнеса в условиях, когда устройства сотрудников находятся вне периметра компании. Бремя обеспечения безопасности не должно лежать исключительно на плечах ИТ-специалистов, ведь информационная безопасность – это комплексная задача, в решении которой должен участвовать каждый", – говорит директор по информационной безопасности (CISO) в HP Inc Джоанна Берки. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев считает, что результаты, представленные "Ростелеком", неплохо отражают реальную картину. "Многие научно-производственные и промышленные предприятия в России, особенно в регионах, продолжают жить на советском наследии. Это касается как общей организации работы этих предприятий, так и организации работы с информацией. В то время, когда руководители различного уровня ментально по-прежнему находятся в социалистической формации, ожидать перестройки сознания сотрудников тоже не приходится", - говорит Андрей Арсентьев. По слова Андрея Арсентьева, присутствие в этом списке финансовых организаций не должно удивлять – они традиционно генерируют огромное количество информационных событий, в результате даже небольшая доля инцидентов может выражаться в существенном количестве инцидентов. "При этом, на наш взгляд, в последнее время доля критичных нарушений в финансовом секторе снизилась – банки в целом хорошо адаптировали системы защиты к работе в условиях пандемии. В то время, когда в России стремительно развивается цифровизация государственных услуг, повышенное количество событий информационной безопасности в органах государственной власти не должно удивлять. Что касается транспорта, то это динамичная сфера, где все активнее используются современные технологии, ежедневно накапливаются массивы данных о пассажирах. В то же время, это довольно консервативная отрасль в плане модернизации управления и перехода на новые бизнес-процессы. В результате некий всплеск событий информационной безопасности в транспортных компаниях был вполне ожидаем", - сообщил Андрей Арсентьев. Ссылка на источник