Как защитить себя и бизнес от утечек? Интервью с Search Inform

Почему секретарша эффективнее хакера? Какой магией оперируют банки, добивающиеся наказания провинившихся в утечке данных? Как обезопасить себя от мошенников? Об этом и много другом мы поговорили с Леонидом Чуриковым, ведущим аналитиком компании Search Inform.

- Леонид, привет, расскажи, кто ты, откуда ты, о чём мы сегодня будем говорить.

- Леонид Чуриков, ведущий аналитик компании Search Inform, компания наша больше 25 лет занимается информационной безопасностью и нашим фланговым продуктом является DLP-система — система защиты от утечек.

- То есть, DLP-система — это та система, которую компания ставит себе, если она хочет предотвратить какие-то утечки?

- Вот слово "утечки" сейчас самое модное и, в принципе, кажется, что в информационной безопасности, помимо утечек, ничего, вроде бы, и нет. На самом деле, несмотря на своё название DLP-системы защищают от массы инцидентов: от коррупционных схем, от мошенничества в отделе закупок и продаж, от мести сисадмина, который уходя оставил выжженное поле на месте своей работы, от того, что кто-то украл то, что плохо лежит и перенёс на новое место работы. То есть, масса инцидентов, которые надо зафиксировать, расследовать, понять, что произошло, кто виноват, а на кого пытаются просто свалить вину, и наглядные доказательства собрать, чтобы показать их виновнику, если с ним можно договориться полюбовно, или в суде, если надо договариваться уже с судом.

- Но, мне кажется, самое главное не в этом, а в том, что надо сделать на будущее, для того, чтобы этого избежать, или утечки неизбежны в принципе? У меня просто такое впечатление складывается, что, если мы смотрим на последние новости, то у нас там "Яндекс Еда" испытала шок с утечкой данных, потом "Delivery Club", теперь все обо всех всё знают, и у меня такое чувство, что утечки — это, в первую очередь, не про технологии и какие-то системы защиты, это, в первую очередь, про людей потому, что у меня такое стереотип сложился, что 99% утечек — это личные участия, то есть человеческий фактор.

- По данным нашего ежегодного исследования, порядка 70-80% — это те инциденты, которые связаны с сотрудниками организаций. То есть, есть конечно, действия внешних людей, но они, как правило, опираются на слабости внутри компании, либо на халатность, либо на желание посодействовать, заработать, либо на месть, либо ещё на что-то. Действительно, преступления совершает не код злонамеренный, а этот самый, как правило, злонамеренный человек, ну, не как правило, а в 100% процентах случаев это человек с каким-то умыслом.

- Ну слушай, но с другой стороны, иногда же нет какого-то умысла. В 90-е один из зарубежных специалистов утверждал, что работа хакера — это не что-то взламывать, сидеть в компьютере, работа хакера — это знать мусорку, в которую выбрасывают бумажки с паролями.

- Ну, раньше работа хакеров — это было знание технических методов, с помощью которых он может, соответственно, начать атаку, закрепиться где-то там внутри, её развить, получать права главного сисадмина, после этого всё зашифровать, всё что можно украсть и после этого шантажировать компанию каким-то выкупом. Но хакер стоит дорого. Если у вас вопрос, у вас киберпреступный бизнес, то можно заплатить 10 тысяч долларов хакеру и он взломает крупный банк, а можно заплатить 500 долларов секретарше и она сделает то же самое, вставив флешку в компьютер члена совета директоров этого банка. Но, собственно, что дешевле, что эффективнее. Быстрее договориться с секретаршей, чем с хакером, который постоянно поднимает цены, ещё говорит, что: "Ты знаешь, мне надо узнать, какие там системы защиты, туда-сюда". Секретарше ничего этого знать не нужно, ей просто нужны эти 500 долларов. Вот и всё, так и работает киберпреступный бизнес.

- А скажи, DLP-системы, они как в этом помогают? Вообще, расскажи, что это такое, что это за система. Ты сказал, зачем она, мы это поняли, а что это такое?

- Ну, это любопытный, уникальный класс систем, который в контрбезопасности включает не только железяки, не только софт, но и людей. Они анализируют активность не только программного обеспечения и железа, не только то, что плохо лежит. Например, данные утекают не только потому, что их кто-то хотел украсть, а потому, что их оставили в людном месте. Если вы в кафе телефон оставили на столике, пошли помыть руки, вернулись — телефона нет. С информацией то же самое. Ценный файл положили в папку общего доступа, через день-два смотрите, а его уже хакеры обсуждают на своём форуме потому, что кто-то из коллег увидел, сказал: "Опа, делюсь ценной информацией, заодно пообсуждаем с друзьями". Вот есть и такого рода система.

DLP принимает во внимание не только аномальную активность какого-то ПО, которое вдруг, как Байден, оборачивается в пустоту и протягивает руки в виде трафика, начинает обмениваться трафиком с чем-то, не только железяками, которые начинают перегреваться или сбоить, но и людьми, которые тоже совершают странные поступки. И есть даже отдельные модули, которые копаются не в данных, а прямо-таки в голове и душе сотрудников, анализируют психотип, личностные характеристики, чтобы выявить аномалии в нервной системе, грубо говоря, на ранних стадиях.

Что делают DLP-системы? Фиксируют инцидент, желательно сделать это на том этапе, когда ещё не газеты трубят об утечке, например или о чём-то, не хакеры торгуются за базу данных утекшую, а желательно, когда у нас эту базу данных просто человек украл, скопировал куда-то на компьютер отдалённый, в облачное хранилище, пополняет её, чтобы потом продать. Можно поймать его на этапе перекладывания файла, который где-то хранится и человек пытается его пополнить, спрятать от коллег и передать куда-то, где ему за это заплатят. Можно на этапе прямо-таки выноса за периметр, когда у нас есть колючая проволока, человек прямо пересекает эту границу и нарушает законодательство.

То есть, если нам надо, мы уследим за ним и хотим довести до кипения этот процесс. Нам надо его посадить, не просто оштрафовать, поругать, а вот прямо-таки сказать: "Всё, нарушил закон". Потому, что если он с флешкой секретными данными ходит у себя по кабинету, то вроде бы он закон ещё не нарушил. Может, внутренние регламенты нарушил, скачал и ходит, значит, с ней с какими-то тайными мыслями, но по закону он ещё не вынес её за пределы любимой организации. А вот если нам надо, мы поняли, что он негодяй, надо его взять с поличным, можно допустить, чтобы он пересёк, но безопасно для нас.

Например, он скопировал всё на флешку, но он не знает, что эти данные мы зашифровали, и он их унесёт, а продать не сможет. Можно и это сделать. Плюс, преимущество одно из основных DLP-систем в том, что они могут ретроспективный анализ совершать потому, что если у вас в отделе закупок мошенничество, кто-то что-то украл, смухлевал, вы обнаружили, думаете:"Ну всё, сейчас накажем человека". А может, эти люди уже 10 лет грабят свою любимую компанию, собственно, их надо наказывать не просто за этот отдельный эпизод, а вот за всю эту злонамеренную деятельность. И вот это функционал DLP-систем.

- Слушай, ты говоришь, можно кого-то посадить, и часто такое бывает? Я, вот, как ни посмотрю на наши всякие инциденты с утечками данных, на мой взгляд это просто вопиющая несправедливость, что когда кого-то сажают за то, что он что-то украл данные у компании, а когда "Яндекс Еда" допускает утечку данных, то ей это обходится в какой-нибудь штраф. Для меня это нонсенс потому, что я, опять же читаю зарубежные ленты: утекли данные, коллективный иск, ретроспективные выплаты всем-всем-всем. В 90-е, например, Nintendo, выплатили гигантскую сумму, но в виде, там, допустим ваучеров, которых хватало на что-то существенное, а не на какую-то одну доставку, как у нас это "Яндекс" или "Delivery" любят: "У вас проблема была? Вот вам бесплатная доставка на один раз". Зачем мне это? У меня украли данные, теперь все знают, что я ем пиццу такую-то, трачу столько-то денег, это же уникальные данные для скрининга, для всех то, что утекло. И на мой взгляд эти компании незаслуженно как-то избегают ответственности, а ты говоришь, что там кого-то посадят. Многих-то посадили-то, кстати?

- Ну, реальных посадок, конечно, мало, хотя они есть.

- Наверное, полюбовно досудебно решали.

- Даже не так. Есть масса судебных дел, но я бы назвал бытовым кибернасилием потому, что подавляющее количество дел — это сотовые операторы, где сотрудники, собственно, по знакомству, иногда совершенно бесплатно, дают своим знакомым данные о звонках, смс-ках.

- То есть, сотовые операторы чаще всего с такими утечками сталкиваются, просто про них мы не знаем?

- Почему не знаем? Можно зайти в систему, где правоохранители публикуют дела, приговоры и так далее. Там, ну как огромные, тысячи, порядка десяти тысяч дел подобного рода заводятся потому, что это менеджеры, грубо говоря, совсем низкого звена, не зная о своей ответственности, они совершают эти правонарушения, в суде признаются, что не знал, сказал соседке по лестничной клетке с кем переговаривается её муж, извините.

- Совершенно не знал, вот прям так и не знал. Мне кажется, что в этом есть некоторое лукавство потому, что современный человек не может этого не знать. Я понимаю, что если бы я был прав, у нас "служба безопасности" "Сбербанка" не продолжала бы свою успешную деятельность по обзвону каких-то граждан. Служба безопасности, имеется в виду, в кавычках.

- У нас нет моральной планки такой, которая бы говорила нам, что так делать нехорошо. Любой, возьмём, фильм, где у нас в какой-то степени детективная история, последний сериал "Тёлки" или ещё какой-нибудь старый сериал, везде там есть человек, который с какой-то базы данных по просьбе друзей, которые говорят: "Ну, а что там, копни" и он отдаёт эту информацию. И, когда мы смотрим сериал, нам не кажется, что это какой-то негодяй. Мы наоборот понимаем, что если там такого нет, это вообще непрофессионалы какие-то. У них нет возможности даже получить что-то из секретной базы данных.

- Это, как раз, к тому примеру, что ты приводил, что хакер перед заказом ещё напустит тумана, что ему надо что-то там изучить, обратиться к космосу, чтобы планеты сошлись.

- Поэтому, люди знают, что вроде как не хорошо, но вроде все так делают. И человек не понимает, что ему за это будет. А будет ему, в случае с операторами, то у сотрудника зарплата 30 тысяч, суд говорит: "Во всем сознался, признал вину, пол-зарплаты тебе штраф, 15 тысяч". Есть люди, которые пытаются этим торговать, выстраивать, какие-то бизнес-схемы, или люди, которые попадаются, например, в крупных банках, на попытке заработать на продаже данных клиентов. Тогда банк идёт на принцип, чтобы всем было неповадно, сажает на 2 с лишним года, штраф 25 миллионов и вперёд.

Но это некая магия потому, что самое сложное — это даже не доказать суду, что именно этот человек виноват именно в этом преступлении, хотя это тоже вопрос не тривиальный. Судья не понимает коды, логи, ему надо показать монитор, грубо говоря, по которому мышкой человек совершает преступление, елозит этим самым курсором. Но чтобы назначить какой-то штраф, суд должен понял в чем ущерб, и вот этот потенциальный ущерб для суда совершенно такая штука эфемерная. Когда у нас был этот прецедент с этим 25-миллионным штрафом, я это называю тёмной магией. Если у вас есть тёмный маг, который способен убедить суд назначить какой-то штраф, вам не нужна киберзащита. Вам нужно держать этого кибермага у себя, но далеко не у всех он есть, и тогда нужны как раз эти системы объективного контроля, которые позволят найти реально виновных, найти реально непричастных, на которых пытаются спихнуть эту вину, и, соответственно, это все описать.

Компаниям, которые признаются сейчас: "Виноват наш сотрудник", как, например, "Яндекс", надо тоже делать вид, что это добрая воля самобичевания. Нет конечно. То есть, компания бизнес никогда не будет бить себя плетками, просто чтобы все просмотрели, как ему больно. Если компания это делает, значит зачем-то ему это нужно, потому что вводится персональная ответственность руководства и заместителя в виде руководителя служба ИБ за эти самые утечки и так далее. И компании понимают, что я хорошо буду сверху отвечать, но мне надо заранее подготовиться к тому, чтобы у меня был либо козёл отпущения, либо я реального виновника найду. Так вот, желательно найти реального.

- Слушай, ну с "Яндексом", все знают мою к нему большую любовь, я всё-таки с тобой не совсем согласен. Почему? Потому, что "Яндекс", в первую очередь, они очень хотят, остаться, так сказать, в международном поле. В международном поле с таким шлейфом ты многого не достигнешь. Тебе нужен, как ты говоришь, козёл отпущения, тебе нужно очень чёткое объяснение, тебе нужно показать, что ты этот вопрос порешал. А в нашей, так скажем, действительности, это мало отношения имеет. Ну наказали безопасника, и что? Ну, как бы, мёртвому припарка, мне кажется.

Ты упомянул про банки. Мне кажется, с банками это вообще история достаточно странная. Те же самые мошенники, которые часто звонят нашим согражданам, мне, тебе наверняка звонили, они же знают наши фамилию, имя, отчество, они точно предполагают, что мы являемся клиентов какого-то банка, зачастую ошибаются, хотя это я просто не являюсь клиентом очень крупных банков, поэтому со мной ошибка, но скорее всего, большая часть звонков доходит, так скажем, до адресата. Откуда у них эти данные? Почему они в таком количестве? Почему вообще в принципе наши банки они как-то не заботятся о безопасности своих клиентов?

Я разъясню. С одной стороны, мы стремимся к тому, чтобы у нас доступ к финансовым услугам был удобный. Что это значит? У нас лучше приложения банковские, у нас очень либеральное законодательство в плане открытия вкладов, открытия кредита дистанционно, но в то же время любое это, так скажем, улучшения пользовательского опыта, клиентского опыта, оно же ведёт к росту инцидентов с безопасностью. Вот сейчас расходится популярная байка, опровергни, если я не прав, что мошенники, которые обзванивают, они прям добиваются у абонента слова "да", чтобы его записать, потом его типа использовать в качестве доказательства. Я знаю, что в США по закону, сделка является завершенной, если ты ответил по телефону "да", но я не помню, чтобы у нас такой закон был. Развей этот стереотип. Можно говорить незнакомому человеку по телефону "да" или нет? Будет ли это потом как-то использовано в биометрическом смысле?

- Для начала я бы сказал, совершенно правильно, что наша банковская система и уровень обслуживания с финансовыми организациями, у нас зачастую выше средне мирового потому, что мы начали выстраивать её позже, соответственно, начальный уровень был выше, и тот, который мы имеем сейчас он очень продвинутый. И система защиты, в принципе, у нас тоже достаточно продвинута. Банковский антифрод по заявлению того же "Сбербанка" блокирует 99% мошеннических операций. На моих глазах буквально, моя знакомая совершала покупку на маркетплейсе известном, хотела сэкономить, значит, нашла продавца, купила ноутбук со скидкой — чек не пришёл. Она понимает, что что-то не так, звонит тут же в банк: "Вы не волнуйтесь, операция заблокирована". Это был не "Сбер", другой банк. И там тоже мы видим, что антифрод отслеживает нестандартные операции, блокирует их, а дальше ты уже, соответственно, даёшь данные о том, что ты не участник мошеннической схемы, ты против, пишешь заявление в полицию и так далее.

То есть, с одной стороны банки нас, действительно, пытаются защищать. Но, поскольку действуют против нас люди в режиме реального времени, и социальные инженеры, они говорят с нами по телефону, понимают: "Так, вот эта схема сейчас не срабатывает, так деньги перевести не получается, мы вам дадим ещё одну инструкцию, хорошо, идите к банкомату, к вот этому, снимайте, положите их в пакет, повесьте на лавочку, сейчас приедет курьер, это сержант Иванов, не волнуйтесь". Это реальный случай, который был. То есть, действительно, человека убедили вот так поступить. Если не снимаются деньги в этом банкомате, ему говорят: "Мы видим, да, преступники шагнули вперёд, опередили нас. В торговом центре остался ещё не захваченный ими банкомат номер два, бегите срочно туда". То есть просто схема работает так. И люди, которые попались на удочку социальных инженеров, внушаемые, они реально неделями выполняют инструкции, некоторые даже месяцами, открывая на себя кредиты, переводя деньги на какие-то таинственные счета, чтобы их сохранить, чтобы противодействовать фиктивным мошенникам или чтобы содействовать тем же фиктивным правоохранителям, которые занимаются супероперацией по расследованию.

- В общем, завербовали.

- Да, поэтому проблема как раз в том, что действует именно человеческий фактор, они действуют за счет социальной инженерии, и в этом проблема. Как получают данные? На самом деле крупных банков у нас немного и тем же самым клиентам "Сбера" отправляют рассылки, думая, что у нас вообще все клиенты, как минимум нескольких банков, в том числе и этого. Но при желании можно купить. Ну, по данным соответствующей компании, которая проводит эти исследования, полторы, три, четыре тысячи рублей, в зависимости от того, что вам нужно — просто клиент какого банка человек или какие у него счета, или сколько денег на счетах, или какие последние операции он совершал и так далее. А дальше это все применяется в ходе той же самой социальной инженерии. Первое — к вам обратились по имени-отечеству, "Сбер" подтверждает, что это просто вырубает 80% населения, они ведутся: "Ну всё, если они меня знают, значит, наверное, это не случайные люди".

- Слушай, мне кажется, что это легко обходится. Я помню как в одном из каршерингов можно было указать в приложении как автомобильной системе к тебе обращаться, очень многие писали "Чёрный властелин". Так может быть, сделать так, чтобы "Сбер" спрашивал человека, как к нему обращаться, чтобы человек сам понял, "Сбер" это звонит или не "Сбербанк", или не банк. Типа: "Чёрный властелин, здравствуйте. Я из Сбербанка". Сразу понятно, что звонят из "Сбербанка". Или нет? Есть какие-то просто мелочи, я не говорю про волшебную палочку, я не говорю про что-то такое сделать, и все наладиться, нет. Но какие-то мелочи можно посоветовать потому, что все равно они сделают, как хотят, банкам, минимальное что-то ввести, что могло бы обрубить значительный кусок мошенничества?

- Вот за один шаг нельзя потому, что как только появляется методология или технология блокировки, вот мы прямо хотим одной стеной оградить всё — нет. Банки идут по другому пути, они дублируют, если они говорят: "Как я могу к вам обращаться?", а потом ещё: "А где вы живёте?". И эти вопросы они варьируют. И именно то, что ты не знаешь, что следующее спросит специалист банка и позволяет обойти мошенников потому, что если есть чёткая схема, она сразу станет известна и через инсайдеров банка, и просто через общение с банками и люди её обойдут. Именно эта вариативность позволяет банкам защищаться. Кстати говоря, по поводу этих съем "да", "нет" и так далее, схемы голосовой идентификации в наших банках достаточно продвинуты, и крупные банки вот таким просто скопированным ответом "да" или "нет" не обманешь. Но в принципе, рекомендации людям сейчас не болтать языком с мошенниками потому, что все, что вы наболтаете, во-первых, вы можете разболтать какую-то ценную информацию.

- Которая будет использоваться в последующем.

- Обязательно будет использоваться в последующем против вас. Вы скажете невзначай в каком районе, где вы живёте, какая у вас машина, всё это будет учитываться при последующем вымогательстве у вас каких-то активов и так далее. Всё, что вы наговорите — это данные, которые против вас применят. Ну и фразы эти можно нарезать, составить из них какую-то историю и шантажировать через работатодателя, через близких людей вас и говорить: "А мы составили такую фразу, по которой видно, что вы изменяете своей жене, будем сейчас вас шантажировать ". Это возможно.

- Закругляю конкретно этот блок вопросов, я всегда, когда ко мне обращаются, рекомендую делать очень просто: если вам звонят из банка, скажите: "Хорошо, я вам перезвоню", сбрасываешь и звонишь, собственно, в банк. Это универсальный совет или есть ещё какой-то?

- Это очень грамотный совет, который я бы сделать базовым. Надо завершить разговор.

- Сразу?

- Да.

- Если незнакомый номер?

- Если незнакомый номер или номер знакомый потому, что подмена номера доступна любому, не только хакеру, не только сотруднику коллцентра, просто запускайте бот в мессенджере, бот позволяет ввести любой номер, который высветится у человека. Если у вас забита ваша бабушка, то у вас на телефоне будет "мне звонит бабушка". Это номер будет знакомый. Если будет номер банка звонит, высветится, что вам звонит именно ваш банк или ваш участковый. Подменить номер ничего не стоит, и если вы обратным звонком на этот звонок ответите, то вы попадёте к мошеннику. Если вы по своему контакту введёте либо пальцами номер банка, либо в записной книжке найдёте у себя номер банка и его нажмёте, то вы попадаете в банк, либо посмотрите на карточке, что написано.

- Потыдожив эту рекомендацию. Если вам звонят с незнакомого номера и представляются любой службой банка, превентивно сбрасывайте этот звонок, находите в сети или где угодно, на карточке вашей банковской есть номер банка, руками его вводите, не перезванивайте по тому номеру, который был, а ручками вводите номер и говорите: "Мне сейчас звонили из банка, всё ли нормально?". Правильно?

- Да.

- Хорошо.

- DLP — это не просто система, которая за вас решает все проблемы, но и предоставляет доступ, во-первых сотруднику информационной службы безопасности нужному для принятия решения, но часть решения она выполняет сама, в том числе благодаря тому, что есть некие агенты на корпоративных устройствах, маленькие приложения, которые либо блокируют передачу данных, либо какие-то другие действия сразу же, либо фиксируют их и, соответственно, это один из функционалов DLP-систем, который с одной стороны, полезен, с
другой стороны доставляет хлопоты разработчикам потому, что когда мы начинали свою деятельность, вся инфраструктура была на Windows. Потом начала развиваться популярность Mac-ов, надо было поддерживать и эту платформу тоже, чтобы агенты могли на этих компьютерах что-то блокировать, какие-то данные считывать, и это мы должны поддерживать. Импортозамещение пошло, Linux-ы их много, у них много ядер, много версий, их тоже надо поддерживать ещё и держа руку на пульсе потому, что ещё неизвестно, какие Linux-ы выживут, поэтому развиваясь, мы наш функционал распространяем теперь на всю инфраструктуру, которая есть у наших клиентов: на Windows, на Linux и на Mac. Это хлопотно, это требует ресурсов разработчика, это требует поддержки от нас и мы не можем как компания, от которых требуют импортозаместиться, забыть про иностранные и на чём-то отечественном сидеть. Мы-то должны поддерживать всё: и отечественное, и иностранное. Поэтому, не так давно у нас действительно появился функционал для платформы Mac, ну, а для Linux он и раньше появлялся и он развивается в плане того, что меняются версии Linux-платформ, меняются ядра у них и мы, соответственно, всё это должны поддерживать.

- Ну, то есть, речь идёт о каких-то жучках, когда сотрудник подписывает НДА и прочее, он обязан установить какое-то еще приложение.

- Да, безусловно. Все эти системы я называю системами объективного контроля. Это не системы подавления креатива и творческой активности. Это система, которая позволяет вам чувствовать себя в безопасности. Вы знаете, что если вы совершите какую-то глупость, то она… Вот запрещено у вас передавать персональные данные по мессенджерам, даже если вы сотрудник банка, а клиент вам попросил: "Ты мне в телегу там чего-нибудь пришли". А банку за это достанется от регулятора, и он вам 20 раз сказал, что так делать нельзя. Вы попробуете это сделать, и система скажет: "Слушай, я операцию блокирую. Почему? Потому, что она противоречит нашей политике безопасности". Плюс, если на вас будут спихивать ответственность за то, что вы не делали, вы скажете, что…

- А часто так бывает в корпорациях?

- Часто. Часто инициатором схемы мошеннической, например, в отделе закупок или ещё где-то, или когда через логистическую сеть проводятся какие-нибудь… Какая-нибудь компания торговая, у неё своя сеть грузовиков и через них наркотики распространяются. Водитель об этом ничего не знает, знает кадровик и кто-то на складе, какие-то сотрудники и какие-то мелкие пешки. И в принципе, реализируя какую-то схему начальник своими ручками старается ничего не делать. Он старается, чтобы все действия совершал кто-то другой и, соответственно, в случае чего он скажет: "Да-да-да, вот негодяй какой. Я подозревал, что именно из-за него всё". Поэтому, эта схема распространенная и очень важно увидеть, кто же тут при делах и кто куратор, кто исполнитель, кто по принуждению это делал, а кто добровольно, понять это всё.

- Лучший способ огородиться от этого — сотрудничать со следствием, я так понимаю?

- Но не все же идут на сотрудничество со следствием, кроме того, следствие иногда ведёт себя немножко предвзято. Ну, например, был инцидент в одной компании, где зафиксировали, что после того, как произошла предварительная договорённость с клиентом на крупную сумму, ему звонит конкурент и сообщает ему данные, которые кроме этих людей никто не может знать. Ни сумму там, ни какие-то подробности счетов и так далее. Ну, соответственно, служба безопасности сказала: "Всё понятно, у нас крот, сейчас мы всех посадим на полиграф, вставим паяльник в одно место и люди сознаются. Лампу в глаза". Всех посадили потому, что ситуация казалось однозначной, и у людей был опыт, они были профессионалы в этом, они сказали: "Сейчас разберёмся, не вопрос". Два месяца терзали сотрудников, никто не сознался, часть уволилась потому, что наезд серьёзный, люди почувствовали, что в общем выдержать это не могут, уволились. Выяснилось, что никто в этом не виноват. Как такое могло быть? Очень просто, никто из своих данные не сливал, их сливал финансовый калькулятор. Когда подбирали некий инструмент кредитования, вводили данные на определённом сайте и он, робот, подбирал схемы, а сотрудники вот этого сайта уволившиеся знали, как устроена система логинов, паролей и могли туда периодически заглядывать, смотреть что там за сделки проходят и эти данные перепродавать. Вот, собственно, из своих никто не виноват, а своих всех мучили.

Следствие иногда ведёт себя как хирург, который говорит: "Я хирург, я могу отрезать". Тот, кто по таблетка специалист, говорит: "Я рекомендую ничего не резать, у меня есть таблетки, можно таблетками". DLP достаточно универсальная система, она предлагает массу вариантов: можно тут посмотреть, можно здесь, можно в психологии покопаться, значит с помощью определённого модуля, можно посмотреть на данные, можно посмотреть на действия пользователя и так далее.

- У меня есть знакомая томская компания, которая разработала такой инструмент, как динамически изменяющийся пароль. Возможно, как раз одна из частей, получается, какой-то DLP-системы, когда у всех сотрудников пароли всегда разные. Он обращается к системе, она ему говорит: "Сегодня твой пароль такой-то". И получается, что никакие пароли ни у кого никогда не хранятся, они хранятся только у одного человека, то есть есть чётко ответственный человек, кто отвечает за систему этой генерации паролей. И получается, что очень легко менять сотрудников, то есть, не знаю, СММ-менеджер, доступ к соцсетям, и в то же время чётко знать, что старый сотрудник не получит доступ к системе, как например, получил он к Rutube, во всяком случае, они ж сказали, что это оказывается, кто-то старенький уволившийся, не выдержавший последних событий, нанёсший удар в спину. Только почему-то теперь у них новый пресс-секретарь, видимо, старый тоже не справился.

- Вот эта проблема со старыми учётками, с уволившимися сотрудниками, она очень актуальна, особенно для крупных структур, где, честно говоря, процессов много и это обновление этой базы происходит регулярно, но такая регулярность может быть раз в год или раз в полгода. И для какого-нибудь проекта создали какое-то облако, к нему кого-то подключили, дали какие-то права, проект закрылся, а потом связывается сотрудник говорит: "Ну что, вам там насчет этого, права ещё нужны?". А ты говоришь: "Да я уже в другой компании давно работаю, какие права?". Он говорит: "Понятно, закрываем". С паролями ещё бывает проблема, когда корпоративные пароли человек использует в личных целях. И в принципе, у него благие намерения, он же знает: "Корпоративный пароль у меня крепкий, его так просто не взломаешь. Значит, я хочу чтобы вообще моя жизнь была безопасной и возьму-ка я его на своей личной почте буду использовать или в соцсети". Чем это чревато? Тем, что взломают вашу эту почту, например, она была у вас на одном ресурсе, потом вы перешли на другой, эту забыли, больше её не защищаете. Её кто-то базу слил, соответственно, ваш пароль потихонечку стал известен.

И дальше идёт процесс. Люди станут собирать данные о том, где вы работаете, они взяли ваш пароль применить и там. Это чревато допуском к вашим данным уже корпоративным. DLP-системы следят за этим, чтобы свой корпоративный пароль вы не использовали в личных целях потому, что это, к сожалению, небезопасно. А то, о чем вы говорите — это система менеджер-паролей. У неё проблема какая? Как правило, это айтишное решение, айтишники его здорово сделали и сами, как бы в курсах, а все остальные к них под наблюдением. А если они уйдут? Вообще, забота о привилегированных пользователях — это то, на что опять-таки настроены системы безопасности потому, что люди с привилегиями, это не только начальники, но и айтишники, у них есть право замести следы.

- Не только право, но и умение, это важно. А то право у многих может быть есть, а вот умения не хватает.

- Вот система информационной безопасности — это отдельный огород, в который даже у этих привилегированных пользователей нет дорожки. И те действия, которые они совершали и которые они потом подчистили, будут зафиксированы в базе служб информационной безопасности, и оттуда можно будет сказать: "Подожди, что значит ничего не было, ты ничего не делал? Вот документ, который ты открывал, вот ты стёр метку для служебного пользования". "А откуда вы узнали?". "А у нас теневые копии хранятся, вот тогда-то. Вот ты его значит поменял, чтобы он выглядел как-то по-другому. Вот ты переложил и, понимаешь ли, унёс". Это всё епархия этих самых служб информационной безопасности и тех самых систем. Вот они благодаря этому могут, действительно, блюсти объективность потому, что желание и со стороны власти, которые своим авторитетом задавят и скажут: "Я назначаю ответственным вот этого человека". И люди профессиональные, которые могут своей теневой властью всё это сделать. Логи какие-то сделать, зайти с чужого компьютера, это тоже распространённая система, когда человек логинится с компьютера коллеги, чтобы, если что, все шишки упали на коллегу. И тоже, зная что такие схемы есть, DLP-систниы контролируют, кто вводит логин и пароль просто по фотографии, сличается в базе данных active directory это Иванов или на компьютере Иванова его коллега из соседнего отдела что-то делает? У этих же сотовых операторов это регулярный процесс, когда человек понимает, что со своего компьютера со своей учеткой не хорошо, а он посмотрел у Мариванны, что она там вводит, и с её компьютера раз к базе данных подключился, что-то украл, куда-то перепродал.

- А учитывая, что у нас очень распространена удалённая работа, то и чужой компьютер не понадобится, достаточно учетки.

- Вот, это как раз к вопросу про агентов и так далее потому, что сейчас периметр размылся и если раньше мы могли выстроить схему безопасности, мы знали, какие компьютеры, как с друг другом общаются, какие у них IP-адреса, что там установлено, выстроены регламенты, они там работают, обеспечивают безопасность вот такого уровня. Потом все отправили или по домам, кому-то дали корпоративный компьютер, кому-то он не достался, кто-то из кафе работает, кто-то из дома, кто-то с балкона, кто-то из парка, кто-то в командировке. Как защищать этих людей, когда мы не понимаем, с каких устройств они зашли, по каким каналам они подключились и так далее. И плюс, ещё для начала надо было вообще сделать какую-то работоспособную систему, просто чтобы у человека был какой-то доступ к чему-то, чтобы он работать мог, а потом уже будем думать о том, безопасно это или небезопасно, иначе бизнес встанет, он премию не получит, он ругается на нас. Для этого, кстати, нужны эти самые агенты, которые, значит, вовремя информацию собирают, и если какие-то действия происходят, они их блокируют. Либо, если это личное устройство, там в принципе, не хорошо ставить агента на личном устройстве, на корпоративном да, то надо выстраивать схему, чтобы был через сервер доступ, и тогда серверный агент на сервере будет то же самое делать, но, соответственно, это же надо всё настроить. Сил и времени на это у сотрудников мало тем более, а сотрудников этих, отвечающих за информационную безопасность, вообще они не везде есть. Сейчас, вроде, по закону должны быть везде такого рода отделы, ну, появиться, но где наберут людей в такого рода структуры непонятно. У нас и так айтишников мало.

- Слушай, как раз ты затронул импортозамещение, последние события, изменения в законодательстве. Ряд вопросов, практически мы, наверное, уже, завершаем, именно по вот этому блоку. Во-первых, внеси, пожалуйста, ясность. Я правильно понимаю, что теперь у нас все компании обязаны использовать системы, если мы говорим про контрбезопасность, отечественные? То есть, они обязаны избавиться от зарубежных систем безопасности, в том числе и DLP.

- Использовать? Использовать запретят с 25-го года, если не сдвинут срок. Сейчас запретили закупать иностранное прямо-таки с этого года, с весны закупать запрещено.

- Как у вас с продажами дела с тех пор?

- Ну, у нас с продажами дела, с одной стороны, хорошо, они растут, особенно определённых категорий систем, например CM-систем, которые как раз удобно использовать для уведомления регулятора об инцидентах потому, что прилетает не только от хакера, но и от регулятора. Не уведомил об инциденте, соответственно, вот тебе штраф.

- А, так вы не только DLP-системами занимаетесь?

- Да. CM — это тоже решение, которое позволяет закрыть эту проблему. Вопрос в том, что с первого апреля есть поправка к закону, где надо будет не просто уведомлять регулятора о том, что: "Слушайте, что-то случилось. Мы честно вам говорим, думайте сами. Мы вам сознались". Надо написать, что именно произошло, что утекло, кто виноват и что будете делать. И вам на это даётся 24 часа. Собственно, вариант, либо у вас готовый козёл отпущения и вы автоматически пишете: "Как всегда, виноват Шемшук".

- Фукс. В каждой компании должен быть свой Фукс.

- Да, и стандартная фраза, что случилось, которую вы знаете, что съест регулятор. Это один вопрос, но у регулятора в лице ФСБ есть возможность задать дополнительные вопросы, и вот как вы будете отвечать на эти дополнительные вопросы без DLP-системы, я не знаю.

- То есть, DLP-система, фактически, собирает доказательную базу и в принципе позволяет установить всю последовательность событий и так, как это DLP-система сторонней компании, то есть вашей, она является средством, получается, объективного контроля, то есть, ваша система не связана с конкретной компанией. Она фактически собирает объективные данные, что позволит решать вот эти проблемы с регуляторами более эффективно.

- Да. Можно эту объективность ещё на какой-то уровень поднять, это когда вы понимаете, что в вашей компанией все как-то немножко друг с другом связаны, в том числе безопасники, тоже там люди те ещё, вы можете часть проблем, этой головной боли отдать специалистам.

- На аутсорс.

- На аутсорс. Аутсорс информационной безопасности. Удивительно, но это тоже есть, то есть, не только бухгалтерию можно отдать, но и информационную безопасность, оставив у себя все управленческие кадровые и так далее важные решения, а вот рутинную работу, которая следователь, участковый ходит, опрашивает всех, свидетелей, по подъезду, это всё будет делать за вас специалист. Вам не нужно его содержать в штате, не нужно его обучать работать с нужными компьютерными инструментами, не нужно у него, опыт должен быть, то есть, чтобы работать с компьютерными инструментами, надо понимать, что искать, как искать, как люди действуют. Эти люди на аутсорсе, у них огромный многолетний опыт разбора подобных инцидентов. И они не просто формально, просто знаю, как работают наши люди на аутсорсе, не просто формально значит набирают какое-то количество инцидентов, как это, отправка регулятору: "У вас произошло следующее. Миллион негодяев в вашей компании". Нет, если они видят, что дело касается главбуха, они проверяют, точно ли за компьютером логинилась главный бухгалтер. То есть, они понимают, что это вопрос важный, надо его проверить, хотя из об этом не просят. Можно было бы просто формальный отчёт отправить: "Главбух творит чудеса". А можно проверить, это он или это какой-то хитрый человек, который собрался уволиться, пробрался туда и с этого компьютера залогинился. То есть, вот эти вот операции по сбору данных, по их перепроверке делают специалисты, и им дальше можно сказать: "Так, ребят, по отдел закупок мы знаем, там у них маленькая моржа, мы закрываем на это глаза, там не копайте. А вот в бухгалтерии что-то нашли, давайте, капните туда поглубже".

Вы человеческим языком объясняете, куда копать, на кого не стоит, а кому присмотреться повнимательнее, и люди будут, собственно, заниматься этим делом. При этом, у них холодная голова, они в вашем стрессе, если у вас что-то случилось, он их не касается, они не привязаны ни к каким вашим коррупционным схемам и так далее. Они сидят, делают свою работу. А дальше никакие управленческие решения они на себя не берут, и все соглашения по неразглашению, это всё тоже значит учитывается. То есть это, грубо говоря, примерно как головную боль с IT-инфраструктуры, сейчас же тоже люди не знают, что делать. Этим железкам ты доверял, и тут производитель ушёл, что делать, если они сломаются? Этому ПО ты доверял, тоже производитель ушёл, что делать? И тут то же самое. Вот информационная безопасность вроде была, ты на неё рассчитывал, она раз и испарилась. А если она у тебя всегда подстрахована чем-то во вне, то ради бога, у тебя есть там тыл, грубо говоря, ты знаешь, что мгновенно можешь воспользоваться таким сервисом.

- Крайне интересно и познавательно. Спасибо большое, приходи ещё рассказывать про утечки и негодяев в закупках. У нас тут про закупки, как раз, был ролик интересный, прям собирается полная картина. Спасибо большое, ну а вы пишите в комментарии, подписывайтесь, а если вы компания, которая хочет рассказать о себе, пишите нам в личку, пригласим, побеседуем. Спасибо, Леонид.

- Спасибо за то, что пригласили.