Слабые места в системах безопасности сегодня могут привести к серьезным последствиям. Во всем мире компании изучают возможные риски и способы не просто устранять угрозы, но и эффективно упреждать их. Генеральный директор Cross Technologies Евгений Чугунов рассказал CNews о растущем спросе на системы, базирующиеся на технологиях искусственного интеллекта и систем поддержки принятия решений, а также о том, какие из популярных сегодня технологий обеспечения информационной безопасности со временем могут утратить свою актуальность.
CNews: Расскажите, пожалуйста, какие тенденции были наиболее заметны на отечественном рынке информационной безопасности в этом году?
Евгений Чугунов: На текущий момент главной тенденцией на российском рынке является направление цифровой трансформации. В законодательном плане ведомства стали уделять больше внимания проблеме утечки персональных данных граждан, обеспечения безопасности цифровой личности. Как мы знаем, разрабатывается автоматизированная система контроля нарушений прав субъектов персональных данных в интернете. Обсуждаются перспективы появления единого центра, где все данные будут храниться и предоставляться с разрешения человека, а для бизнеса будет предоставлена возможность получить эти данные в обезличенном виде. Информация становится частью бизнеса, в том числе государственного, и начинает сильнее регулироваться с точки зрения правил ее использования и требований к защите.
Что касается практики, то в связи с переходом сотрудников на удаленную работу компании вынуждены поддерживать тренд на ведение бизнеса из любого места. Это неизбежно приводит к тому, что люди работают из дома, общественных мест, в транспорте, в небезопасной среде, доверие к которой можно охарактеризовать как нулевое. И бизнес неизбежно начинает понимать, что все процессы требуют постоянного контроля, лозунгом становится «не доверяй и проверяй».
Развитием этой концепции становится распределенная архитектура безопасности с множеством различных периметров и сред безопасности, взаимодействующих с собой по правилам «недоверия», — вплоть до управления защитой отдельных документов средствами криптоконтейнеров вне зависимости от того, в каком периметре или за каким периметром он обрабатывается.
Образно говоря, мы либо проделываем миллион брешей в заборе (общем периметре защиты) для обеспечения удаленной работы и ведения бизнеса из любой точки, либо сегментируем каждую отдельную историю, устанавливая ей собственные правила и правила взаимодействия между сегментами, макросегментами. В главном офисе с ноутбука вам предоставят один доступ, из филиала в соседнем регионе — другой, а из дома — третий. С одного типа защищенности устройства будет свой набор доступных систем, данных, вариантов работы, с более защищенных — другой, уже со своими ограничениями и, например, без доступа к каким-либо публичным сервисам или в целом в интернет, без возможности печатать и локально сохранять данные, а также с контролем от фотографирования экрана, наличия посторонних лиц рядом и так далее.
Появился спрос на интеллектуальные системы, отслеживающие окружение
CNews: Какие решения Cross Technologies оказались наиболее востребованными в последнее время?
Евгений Чугунов: Я не могу сказать, что в области информационной безопасности произошла какая-то революция, и все приоритеты сошлись на одном унифицированном направлении. Существует базовый функционал, так или иначе нужный каждому, — вроде защиты от утечек или отражения вторжений. И, например, мы как занимались внедрением классических систем защиты, так и занимаемся. Другое дело, что сейчас многие начали связывать уже имеющиеся у них системы единой логикой, интегрируя их между собой и заставляя более плотно взаимодействовать. Это позволяет обеспечить периметр безопасности не в классическом виде замкнутого типа, а динамически расширяемый, способный подстраиваться под все защищаемые активы.
Текущее массовое перемещение сотрудников за пределы офисов из-за внешних факторов неизбежно приводит к расползанию инфраструктуры. Человек теперь должен получать доступы к критичным системам, к которым до карантина удаленный доступ не предоставлялся. Необходимо не просто защитить канал связи, но и убедиться, что информацию получает именно конкретный человек — ваш сотрудник, а не третьи лица. Дома всегда есть дети, родственники, гости. Кто-то из персонала вообще работает из публичных мест, ресторанов или фуд-кортов, транспорта. Потенциальный злоумышленник может стоять за спиной и вести съемку с телефона.
CNews: То есть из-за внешних факторов спрос на системы анализа окружения появился внезапно?
Евгений Чугунов: Скорее спрос на интеллектуальные системы, способные отслеживать окружение, появился естественным образом, разумеется, в связке с уже используемыми технологиями. С точки зрения информационной гигиены это напоминает хорошо известный формат дистанционного банковского обслуживания. Все готовы серьезно относиться к безопасности, когда речь идет об их деньгах. Почему в случае с работой должно быть иначе?
Распознавать людей и объекты на не сильно качественных картинках — не самая простая задач. А в нашем случае картинка берется с простейших камер ноутбуков или простых веб-камер, где мы можем распознавать порядка 70 различных типов объектов, совокупность которых собирается и свидетельствует о происходящих кейсах безопасности.
Например, расширенная проверка безопасности неоткатываемой операции с финансами. Когда офицер безопасности процессинга, подтвердивший операцию из офиса, не вызывает сомнений, работающий из дома — уже подвержен риску, связанному с халатностью. Так, ребенок может одним нажатием кнопки на клавиатуре лишить родителей работы, а кого-то денег.
Решение Cross Technologies позволяет минимизировать риски именно за счет учета того фактора, что сотрудник в офисе контролируется коллегами и руководством, а работающий дистанционно нуждается в дополнительном контроле. Подобные системы можно использовать, в том числе, если работодатель хочет проверить, не отклоняются ли сотрудники от установленных бизнес-процессов, работая удаленно.
CNews: А человек понимает, что он все время на виду?
Евгений Чугунов: В реальности на сотрудника никто не смотрит через камеру, хотя система действительно непрерывно фиксирует действия перед экраном, ни о какой онлайн-трансляции речи не идет. Система обеспечивает анализ действий и передает только заключение о происходящем перед экраном, видеоданные и изображения не хранятся в системе.
CNews: Какие компании, на ваш взгляд, лучше приспособились к тотальному переходу к удаленной работе в области безопасности — частные или государственные?
Евгений Чугунов: С точки зрения удаленного доступа проблем нет практически ни у кого. Тут скорее вопрос в том, можно ли работать удаленно в конкретной сфере. Так, на уровне государственных систем, тем более если говорить о работе с гостайной, удаленная работа невозможна в принципе из соображений конфиденциальности. Бизнес в этом смысле более гибок, но и здесь есть объекты, к которым нельзя давать удаленный доступ, — например, к критичным объектам КИИ, вывод из строя которых сможет привести к очень серьезным последствиям для жизни и здоровья людей. Тем не менее принципиальный скачок к зрелости в ИБ произошел повсеместно.
CNews: Часто ли клиенты откровенно перестраховываются, прибегая к неоправданно высокому для их профиля уровню защиты? Как понять, сколько безопасности нужно лично тебе?
Евгений Чугунов: Каждому приходится самостоятельно решать, на что он готов закрывать глаза, а на что нет. В любом случае все доступные сейчас технологии защиты сложно применить в рамках одного кейса. Клиент берет отдельные, нужные именно ему инструменты, руководствуясь здравым смыслом, своей бизнес-моделью и риск-приоритетами. С государством в этом плане проще — работа строится согласно регламентирующим документам.
CNews: Насколько возможности новых технологий упираются в неграмотность или нежелание сотрудников следовать правилам?
Евгений Чугунов: Рядовые сотрудники и сами все больше осознают необходимость защитных мер: каждый хотя бы раз сталкивался с последствиями недостаточного внимания к азам информационной безопасности. Неважно, идет ли речь о каком-нибудь вирусе, попавшем в ваш компьютер, или мошеннике, сумевшем украсть данные банковской карты.
Если в компании следят за повышением осведомленности персонала, с ней легче работать.
Технология не может работать за человека
CNews: Расскажите, пожалуйста, о решениях Cross Technologies в области защиты документооборота.
Евгений Чугунов: Документы — кровь любой организации, но в реальности до 80% их массива — неструктурированные большие данные. Файлы, как правило, существуют сразу в нескольких версиях, лежат в самых причудливых местах, и, даже если на финальном этапе удается их систематизировать, вы никогда не знаете, на каких компьютерах и серверах они успели побывать.
Мы разработали решение, решающее эту проблему. Система «зашивает» метку в начале жизненного цикла каждого документа, в следующей версии документа, его отредактированной копии, метка меняется на другую, связанную с предыдущей, в следующих версиях меняется на другую, связанную с предыдущей, и так далее. Так можно отследить весь процесс создания документа, все копии и версии, взаимосвязи, кем документ был создан и кто его открывал.
Позже мы добавили функцию присваивать документам разные политики и контексты безопасности, на основе которых осуществлять контроль и разграничение доступа. Особенно критичные документы помещаются в криптоконтейнер, доступ к которому выдается системой конкретным людям на определенное время, в зависимости от политики безопасности документа. В случае инцидента отследить момент утечки и сузить круг подозреваемых не составит труда.
Уверен, все слышали про истории, когда в Telegram-каналы сливали фото непубличных документов. На такие случаи у нас есть сразу два решения. Одно из них стеганографиями внедряет идентификатор сессии в определенные элементы текста. Второе распознает поднесенный к экрану телефон, камеру — изображение мгновенно блокируется или появляется маркировка, чтобы информация не стала доступна третьим лицам.
CNews: Насколько выросла роль искусственного интеллекта в расследовании инцидентов? Какие у него дальнейшие перспективы развития?
Евгений Чугунов: Искусственный интеллект становится экспертной системой поддержки принятия решений и существенно повышает эффективность труда. С помощью анализа большого количества однотипных событий на предмет аномалий и формирования неочевидных взаимосвязей тех или иных инцидентов он сужает круг того, что специалисту нужно проработать вручную. Но есть ли в этих аномалиях и совпадениях логика, решать будет человек.
Еще недавно никто не воспринимал «безопасность как сервис» всерьез
CNews: Какие ИТ-решения кажутся вам наиболее недооцененными, хотя и перспективными в обозримом будущем?
Евгений Чугунов: Однозначно будет востребована защита АСУ ТП (автоматизированных систем управления технологическими процессами). Хотя технологически индустрия подошла к вопросу обстоятельно — появилась даже серьезная законодательная база — зрелых проектов на рынке немного. Возможно, причина кроется в закрытости такого рода систем. Интеграторы предлагают, но заказчики не спешат менять то, что и так работает. Со временем направление все же должно мощно выстрелить. Облачная безопасность тоже активно развивается, а ведь еще совсем недавно заказчики отказывались воспринимать «безопасность как сервис» всерьез.
CNews: Какие из популярных сегодня технологий обеспечения информационной безопасности со временем могут утратить свою актуальность, на ваш взгляд?
Евгений Чугунов: Сегодня все больше появляется новых атак, которые сложно или попросту невозможно описать неким сигнатурным правилом на каком-либо СЗИ. Здесь на помощь приходит квалифицированный персонал SOC, который позволяет в какой-то степени выстраивать защиту в проактивном режиме и выявлять инциденты на раннем этапе. Или же технологии искусственного интеллекта, которые отвечают за выявление аномалий на любом уровне — начиная от нетипичного поведения сотрудника, заканчивая аномальной динамикой сетевого трафика. Учитывая высокие темпы роста рынка ИИ, в перспективе инструменты и системы, основанные на машинном обучении, компьютерном зрении и других современных технологиях, должны заменить большую часть традиционных СЗИ.