Что еще неприятнее, столь высокая доля неконтролируемого пространства корпоративной сети, которое может содержать конфиденциальные данные, часто становится свидетельством неэффективной работы IT-подразделения. О способах противодействия накапливанию цифрового мусора и повышении безопасности данных в корпоративной сети мы говорили с Андреем Заикиным, руководителем направления информационной безопасности компании КРОК.

— На текущий момент IT-инфраструктуры компаний, особенно работающих долгие годы, очень разрослись. И в ходе этого роста в хранилищах накопились данные, историю появления которых уже никто не помнит. И что в них, собственно, содержится, тоже не всегда очевидно. Даже на уровне личных архивов отдельного сотрудника не всегда наблюдается упорядоченность, и этот сотрудник сам не может объяснить, что, собственно, хранится в файлах, созданных несколько лет назад. И актуальность хранимого под большим вопросом.

В неструктурированных файловых «свалках» лежит очень странный набор информации, включающий музыку, фильмы, какие-то запускаемые файлы с торрентов.

На уровне компании эта проблема встает в полный рост. Во-первых, ее хранилище используется неэффективно. В неструктурированных файловых «свалках» лежит очень странный набор информации, включающий музыку, фильмы, какие-то запускаемые файлы с торрентов и т. д. Среди этого может прятаться что-то действительно опасное. Или его там можно надежно спрятать до поры до времени.

Во-вторых, среди этих массивов данных может храниться (и утекать) конфиденциальная информация. Как известно, некоторые вещи с годами могут становиться лишь привлекательнее для третьих лиц.

— Современные Авгиевы конюшни, в общем. С одной стороны, цена гигабайта сейчас такова, что мусор лежит почти бесплатно. С другой — иметь под боком неконтролируемую terra incognita не очень приятно. И как покорить эту целину?

— Необходимо переводить информацию из неструктурированного вида в структурированный. Первый вариант — внедрять системы документооборота, благодаря которым появятся дополнительные метаданные — версионность, владелец, стадия согласования и т. д. Этот процесс движется параллельно развитию информационной индустрии и радикальных перемен не вносит.

Второй вариант — использовать специализированные системы, которые позволяют обеспечить комплексный подход к работе с неструктурированными данными. Такие системы разрабатывают несколько вендоров, например Varonis и Symantec. Класс таких систем называется Data Governance.

Здесь стоит оговориться, что есть системы управления правами доступа — Identity Access Management, Identity Access Governance — они регулируют доступ к корпоративным системам и ресурсам. Data Governance работает именно с неструктурированными данными и обладает особой функциональностью для эффективной работы с ними.

Прежде всего надо классифицировать данные по содержанию.

Прежде всего надо классифицировать данные по содержанию. Выяснить, есть в них что-то конфиденциальное или нет. Здесь помогает поиск по ключевым словам, например по номеру заведомо конфиденциального договора, по названиям компаний-партнеров, по автору документа. Также анализируется список пользователей, имеющих доступ к файловым ресурсам. Например, если папка закреплена за топ-менеджером, то в ней с большой вероятностью может храниться что-то важное, даже если к данным давно не обращались.

Исходя из таких эвристик, мы понимаем, что одни данные важны, другие — менее важны, но подлежат хранению (например, бухгалтерская отчетность за прошлые годы), а третьи — важности не имеют вовсе.

Отбор «неважных» данных — довольно кропотливое дело, потому, используя вроде бы очевидные признаки, можно легко ошибиться. Например, что делают видеофайлы большого объема в корпоративной сети? Можно ли их удалять? В большинстве случаев можно, но если видеоматериалы обнаруживаются, к примеру, в общей папке отдела маркетинга, то это нормальная ситуация. Скорее всего, они предназначены для решения рабочих задач. Но если в открытой папке лежат терабайты фильмов, церемониться не стоит.

Анализируется статистика доступа к файлам. Собираются все логи, по которым видно, какой пользователь и когда записал файлы, когда прочитал, в каких группах он находится, какие у него права. Исходя из этого, можно делать определенные выводы. Если человек записал некие данные и больше ни он сам, ни другие к ним не обращались, то, вероятнее всего, они неважны, особенно если прошло несколько лет. Можно обратиться к сотруднику и уточнить, что это. Или просто удалить сразу, если речь идет об avi-файле на 4 гигабайта.

— И как это делать, вручную?

— Такие системы есть в автоматизированном варианте, например Varonis Data Transport Engine, позволяющий переносить данные по определенным признакам на внешние накопители или просто удалять. Или можно делать это вручную, что, конечно, надежнее, но дольше.

Данные, которые вроде бы нужны, но крайне редко используются, лучше архивировать. Например, если к неким папкам больше года никто не обращался, их можно упаковать в архив. Всех сотрудников, имеющих к ним доступ, заранее предупреждают: если данные все же нужны, переместите их в актуальные папки или в личный архив.

Самые необходимые и востребованные данные необходимо тщательно структурировать и защищать.

Наконец, самые необходимые и востребованные данные необходимо тщательно структурировать и защищать. Мы особенно тщательно отслеживаем, кто к ним обращается и из каких отделов. Например, когда бухгалтерия имеет доступ к своей папке, это нормально. Но если права доступа к ней есть у рядового сотрудника IT-отдела, здесь уже нужно разбираться. Чтобы расследовать этот потенциальный инцидент, мы смотрим статистику доступа: когда он последний раз обращался и что делал. Если он обращается каждый день напрямую в NTFS и читает все появляющиеся файлы, подозрения усиливаются. Если же обращение было единоразовым и случилось год назад, то, возможно, речь идет о случае техподдержки или восстановления данных из бэкапа. И права доступа уже не нужны.

Есть возможность автоматически отбирать потенциально лишние привилегии. Это может происходить как по причине долгого отсутствия обращений, так и из-за «непохожести» конкретного пользователя на тех, кто обычно имеет доступ к папке. Также можно установить системы, предоставляющие доступ к данным. И вместо того чтобы каждый раз писать заявку в IT-отдел, у нас будет один бизнес-пользователь, который понимает, какие данные хранятся и кому нужен к ним доступ. И он сам будет через специальный портал эти данные предоставлять. Конкретным людям и на заранее определенный срок. Это радикально снижает нагрузку IT-отдела. Но чтобы добиться этого, необходимо провести структурирование данных, о котором мы говорили в самом начале.

— А какую банковскую специфику стоит отметить?

— В банках доля ценных данных особенно высока. Их структуризация позволяет распределить информацию по накопителям различной скорости, самое важное — на самые быстрые и защищенные, остальные — на более объемные и дешевые. Также появляется возможность разместить определенные массивы данных ближе к их непосредственным потребителям, что особенно актуально при разветвленной филиальной сети. В частности, сейчас как раз ведем похожий проект для территориально распределенного банка, который пожелал навести порядок и усилить информационный контроль за региональными филиалами.

— Хорошо, допустим, мы структурировали информацию, как нам теперь контролировать ее перемещение? Расскажите, пожалуйста, о подходах DLP и IRM. Какой из них более эффективен на практике?

— Не секрет, что есть два подхода к борьбе с утечками. Первый — это решения класса Data Loss Prevention (DLP), и второй — Information Rights Management (IRM).

DLP изначально нацелено на защиту от непреднамеренных угроз, когда пользователь хочет отправить информацию наружу без злого умысла. Однако подкованный злоумышленник может, как правило, обойти такую систему.

 Есть смысл использовать DLP-системы для защиты всего массива данных от непреднамеренных утечек и IRM — только для конфиденциальной информации.

IRM-система заточена против преднамеренных утечек. Информация, считающаяся конфиденциальной, упаковывается в контейнер, и доступ к ней есть только у проверенных пользователей, обладающих всеми правами. Но права доступа в IRM-системах, как правило, не регулируются, потому что их определяет владелец данных. И чем больше масштабы организации, тем больше времени требуется на настройку IRM. Поэтому есть смысл использовать DLP-системы для защиты всего массива данных от непреднамеренных утечек и IRM — только для конфиденциальной информации.

Но, еще раз повторюсь, внедрение различных систем информационной безопасности практически невозможно, пока данные не структурированы. Нельзя просто купить некое решение, и оно все само как-то заработает. Нет, начинать надо именно со структурирования. Когда данные упорядочены, мы вольны выбирать между различными системами защиты.

— В наступающем году у значительной части банков стоит задача не потратить деньги на что-то новое, а, скорее, сократить затраты. Как в это вписывается тема нашей беседы?

— Много лет подряд банки могли себе позволить быстрое и дорогостоящее развитие систем. Теперь возможностей для этого поменьше. Но когда быстро растешь, не всегда есть время и средства уделять внимание мелким деталям. Сейчас мы видим, что клиенты из банковской сферы стали делать акцент не столько на покупку новых систем, сколько на систематизацию данных и выстраивание внутренних процессов. Да и уже купленные продукты можно настроить более вдумчиво.

Выгода от погружения в оптимизацию зависит от каждого конкретного случая. Но то, что хорошо отлаженные процессы и эффективно работающая система безопасности берегут деньги и снижают риски, это очевидно.

Мы предлагаем услуги по аудиту и описанию бизнес-процессов, связанных с управлением доступом к данным, даем рекомендации по изменениям и готовим соответствующие методики.

Также мы помогаем банкам внедрять соответствующие инструменты для работы с неструктурированными данными, с правами доступа, DLP и IRM-системы.

2016 год будет годом оптимизации затрат в сфере ИБ и IT.

2016 год будет годом оптимизации затрат в сфере ИБ и IT. Навести порядок в данных необходимо. Это не только расчистит хранилище, но и снизит риски, связанные с потенциальными утечками важной информации, как для компаний в целом, так и банков в частности.