Лев Матвеев: «Доверие к коллективу — это важно, но безопасность бизнеса важнее»

Лев Матвеев: Нужно понимать, что скрывается за фразой «отношения с сотрудниками на доверии». Доверять можно ближайшему окружению — людям, с которыми работаешь бок о бок ежедневно. Но доверять людям, которых не знаешь, — это идеализм, который может погубить любую компанию.

В организации, где работают больше 50 человек, как ни крути, будут интриги, найдутся недобросовестные работники, способные на саботаж, слив информации или стремящиеся заработать на чужих данных. Со временем мотивация может упасть или сложатся непростые жизненные обстоятельства, работников могут подкупить конкуренты и так далее.

Поэтому ужесточение мер я, безусловно, поддерживаю. Правда, непонятно, что имеется в виду. Если планируется отключить интернет на устройствах или контролировать, чтобы люди вовремя на работу приходили, — это не построение системы внутренней безопасности.

Лев Матвеев: Чтобы обеспечить защиту от инсайдеров, нужно комплексно внедрить всего три меры: поставить систему защиты от утечек информации и корпоративного мошенничества на все ПК, поставить ответственных и знающих людей обслуживать эту систему, обеспечить юридическое оформление программы, чтобы защитить интересы компании и клиентов в суде.

Лев Матвеев: Это вопрос из разряда «что важнее — поесть или попить?». Нельзя строить бизнес-процессы, не позаботившись о безопасности. Но в то же время безопасность не должна мешать бизнес-процессам: наверняка будет что-то тормозить, но не должна стопорить, нужно находить баланс.

Был у меня в практике пример: крупный банк ввел правило, что все сотрудники, включая топ-менеджмент, могут пользоваться рабочей почтой только из офиса. В итоге все использовали личную некорпоративную почту, а это еще опаснее, сотрудники и партнеры были недовольны, началась путаница в процессах.

Сегодня есть защитные инструменты для удаленной работы. СБ просто было проще «все запретить». Я согласен, бывают и перегибы со стороны сотрудников: когда, находясь вне офиса, они заявляют, что не хотят включать VPN, — это баловство. Но когда сотрудники не имеют доступа к корпоративной почте, находясь в командировке, — это вредительство. Это подход вахтера — «проще не пущать». Так бизнес не делается.

Лев Матвеев: Нужно учитывать, что компании переходят на удаленку экстренно, на фоне кризиса. И если нет опыта работы в таком формате, то дистанционный доступ к корпоративным ресурсам могут организовать «кое-как», лишь бы работало. Плюс дома возрастают риски простой человеческой халатности. В результате закрытая рабочая информация может оказаться на виду у друзей, знакомых — всех, кто имеет доступ к компьютеру.

Нынешняя ситуация — действительно серьезный вызов для любого бизнеса, у большинства компаний нет возможностей закупить «железо» и программы для информационной безопасности, нанять ИБ-специалистов. Здесь мы решили поддержать компании и предложили помощь. В течение месяца бесплатно предоставим консультации ИБ- и ИТ-специалистов, предоставим DLP-систему для контроля сотрудников на удаленке, наши ИБ-специалисты будут следить за событиями безопасности в корпоративной сети, анализировать их и предоставлять компаниям отчеты, расследовать инциденты. Наших мощностей хватит на 50 компаний, кто первым оставит заявку.

Лев Матвеев: Владелец должен не бояться увидеть реальное положение дел в компании. Я часто слышу от собственников «да у нас все нормально» и готов порадоваться за этих людей. Но задача бизнесмена — видеть риски и не прятать от них голову в песок. Провести диагностику состояния ИБ в компании можно в течение месяца. И сделать это можно бесплатно. Полнофункциональный триал на месяц — с помощью инженеров, специалистов внедрения — покажет, есть ли проблемы.

Но нужно понимать: большой красной кнопки «исправить все проблемы» нет. Принимать решение, что делать с выявленными инцидентами и нарушителями, должен будет собственник или ответственный за безопасность сотрудник.

По шагам это выглядит так. Первое: назначить работника, ответственного за безопасность. Второе: провести ИБ-диагностику, пробное внедрение защитных решений. Третье: принять по итогам тестирований управленческие решения: закрыть «дыры» в безопасности, если необходимо — внести изменения в бизнес-процессы. Назначить штрафы/выговоры/провести воспитательные беседы с нарушителями. Четвертое: проводить эту работу постоянно. Сотрудники приходят и уходят, меняются их жизненные обстоятельства, меняются доступы к информации и многое другое. Обеспечение безопасности — постоянный процесс.

Лев Матвеев: Мои топ-3 — это инциденты, связанные с фирмами-боковиками, прямым финансовым ущербом компании и кражей персональных данных клиентов или сотрудников.

Фирмы-боковики — это, мне кажется, национальный русский спорт. Недобросовестные сотрудники, желая нажиться на работодателе, открывают конкурентную фирму и уводят туда клиентов. С помощью DLP в проектно-архитектурной компании обнаружили черновик с уставом сторонней компании. Расследование показало, что специалист вместе с двумя коллегами открыл конкурентную фирму и уводил клиентов, предлагая им услуги на более выгодных условиях. При этом все трое не увольнялись с текущей работы, ведь поток клиентов им обеспечивал нынешний работодатель.

Собственные сотрудники наносят компаниям и прямой финансовый ущерб. Один из нетривиальных примеров: с металлургического производства воровали трубы. Компания теряла на этом 6-7,5 млн рублей в месяц. Схему раскрыли, когда система обнаружила дубликаты накладных: одну на три, другую — на четыре трубы. Через КПП провозили четыре, одну сгружали по дороге и до клиента доезжали три трубы.

Слив персональных данных также частый инцидент. Случай, который мне запомнился, примечателен тем, что компания не «спустила дело на тормозах», а подала на сотрудника-нарушителя в суд. В «Акадо-Екатеринбург» сработала политика безопасности по копированию персональных данных на внешнее устройство — флешку. Анализ информации в почте и мессенджерах показал, что сотрудник действовал совместно с подрядчиком и планировал продать данные. Виновники были осуждены на два года условно.

За десяток лет работы в ИБ-отрасли у нас скопилось множество подобных кейсов — 50 лучших были представлены в прошлом году в серии образовательных конференций Road Show SearchInform.

Лев Матвеев: Мы, естественно, используем все наши продукты. Увы, но даже у нас были инциденты с попытками слива данных конкурентам, хотя все работники знают о том, что умеют наши решения. Научные исследования показали, что контроль улучшает дисциплину и даже производительность труда сотрудников (подробнее можно почитать о так называемом Хоторнском эксперименте), но в то же время сотрудники постепенно привыкают к мониторингу и начинают думать, что их не контролируют. Так что повторюсь: защита данных и компании — процесс постоянный.

Чтобы защитить компанию, мы используем комплексный подход к безопасности: продукты, обеспечивающие внешнюю защиту (антивирусы, файрволы и прочие) плюс продукты для защиты внутреннего периметра (DLP-система, SIEM, FileAuditor, DataBase Monitor). Также для предупреждения рисков и решения некоторых кадровых вопросов мы используем инновационную разработку — ProfileCenter. Это решение, которое профилирует сотрудников — составляет их психологические портреты.

Лев Матвеев: Я обычно привожу пример, что на защиту DLP-системой компания потратит деньги, соразмерные стоимости чая, кофе в офисе и новогоднего корпоратива.

Но если вы хотите конкретных цифр, то бессрочная лицензия обходится от 7 тысяч до 20 тысяч рублей на один ПК. Цена зависит от объема закупки, количества контролируемых каналов и так далее. Например, для 100 ПК контроль всех каналов обойдется в чуть более 20 тысяч рублей за один ПК. В организации с 5 тысячами ПК цена за один ПК составит чуть более 7 тысяч.

Кроме того, для небольших компаний мы предлагаем услугу ИБ-аутсорсинга — в нее входит внедрение ПО, услуги аналитика и при необходимости аренда сервера.