Дмитрий Сальников: DLP позволяет увидеть реальную картину процессов в организации

Дмитрий Сальников: DLP позволяет увидеть реальную картину процессов в организации

Дмитрий Сальников

Родился 22 октября 1980 года, в 2002 году окончил Тюменский государственный университет по специальности «Информационные системы в бизнесе».

Работает в ГАУ ТО «МФЦ» в с момента создания организации в 2013 году. Непосредственно курирует подразделения ИТ, информационной безопасности, аналитики. В свободное время увлекается горным туризмом, каратэ, лыжным спортом.

...

Дмитрий Сальников, заместитель директора ГАУ ТО «Многофункциональный центр государственных и муниципальных услуг в Тюменской области», рассказал читателям Anti-Malware.ru о том, как строится информационная безопасность в государственной организации, что нужно защищать в первую очередь и какими средствами, а также обозначил свой взгляд на «бумажную безопасность».

Дмитрий, расскажите о вашей организации — каков ее масштаб и какая в ней IT-инфраструктура?

Д. С.: МФЦ — это многофункциональный центр предоставления услуг в формате одного окна. Мы обслуживаем всю Тюменскую область за исключением автономных округов. У нас работает около тысячи сотрудников, а количество серверов превышает сотню. По существу мы являемся IT-организацией, все наши процессы идут в IT-системах. Мы принимаем и обрабатываем документы и сведения с помощью информационной системы, в большинстве случаев в цифровом виде передаем их органам власти. Нарушение IT-инфраструктуры может сломать всю работу МФЦ. Конечно, мы можем вернуться к бумаге, ручной обработке, передаче всех документов курьером, но это неудобно и неправильно. Мы уже живем в другом мире.

Какие у вас основные информационные активы?

Д. С.: Основная система — это система АИС МФЦ, в которой происходят процессы предоставления услуг гражданам. Операторы в ней авторизуются, но оператор не может знать, как предоставляются сотни услуг, поэтому система ему подсказывает, какие данные нужно ввести.

Вообще у нас используется множество внутренних систем для бухгалтерии, технической поддержки, обучения персонала. Для граждан доступны официальный портал, система оценки качества, чатботы для мессенджеров Viber и Вконтакте. Чатботы — это наш инновационный сервис, с их помощью каждый может записаться на прием, отслеживать статусы заявлений, получать ответы на вопросы. Всё работает в автоматическом режиме, то есть на вопросы отвечает «умная» программа. Также в нашем МФЦ впервые в России реализована система, в которой решения о предоставлении услуги принимаются без участия человека. Человек подает заявление на портале госуслуг или приносит лично, а дальше все происходит автоматически. Например, есть заявление на транспортную карту от школьника. Система сама проверяет, действительно ли это школьник, шлет запрос в департамент образования, проверяет, не является ли он получателем мер социальной поддержки. Если он уже использует эту льготу, система ему отказывает. В большинстве случаев на принятие решения уходит всего несколько секунд с момента подачи заявления. При положительном решении заявка отправляется изготовителю транспортной карты сразу же.  Мы называем такой подход к предоставлению услуг «Госуслуги без чиновника». Кстати, у министерства экономического развития РФ одно из приоритетных направлений развития сферы госуслуг названо точно так же. Совпадение или нет — не знаю, но мы сделали нашу систему и придумали такое название немного раньше.

Вы стремитесь, чтобы у вас все было быстро, технологично, без участия человека. Какие задачи по информационной безопасности в связи с этим стоят перед вами сейчас? Что нужно защищать в первую очередь — информацию, персональные данные или доступность инфраструктуры?

Д. С.: Выделю два ключевых направления, в которых мы сосредоточили свои усилия. Первое — непрерывность функционирования IT-систем. Вторая задача — защита  персональных данных граждан. У нас это не просто личные ФИО или номера паспортов, а уже такие серьезные сведения, как состав семьи, сведения об имуществе и тому подобное. Очень важно их сохранять и оберегать от распространения. Людям не должен быть причинен ущерб.

А что если злоумышленник встроится в систему и отправит заявку на госуслугу? Такие угрозы рассматриваются?

Д. С.: Эти угрозы мы рассматривали и заложили при проектировании системы. Например, у нас для работы в АИС МФЦ каждый сотрудник кроме учетной записи должен иметь специальную карту с сертификатом ЭЦП. Это серьезный уровень доступа, все сертификаты регистрируются, у них есть сроки действия.

Получается, что для вас очень важно контролировать сотрудников и правомерность их действий, так как они обладают большими правами и могут много чего сделать внутри системы?

Д. С.: Наша задача — не просто защита систем. Она складывается в более концептуальную вещь — защиту людей. Не только тех, кто принес данные, но и наших сотрудников. Большинство нарушений производятся не злонамеренно, а случайно, потому что человек не подумал. Системный администратор сделал права, установил простой пароль, и систему взломали. Хотел ли он этого? Нет, он просто не обратил должного внимания на информационную безопасность. Наша задача, когда мы работаем с сотрудниками разных уровней, — не просто наказать, а сформировать среду, когда человек будет рассматривать все свои действия в контексте информационной безопасности. Тогда он задумается, высылая электронное письмо, — а есть ли там персональные данные, не разглашаю ли я их, передавая по открытому каналу на GMail.

Наказание — худшее, что можно допустить. Часто человек воспринимает наказание как личное оскорбление и нарушение личных прав. И не всегда оно имеет положительный эффект. Гораздо лучше сделать так, чтобы человек не сделал этого нарушения. А для этого он должен знать нюансы применения тех или иных норм. Вот есть у меня документ формата RTF, и мне надо его сконвертировать в PDF. Казалось бы, ерунда — человек открывает ресурс (скажем, сайт ilovepdf) и загружает туда документ. Он не задумался, что это внешний ресурс, данные туда ушли и остались. Если ему не рассказать, он об этом знать не будет. Надо провести работу с человеком, понять масштабы бедствия, рассказать и показать на примерах, как делать нельзя, и дать альтернативный путь.

Как происходит обучение сотрудников?

Д. С.: Это реализуется двумя способами. Когда человек приходит на работу, он попадает в команду новичков, которая проходит обучение в нашем главном офисе в городе Тюмень. В обучение включен блок, который ведут офицеры безопасности. Следующий элемент — обучение в процессе работы. У нас существует практика постоянно напоминать и рассматривать инциденты не реже раза в месяц. Достаточно полчаса, чтобы рассказать о новых угрозах и новых нарушениях и показать, как их избежать.

С технической точки зрения, какие средства вы используете для защиты от внутреннего злоумышленника? В докладе на конференции вы упоминали DLP, какие еще?

Д. С.: Разумеется, у нас применяется весь набор средств, которые позволяют соответствовать требованиям регуляторов, в том числе антивирусная защита, межсетевое экранирование, криптография. Мы обязательно применяем различные политики в отношении разных ролей пользователей, в зависимости от роли даем разные уровни доступа к разным информационным системам и данным. Мы разрешаем пользователям только то, что нужно для выполнения их работы, и запрещаем все остальное. При этом я считаю, что политика запретов часто не приводит к должному результату, потому что на уровне политики ты запретил и успокоился, а человек нашел обходной путь.

DLP-система выступает у вас дополнительным средством контроля?

Д. С.: Это один из инструментов, и он очень полезен с точки зрения информативности и выявления того, что происходит в организации. Когда мы внедрили DLP и начали активно работать с политиками и инцидентами, мы увидели, что процессов гораздо больше, чем мы предполагали. Есть много процессов, которые никак не задокументированы. DLP позволяет увидеть реальную картину и задуматься, правильно ли у меня организована деятельность. У нас были ситуации с DLP, когда мы видели ранее неизвестный нам процесс, который не задокументирован, но по факту необходим, и мы начинаем придумывать, как вывести его из тени.

У вас действует в каком-то виде контроль привилегированных пользователей?

Д. С.: У нас есть большая задача, во многом связанная с ИБ, — это учет вообще всех действий всех пользователей независимо от привилегий. Это уже подход к большим данным. Когда ты не знаешь фрагмент работы пользователя, нельзя полностью увидеть бизнес-процессы и понять, что человек делает правильно, а что неправильно. Сейчас мы делаем логирование всех действий обязательным, собираем логи в специальную систему и учимся использовать этих данные. Я как привилегированный пользователь сам понимаю, что мои действия тоже логируются, и стараюсь аккуратно работать с теми ресурсами, которые доступны.

Это публичная информация, какая DLP-система у вас используется?

Д. С.: Да, мы это не скрываем. Это система компании InfoWatch.

Как долго шел пилот и проект по внедрению системы?

Д. С.: Пилот проводился в два этапа. Дело в том, что мы всегда предъявляем высокие требования к информационным системам и берем только то, что будет реально использоваться и приносить пользу. Когда в первый раз во время пилота мы увидели тысячи инцидентов, и только небольшой процент из них являлся реальным, мы поняли, что работать с таким объемом информации невозможно. После первого тестирования системы мы не стали всерьез рассматривать приобретение DLP и рассказали об этом компании InfoWatch. Они достаточно быстро справились с большинством наших замечаний. Повторное тестирование DLP показало, что число подозрений на инциденты снизилось в разы и был получен тот объем, с которым уже можно было работать.

Внедрять систему решили осенью 2017 года. Внедрение шло около четырех месяцев, параллельно с этим мы готовили документы, которые придают легитимность нашим действиям, потому что, например, надо было внести в трудовой договор сотрудника положение о том, что мы можем отслеживать его действия на рабочем месте.  

Когда появились первые результаты использования DLP?

Д. С.: Первые результаты мы получили через три месяца. Так произошло, потому что для работы с ней нужен был специалист с нестандартными для «технаря» качествами и компетенциями. Мы искали человека, который сможет не только изучать, классифицировать инциденты в информационной системе, настраивать политики, но и обеспечит выполнение процессов за границей информационной системы. Мы искали того, кто сможет взять на себя расследование инцидентов, работу с нарушителями, обратную связь в виде бесед, выговоров и даже увольнений.

То есть внедрение DLP нужно сопровождать соответствующими кадрами и процессами. Я очень долго искал сотрудника на эту позицию — нам удалось найти молодого, но очень грамотного специалиста, и работа пошла.

Сейчас много говорится о «бумажной безопасности», которая навязывается регуляторами. С вашей точки зрения, насколько драматично законы отстают от реальных угроз?

Д. С.: Обеспечение реальной безопасности связано не с законами. Да, законодательство отстает. Меры, которые оно предлагает, — из прошлых лет. Но тем не менее многие из них полезны. Те же модели угроз — пусть они не идеальны, но они должны быть, должны были контролируемые зоны, должны быть соответствующие документы. Для нас сложность в том, что мы как бюджетная организация испытываем трудности с обоснованием расходов. Например, для покупки DLP пришлось писать целый трактат, потому что требований к таким системам нет. Есть базовые требования, вроде установки антивирусов и межсетевых экранов, а требования к внутренним системам отсутствуют.

Правильно ли говорить, что требования, которые спускают регуляторы, относятся к базовому уровню ИБ, от которого нужно отталкиваться?

Д. С.: Соглашусь. Как бы мы ни писали требования, мы никогда не сможем угнаться за угрозами. В сфере информационных технологий все происходит очень быстро. Между документами регуляторов и реальным положением дел в области информационной безопасности всегда будет разрыв. Важно принять на себя ответственность за меры, которые мы предпринимаем для реальной защиты. Это и вопрос организации, и личная задача тех, кто занимается информационной безопасностью. Нужно выходить за рамки и обеспечивать не только соответствие требованиям, но реальную безопасность.

Спасибо за интервью. Желаем успехов!