Фильтр по тематике

АТОМ БЕЗОПАСНОСТЬ: надо ужесточать ответственность за киберпреступления

#современнаяэлектроника #импортозамещение #Импортонезависимость #защита #кибербезопасность
Интервью с Даниилом Бориславским, директором по продукту Staffcop, «АТОМ БЕЗОПАСНОСТЬ», на Конференции «Сохранить всё: безопасность информации»-2024

00:44 О себе
00:59 О взаимоотношениях с компанией Гарда
02:22 О предлагаемых решениях
05:41 Об автоматизации процессов
08:04 Об основных потребителях
08:51 Понимание необходимости защиты информации
09:45 Сравнение отечественных и западных решений по безопасности
11:55 Об импортонезависимости российского ПО

СОВРЕМЕННАЯ ЭЛЕКТРОНИКА И ТЕХНОЛОГИИ АВТОМАТИЗАЦИИ
МЕДИАПОРТАЛ СЭТА
Официальный сайт медиапортала СЭТА https://www.cta.ru/
Журнал СОВРЕМЕННЫЕ ТЕХНОЛОГИИ АВТОМАТИЗАЦИИ
Журнал СОВРЕМЕННАЯ ЭЛЕКТРОНИКА
YouTube-канал СОВРЕМЕННАЯ ЭЛЕКТРОНИКА https://www.youtube.com/@sovelectronica
RuTube-канал СОВРЕМЕННАЯ ЭЛЕКТРОНИКА https://rutube.ru/channel/33177403/
Дзен-канал медиапортала СЭТА https://dzen.ru/cta_infoportal
Телеграм-канал медиапортала СЭТА https://t.me/cta_telegram
VK-сообщество медиапортала СЭТА https://vk.com/cta_infoportal
ПОДКАСТЫ СЭТА
VK подкасты https://vk.com/podcasts-223262893
Яндекс Музыка https://music.yandex.ru/album/33856890
Телеграм-плеер https://t.me/mavestreambot/app?startapp=ceta
MAVE-плеер https://ceta.mave.digital/

https://www.staffcop.ru/

АТОМ БЕЗОПАСНОСТЬ: надо ужесточать ответственность за киберпреступления

Текст интервью получен посредством автоматического распознавания речи 
и не подвергался редактированию, в связи с чем возможны ошибки и неточности.

Меня зовут Даниил Бориславский, я директор по продукту в компании «Атомбезопасность» и по продукту именно Staffcop. Staffcop — это система по расследованию инцидентов и по контролю информационных потоков, не знаю, там, учету рабочего времени сотрудников.

Каким образом вы с Гардой взаимодействуете, вы партнеры? Почему вы на этой конференции сегодня?

Во-первых, мы старые друзья, мы друг друга много лет знаем и персонально, и с точки зрения компании. С точки зрения компании, у нас есть клиенты, которые используют оба продукта, например, для шлюзового решения и для маскирования используют продукты «Гарды», а для инпойнтов используют нас, есть такая история, это мы технически встречаемся. Мы регулярно встречаемся в медиапространстве, на конференциях, на каких-то, интервью, какой-то обзор и ответы на вопросы.

И третье, наверное, почему мы здесь? У нас взгляд похожий на цели, вообще, зачем мы в этой стране? Мы для того, чтобы делать бизнес наших клиентов безопаснее, и в этом мы объединяемся. Мы, по большому счету, не друг с другом боремся, а с инсайдерами и каким-то нарушителями.

Если бы вы друг с другом боролись, вы бы здесь не были сейчас, конечно, на этой конференции.

Почему мы здесь вместе? Хотя у нас есть пересечения по функционалу, мы действительно конкурируем, у нас есть какие-то конкурсы закупки батлкарты, где выбирают или нас, или их под какие-то задачи, например, выбирает DLP, решение Гарда DLP, вот, но все равно мы вместе за информационную безопасность в целом.

Но расскажите о решениях вашей компании, каким образом можно обуздать порывы персонала, украсть что-нибудь ценное со своего предприятия?

Обуздать можно, на мой взгляд, только единственным способом – надо взращивать информационную безопасную культуру в компании, потому что пытаться воздействовать на человека, переучить, отбить, еще что-то, бить электрическим током, это только порождает бесконечную борьбу щит и меча. Надо, чтобы была культура в компании. Когда приходит 101 человек в компанию, и он видит, что здесь так не принято, здесь так не делают.

Он же делает это не ради интереса, а за деньги, скорее всего.

Это следующая история.

Такой аргумент в этих случаях не работает.

Нет, работает, работает. Были истории у клиентов, что пришел, допустим, человек в продажу, смотрит, говорит, о, а тут ничего не намаешь себе, я увольняюсь, и через две недели увольняется. Вот, это к тому, что про сотрудников. 

Но у нас, у Staffcop, задача немножко не такая, не перевоспитывать, а расследовать. То есть, на рабочей станции абсолютно там прозрачно для сотрудника, для бизнеса, не останавливая бизнес-процессы, собирать информацию о том, с какими файлами он работал, какую там коммуникацию, что писал, отправлял. И, соответственно, потом все это собрать, передать в базу данных.

Сервер уже это раскладывает по полочкам, строит какие-то оповещения, строит отчеты, предупреждения, алерты о том, что, смотри, тут что-то приключается. А также дает возможность провести расследование. Например, мы там с Гарда ДБ что-то получили, что какой-то сотрудник пытался скачать все базы.

А мы, допустим, вернемся и посмотрим, а что у него происходило неделю назад. А две недели назад, оказывается, он в переписке с другим коллегой обсуждал "слушай, давай, короче, я выкачиваю, а ты выносишь". Вот это вот расследование-инцидент.

Неужели по служебным каналам такие бывают идиоты, которые такие вещи обсуждают открыто?

Вопрос, который вызывает у меня много эмоций. Вот, смотрите, я до Ставкопа еще работал 8 лет безопасником коммерческой организации в рамках Сибири это была крупная компания, то есть 1700 человек. Я тогда пришел такой, о, идиоты, тут такие по рабочим каналам пишут. Тендер выиграл, жду. Вот такие вот письма. И так, ну, как бы очевидно, я думаю, сейчас мы всех уволим, они помаяются, перестанут так делать и потеряются. Прошло 5 лет, прошло 10, уже, получается, скоро будет 15. А они никуда не деваются, их я не знаю, откуда подвозят.

И я бы вот так бы сказал, нельзя недооценивать две вещи. Человеческую глупость и человеческую жадность. Поэтому, да, продолжается такая история, никуда не девается. Жадность и глупость.

Удивительно. Тем более, что, раньше это все можно было безнаказанно реализовать, более-менее, поскольку не было вот таких серьезных внедрений безопасности. А сейчас-то уже.

Правильно говорите, раньше можно было, так сказать, делать, что тебя не узнают. Сейчас все знают, что про это узнают, но пока вот вопрос с наказанием еще не до конца доделан, потому что, когда появятся оборотные штрафы, когда будут инциденты с уголовкой за продажу данных, вот тогда все начнут лучше задумываться. Когда парочка злоумышленников, таких инсайдеров, присядет за передачу на сторону информации про слитую базу, вот тогда будут лучше думать уже.

Есть какие-то возможности и способы автоматизировать вот этот процесс?

Естественно, автоматизация наше все, потому что...

То есть, не просто сбор отчетов, не просто сбор информации, а именно автоматизированная обработка с указанием, что вот здесь вот потенциальная опасность.

Мы бы и не выжили бы. Как жить в компании, в которой работает, например, 5 тысяч человек без автоматизации? Это же невозможно вручную все делать.

Есть элементы такие, как сказать, я сотрудник информационной безопасности, я разработал модель нарушителя из модели угроз, и я примерно понял, что он будет делать. Все, настроил условно говоря там ловушку или политику, как угодно можно назвать, которая мне оповестит, что смотри, среди 5 тысяч сотрудников такое произошло. Это первый из инструментов.

Сочетание каких-то определенныхсобытий? 

Сочетание событий. Главное, что я знаю, как будет действовать нарушитель, и как только это произойдет из 5-ти, из 10-ти тысяч сотрудников, мне об этом придет оповещение, то есть оповещение на сработку. Это первое.

Второе, это помощь каких-то LM моделей, но тут очень аккуратненько, потому что огромное количество ложноположительных срабатываний, мы у себя в продукте это очень аккуратно внедряем, чтобы не создавать лишнюю работу. Но вот здесь надо понять на что, то есть на какой-то поиск...

На чем модели обучать.

На чем обучать и что обучать, потому что поиск, допустим, среди озера данных аномалий, там есть очень много ложных срабатываний, поэтому аккуратно. Суммаризатор, например, который тебе подсветит какие-то проблемы, уже нормально. Мы хотим делать систему, спойлер, но вам как первому прессе, UEBA, которая основана не просто на большой языковой модели, а именно на психологии и на практическом опыте. То есть там такая математическая и психологическая модель лежит. Это тоже поможет ситуации демократизации. 

Третье, а вот сейчас очень неожиданно будет, публичность и неотвратимость наказания. Если ты в каком-то подразделении из ста человек, что-то выявил, нашел, расследовал, ты потом на все остальные...

Ставить виселицу в коридоре.

Да, как бы цинично ни звучало, да. Остальные пять тысяч человек должны знать о том, что возвращаемся к культуре. Здесь так не принято, здесь за это наказывают, это неприемлемо в этой компании. Вот тогда мы и с пятью, и с десятью тысячами сможем работать.

Кто, если не секрет, основные потребители сейчас ваших решений? Ну и решение Гарды.

С точки зрения отрасли?

Да, с точки зрения отрасли.

Я не знаю, как у Гарды, но я думаю, что я угадаю, потому что ситуация у нас похожая. Нет выделенного. Мы регулярно проводим статистику, смотрим. А может быть, госсектор больше? А может быть, это торговля? Может быть, это производство какое-нибудь там, машиностроение или там добыча ресурсов?

А вот нет. Оказывается, что везде, где есть важная информация, которую нужно сохранять, везде, где есть сотрудники, которые могут быть инсайдерами или раздолбаями, извините, и также, где есть понимание, что я чего-то защищаю, они приходят за такими решениями, как наши. И получается, что там нет выделенности, что кому-то это нужнее, потому что нужно всем.

Ну а вообще понимание, что нужно защищать информацию, оно приходит?

Оно приходит по двум причинам. Или через боль, когда у тебя что-то приключилось, и начинаешь задумываться, или когда тебя постучали сверху. Ну, соответственно, по нормативке какой-то, по КИИ, по Банковскому ГОСТу, тебе сказали, ты должен задуматься.

Я все-таки отмечу, что, наверное, третье есть. Очень люблю такие компании, которые, может, по бизнесу, может, просто по уровню развития подросли до того, что они понимают, что безопасность – это функция непрерывности бизнеса. Их мало, по сравнению особенно с теми, кому нормативка стучит, но они есть, и это классно. С ними очень приятно общаться, у них всегда очень логично простроена история из стратегии компаний, зачем они к нам пришли, и что они хотят защитить, и как они хотят защитить. Очень приятно общаться, я рад, что такие компании зрелые у нас в России есть, это классно.

Как вы оцениваете технический, технологический уровень наших отечественных решений по безопасности по сравнению с западными?

Очень неравномерно, потому что где-то к нам пришли иностранные компании, которые уже до нас 30 лет этим занимались, и вот с теми же самыми сетевыми кранами, но у них опыта больше, и нам, ребятам, коллегам надо догонять. Были какие-то решения, опять же, как наши по расследованию инцидентов, зарубежные вендоры, в основном были нацелены на комплайенс, решения такие, как наши, была парочка израильско-американских, не буду называть название, у них тоже опыта было больше, но они не настолько сильно от нас оторвались, поэтому мы по функционалу их догоняем. Вопросы вот про масштабирование, потому что в России крупных компаний меньше, чем во всем мире, естественно, и вот те иностранные решения, они, может быть, по функционалу-то с нами совпадают, а вот по нагрузке, по нагрузочному тестированию, тут нам надо догонять, потому что они умеют и на 100 тысяч сотрудников, и на 200 тысяч сотрудников работать. У нас в целом, в целом по рынку мы только стремимся работать с десятками тысяч.

Тут, наверное, еще не малую роль играет то, что отечественные решения, они соответствуют, как минимум, требованиям регуляторным, и законодательным, разным, нашим, отечественным, которые могут отличаться от западных в принципе.

У нас есть сертифицированные версии, которые проходят сертификацию ФСТЭК или других подразделений, не будем указывать, и есть коммерческие, и зачастую, во-первых, есть лаг по функционалу, потому что сертификация занимает сколько-то времени и коммерческая быстрее, а потом по ограничениям, например, отсутствие шифрования, чтобы не попасть в другой раздел сертификации, какой-то функционал по предоставлению исходного кода, например, в коммерческой версии может использоваться там какой-то компонент, допустим, на Явере, написанный, а в сертифицированной версии такое может не пройти, поэтому все-таки коммерческие версии, они могут все, что нужно клиенту делать, вот так скажем.

Как вы вообще смотрите в будущее нашей импортонезависимости в плане программного обеспечения?

Это неизбежность, и все правильно в эту сторону делается, нам нужно быть независимыми, мы и до 2022 года про это думали, нужно быть независимым, и с точки зрения честности по отношению клиента, что ты никакие скрытые платежи и зависимости ему не приносишь, во-вторых, как отечественная автопром, так и отечественная разработка ПО, это должно быть наше и свое, чтобы в ситуации какой-то неопределенности, изменения геополитической ситуации, еще что-то, нужно быть независимыми. И в целом, опять же, через эту боль для коммерческих предприятий, но мы к этому пришли, что мы теперь будем более устойчивы, если бы вдруг такое же еще что-то повторилось бы.

Но теперь это уже не будет неожиданно.

Теперь это не будет неожиданно, теперь мы к этому готовы, и теперь это и не повторится, потому что мы уже сами на своем.


© СТА-ПРЕСС, 2024

Комментарии

  Подписывайтесь на наш канал в Telegram и читайте новости раньше всех! Подписаться