Волков бояться? Или все-таки в лес?

Говоря о целях расследования, нельзя не заметить, что их может быть несколько. При этом достижение одних может препятствовать достижению других. Иногда это может привести к подмене реальной работы по расследованию инцидентов слепым следованием букве регламентов. Организационно сама активность по расследованию инцидентов часто поделена между разными службами безопасности (информационная, экономическая, физическая). Это приводит к разным подходам к процессу расследования и достигаемым результатам. Классическая постановка задачи в случае обнаружения признаков или наличия подозрений о проблеме подразумевает предоставление руководству фактов, свидетельствующих о том, что сомнения имеют под собой почву. Если не говорить о выборочных проверках или полном аудите, то всегда есть основания, которыми можно руководствоваться, чтобы сузить горизонт поиска – есть документ, время и место, запись в журнале или что-то подобное. От них можно начать отслеживать обратный путь этих данных вплоть до источника.

Ценность информации во всех ее видах выросла – несколько неудачных слов могут повлечь за собой лавину последствий

И в этот момент очень часто возникают вопросы «почему тот или иной канал утечки не контролируется?», «почему тот или иной регламент работы не поддерживает контроль безопасности?» и еще множество всяких «почему?» и «как вы могли допустить?». Если отвлечься от эмоций и посчитать деньги, становится понятно, что накрытие контролем безопасности всех аспектов деятельности предприятия не выгодно экономически. Известно, что инвестиции в ИБ могут быть крупными, потери от неудобства работы – заметными, а вот посчитать отдачу весьма сложно. Поэтому часто получается, что большинство сотрудников безопасности в такой ситуации решают достаточно узкие задачи: с одной стороны, понятные, с другой – заметные с точки зрения результатов.

Конкретнее, еще конкретнее

Любое расследование должно фиксировать данные реального мира, давать полноценные ответы на вопросы «кто?», «когда?», «кому?», «почем?» и т.д. Именно эти данные позволяют обосновать претензии к конкретным людям, вплоть до судебного разбирательства. Чем более полными будут сырые факты, тем проще впоследствии доказать наличие тех или иных действий нарушителя, а кроме этого показать, что необходимый контроль существует, а служба безопасности бдит. Поэтому все без исключения службы безопасности начинают расследование с поиска и фиксации фактов активности и вычисления из них возможных источников проблем. Далее эти следы выгружаются из баз средств защиты, «отсматриваются глазами» и/или с помощью средств автоматизации различного уровня (например, средствами BI, если они есть). Это в прямом смысле слова позволяет идти по следу денег (в финансовой компании), товаров (в торговой организации) и т.д.

При сборе доказательной базы подход аналогичен. Существуют сертифицированные средства для съема и фиксации данных, и ими можно пользоваться. Но они обычно дороги, требуют умелого обращения, поэтому область их применения сейчас ограничена. Можно пригласить специалистов, вооруженных такими средствами (иногда это стоит сделать, если проблема действительно требует серьезного подхода). Понятно, что сертифицированным средствам и их результатам суд уделит большее внимание. Однако прежде чем тратить на них деньги, лучше посчитать ожидаемую отдачу. Такая же картина и с профессиональным обследованием безопасности. Можно, например, нанять и постоянно содержать на балансе сотрудников, умеющих делать, например penetration testing. Но найдется ли столько работы, чтобы использовать эти дорогие ресурсы с максимальной отдачей? При этом время от времени такие задачи нужно решать. В этом случае лучше обращаться к специалистам, существующим на рынке.

Чуть сложнее с информацией, которая оказывает опосредованное влияние на непосредственный бизнес (прогнозы, аналитика, обрывки слухов, публикации в СМИ). Но и с ней можно работать, т.к. контроль коммуникаций хорошо развит и соответствующие инструменты широко и повсеместно внедряются. В числе последних – специализированные DLP-решения и общеинформационные средства: архивы переписки, журналы средств документооборота и т.п. Стандартные методы расследования тоже не остаются без внимания. Контроль и профилирование сотрудников, учет связей, насколько это возможно, являются частью системной деятельности службы безопасности. Эти данные обогащают результаты расследования как ничто другое. Если же не уделять внимания данному направлению, то мало какие технические средства закроют недостаток такой информации.

Есть и другие особенности. Например, служба безопасности в компаниях далеко не всесильна, у нее, как правило, нет большинства прав и возможностей, которыми обладают аналогичные службы в государственных институтах, в том числе в плане численности и бюджетов. Ей приходится учитывать существующие ограничения (не только законодательные, но и обусловленные целесообразностью её действий с финансовой точки зрения).

Вдобавок к этому значимым вопросом является оценка нанесенного ущерба. Что дороже – цистерна с бензином или флешка с черновиками службы аналитики? Или факт перехода ключевого сотрудника в конкурирующую компанию? Опыт показывает, что существуют разные подходы к подобной оценке: от трудозатрат службы безопасности на работы по инциденту (как правило, считанные дни) до сложных и многокомпонентных оценок упущенной выгоды. Спектр вариантов может быть очень широким, но всегда есть разница между «себестоимостью», в которую бизнес оценит результаты расследования, и «товарной оценкой», которую юристы предъявят на суде, если до него дойдет. Это понятно, так как цели у этих оценок разные. Если цифры на суде могут решать свои задачи (репутационные, например), то высокая себестоимость внутреннего расследования может привести к ряду вопросов (и не всегда приятных) к службе безопасности.

Поэтому безопасники рады любой автоматизации их работы – сотрудников мало, контролируемых работников много, рисков еще больше. Да и меняются они часто быстрее, чем службы ИБ успевают согласовывать регламенты: то, на что ещё вчера не обращали внимания, сегодня считается необходимым и архиважным. Ценность информации во всех ее видах выросла – несколько неудачных слов или обрывок документа могут повлечь за собой целую лавину последствий.

В столь быстро меняющихся условиях имеет смысл пользоваться опытом и навыками сотрудников компаний-интеграторов и производителей средств безопасности (как для автоматизации рутинных действий, так и для методологической проработки регламентов). В ряде случаев это будет дешевле, чем изобретать то же самое своими силами, неся за это неразделенную ответственность. Что-то можно автоматизировать (например, рутинные операции – управление правами пользователей, контроль коммуникаций), некоторые активности (в том числе мониторинг аномалий, первичный разбор инцидентов) отдать на аутсорсинг, а там, где проблема требует знания компании, персоналий и непосредственного контакта с сотрудниками, напротив, больше вложиться самостоятельно.

Есть место подвигу

Резюмируя, стоит подчеркнуть, что любое расследование – это не только сбор данных и обогащение информационной картины инцидента дополнительными сведениями. Хорошо проведенное расследование – это результат, материалы, «дело», представленное руководству во всей полноте, с подробным и понятным сообщением об источнике и составе происшествия, с отчетом о предпринятых мерах и рекомендациями по устранению последствий.

В 90% случаев расследование для службы безопасности в этот момент заканчивается. Управленческие решения, включая приказ о подаче документов в суд, принимают люди с другим уровнем информированности и горизонтом событий. Оставшиеся 10% требуют 90% времени. Например, новые риски, или риски, требующие ведения длительного расследования, когда картина происходящего наполняется буквально по крупицам, ведется непосредственное наблюдение и взаимодействие с другими службами. Здесь приходится решать проблемы на бегу, затыкать дырки в процессах, в прямом смысле слова не спать ночами и совершать настоящие подвиги. Таких ситуаций немного, но они есть. И чтобы на них остались время и силы, нужно работать на опережение, системно, используя свои ресурсы и ресурсы приглашенных специалистов таким образом, чтобы рутина не мешала успешно превращать подвиги в достижения.