InfoWatch – о предотвращении утечек данных с помощью искусственного интеллекта

19 июля 2022 года на площадке ТАСС в Москве состоялась ежегодная пресс-конференция ГК InfoWatch с участием президента компании Натальи Касперской. На повестке дня – новые тренды в области киберугроз и роль технологий искусственного интеллекта в DLP-системах. Руководители InfoWatch представили новый и уникальный на мировом рынке продукт – автоматический категоризатор документов InfoWatch Data Explorer на основе технологий искусственного интеллекта, который облегчает внедрение и эксплуатацию DLP-системы.

Важность применения новейших технологий ИБ на российском рынке не вызывает сомнений. Это связано как с внешними, так и с внутренними рисками: киберугрозы растут количественно и качественно на фоне того, как у компаний появляется всё больше чувствительной информации. Регулирование сферы персональных данных также ужесточается.

Тренды ИБ: «падчерица» выросла

На конференции «Искусственный интеллект для предотвращения утечек данных» президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт» Наталья Касперская озвучила четыре новых тренда в области ИБ, которые в полную силу проявились в России за последние несколько месяцев – с февраля 2022 года. 

Первый тренд, логично вытекающий из геополитической повестки, – радикальное изменение ландшафта безопасности, преобладание политических мотивов кибератак перед экономическими. Разумеется, не исчезли злоумышленники, которые нацелены на хищение информации или денежных средств компании. Однако огромные вливания происходят именно в умышленное вредительство и диверсионную деятельность – в атаки, которые очевидно экономически не окупаются. К примеру, если раньше в даркнете услуги по  установке вредоносной системы в конкретной компании стоили около 100-200 долларов, то сейчас встречаются предложения в разы дороже – до 2000 долларов. Замечены попытки вербовки нелояльных сотрудников КИИ – например, за сотрудничество со злоумышленниками специалистам, отвечающим за телеком-инфраструктуру, предлагаются большие вознаграждения и релокация с семьями за рубеж. Вредоносная активность часто «подсвечивают» в СМИ, чтобы придать ей значимости.

 

 

Второй тренд – резкое расширение поверхности атак, в том числе массовые атаки на критически важные объекты инфраструктуры, такие, как банковская система Сбера. Развивается пропаганда в соцсетях, в рекламных интеграциях и даже в играх, а также «психологический терроризм» с использованием социальной инженерии, когда от имени государственной структуры пользователям рассылаются сообщения с негативным содержанием. В программном обеспечении с открытым исходным кодом (Open Source), появляется большое количество «закладок» – недокументированных вредоносных функций. Наряду с внешними угрозами инфраструктуре организаций (кибератаки) усиливаются и внутренние угрозы – саботаж со стороны собственных сотрудников.

Третий тренд – противостояние российских и украинских хакеров, а также шантаж российских работодателей сотрудниками с Украины. Информационная война ведется как организованными группировками хакеров, так и отдельными «добровольцами». Существуют специальные координационные центры, которые рассылают четкие инструкции.

Четвертый тренд – усиления последствий кибератак для организаций. Например, если это касается государственных ведомств, – от типовых сценариев с кражей данных хакеры переходят к их уничтожению. Так произошло, например, при атаке на инфраструктуру Росавиации. Усиливается компрометация программных продуктов на Open Source – а этот тип ПО является основой для перехода к импортозамещению в России. Чем более организованные действия предпринимает киберпреступность, тем сильнее будут эти последствия. Это означает, что компаниям необходимо постоянно совершенствовать технологии защиты данных, которые позволят реагировать на инциденты быстрее.

 

Наталья Касперская, президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт»

 

«Роль кибербезопасности в стране на государственном уровне резко выросла. Раньше она была своеобразной «падчерицей»: все говорили о том, что необходима скорейшая цифровизация, а безопасность как-нибудь потом обеспечим. Сейчас пришло понимание, что безопасность надо обеспечивать сначала. Срочно принято несколько регуляторных документов: майский указ Президента о дополнительных мерах обеспечения ИБ, ряд документов ФСТЭК и других органов. Кроме того, импортозамещение, которое с 2015 года шло ни шатко ни валко, сейчас стало вынужденным трендом, – резюмировала Наталья Касперская. – Предприятиям необходимо пересматривать модель угроз, в частности, с точки зрения внутреннего саботажа, усиления скорости реагирования, полноты охвата анализа данных. Для этого нужны квалифицированные кадры, которых сегодня катастрофически не хватает. Возможно, этот дефицит смогут компенсировать автоматизированные системы».

В продуктовом портфеле InfoWatch такие системы уже присутствуют давно и планомерно развиваются: это модуль предиктивной аналитики InfoWatch Prediction и линейка продуктов для защиты АСУ ТП InfoWatch ARMA (обзор линейки здесь). Поддерживается их работа на отечественных ОС Astra Linux и РЕД ОС, на очереди – ALT Linux.

 

 

Новый продукт в этой категории – автоматический категоризатор документов Data Explorer, позволяющий быстро и эффективно анализировать массив документов, поступающих в информационную инфраструктуру компании, раскладывать их по кластерам и помогать специалистам по ИБ в настройках политик безопасности DLP-систем.

Искусственный интеллект в безопасности – мегатренд

Разговор о тенденциях рынка ИБ в России продолжил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. Спикер озвучил предварительные результаты исследования аналитического центра: по сравнению с аналогичным периодом 2021 года, в первом полугодии 2022 года в России на 80% превышен показатель количества утечек данных, более чем в 20 раз выросло число скомпрометированных записей (структурированной информации – персональных данных, платежной информации и т. п.). Такая динамика в очередной раз свидетельствует о том, что компаниям необходимы новые подходы к обеспечению ИБ – с более широким применением средств автоматизации, которые могли бы качественно отражать массированные атаки.

 

 

Согласно отчету «Ассоциации индустрии безопасности», искусственный интеллект занимает первое место среди трендов, влияющих на индустрию ИБ. Кибербезопасность и конфиденциальность данных представлены в этом рейтинге, соответственно, на второй и седьмой позициях. Важность применения технологий ИИ в процессах обеспечения ИБ подтверждают и другие исследования. Так, IDC прогнозирует, что в 2022 году компании по всему миру увеличат расходы на решения, использующие ИИ, почти на 20%.

 

Михаил Смирнов, руководитель экспертно-аналитического центра ГК InfoWatch

 

«Перед разработкой нового продукта мы внимательно анализируем рынок, потребности заказчиков, имеющуюся нормативную базу, мировые тенденции. Мы видим, что количество киберинцидентов может достигать сотни тысяч в минуту, и человек просто не успевает реагировать на них, обрабатывать такой объем информации. Стандартных подходов к автоматизации, основанных только на алгоритмах, становится недостаточно. Одна из причин того, что искусственный интеллект сегодня является мегатрендом – уверенность в том, что он и дальше будет влиять на развитие всех отраслей безопасности, – замечает Михаил Смирнов. – При этом для предприятий важна не сколько скорость, но и точность принятия решения. Возможная цена ошибки при возникающих инцидентах – угроза существования компании. Лишившись информационных активов, компания может просто разориться. И такие примеры уже есть».

В InfoWatch выделяют четыре фундаментальные процесса ИБ: знание того, какие информационные ресурсы существуют в компании (вплоть до файлов, шаблонов документов, заметок); понимание того, где находятся эти информационные ресурсы, кем создаются и как изменяются; оценка важности этой информации для бизнеса; осознание того, какие ресурсы необходимо защищать в первую очередь.

 

 

По словам Михаила Смирнова, одновременно с разработкой программного продукта в InfoWatch закладывают методологию ИБ. В прошлом году в компании начали создание новой области стандартизации в сфере ИБ и ИТ – «Процессы контроля обработки смысловой компьютерной информации...». Подготовлен первый отраслевой стандарт в этой области, который проходит экспертизу в профессиональном сообществе и направлен на регистрацию в Федеральный информационный фонд стандартов. На его базе возможно создание целой серии стандартов, предназначенных, в том числе, для сертификации DLP-систем. 

InfoWatch Data Explorer – для повышения эффективности DLP-систем

InfoWatch Data Explorer – новый программный продукт в портфеле вендора, не имеющий аналогов на мировом рынке ИБ. Это модуль системы DLP, который с использованием технологий ИИ анализирует входящий дата-трафик компании, выявляет подлежащие защите категории документов и помогает сформировать политики безопасности DLP. Кластеризация информации – понятие не новое, до сих пор не используемое в системах этого класса.

 

Александр Клевцов, руководитель направления InfoWatch Traffic Monitor

 

«Система DLP является эффективной, если она в своих политиках отражает все важные категории информации, которой оперирует организация. Но очень часто при обеспечении ИБ мы сталкиваемся с плохо прогнозируемыми или непредсказуемыми событиями: это внезапно обнаруженные уязвимости, атаки «нулевого дня», новые шифровальщики. «Черными лебедями», с точки зрения защиты данных, являются содержащие риски информационные активы, события, процессы, о которых служба безопасности ничего не знает и не может отразить в политиках ИБ. Они возникают, например, вследствие теневого бизнес-процесса или неформальной коммуникации в рамках компании, – предупреждает руководитель направления InfoWatch Traffic Monitor Александр Клевцов. – Большинство наших заказчиков практикует периодический просмотр «серых» событий – событий, которые DLP-система никак не маркировала: например, активность увольняющихся сотрудников. Иногда они обнаруживают среди них «черных лебедей», и это порождает большое количество вопросов. Офицер ИБ пытается вручную исследовать огромный массив данных, ему приходится проделать колоссальный труд, чтобы понять, с какими еще процессами связан этот обнаруженный артефакт».

Кроме того, новую категорию документов, которые используются в организации, необходимо представить для DLP-системы таким образом, чтобы она могла их эффективно защищать и выявлять в любых источниках. Создание качественной лингвистической модели занимает 5-7 дней работы профессионального компьютерного лингвиста, независимо от того, какая DLP-система используется. Это должна быть полноценная модель, которая содержит в себе сотни терминов, учитывает их взаимосвязь, вес и другие параметры. Из-за перечисленных трудностей DLP-системы часто содержат неактуальные политики.

 

 

Модуль InfoWatch Data Explorer позволяет максимально автоматизировать все процедуры, связанные с поиском новой информации, ее категорированием и формированием политик DLP. Этот инструмент автоматически находит новые информационные активы, в течение нескольких минут формирует лингвистическую модель и предлагает соответствующую политику для DLP. Согласно испытаниям и пилотным проектам InfoWatch, искусственный интеллект может формировать лингвистическую модель так же качественно, как профессиональный компьютерный лингвист.

Таким образом с появлением InfoWatch Data Explorer кардинально меняется процесс защиты корпоративной информации: специалистам не нужно тратить много времени и сил на то, чтобы научить систему работе с новыми данными, можно актуализировать политики по первой необходимости. Использование этого инструмента не требует от специалиста ИБ специфической экспертизы в Data Science или AI. Все настройки, опции, отчеты доступны в удобном графическом интерфейсе.

 

 

Модуль InfoWatch Data Explorer будет интересен, в первую очередь, крупным компаниям, оперирующим закрытой чувствительной информацией, а также небольшим и средним компаниям, которым DLP-системы раньше были недоступны по причине сложного и дорогостоящего обслуживания.

«По нашим исследованиям, Data Explorer позволяет снизить стоимость и сроки внедрения DLP, последующее обновление – в 3-4 раза», – говорит Михаил Смирнов.

«За всё время существования DLP-систем у внедряющих эти продукты компаний была сложность: надо было долго разбираться, какую информацию и каким образом защищать. Это делало DLP-систему недоступной для компаний небольшого размера. Применение Data Explorer упрощает процесс внедрения и настройки DLP: если раньше он занимал несколько недель, то сейчас результат получается уже за один день», – подтверждает Наталья Касперская.

Господдержка ИТ в действии

Программный продукт InfoWatch Data Explorer был создан с использованием средств господдержки: грант на разработку предоставил Российский фонд развития информационных технологий (РФРИТ).

«Информационная безопасность – одно из приоритетных для нас направлений. По этому направлению за 2020-2021 годы Фонд поддержал 12 проектов, и один из них – успешный кейс – мы наблюдаем сегодня. Этот продукт сверхвостребован по понятным причинам. Вопросы ИБ в нынешних реалиях ставятся во главу угла. Мы будем сопровождать проект в дальнейшем как Институт развития и как Фонд в составе корпорации ВЭБ.РФ. Совместно с Минцифры будем осуществлять ряд мероприятий по поддержке, продвижению, поиску клиентов для этого решения, – комментирует генеральный директор РФРИТ Александр Павлов. – За последние месяцы мы получили от ИТ-сообщества около девяти тысяч запросов и предложений, связанных с изменившейся конъюнктурой рынка, с усилением санкционного давления. Компании говорят как о рисках, так и о возможностях для своего развития и роста».

 

Александр Павлов, генеральный директор РФРИТ

 

Спикер отметил, что Правительство РФ поддержало инициативу ИТ-сообщества и фондов, в 2022 году изменило ряд условий предоставления грантовой поддержки. Так, схема софинансирования в пропорции 50/50 была заменена на схему 20/80, где 80% затрат на реализацию проекта берет на себя Фонд. Это существенно большее плечо для ускоренной разработки продукта и вывода на рынок.

Фонд в этом году продолжает отбор проектов в сфере информационной безопасности. С учетом изменений, сумма гранта увеличена до 500 млн рублей, а для особо значимых проектов – до 6 млрд рублей. Также в два раза поднята планка мотивации привлекаемых в проекты разработчиков. Претендующий на поддержку проект должен соответствовать ряду условий: подходить для размещения в Едином реестре отечественного ПО, иметь возможность монетизации, быть востребованным конкретным заказчиком или рынком в целом.

В рамках поручения Председателя Правительства формируется индустриальный центр компетенций и отраслевые комитеты, в которых предприятия – отраслевые лидеры будут представлять приоритетные проекты для дальнейшего грантового финансирования.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, защита персональных данных, InfoWatch, DLP, Искусственный интеллект