Как поменялись подходы к информационной безопасности

Как государство поменяло подход к ИБ

После 2022 года государство приняло ряд нормативных актов, кардинально изменивших подход к информационной безопасности. Указы Президента РФ №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» и №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» ввели обязательное наличие служб ИБ в организациях с критической информационной инфраструктурой (КИИ), статус заместителя руководителя организации для руководителя ИБ и персональную ответственность руководителей за ИБ.

В 2025 году были приняты законы 420-ФЗ и 421-ФЗ, устанавливающие оборотные штрафы за утечки персональных данных и уголовную ответственность до 10 лет за неправомерный доступ и слив информации. Если раньше компаниям было проще заплатить символический штраф, то теперь вложения в защиту стали экономически оправданными.

Как поменялись ИБ-риски

В массовом сознании ИБ до сих пор ассоциируется с кибератаками. Однако профессионалы знают: внутренний нарушитель опасен ничуть не меньше. Важно понимать, что внутренним нарушителем могут быть не только сотрудники, но любые люди, правомерно имеющие доступ к внутренним ресурсам - стажеры, уволенные сотрудники с сохранившимся доступом, контрагенты.

Структура утечек за последние 10 лет изменилась кардинально. Сегодня соотношение умышленных действий к случайным — примерно 9:1. 90% утечек от внутреннего нарушителя совершаются осознанно, в то время как 10 лет назад картина была зеркально противоположной: 90% утечек были случайными ошибками. Рост компьютерной грамотности и удобство современных систем снизили долю случайностей, но увеличили долю намеренных нарушений.

Признаки умышленных действий хорошо заметны: изменение расширения файлов, переименование, использование белого шрифта. Все эти ухищрения говорят о том, что человек знал, что делает, и пытался скрыть свои действия. Такие нарушения позволяет выявлять специальный инструмент — система предотвращения от утечек информации, или DLP-система (от англ. Data Loss Prevention). Она контролирует данные в процессе использования, передачи и хранения.

Новая роль DLP-системы

Классические DLP-системы решали узкую задачу - не пропускать конфиденциальную информацию за периметр организации. При обнаружении — блокировка, карантин, уведомление. DLP-решения нового поколения работают принципиально иначе.

Сегодня DLP-система решает задачи не только информационной, но и экономической безопасности, например выявления корпоративного мошенничества, а также кадровой безопасности. Так, если сотрудник начинает искать другую работу, DLP-система фиксирует изменение паттернов поведения. Статистика показывает, что в 90% случаев увольняющийся пытается скопировать информацию — не для продажи, а чтобы использовать на новом месте. Это и риск утечки, и кадровый риск, и бизнес-риск, связанный с потерей ключевого специалиста.

DLP-система сканирует хранилища информации и проверяет, соответствует ли размещение данных правилам. Если коммерческая тайна лежит в открытой папке — это уже инцидент и предпосылка, с которой нужно работать до того, как произойдет непосредственная утечка.

Объемы информации сегодня таковы, что ручной контроль невозможен. Современная DLP-система автоматически обрабатывает большие потоки данных, выявляя аномалии.

Как работает DLP-система

Классическая DLP-система работала только с текстом, сейчас анализируются все типы информации: текст, изображения, фотографии, презентации, речь с ВКС-конференций. Технологии позволяют анализировать даже чертежи.

Метаданные файлов дают дополнительную информацию для расследования и позволяют установить подлинность и обстоятельства передачи информации.

Помимо этого, система ведет анализ цепочек событий. Например, сотрудник начинает поэтапно отправлять документы на личную почту, при этом не превышая пороговых значений. Классическая DLP-система не придаст этому значения, а более продвинутая выявит отклонение. За месяц набираются гигабайты скопированной информации — это очевидный инцидент.

К людям и объектам применяется поведенческий анализ. У каждого файла есть свой «цифровой след»: откуда пришел, куда перемещался, где хранится. Если типовой маршрут нарушается — это аномалия, требующая внимания.

Изменение поведения человека — еще более важный сигнал. Резкая смена паттернов работы может указывать на подготовку к увольнению, переход к конкуренту или иные риски.

Особое направление — выявление групп риска. Финансовые трудности, игромания, зависимости — это факторы, повышающие вероятность нарушений. Человек постоянно просит в долг, ищет подработку, демонстрирует нестабильность. В этом случае задача службы безопасности — не наказать его, а принять превентивные меры, предложить помощь. Своевременная поддержка — например, в виде бонуса — обойдется компании дешевле, чем потеря сотрудника и возможная утечка данных.

Современная DLP-система — это не просто средство блокировки утечек, а комплексный инструмент управления рисками, связанными с человеческим фактором. Она позволяет выявлять состоявшиеся инциденты, а также их предпосылки, работать с поведенческими аномалиями и выявлять группы риска.