12.09.2025 08:01
SolarDozor 0 400 Источник

Введение: немного статистики   

2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы мошенничества и беспрецедентный уровень кибератак.

Центр исследования киберугроз Solar 4RAYS ГК «Солар» в своем отчете «Хроника целевых кибератак в 1 полугодии 2025 г» показывает, что почти 90% атак связаны со шпионажем и финансовой выгодой. В этих условиях особенно важно реагировать на такие инциденты как можно скорее, чтобы максимально защитить данные от утечки, а также свести к минимуму экономический и/или репутационный ущерб. 

Вместе с Яной Менжевицкой, аналитиком отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», разбираемся, почему компании проигрывают в гонке со временем при расследованиях, как разрозненные данные мешают эффективной работе служб безопасности, и как DLP-система Solar Dozor и ее модуль Dozor Detective помогают в расследовании внутренних инцидентов и меняют правила игры.

Но сначала немного статистики: 

  • В 2024 году в России зафиксировано 765,4 тыс. преступлений, совершенных с использованием информационно‑телекоммуникационных технологий (ИКТ), что составляет примерно 40% от общего числа противоправных действий. Такие данные обнародовало МВД РФ. В отчете ведомства говорится, что в 2024 г. общее количество киберпреступлений в России увеличилось на 13,1% по сравнению с предыдущим годом. При этом в ИТ‑сфере совершено 369,3 тыс. тяжких и особо тяжких противоправных деяний, что на 7,8% больше в годовом исчислении. В значительной степени этот фактор повлиял на рост в 2024 г. общего числа тяжких и особо тяжких преступлений на 4,8%.

  • За 2024 год Роскомнадзор зафиксировал 135 случаев утечки данных, в которых содержались более 710 млн записей о россиянах. При этом ведомство отметило, что по сравнению с 2022 и 2023 годами количество утечек кратно увеличилось.

  • За первые 6 месяцев 2025 года ведомство зафиксировало 35 фактов утечек персональных данных, в результате которых оказались скомпрометированы более 39 млн записей.  

По данным Центра стратегических разработок, объем российского рынка информационной̆ безопасности в 2025 году составит 369 млрд руб., а средний годовой бюджет на обеспечение ИБ – более 294 млн рублей, что на 29% больше по сравнению с 2024 г. Это связано с ростом кибератак, увеличением спроса на отечественные решения (в том числе вследствие импортозамещения), а также реорганизацией и/или автоматизацией ИБ-процессов в компаниях. Влияет и применение новейших технологий искусственного интеллекта (ИИ) в кибератаках.

Эксперты группы компаний Б1 прогнозируют, что в среднесрочной перспективе затраты на ИБ-решения только для защиты данных могут вырасти на 17% (в прошлом году затраты составили 21 млрд руб.). При этом компаниям необходимо не только принять меры по улучшению защиты своей инфраструктуры, но и собрать высококвалифицированную команду ИТ- и ИБ-специалистов, дефицит которых в 2024 г. оценивался в сотни тысяч человек

С учетом вышеприведенной статистики, ситуация требует немедленного реагирования, в том числе и в расследовании инцидентов ИБ. Чем быстрее и качественнее расследуется инцидент, тем быстрее принимаются меры (изменения в политиках безопасности, рекомендации по изменению бизнес-процессов, рекомендации по взысканиям с нарушителей и т.п) и выше вероятность того, что последствия инцидента будут не слишком масштабными. Соответственно, критичным фактором является время, затраченное на расследование и устранение последствий инцидента. Единственный способ качественно ускориться, не увеличивая штат сотрудников – применение технологий, автоматизирующих задачи, возникающие в процессе расследования. 

Ситуация «как есть»: сбор и анализ данных  

Мы опросили наших клиентов (в том числе потенциальных) на тему того, как сейчас у них проводится расследование инцидентов – как организован процесс, какие этапы и кем выполняются; сколько времени в среднем занимает расследование одного инцидента; какие проблемы возникают. Результаты показывают, что в целом:

  • присутствуют сложности со сбором статистики расследований инцидентов, связанных именно с утечками данных по вине сотрудников компании и/или с их мошенническими схемами действий;

  • у специалистов служб безопасности высокая загрузка и постоянная нехватка времени;

  • в процессе расследования специалисты вынуждены использовать множество систем, в том числе для хранения материалов;

  • требуется существенное время на синхронизацию с другими участниками расследования;

  • формирование отчетности занимает значительное время, особенно, если отчет содержит разные данные.

Вот неполный перечень данных (от наиболее востребованных к менее значимым), которые могут фигурировать в расследованиях и соответствующей отчетности:

  1. Сообщения и файлы, отправленные и полученные с помощью электронной почты и/или мессенджеров.

  2. Публикации в интернете, данные, загруженные в облачные хранилища.

  3. Записи и скриншоты экранов рабочих станций.

  4. Данные, отправляемые на печать.

  5. Список посещаемых веб‑ресурсов.

  6. Видео или фото с камеры.

  7. Запись голоса и окружающих звуков с рабочей станции.

  8. Данные, переданные с или на USB.

  9. Сведения о запущенных приложениях.

  10. Данные СКУД.

По данным исследования, проведенного специалистами аудиторско-консалтинговой компании Kept, в котором приняли участие 30 компаний из России (96%) и Беларуси (4%), в качестве основного источника информации в основном используются корпоративные учетные системы (81% респондентов). Больше половины используют данные внутренних систем ЭДО, систем видеонаблюдения и контроля управления доступом (СКУД). Также в рамках внутренних расследований ответственные лица проверяют сотрудников на конфликт интересов (92%), анализируют данные систем согласования договоров (85%) и бухгалтерского учета и отчетности (73%), подтверждающую документацию (85%), проводят интервью (81%) и т.д.  

Вся эта информация может храниться в разных местах. Например, персональные сведения о сотруднике Агапове А. (вымышленное имя и фамилия – прим. автора) сохраняются в кадровой системе, журнал действий (лог) Агапова как пользователя рабочего ноутбука – в базе данных у системного администратора. Записи с видеокамер, на которых присутствует Агапов хранятся на отдельном сервере, никак не связанном ни с кадровой системой, ни с хранилищем логов. В результате в процессе расследования офицер безопасности тратит много времени только на сбор уже вроде бы известных данных. Кроме того, хранить материалы расследования (именно собранные доказательства, в том числе с комментариями, поясняющими факт нарушения) подобным образом просто небезопасно.

В среднем расследование занимает от 2-х недель до нескольких месяцев. При этом рутинные операции, в том числе формирование отчета, содержащего все необходимые данные, часто отнимают более 50% процентов времени. Эти данные – сроки расследований, большой процент рутинных операций – подтверждаются и в итогах вышеупомянутого исследования Kept (Рис. 1).  

Рис 1. Исследование Kept: функции и ресурсы, которых не хватает для проведения качественных расследований
Рис 1. Исследование Kept: функции и ресурсы, которых не хватает для проведения качественных расследований

Многие эксперты отмечают, что не хватает квалифицированных специалистов. К примеру, в исследовании Kept больше половины (54%) респондентов указали на это и дополнительно отметили:

  • 46% – недостаток решений для автоматизированного мониторинга потенциально рисковых процессов компании;

  • 38% – недостаточную автоматизацию всего процесса ведения расследования. 

Недостаточная автоматизация, нехватка времени и специалистов сказываются в том числе и на том, что в компаниях, особенно крупных, не всегда возможно контролировать в достаточной степени деятельность всех сотрудников на рабочих устройствах. По данным ГК «Солар», чем больше сотрудников в компании, тем меньше расследований проводится (Рис. 2).

Рис 2. Статистика по расследованиям: чем больше компания, тем меньше расследований
Рис 2. Статистика по расследованиям: чем больше компания, тем меньше расследований

В 2023 г. вышел международный стандарт по внутренним расследованиям ISO/TS 37008:2023 «Руководство по проведению внутренних расследований в компаниях» (Internal investigations of organizations — Guidance), который предоставляет рекомендации по организации эффективного процесса ведения внутренних расследований. Однако для того, чтобы оценить, насколько объективно и эффективно ведутся расследования, руководителям СБ и топ‑менеджерам компании необходим как оперативный отчет, где приведена вся требуемая информация по конкретному случаю, так и статистика по всем проводимым и проведенным расследованиям, своевременно получить которую затруднительно без автоматизации.

Solar Dozor 8, модуль Dozor Detective: минимизация рутинных операций и ускорение расследования

В ноябре 2024 г. вышел релиз 8.0 DLP Solar Dozor — системы предотвращения утечек конфиденциальной информации и корпоративного мошенничества, которая вот уже третий десяток лет защищает от утечек крупнейшие отечественные организации самых разных сфер и отраслей от производства до госсектора.

Ключевой новинкой Solar Dozor 8 стал модуль Dozor Detective — комплексное решение для аккумулирования, систематизации и анализа всех материалов, которые фигурируют в процессе внутрикорпоративного расследования инцидентов.

В основе разработки — концепция как можно более полной автоматизации рутинных процессов ведения внутрикорпоративного расследования инцидентов информационной, экономической и собственной безопасности. Модуль создан при плотном участии специалистов служб безопасности (СБ) всех уровней и в соответствии с их рекомендациями и стандартами. Использование Dozor Detective в работе СБ — это новый подход к решению задач информационной, кадровой и экономической безопасности.

Рис 3. Полный цикл процесса расследования в DLP Solar Dozor: от выявления инцидента до закрытия дела и получения отчетности
Рис 3. Полный цикл процесса расследования в DLP Solar Dozor: от выявления инцидента до закрытия дела и получения отчетности

Dozor Detective предоставляет пользователям системы раздел веб‑интерфейса «Расследование», где аккумулированы инструменты, с помощью которых можно собирать и впоследствии получать всю необходимую для расследования информацию:  

  • Отдельное рабочее пространство — сущность «Дело»Карточка дела», Рис. 4-7) — для накопления и доступа ко всей разнородной информации (в том числе из внешних по отношению к Solar Dozor источников) по конкретному делу, включая:

    • номенклатурные и другие сведения, необходимые для открытия дела;

    • сообщения, события и инциденты, прикрепленные из базы Solar Dozor, а также загруженные вручную документы, аудио‑ и видеозаписи, изображения (в том числе снимки экрана) и другие данные, относящиеся к делу;

    • сведения о лицах (физических и юридических), причастных к делу, в том числе о предполагаемых нарушителях безопасности;

    • версии, возникающие в ходе расследования;

    • итоговые результаты расследования: выводы и детальный отчет.

  • Инструменты управления ходом расследования: можно назначать ответственных, отслеживать статус дела, контролировать сроки выполнения.

  • Возможности для совместной работы сотрудников службы безопасности над расследованием, включая ролевое разделение доступа. Можно ограничить доступ как к разделу «Расследование» и функциям Dozor Detective, так и к конкретному делу и/или его материалам (Рис. 6). Такая организация доступа помогает специалистам отделов безопасности расследовать инциденты с соблюдением режима конфиденциальности и уменьшает вероятность утечки как сведений о том, что ведется расследование, так и информации о деталях расследования.

  • Инструменты для формирования отчетности по делу: достаточно нажать кнопку и офицер СБ получит полноценный отчет (Рис. 8), где будут собраны все необходимые сведения о деле и его фигурантах, ссылки на все материалы дела, версии, которые были выдвинуты в процессе расследования, его итоги, а также дальнейшие рекомендации по предотвращению подобных инцидентов и минимизации ущерба.

  • Фильтры для оперативного получения статистики по расследованиям и других данных, используемых для принятия решений — можно получить, например:

    • данные по количеству закрытых/не закрытых дел в организации;

    • данные по количеству подтвержденных/неподтвержденных нарушений;

    • статистику по типам ущерба и типам нарушения: нарушения какого типа нанесли организации больший ущерб; какие нарушения чаще всего совершали сотрудники и т. п.;

    • сведения о загруженности (количестве расследуемых дел в настоящий момент) сотрудников, что важно при распределении задач.

Рис 4. Интерфейс Solar Dozor, раздел «Расследование»: картотека дел – сведения о делах, зарегистрированных в системе, и карточка дела с основной информацией
Рис 4. Интерфейс Solar Dozor, раздел «Расследование»: картотека дел – сведения о делах, зарегистрированных в системе, и карточка дела с основной информацией
Рис 5. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: материалы, прикрепленные к делу; сведения о фигурантах и участниках
Рис 5. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: материалы, прикрепленные к делу; сведения о фигурантах и участниках
Рис 6. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: пример организации доступа к делу
Рис 6. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: пример организации доступа к делу
Рис 7. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: итоговые результаты расследования
Рис 7. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: итоговые результаты расследования
Рис 8. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: пример отчета с информацией по делу
Рис 8. Интерфейс Solar Dozor, раздел «Расследование – Карточка дела»: пример отчета с информацией по делу

Основная цель и преимущество такого подхода — все материалы по делу, включая итоги и отчетность, не просто разрознено где‑то хранятся, а консолидируются в одном месте и могут быть оперативно получены и использованы для принятия решений. При этом данные хранятся на защищенных серверах, доступ к которым крайне ограничен.  

Рис 9. Проблемы специалистов служб безопасности и их решение с использованием модуля Dozor Detective
Рис 9. Проблемы специалистов служб безопасности и их решение с использованием модуля Dozor Detective

Таким образом, применение Dozor Detective в составе DLP Solar Dozor для решения задач, возникающих в процессе внутрикорпоративного расследования инцидентов, позволяет:

  • использовать зафиксированные в DLP‑системе данные, на которые можно полагаться;

  • частично решить проблему с кадрами за счет автоматизации задач;

  • сократить трудозатраты на рутинные операции и уделить больше времени непосредственно самому расследованию;

  • стандартизировать процесс ведения расследования;

  • снизить риск ошибок, вызванных влиянием человеческого фактора;

  • ускорить получение результатов и отчетности, повысить качество, объективность и эффективность расследования;

  • свести к минимуму риски потери, утечки и/или компрометации данных расследования.

Комментарии (0)