iFellow оптимизировала информационный мониторинг заказчика с помощью системы Staffcop
ИТ-компания iFellow, специализирующаяся на разработке, тестировании и сопровождении ПО, реализовала проект по внедрению системы расследования инцидентов внутренней безопасности Staffcop в ИТ-инфраструктуру финансовой организации. Базовая функциональность системы была дополнена в соответствии с запросами заказчика. В результате клиент получил возможность оптимизировать деятельность сотрудников и предупреждать утечки конфиденциальных данных.
О решении
Staffcop Enterprise – это инструмент для контроля действий пользователей, информационных потоков и событий, происходящих в ИТ-инфраструктуре организации. В числе основных решаемых задач: поиск возможных утечек информации и защита от инсайдеров; оперативный контроль сотрудников и определение групп риска; расследование инцидентов ИБ; выявление нелояльных сотрудников и мошеннических схем; контроль и блокировка съемных носителей; блокировка сайтов и приложений по группам пользователей; учет рабочего времени сотрудников; оценка и контроль эффективности работы персонала; удаленное администрирование рабочих мест.
Для первичного сбора и передачи данных на рабочих станциях сотрудников или терминальных серверах устанавливается программа-агент. Серверная часть решения позволяет анализировать, обрабатывать и визуализировать полученные данные. Система может работать как в закрытом периметре организации, так и в распределенной инфраструктуре – например, с учетом рабочих станций сотрудников, работающих удаленно.
С декабря производитель системы Staffcop «Атом Безопасность» входит в состав группы компаний «СКБ Контур».
Предпосылки и цели проекта
В бизнес-процессах любой финансовой организации большую роль играет работа с конфиденциальной информацией и персональными данными, утечка которых на сегодняшний день грозит компании не только потерей репутации, но и ответственностью перед законом, в том числе уголовной. Кроме того, распределенная оргструктура компании чаще всего предусматривает наличие сотрудников, работающих удаленно – консультантов, специалистов по продажам и т. д. Все это заставляет участников рынка серьезно относиться к вопросам мониторинга персонала и предиктивно подходить к ИБ.
Вместе с клиентом iFellow определила следующие цели при внедрении системы контроля:
- понимание того, чем занимаются сотрудники в течение квартала;
- получение автоматически сгенерированных отчетов о состоянии дел (на почты руководителей подразделений);
- формирование доказательной базы, необходимой при возникновении инцидентов ИБ, а также системы менеджмента для их контроля;
- возможность анализировать состояние пользователей и атмосферу внутри команд: конфликты между коллегами и отделами, токсичность и т. д.;
- аналитика деятельности сотрудников по ключевым словам, независимо от формата файлов, с которыми они работают: PDF или текстовый документ;
- контроль ключевых слов, имеющих потенциальные риски: например, словарь «откатной тематики» («откат», «распил», «взятка» и т. д.);
- возможность включения «параноидального мониторинга» в случае подозрений: записи, расшифровки и анализа разговоров;
- интеграция системы мониторинга со СКУД и системой контроля.
Выбор решения
Для выбора оптимального решения специалисты iFellow продемонстрировали заказчику три программных продукта разных разработчиков. Система Staffcop оказалась наиболее подходящей по совокупности критериев: цены, возможности масштабирования, частоты обновлений, качества поддержки, совместимости с операционными системами.
Пожалуй, главными преимуществами Staffcop стали интуитивно понятный интерфейс и относительно низкая стоимость. Это решение по цене в несколько раз ниже, чем некоторые популярные enterprise-системы, при этом предлагает сопоставимую с ними функциональность. Вместе с тем существует специфика его использования: в отличие от классических DLP-систем, оно в первую очередь нацелено на контроль действий сотрудников, но также обеспечивает взаимодействие с ИБ-подразделением заказчика для предотвращения утечек.
Еще одним плюсом продукта в iFellow называют регулярный выход обновлений и доработок. Например, в одном из недавних релизов системы появилась опция распознавания речи. Кроме того, Staffcop может поддерживать отечественные прикладные программы. Так, система умеет мониторить отечественный мессенджер eXpress. Staffcop позволяет контролировать не только программные компоненты, но и оборудование: например, система среагирует в случае, если сотрудник пользовался на удаленной работе корпоративным ноутбуком и вытащил из него плашку оперативной памяти.
Это полноценный российский продукт, работающий на современном технологическом стеке. Например, в качестве СУБД он использует PostgreSQL и ClickHouse.
Ход проекта
Команда iFellow реализовала проект «под ключ» в несколько этапов.
После заключения контракта и выбора системы примерно полтора месяца заняла подготовка внутренней документации заказчика и ее согласование, поскольку система такого класса не может работать без уведомления сотрудников и получения их согласий.
Непосредственно внедрение и настройка базового функционала системы на пилотном участке ИТ-инфраструктуры заказчика заняли чуть более недели. После этого команда iFellow занималась сбором данных и устранением нетипичных сложностей, требующих доработки. Это связано с особенностями работы систем слежения: такие решения агрегируют все передаваемые данные с компьютеров пользователей и взаимодействуют с множеством внешних источников. Некоторые VPN, сайты и банковские системы необходимо было настроить для корректной работы со Staffcop.
Через три месяца, убедившись в работоспособности базовой версии системы, специалисты начали кастомизировать ее под нужды заказчика. Например, началась разработка инструментов аналитики и отчетности. Много внимания уделили адаптации системы к ложноположительным срабатываниям – в начале их было в избытке. Но такая ситуация естественна при любом подобном внедрении, поскольку новая система открывает для пользователей нюансы процессов, которые раньше были недоступны для мониторинга.
Дальнейшая инсталляция на расширенную группу рабочих станций проходила в течении года. Такой срок связан прежде всего с необходимостью основательной подготовки внутренних документов.
Особенности внедренного решения
Среди прочих функций внедренного решения специалисты iFellow установили у заказчика модули распознавания текста и голоса.
Staffcop позволяет распознать голос с микрофона пользователя, преобразовать запись в текст и проанализировать ключевые слова, после чего – при необходимости известить службу ИБ о потенциальном инциденте. Совместно с заказчиком команда iFellow сгенерировала словарь, подходящий по тематике под специфику бизнеса компании и включающий критичные слова. Заказчик может применять эту технологию для мониторинга сотрудника, попавшего под подозрение службы ИБ, либо пользователя с расширенными правами, неправомерные действия которого представляют определенный риск для компании.
Функционал распознавания текста и изображений реализован в системе на основе технологии OCR (Optical Character Recognition, оптическое распознавание символов). Например, если на экране сотрудника замечены паспортные данные или скан удостоверения личности, а в обязанности сотрудника не входит работа с документами, – это сигнал для ИБ посмотреть логи и удостовериться в правомерности этих действий.
Результат внедрения. Польза, полученная заказчиком
После внедрения заказчик смог объективно оценить, чем занимаются сотрудники, на какие действия они тратят излишне много времени. В результате было решено пересмотреть некоторые бюрократические процессы, которые мешали сотрудникам выполнять их непосредственные должностные обязанности.
Кроме того, была пресечена попытка скопировать конфиденциальные данные на флэш-карту.
Специалисты iFellow оценивают Staffcop как архитектурно понятную и простую систему. Сам стек технологий свежий, большой объем данных обрабатывается максимально быстро за счет мощного ETL-процесса и базы данных ClickHouse. Однако необходимо учитывать нюансы ее применения, связанные с тем, что это решение «около DLP», больше нацеленное на мониторинг сотрудников.
«Системы контроля сотрудников и DLP-системы получили большое развитие во время коронавируса, когда при массовом переводе сотрудников на «удаленку» работодатели начали понимать, что «физический» контроль за персоналом снижается. Именно тогда стали активно приобретаться лицензии на цифровые инструменты мониторинга. Они стали неким «интерфейсом спокойствия». Сегодня на этом рынке существуют несколько лидеров – это большие, мощные и дорогие решения DLP, предназначенные в первую очередь для заказчиков large enterprise. Системы, подобные Staffcop, мы относим к решениям среднего класса – недорогим, удобным и функциональным. В любом случае, выбор зависит от потребностей заказчика, особенностей его бизнеса, численности сотрудников подразделения ИБ. И мы всегда готовы помочь с решением таких задач», – резюмируют в iFellow.