Защита данных от утечки и защита бизнеса

Безопасность бизнеса – понятие многогранное. Защитить свой бизнес от всего спектра возможных посягательств, от крупных финансовых потерь по самым многообразным причинам, от явных и скрытых угроз правового характера очень сложно. К тому же наполнение данного понятия меняется с течением времени. Безопасность бизнеса в 90-е годы прошлого века и в настоящее время – две огромные разницы. В рубрике "День эксперта" - Анатолий Скородумов, Заместитель директора, начальник отдела информационной безопасности (CISO), ПАО “Банк “Санкт-Петербург”.

В 90-е успешный бизнес был "смертельно опасен для здоровья", сейчас "криминала" в чистом виде стало значительно меньше. Безусловно, много зависит от самого бизнеса. Обеспечение безопасности бизнеса включает юридическую защиту организации, физическую охрану предприятия, сырья и произведенной продукции, финансовую безопасность, кадровую безопасность, мероприятия на случай чрезвычайных обстоятельств, обеспечение непрерывности текущих бизнес-процессов и много других аспектов. Но практически ни один бизнес на данный момент не обходится без средств автоматизации, использования дистанционных каналов обслуживания, интернет-сервисов.

В наcтоящее время мы переживаем очередной этап компьютеризации бизнеса – его диджитализацию и цифровую трансформацию. Речь идет о том, что если раньше мы просто автоматизировали рабочие процессы и технологии, то теперь мы создаем совершенно новые цифровые технологии и сервисы. Сама жизнь кардинально меняется. Мы практически живем в Интернете, в своих мобильных устройствах. С их помощью мы общаемся, покупаем продукты и товары, управляем своими сбережениями, оформляем документы, развлекаемся и даже иногда работаем. Нас окружает огромный объем доступной информации, мы практически живем в информационном океане. И с каждым годом информации становится все больше, а доступ к ней все проще и удобнее. Даже такие во многом консервативные организации, как банки, все больше переходят на работу в электронную среду. Боле того, сами банки видоизменяются. Они все более становятся похожими на высокотехнологичные ИТ-компании.

Роль информационной безопасности в защите бизнеса

По названным выше причинам роль информационной безопасности в защите бизнеса, и банковского бизнеса в том числе, также возрастает с каждым годом. Одной из задач системы информационной безопасности является защита данных от утечки. Давайте попробуем разобраться, насколько важна эта составляющая в общем комплексе мероприятий по защите бизнеса.

Любой бизнес связан с обработкой информации. Это могут быть бухгалтерские данные, данные кадрового делопроизводства, данные о клиентах, использовании ими продуктов и услуг, производственные данные, маркетинговая информация и многое-многое другое. Но насколько важна вся подобная информация для вашего бизнеса? Ответить на данный вопрос зачастую достаточно сложно. Для этого нужно оценить риски утраты или разглашения такой информации. И если утрату той или иной информации оценить проще, по сути это стоимость работ по ее восстановлению в форме и объеме, достаточных для продолжения бизнеса, то оценить потери от возможной утечки и разглашения информации очень сложно. Часто приходится оценивать так называемые репутационные риски.

Все понимают, что хорошая репутация компании бесценна, но как на нее повлияет утечка той или иной информации? Что случится, если в Интернет утечет клиентская база вашей организации, информация о доходах ее работников, маркетинговые планы? Во второй половине 90-х гг. – начале 2000-х на рынке "Юнона" в Санкт-Петербурге и многих других местах можно было приобрести базы данных "на любой вкус": адресные, телефонные, банковские, налоговые и т.д. За последние годы крупные утечки персональных данных были в таких известных компаниях как, SONY, Facebook, Mail.ru и ряде других. Люди привыкли к тому, что информация утекает из любых организаций, даже из очень крупных, которые тратят на ее защиту колоссальные средства. Утечка если и создает какой-то негативный фон, то на очень непродолжительное время. А до серьезных штрафных санкций за утечку тех же самых клиентских (персональных) данных в России еще не доросли. В вопросе оценки последствий утечки данных специалисты по информационной безопасности во многом похожи на плохих синоптиков. Производится оценка большого количества различных параметров, а в результате выдается прогноз типа "вероятность дождя 50%", т.е. либо пойдет, либо не пойдет. Тем не менее выделить наиболее значимую для бизнеса информацию жизненно важно, без этого невозможно построить эффективную систему ее защиты. Обычно по итогам этой процедуры оформляется документ типа перечня сведений, составляющих коммерческую тайну организации.

Далее целесообразно определить, какая из вашей значимой информации представляет коммерческую ценность и для кого. Ориентироваться при решении этой задачи можно на рынок информации, который существует как в открытом интернет-пространстве, так и в Darknet. Информация в современном мире достаточно ходовой товар, и на многие ее виды уже сложилась некая цена. Если на обрабатываемую в вашей компанией информацию есть спрос, вероятность ее утечки существенно возрастает.

А в чем же заключается защита информации?

Любой грамотный специалист по информационной безопасности вам скажет, что в обеспечении ее трех основных свойств: конфиденциальности, целостности и доступности. Когда мы говорим об утечке данных, мы говорим о нарушении их конфиденциальности. В последние годы происходит некоторое смещение приоритетов. Если раньше на первом месте стояла безусловно задача обеспечения конфиденциальности информации, то сейчас акцент все больше смещается на обеспечение ее доступности. На это есть несколько причин.

  1.  Практически в любом бизнесе появились дистанционные сервисы обслуживания клиентов, и значительные простои этих сервисов ведут к существенным финансовым потерям.
  2.  В большинстве организаций значительная часть информационного обмена осуществляется в электронном виде, и недоступность информации нарушает технологические процессы и ведет к приостановке бизнеса.
  3.  Современные технологии представляют огромные возможности для различных типов коммуникации, что значительно облегчает совместную работу в командах, позволяет объединять в команды людей, физически разбросанных по различным частям света. В итоге это позволяет повысить эффективность и снизить издержки ведения бизнеса. Но такая работа предполагает активное информационное взаимодействие, постоянный доступ к нужной информации для всех участников.
  4.  Компаниями все шире используются различные облачные сервисы. При их реализации провайдер концентрируется прежде всего на доступности сервиса (информация должна быть доступна в любой момент, с любого устройства), нередко в ущерб ее защищенности от несанкционированного доступа.

Скородумов

Доступность важнее конфиденциальности

Можно сказать, что для обеспечения непрерывности бизнеса доступность информации становится важнее обеспечения ее конфиденциальности.

У многих понятие утечки информации ассоциируется исключительно с внутренним нарушителем, с действиями кого-то из работников компании. Большинство специализированных систем защиты от утечек (DLP-систем) также созданы и настроены в русле этой парадигмы. Но в современном мире она, мягко говоря, некорректна. К утечке данных все чаще приводят уязвимости в интернет-сервисах компаний. Вам, наверное, известно понятие Time-to-Market – время выпуска на рынок нового продукта или услуги. Борьба за сокращение этого времени приводит к тому, что на рынок нередко выпускаются достаточно сырые, недоработанные и недотестированные сервисы и продукты, имеющие уязвимости как из-за ошибок программирования, так и из-за логических ошибок в реализации тех или иных функций.

Другой аспект связан с технологией проведения внешних атак. Обычно они проводятся с использованием вредоносного программного обеспечения. Зачастую злоумышленники изначально не планируют всю атаку целиком. Они действуют поэтапно. Основная цель первого этапа - это проникнуть и закрепиться в вычислительной сети организации. После этого проводится дополнительная разведка, анализ информации (что это за организация, чем занимается, какую информацию и как обрабатывает), выбор цели атаки. В качестве одного из векторов атаки вполне может быть выбрано несанкционированное копирование конфиденциальных данных в целях их продажи или шантажа самой организации, откуда эти данные были украдены.

И в первом, и во втором приведенном варианте утечки информации в результате проведения внешней атаки на компанию классическая DLP-система вряд ли чем-то поможет.

Большую проблему с точки зрения возможной утечки составляют различного рода контрагенты и обслуживающие организации. Многие из них имеют доступ внутрь корпоративной сети компании. Угроза утечки данных может исходить как от недобросовестных сотрудников этих организаций, так и от хакеров, которые могут проникнуть в вашу компанию, взломав ИТ-инфраструктуру контрагента. Выстраивание отношений с такими организациями для обеспечения необходимого уровня их соответствия требованиям информационной безопасности - это отдельное большое направление деятельности службы информационной безопасности.

Данные, хранящиеся в уже упомянутых облачных сервисах, также нередко становятся легкой добычей для хакеров.

Составление модели правонарушителей

Поэтому при построении системы защиты от утечки информации необходимо рассматривать как внутренних, так и внешних нарушителей. В итоге у вас должна получиться полноценная модель нарушителя, учитывающая всех лиц, которые имеют легальных доступ или могут получить его к защищаемой информации. При ее построении стоит оценивать следующие параметры:

  •  общая техническая подготовка лица, наличие знаний и навыков по взлому систем;
  •  знание информации о самой системе, где хранятся данные, и используемых средствах ее защиты;
  •  наличие легального доступа к защищаемой информации и к СВТ, с помощью которых она обрабатывается или хранится;
  •  наличие финансовых и иных ресурсов для организации утечки данных.

Для современной ИТ-инфраструктуры даже небольшой организации такая модель может содержать более десятка различных типов нарушителей, а для сложной ИТ-инфраструктуры в большой организации – два десятка и более. При составлении модели нарушителей полезно определить их возможную мотивацию на проведение действий, которые могут привести к утечке данных. Как говорится, "без причины и прыщ не вскочит". Для лиц, имеющих легальный доступ к защищаемым данным, целесообразно оценивать угрозы утечки отдельно для умышленных и неумышленных действий такого лица. Это важно с точки зрения построения системы защиты информации. Те же самые DLP-системы наиболее эффективны для предотвращения утечек именно при неумышленных действиях сотрудника организации. Защититься от умышленного копирования данных в целях последующей продажи или передаче третьим лицам на порядок сложнее.

Бережное отношение к информации

Очень важно воспитывать культуру бережного отношения к информации. К сожалению, современная мода выкладывать все и вся в социальные сети не способствует такому воспитанию. Если человек выкладывает в сети скан своей платежной карты, сложно ожидать, что с информацией организации он будет обходиться осмотрительнее. Причем этим грешат не только рядовые работники, но и топ-менеджмент компаний. Нередко бывает, что в своих интервью и выступлениях на различных мероприятиях руководители говорят "чуть больше", чем следовало.

Если уж речь зашла о топ-менеджменте организации, то атака на бизнес вполне может проводиться и через них. Взломав домашний компьютер руководителя, в ряде случаев можно почерпнуть довольно много интересной информации, а иногда и получить доступ в корпоративную сеть организации. В социальных сетях несложно создать фейковые аккаунты топ-менеджеров и от их лица распространять негативную информацию о компании либо публиковать посты на форумах и в социальных сетях, которые будут дискредитировать их самих. Поэтому службе информационной безопасности не грех уделять внимание защите информации у топ-менеджеров и о топ-менеджерах.

Атака может проводиться на человека, на устройство и даже на нечто неосязаемое, например имидж компании. При этом на каких-то ее этапах возможна и атака на информацию организации. Так, атака на банкомат может осуществляться путем вскрытия сервисной зоны и подключения к интерфейсам банкомата, а может путем проникновения в корпоративную сеть и взлома системы удаленного управления банкоматами. Я думаю, именно в связи с появлением такого рода угроз и атак, напрямую не связанных с атакой на информацию, в настоящее время все чаще стали использоваться понятия киберугрозы, кибератаки и кибербезопасности.

Рассмотрим несколько примеров подобных атак

Очень распространенными в настоящее время являются мошенничества с целью незаконного присвоения чужих денежных средств. Мошенники были всегда, и всегда их главной задачей было "развести" клиента на деньги. Я думаю, многие помнят известный советский художественный фильм "Трест, который лопнул" либо знакомы со сборником рассказов "Благородный жулик" О. Генри, по мотивам которого он создан. Но в современных условиях наличия дистанционных сервисов обслуживания, постоянного появления и развития новых технологий и слабой технической грамотности населения данное направление преступлений превратилось просто в Клондайк. В последнее время в практике финансовых организаций участились случаи мошенничеств, когда человек сам отдает деньги преступнику. Атака на человека проводится настолько грамотно, что он сам перечисляет злоумышленникам денежные средства, не осознавая этого. Аналогичным образом можно развести сотрудника организации на "слив" критически важных для бизнеса данных.

Другой вариант современной кибератаки – это так называемая информационная атака. К информационным атакам на уровне государств мы уже привыкли. Наиболее яркие из них – это сюжеты о применении в Cирии химического оружия, "дело Скрипалей", раскручивание "вмешательства Росcии в выборы президента США". По сути, это использование достаточно большого набора методов и средств для манипуляции общественным сознанием. Но постепенно применяемые в информационных войнах методы и средства спускаются и на корпоративный уровень. Как вы понимаете, для проведения информационной атаки не нужен даже реальный повод. Для финансовых организаций в качестве инфоповода часто используется информация о якобы грядущем отзыве Банком России у кредитной организации лицензии на осуществление банковской деятельности.

Непосредственно проведение информационной атаки – не очень сложное и дорогое мероприятие. В Интернете достаточно раскрученных информационных ресурсов, где можно разместить практически любую дезинформацию. Далее организуются перепосты этой публикации в социальных сетях, и пошло-поехало. Крупная утечка значимой информации из организации может быть хорошим инфоповодом для начала против нее информационной атаки. Что вы будете делать, если СМИ опубликуют информацию, что хакерам удалось получить базу данных всех ваших клиентов, и в качестве доказательства приведут выдержку из этой базы? У вас есть план действий на случай, если такая база появится в продаже в Darknet? Если до сих пор вы не задумывались об этом, то пора задуматься. Кибератаке может подвергнуться любая организация, и, как показывает практика, любая организация может быть взломана. Материалы, опубликованные Wikileaks, показывают, что данные утекают даже из спецслужб США. Поэтому в настоящее время необходимо уделять серьезное внимание способности компании восстановить свою деятельность после проведения против нее успешной кибератаки (киберустойчивость компании). В части защиты от утечек надо быть готовым к тому, что в организации в любой момент может произойти крупная утечка значимых данных, и должен быть разработан комплекс мероприятий по минимизации возможных негативных последствий такого инцидента.

Подводя итог, хочу сказать, что руководителей компаний чаще всего волнует обеспечение защиты бизнеса от современных кибератак, именно они представляют реальную угрозу бизнесу. А защита данных от утечек – это всего лишь один из элементов комплексной защиты от такого рода атак, хотя и достаточно важный.

Источник:Журнал "Information Security/ Информационная безопасность" #3, 2019

Сюжеты: Защита информации и связи Банки и финансы День эксперта