Как организовать защиту персональных данных в условиях повышенного уровня киберугроз?

Последний год для российского рынка стал рекордным по масштабу и количеству утечек персональных данных — эксперты заявляют об утечках размером более 10 млн строк. Кроме того, внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» и продвигаемые Минцифры инициативы введения оборотных штрафов за их утечку также являются важными предпосылками для внедрения усиленных практик защиты информационных систем.

Искандар Косимов, эксперт в сфере управления информационной безопасностью, поделился мнением с аудиторией блога MAKVES о том, что необходимо сделать, чтобы глобально изменить ситуацию с масштабами утечек и выбрать оптимальный комплекс мер по защите персональных данных для компании любого размера.

— Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит извне, с целью причинения репутационного вреда российским компаниям. И основная причина успешных сливов на текущий момент — это несовершенство технической базы. При этом, от атак страдают не только крупные компании, такие как Сбер или Яндекс, но даже малый и средний бизнес, который долгое время откладывал внедрение практик по защите персональных данных. А откладывалось все по причине того, что раньше было достаточно спокойно — мы работали на другом оборудовании и не было настолько большого потока кибератак на российские компании.

Сегодня мы живем в абсолютно новой реальности. Еще год назад у наших специалистов по информационной безопасности был доступ к международным базам, где проводился мониторинг атак и активностей злоумышленников. И поскольку сейчас нас отключили от таких баз, отечественные компании превратились в киберполигон для хакеров со всего мира. При этом, как показывает практика, хакеры, которые сегодня осуществляют атаки, зачастую не являются профессионалами и допускают множество ошибок технического плана.

— Защита персональных данных является обязанностью организации, в которой они обрабатываются. Данное положение закреплено статьёй 19 ФЗ-152 «О персональных данных». И если раньше (до 1 сентября 2022 года), требования со стороны законодательства были достаточно мягкими, сегодня государство идет по пути планомерного ужесточения ответственности.

Рассмотрим живой кейс: есть небольшая компания численностью сотрудников 150−200 человек, в которой до последнего откладывалась разработка организационных мер для обеспечения защиты персональных данных. Обычно, когда сотрудники из правового департамента оценивают риски и штрафные санкции, в итоге все же принимают решение нанять внешнюю компанию для организации данного процесса. К примеру, разовый штраф для такой компании может составлять до 1 миллиона 200 тысяч рублей, а разработка организационных мер в сторонней организации будет стоить порядка 1 миллиона рублей. И такие организационные меры уже хорошо работают. Когда в компании сотрудник подписывает документы и принимает ответственность, включается некий защитный механизм и человек начинает думать о правильности своих действий.

— У западных коллег есть хорошая база, в которой публикуется информация о различных утечках. Это помогает предупреждать другие компании и быть более бдительными. У российских компаний, к большому сожалению, информация о взломах и утечках часто остается в рамках определенного круга лиц. И если бы мы могли делиться утечками и их причинами хотя бы в рамках ИБ-сообщества, это бы значительно улучшило качество организации защиты. Было бы намного проще подобрать технические инструменты и обосновать затраты на них.

Мы часто посещаем конференции, где вендоры показывают красивые графики и демонстрируют преимущества отдельных продуктов. Но редко кто рассказывает, как они применяются на деле в формате живого кейса. Например, сотрудник получил фишинговое письмо, или был открыт временный доступ к информационным ресурсам, о котором забыли — через эти каналы злоумышленники смогли проникнуть в инфраструктуру и наращивать свою активность. И при наличии комплекса программных решений (к примеру, антивирус, DLP и DCAP) на различных этапах можно выявить эту уязвимость.

— Антивирус является самой первичной мерой, без него сегодня никак не обойтись. Что касается DCAP и DLP систем, то они отлично дополняют друг друга. DLP-система не поможет вам ответить на вопросы: что хранится в инфраструктуре, в каком объеме и кто имеет доступ к этой информации. Чтобы понять, какие данные требуют защиты, необходимо классифицировать имеющуюся информацию и выявить места ее хранения.

Конечно, если компания новая, в которой предусмотрен большой поток персональных данных клиентов, то будет намного проще. А если речь идет о крупных компаниях, существующих на рынке длительное время, нужно обязательно внедрять обе системы единовременно или друг за другом с разрывом не более года.

— На самом деле публикация таких исследований — это уже хорошо. Конечно, подробная информация о том, что есть затраты на репутационные издержки и восстановление ИТ-инфраструктуры после взлома, была бы очень полезной для руководителей и собственников бизнеса в том числе. Специалистам информационной безопасности было бы проще выстроить стратегию по кризисному случаю. Сейчас такой информации очень не хватает, и приходится изучать инциденты зарубежных коллег. С другой стороны, компании не готовы делиться неудачами из-за возможных репутационных рисков. К примеру, простой после взлома для средней компании размером до 1000 сотрудников может длиться от 10 до 30 дней, по причине того, что все резервные копии, которые хранились на серверах были зашифрованы. И вряд ли в компании, где на несколько дней могут отключиться клиентские сервисы, увеличится поток покупателей.

— Да, это действительно так. Утечка служебных или персональных данных дает возможность злоумышленникам использовать их в фишинговых и социальных атаках на сотрудников компании, с целью добиться от них выполнения опасных действий, включая предоставление доступа к информационной инфраструктуре компании. Как правило это происходит через рабочее место сотрудника, данные которого оказались не защищены должным образом.

— В России есть много компаний, где штат сотрудников составляет 10−15 человек. Для таких компаний организация процедуры является сложно организуемой и дорогой. Потому что речь идет не только о хранении данных в информационных системах, но и о физической безопасности: нужно организовывать отдельное помещение, где будет храниться информация на бумажных носителях. Этот процесс требует определенных ресурсов, и не каждый руководитель готов в них вложиться. Есть и техническая сторона защиты: нужно организовать рабочее место с установленным лицензионным ПО. И опять же в маленьких компаниях с этим беда. Ну и покупать специализированный софт для защиты персональных данных в такой компании точно никто не будет.

В компаниях с численностью штата более 100 человек есть умелые инженеры, которые пишут скрипты, с помощью который можно провести разовый аудит. Но это очень трудоемкий рутинный процесс, который может занимать длительное время. Нужно отсканировать сеть, файловые хранилища, оттуда выгрузить информацию в таблицу и вручную обрабатывать. На это может уйти несколько дней, а в крупных компаниях — даже несколько месяцев, поэтому лучше его автоматизировать. И с этой задачей отлично справляются решения класса DCAP.

— DCAP (Data-Centric Audit and Protection) предназначен для автоматизированного аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критичных данных. Решение позволяет защитить конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах. Среди важных функциональных возможностей системы можно выделить: классификацию конфиденциальных данных, аудит прав доступа к уязвимой информации, помощь в расследовании инцидентов, а также контроль и блокировка действий пользователей в случае их аномальной активности.