Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности
Как организовать защиту персональных данных в условиях повышенного уровня киберугроз?
14 марта, 2023
Последний год для российского рынка стал рекордным по масштабу и количеству утечек персональных данных — эксперты заявляют об утечках размером более 10 млн строк. Кроме того, внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» и продвигаемые Минцифры инициативы введения оборотных штрафов за их утечку также являются важными предпосылками для внедрения усиленных практик защиты информационных систем.
Искандар Косимов, эксперт в сфере управления информационной безопасностью, поделился мнением с аудиторией блога MAKVES о том, что необходимо сделать, чтобы глобально изменить ситуацию с масштабами утечек и выбрать оптимальный комплекс мер по защите персональных данных для компании любого размера.
Искандар Косимов, эксперт в сфере управления информационной безопасностью, поделился мнением с аудиторией блога MAKVES о том, что необходимо сделать, чтобы глобально изменить ситуацию с масштабами утечек и выбрать оптимальный комплекс мер по защите персональных данных для компании любого размера.
— Искандар, с чем на ваш взгляд связан стремительный рост масштаба утечек персональных данных?
— Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит извне, с целью причинения репутационного вреда российским компаниям. И основная причина успешных сливов на текущий момент — это несовершенство технической базы.
При этом, от атак страдают не только крупные компании, такие как Сбер или Яндекс, но даже малый и средний бизнес, который долгое время откладывал внедрение практик по защите персональных данных. А откладывалось все по причине того, что раньше было достаточно спокойно — мы работали на другом оборудовании и не было настолько большого потока кибератак на российские компании.
Сегодня мы живем в абсолютно новой реальности. Еще год назад у наших специалистов по информационной безопасности был доступ к международным базам, где проводился мониторинг атак и активностей злоумышленников. И поскольку сейчас нас отключили от таких баз, отечественные компании превратились в киберполигон для хакеров со всего мира. При этом, как показывает практика, хакеры, которые сегодня осуществляют атаки, зачастую не являются профессионалами и допускают множество ошибок технического плана.
Сегодня мы живем в абсолютно новой реальности. Еще год назад у наших специалистов по информационной безопасности был доступ к международным базам, где проводился мониторинг атак и активностей злоумышленников. И поскольку сейчас нас отключили от таких баз, отечественные компании превратились в киберполигон для хакеров со всего мира. При этом, как показывает практика, хакеры, которые сегодня осуществляют атаки, зачастую не являются профессионалами и допускают множество ошибок технического плана.
— Как вы считаете, насколько ужесточение законодательных мер за утечку персональных данных будут эффективны, в особенности для среднего бизнеса?
— Защита персональных данных является обязанностью организации, в которой они обрабатываются. Данное положение закреплено статьёй 19 ФЗ-152 «О персональных данных». И если раньше (до 1 сентября 2022 года), требования со стороны законодательства были достаточно мягкими, сегодня государство идет по пути планомерного ужесточения ответственности.
Рассмотрим живой кейс: есть небольшая компания численностью сотрудников 150−200 человек, в которой до последнего откладывалась разработка организационных мер для обеспечения защиты персональных данных. Обычно, когда сотрудники из правового департамента оценивают риски и штрафные санкции, в итоге все же принимают решение нанять внешнюю компанию для организации данного процесса. К примеру, разовый штраф для такой компании может составлять до 1 миллиона 200 тысяч рублей, а разработка организационных мер в сторонней организации будет стоить порядка 1 миллиона рублей.
И такие организационные меры уже хорошо работают. Когда в компании сотрудник подписывает документы и принимает ответственность, включается некий защитный механизм и человек начинает думать о правильности своих действий.
Рассмотрим живой кейс: есть небольшая компания численностью сотрудников 150−200 человек, в которой до последнего откладывалась разработка организационных мер для обеспечения защиты персональных данных. Обычно, когда сотрудники из правового департамента оценивают риски и штрафные санкции, в итоге все же принимают решение нанять внешнюю компанию для организации данного процесса. К примеру, разовый штраф для такой компании может составлять до 1 миллиона 200 тысяч рублей, а разработка организационных мер в сторонней организации будет стоить порядка 1 миллиона рублей.
И такие организационные меры уже хорошо работают. Когда в компании сотрудник подписывает документы и принимает ответственность, включается некий защитный механизм и человек начинает думать о правильности своих действий.
— Иногда компании открыто рассказывают об утечках персональных данных, их причинах и последствиях. Насколько практика публичных кейсов является полезной для ИБ-сообщества и осознания проблемы защиты данных в целом?
— У западных коллег есть хорошая база, в которой публикуется информация о различных утечках. Это помогает предупреждать другие компании и быть более бдительными. У российских компаний, к большому сожалению, информация о взломах и утечках часто остается в рамках определенного круга лиц.
И если бы мы могли делиться утечками и их причинами хотя бы в рамках ИБ-сообщества, это бы значительно улучшило качество организации защиты. Было бы намного проще подобрать технические инструменты и обосновать затраты на них.
Мы часто посещаем конференции, где вендоры показывают красивые графики и демонстрируют преимущества отдельных продуктов. Но редко кто рассказывает, как они применяются на деле в формате живого кейса. Например, сотрудник получил фишинговое письмо, или был открыт временный доступ к информационным ресурсам, о котором забыли — через эти каналы злоумышленники смогли проникнуть в инфраструктуру и наращивать свою активность. И при наличии комплекса программных решений (к примеру, антивирус, DLP и DCAP) на различных этапах можно выявить эту уязвимость.
И если бы мы могли делиться утечками и их причинами хотя бы в рамках ИБ-сообщества, это бы значительно улучшило качество организации защиты. Было бы намного проще подобрать технические инструменты и обосновать затраты на них.
Мы часто посещаем конференции, где вендоры показывают красивые графики и демонстрируют преимущества отдельных продуктов. Но редко кто рассказывает, как они применяются на деле в формате живого кейса. Например, сотрудник получил фишинговое письмо, или был открыт временный доступ к информационным ресурсам, о котором забыли — через эти каналы злоумышленники смогли проникнуть в инфраструктуру и наращивать свою активность. И при наличии комплекса программных решений (к примеру, антивирус, DLP и DCAP) на различных этапах можно выявить эту уязвимость.
— Что из перечисленных решений необходимо использовать для защиты персональных данных в первую очередь? — Если в компании стоит DLP, нужно ли внедрять DCAP?
— Антивирус является самой первичной мерой, без него сегодня никак не обойтись. Что касается DCAP и DLP систем, то они отлично дополняют друг друга. DLP-система не поможет вам ответить на вопросы: что хранится в инфраструктуре, в каком объеме и кто имеет доступ к этой информации. Чтобы понять, какие данные требуют защиты, необходимо классифицировать имеющуюся информацию и выявить места ее хранения.
Конечно, если компания новая, в которой предусмотрен большой поток персональных данных клиентов, то будет намного проще. А если речь идет о крупных компаниях, существующих на рынке длительное время, нужно обязательно внедрять обе системы единовременно или друг за другом с разрывом не более года.
— Сегодня публикуется множество исследований с данными о размерах ущерба от утечек персональных данных. Суммы, конечно, впечатляющие. Но хочется понимать, из чего они складываются? Есть ощущение, что такие исследования носят исключительно маркетинговый характер.
— На самом деле публикация таких исследований — это уже хорошо. Конечно, подробная информация о том, что есть затраты на репутационные издержки и восстановление ИТ-инфраструктуры после взлома, была бы очень полезной для руководителей и собственников бизнеса в том числе.
Специалистам информационной безопасности было бы проще выстроить стратегию по кризисному случаю. Сейчас такой информации очень не хватает, и приходится изучать инциденты зарубежных коллег.
С другой стороны, компании не готовы делиться неудачами из-за возможных репутационных рисков. К примеру, простой после взлома для средней компании размером до 1000 сотрудников может длиться от 10 до 30 дней, по причине того, что все резервные копии, которые хранились на серверах были зашифрованы. И вряд ли в компании, где на несколько дней могут отключиться клиентские сервисы, увеличится поток покупателей.
Специалистам информационной безопасности было бы проще выстроить стратегию по кризисному случаю. Сейчас такой информации очень не хватает, и приходится изучать инциденты зарубежных коллег.
С другой стороны, компании не готовы делиться неудачами из-за возможных репутационных рисков. К примеру, простой после взлома для средней компании размером до 1000 сотрудников может длиться от 10 до 30 дней, по причине того, что все резервные копии, которые хранились на серверах были зашифрованы. И вряд ли в компании, где на несколько дней могут отключиться клиентские сервисы, увеличится поток покупателей.
— Значит можно считать, что размер ущерба от утечек персональных данных включает не только штрафы и репутационные издержки, но и затраты на восстановление бизнеса?
— Да, это действительно так. Утечка служебных или персональных данных дает возможность злоумышленникам использовать их в фишинговых и социальных атаках на сотрудников компании, с целью добиться от них выполнения опасных действий, включая предоставление доступа к информационной инфраструктуре компании. Как правило это происходит через рабочее место сотрудника, данные которого оказались не защищены должным образом.
— Как понять, насколько остро в конкретной организации стоит проблема с хранением и обработкой персональных данных?
— В России есть много компаний, где штат сотрудников составляет 10−15 человек. Для таких компаний организация процедуры является сложно организуемой и дорогой.
Потому что речь идет не только о хранении данных в информационных системах, но и о физической безопасности: нужно организовывать отдельное помещение, где будет храниться информация на бумажных носителях. Этот процесс требует определенных ресурсов, и не каждый руководитель готов в них вложиться.
Есть и техническая сторона защиты: нужно организовать рабочее место с установленным лицензионным ПО. И опять же в маленьких компаниях с этим беда. Ну и покупать специализированный софт для защиты персональных данных в такой компании точно никто не будет.
В компаниях с численностью штата более 100 человек есть умелые инженеры, которые пишут скрипты, с помощью который можно провести разовый аудит. Но это очень трудоемкий рутинный процесс, который может занимать длительное время. Нужно отсканировать сеть, файловые хранилища, оттуда выгрузить информацию в таблицу и вручную обрабатывать. На это может уйти несколько дней, а в крупных компаниях — даже несколько месяцев, поэтому лучше его автоматизировать. И с этой задачей отлично справляются решения класса DCAP.
Потому что речь идет не только о хранении данных в информационных системах, но и о физической безопасности: нужно организовывать отдельное помещение, где будет храниться информация на бумажных носителях. Этот процесс требует определенных ресурсов, и не каждый руководитель готов в них вложиться.
Есть и техническая сторона защиты: нужно организовать рабочее место с установленным лицензионным ПО. И опять же в маленьких компаниях с этим беда. Ну и покупать специализированный софт для защиты персональных данных в такой компании точно никто не будет.
В компаниях с численностью штата более 100 человек есть умелые инженеры, которые пишут скрипты, с помощью который можно провести разовый аудит. Но это очень трудоемкий рутинный процесс, который может занимать длительное время. Нужно отсканировать сеть, файловые хранилища, оттуда выгрузить информацию в таблицу и вручную обрабатывать. На это может уйти несколько дней, а в крупных компаниях — даже несколько месяцев, поэтому лучше его автоматизировать. И с этой задачей отлично справляются решения класса DCAP.
— Какие задачи помогает решить DCAP в рамках технической защиты персональных данных?
— DCAP (Data-Centric Audit and Protection) предназначен для автоматизированного аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критичных данных.
Решение позволяет защитить конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах. Среди важных функциональных возможностей системы можно выделить:
Решение позволяет защитить конфиденциальные документы от опасных действий сотрудников и наводит порядок в файловых хранилищах. Среди важных функциональных возможностей системы можно выделить:
- классификацию конфиденциальных данных,
- аудит прав доступа к уязвимой информации,
- помощь в расследовании инцидентов,
- а также контроль и блокировка действий пользователей в случае их аномальной активности.
Закажите пилотный проект Makves и получите подробный отчет об угрозах, связанных с хранением персональных данных в ИТ-инфраструктуре вашей компании.
Подпишитесь на блог
и присоединяйтесь к нам в соцсетях
Нажимая на кнопку, вы даете согласие на обработку персональных данных
в соответствии с Политикой конфиденциальности
в соответствии с Политикой конфиденциальности
Другие статьи из нашего блога:
Другие статьи из нашего блога:
Продукты
Партнерам
Деятельность осуществляется
при грантовой поддержке Фонда «Сколково»
при грантовой поддержке Фонда «Сколково»
Makves, 2023