В зоне повышенного риска: как ИТ-компании должны защищать свой периметр
Защита от утечек данных становится обязательным элементом системы информационной безопасности в любой компании, работающей с персональными данными и другой информацией ограниченного доступа. Такие утечки наносят серьезный ущерб пользователям и создают репутационные и финансовые риски для организаций. Год назад InfoWatch сообщила о выходе России в мировые лидеры по количеству умышленных утечек информации. Причем их доля приблизилась к 80%, опережая мировые показатели. Общее число преднамеренных утечек за год выросло в России на 60%. И рост количества инцидентов компрометации данных наблюдается во всем мире. Поэтому компаниям очень важно внедрять средства контроля рабочих устройств, чтобы защитить своих пользователей и команду.
Человеческий фактор
Согласно «СёрчИнформ», чаще всего инсайдеры сливают информацию через почту — 45% случаев. Популярность набирают мессенджеры: за последние 4 года количество утечек данных через них увеличилось на 18%. Также утечка информации может произойти из-за халатности сотрудников, которые отвечают за данные. Одна из частых причин компрометации баз данных в том, что они хранятся в компании без должной защиты.
«К основным типам можно отнести преднамеренные и непреднамеренные утечки. Непреднамеренные утечки данных часто связаны с ошибками персонала. Типичные каналы — электронная почта, мессенджеры, веб-порталы (файлообменники, системы управления кодом, социальные сети и пр.), но в целом это зависит от подхода организации к коммуникациям и их типа», — считает Кирилл Солодовников, независимый эксперт в области информационной безопасности (экс-гендиректор Infosecurity).
В России более 79% утечек — результат внутренних нарушений, говорится в отчете InfoWatch за 2020 г., причем более ¾ признаны умышленными. По данным отчета InfoWatch за 2021 г., за последние четыре года выросла с 85,9% до 95,5% доля утечек с применением средств автоматизации. В мире причина 82% утечек — умышленные действия.
«К причинам роста утечек можно отнести недостаточную информированность персонала, отсутствие удобных и одновременно безопасных инструментов совместной работы (либо их неправильная настройка), нестабильная экономическая и геополитическая ситуация», — отмечает Кирилл Солодовников. В «Лаборатории Касперского» считают эффективной мерой снижения числа утечек обучение сотрудников основам ИБ.
Большинство инцидентов связано не с технологиями, а человеческим фактором. Сотрудники могут сливать данные по небрежности или намеренно. По данным исследования «СёрчИнформ» 2020 г., сотрудники 88% российских компаний оказались замешаны во внутренних инцидентах безопасности. 60% инцидентов были неумышленными. Распространенный мотив умышленных — дополнительный заработок. В большинстве ситуаций за инцидент несут вину рядовые работники.
По словам Алексея Кубарева, эксперта Центра продуктов Dozor «РТК-Солар», в последние годы наблюдался неуклонный рост объема утечек информации из российских компаний. Это происходило по двум основным причинам. Во-первых, в России отсутствует законодательная база, обязывающая российские компании внедрять системы защиты от утечек, в то время как в ряде западных стран сложилась жесткая практика наказания за утечки данных. Во-вторых, предусмотренные законодательством штрафы для компаний за утечку персональных данных до последнего времени были настолько малы, что организациям дешевле заплатить штраф, чем озаботиться защитой.
Недавно стало известно, что Минцифры планирует ввести оборотные штрафы за утечку данных. Это должно заставить компании серьезнее отнестись к защите своих информационных активов.
Каковы риски?
«Можно выделить две группы рисков — финансовые и репутационные. С одной стороны, компания может нести прямые потери, вызванные, например, тем, что ее ноу-хау и клиентская база попали в руки конкурентов. С другой стороны, возможны косвенные потери, вызванные снижением лояльности клиентов из-за утечки персональных данных, — говорит Андрей Арсентьев, руководитель направления аналитики и спецпроектов InfoWatch. — Их утечка все чаще рассматривается как чрезвычайное событие. Если сведения о человеке попали в руки злоумышленников, они могут быть использованы не только для «холодного обзвона», но и в мошеннических целях, таких как фишинговые атаки с намерением получить финансовую информацию и другие данные, попытки выдать себя за другого человека и оформить различные выплаты, кредиты».
«Риски для компаний в результате утечек разнообразны, в зависимости от характера деятельности организации и типа скомпрометированных данных. Это репутационный ущерб, особенно в сферах, активно работающих с физлицами, таких как ритейл, медицина, финансы, производство, государственные организации, и, как следствие, — отток клиентов, — считает Алексей Кубарев. — Это и потеря конкурентного преимущества на рынке в результате утечки коммерческой тайны — в высокотехнологичных сферах, науке, фармацевтике и проч. Наконец, прямой финансовый ущерб — штрафы за утечки персональных данных граждан, которые в скором времени могут стать оборотными. Сами граждане, чьи персональные данные утекли, в дальнейшем могут стать жертвами мошенников. При успешном применении социальной инженерии — вплоть до вывода денег со счетов».
Компрометации подвержены базы персональных данных граждан, медицинская информация, коммерческая тайна — финансовая, тендерная документация компаний, секреты уникальных разработок, маркетинговая стратегия, информация об ИТ-инфраструктуре компании и др., полагает Алексей Кубарев.
«К рискам утечки данным обычно относят финансовые, репутационные потери, а также потерю конкурентных преимуществ, — сообщает Кирилл Солодовников. — Основные типы данных, подверженные утечкам, это клиентские БД, почтовая переписка, конфиденциальные документы о продуктах и направлениях развития бизнеса».
По данным исследований «СёрчИнформ», в 2020 году с утечками информации столкнулись 58% частных российских копаний, в 2021 — 59%. При этом 44% не знают, насколько изменилось количество внутренних утечек, а 35% не отслеживает внешние инциденты. По этой причине уменьшения количества утечек ждать не стоит.
«Если утечка касается технологического процесса, злоумышленники могут использовать эти данные, чтобы парализовать процесс производства, — констатирует Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ». — Также возможна потеря технологического преимущества. Это может произойти в случае утечек чертежей, рецептур, технологических карт, маркетинговых исследований и подобных документов. Наконец — репутационный риск. Последние законодательные инициативы говорят о том, что появляется новый риск, который раньше компании могли игнорировать — штрафы регуляторов и иски от клиентов. Если будет принят закон об оборотных штрафах, то допускать утечки организациям станет очень дорого».
Каналы утечек
По данным экспертно-аналитического центра InfoWatch, в 2021 г. более 58% утечек в России пришлись на сетевой канал (взломы сетевых ресурсов, утечки из облачных сервисов, случайно оставленные на сетевых хранилищах данные и т.д.). Более 20% утечек случились через мессенджеры — в последние годы это излюбленный канал для недобросовестных сотрудников. Около 15% утечек прошлого года связаны с компрометацией бумажных документов. Доля же электронной почты падает, считают аналитики InfoWatch. Среди наименее распространенных каналов — съемные носители, мобильные устройства и оборудование (серверы, ноутбуки, ПК).
Алексей Кубарев относит к числу наиболее частых каналов утечки персональных данных и критичной информации уязвимости в ИТ-инфраструктуре, мессенджеры, облачные хранилища, личную электронную почту, съемные носители.
«На наш взгляд, в 2021 году существенно выросла доля латентности утечек, то есть многие случаи компрометации данных «ушли в тень», не были зафиксированы. Одна из причин этого — распространение удаленной работы в пандемию, что значительно усложнило контроль, — поясняет Андрей Арсентьев. — Вместе с тем, можно говорить об усложнении атак: все чаще в краже информации участвует не одна сторона (внешний злоумышленник или сотрудник), а происходит сговор сотрудников с людьми вне информационного контура организации».
За последнее время по числу инцидентов утечек данных особенно себя проявили финансовые (включая финтех) организации и ИТ-компании, говорит Кирилл Солодовников.
ИТ-отрасль — в лидерах?
По данным InfoWatch, более 34% утечек в России за 2021 год пришлись на хайтек-индустрию (ИТ-компании и сервисы, провайдеры услуг связи и т.д.), на втором месте госорганы и силовые структуры — в сумме более 14% утечек. Около 9% всех зарегистрированных утечек произошли из финансовых и страховых компаний.
В глобальном распределении по отраслям на первом месте также находится сектор высоких технологий с долей около 20%. Вот лишь некоторые из инцидентов последних лет в нашей стране и в мире.
В марте 2022 г. служба информационной безопасности Яндекс.Еды выявила утечку информации. В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Позднее базу дополнили — и на том же ресурсе оказались солидные досье на пользователей Яндекс.Еды, включая данные базы ГИБДД и информацию о профилях из других сервисов. ГИБДД, ВТБ, Авито и ещё ряд компаний из перечня опровергли информацию о возможной утечке и заявили, что все указанные данные находились в публичном доступе и были собраны путём обычного архивного парсинга.
Как сообщает РБК, в июне 2022 г. в сети оказалась база сотрудников «Ростелекома»: имена, должности, адреса корпоративной почты и номера телефонов сотрудников. В «Ростелекоме» продолжают расследовать утечку и считают причастным к инциденту одного из бывших сотрудников.
В 2020 г. крупная утечка произошла в социальном сервисе Whisper. Злоумышленники получили доступ к 100 млн. записей.
В июле 2019 г. в открытом доступе на одном из сайтов оказались данные 450 тыс. пользователей российского интернет-магазина Ozon. Ответственность за инцидент в компании возложили на пользователей: их пароли могли быть похищены при помощи вирусных атак.
В октябре 2019 г. оператор «Вымпелком» признал факт утечки БД своих клиентов с информацией о миллионах абонентов проводного интернета. Как утверждают злоумышленники, база включает в себя около 8 млн записей: номера договоров, ФИО, адреса, контактные телефоны.
«Риску утечки конфиденциальной или высокочувствительной информации подвержены абсолютно все отрасли, но не в равной степени, — подчеркивает Александр Дворянский, директор по специальным проектам Angara Security. — В первую очередь, это ритейл, интернет-магазины, автосалоны, службы доставки и любые другие организации, обрабатывающие персональные данные своих клиентов. Далее идет банковская сфера, где основной риск — утечка клиентских данных, номеров карт и другой персональной информации. Однако в банковском секторе существуют строгие требования регуляторов к обеспечению информационной безопасности, за неисполнения которых предусмотрены существенные штрафы, вплоть до приостановки бизнеса. Поэтому большая часть игроков банковского рынка уделяют серьезное внимание соответствию стандартам ИБ, в том числе и по использованию DLP, и выделяет на это существенные бюджеты».
Как бороться с утечками?
Обычно основная цель киберпреступников — финансы, счета, коммерческий шпионаж или атака с помощью вирусов-шифровальщиков. Базы персональных данных часто используют для мошенничества, получения недостающей информации и, в конечном счете, — финансовой выгоды. Некоторые стремятся заработать на продаже данных или нанести ущерб бывшему работодателю.
Для борьбы с утечками все чаще используют сочетание организационных и технических мер. Крайне важно проводить работу с персоналом, следить за эффективностью аппаратных, программных и криптографических средств и систем предотвращения утечек (DLP).
Чтобы избежать утечки данных, нужно соблюдать регламенты (в частности — по обработке и хранению персональных данных), применять средства защиты (DLP-системы, программное обеспечение для защиты от несанкционированного доступа, сканеры безопасности, антиспам и др.). Необходимо защитить каналы передачи данных (например, с помощью криптошлюзов), хранить информацию в изолированной инфраструктуре, а не на цифровых носителях, которые компания не контролирует, проводить аудит безопасности ИТ-инфраструктуры и тестирование на проникновение. Важная часть мер — антивирусная защита.
«Нужно обеспечить защиту по трем направлениям: обучать сотрудников ИБ-грамотности, чтобы избежать случайных утечек из-за фишинга и халатности, контролировать работников с доступом к конфиденциальным данным с помощью специализированных программ (DLP-систем) на случай намеренных утечек и своевременно проверять состояние инфраструктуры на предмет взломов, чтобы уберечься от хакеров», — считает Алексей Дрозд.
«Для защиты от утечек с технической точки зрения, конечно, необходимо применение специальных решений, — говорит Алексей Кубарев. — Но мало просто установить DLP-систему: нужно ее правильно настроить и эксплуатировать. В организации необходимо реализовать режим коммерческой тайны. Нужно категоризировать информацию и определить, что относится к коммерческой тайне, проработать механизмы доступа. К конфиденциальным данным может быть допущен ограниченный круг лиц, и DLP-система будет контролировать перемещение этих данных. Она должна не только осуществлять мониторинг, но и блокировать попытки передачи таких данных вовне по каналам коммуникаций. И, конечно, нужно внедрять в компании процесс Security Awareness, т.е. обучать пользователей правилам ИБ».
«Для защиты от утечек необходим комплекс мер, как организационных, технических, так и социальных, включая разъяснительную работу среди персонала, — уверена Анна Андреева, генеральный директор «ИС Лаб». — Панацеи нет. Безопасность в целом и защита от утечек, в частности, — это, прежде всего, постоянно функционирующие процессы. Как показывает опыт крупных зарубежных компаний, эти процессы должны быть неразрывно связанны с необходимыми техническими средствами контроля и предотвращения утечек. Требуется также четкое исполнение рекомендаций ответственных за безопасность лиц».
«Технические средства для защиты от утечек конфиденциальной информации, конечно, решают много проблем, однако по статистике более 50% всех утечек информации в компаниях происходят по вине самих пользователей, причем не всегда злонамеренно, — говорит Александр Дворянский. — Недостаточно просто внедрить DLP-решение. Необходимо системно работать с пользователями, повышая их уровень осведомленности, знание базовых принципов информационной безопасности. Сейчас большинство компаний используют Security Awareness — повышение уровня осведомленности в ИБ для рядовых сотрудников. Это комплекс мероприятий, начиная с оценки пользовательской осведомленности, и дальнейшая планомерная работа по улучшению так называемой информационной гигиены при работе с важной для компании информацией. Мероприятия включают имитацию фишинговых рассылок, различных методов социальной инженерии».
Основная задача — разработать для сотрудников комплексные программы обучения, излагать материал простым, доступным языком и облечь его в игровую форму: геймификация повышает усваивание навыков.
При внедрении DLP-системы важна так называемая ее «легализация», отмечает Александр Дворянский. Перед запуском системы в промышленную эксплуатацию должен быть разработан, внедрен и донесен до пользователей комплект документации, регламентирующей деятельность системы, ее границы и ответственность пользователей за действия, которые могут повлечь утечку или компрометацию конфиденциальной информации.
Практика показывает: если сотрудник знает, что компания использует подобные программы, это дисциплинирует его, а компания в целом получает более высокий уровень информационной безопасности.
За рубежом существует практика, когда компании предоставляют своим клиентам какую-либо компенсацию за утечку их персональных данных, продолжает Алексей Кубарев. Например, скидку на услуги. Отечественным компаниям не помешало бы перенять эту практику, так как она отчасти компенсирует репутационный ущерб в результате утечки.
Крупные зарубежные компании также используют DLP-решения, но их внедрение занимает больше времени, — рассказывает Александр Дворянский. — Сначала проводится опрос всех сотрудников, далее руководство рассказывает о целях и задачах внедрения. Внимание фокусируется не на контроле за сотрудником, а на недопущение утечки информации, связанной с человеческим фактором. То есть основной акцент — на дополнительном механизме, позволяющем «страховать» пользователя от случайных ошибок. Но с точки зрения механизма функционирования системы и решаемых с ее помощью задач особых отличий нет».
Какие бывают DLP-системы?
Под DLP-системами обычно понимают программные продукты, которые защищают компании от утечек конфиденциальных данных. Такие системы анализируют всю исходящую, а иногда и входящую информацию. Контроль должен охватывать не только интернет-трафик, но и ряд других информационных потоков: документы на внешних устройствах вне защищенного контура безопасности, документы, которые распечатываются или отправляются на мобильные устройства и т.д.
DLP-системы должны иметь встроенные механизмы для определения уровня конфиденциальности документа. Два наиболее распространенных метода — анализ специальных маркеров или содержимого документа. Последний вариант более популярен, поскольку он устойчив к изменениям, вносимым в документ, и позволяет легко расширить количество конфиденциальных документов, с которыми способна работать система.
Существуют системы с активным и пассивным контролем действий пользователя. Активные системы могут блокировать передаваемую информацию. Они гораздо лучше справляются со случайными утечками данных, но могут случайно повлиять на бизнес-процессы. Поэтому из-за рисков ложных срабатываний или сбоев многие организации предпочитают использовать DLP в режиме мониторинга.
Шлюзовые DLP-системы работают на промежуточных серверах, в то время как хост-системы используют программных агентов на рабочих станциях сотрудников. Распространенный вариант — использование общих компонентов шлюза и хоста.
В настоящее время основными игроками на мировом рынке DLP являются компании, широко известные другими продуктами для обеспечения информационной безопасности. Эксперты называют основной тенденцией переход к единым интегрированным программным комплексам. Интегрированные системы избавляют от проблем совместимости различных компонентов. Такие системы также позволяют изменять настройки на большом количестве клиентских рабочих станций и упрощают обмен данными между компонентами.
Еще одна важная тенденция — постепенный переход к модульной архитектуре продуктов. Это означает, что заказчик может самостоятельно выбирать необходимые компоненты. Отраслевая специфика также будет играть значительную роль в разработке DLP-систем. Например, можно ожидать выпуска версий, разработанных специально для банковской сферы, государственных учреждений и т.д.
Как выбрать DLP-систему?
В каких же случаях целесообразно применять те или иные решения? «В первую очередь, есть прямая зависимость от масштаба бизнеса. Для малого бизнеса лучше подойдут решения с базовыми функциями, закрывающими основные потребности, — говорит Алексей Кубарев. — У крупного бизнеса — другие требования к производительности и функциональности DLP. Они определяются большими объемами циркулирующей информации. Так или иначе, сначала нужно определиться, что защищать и от кого, какой возможен ущерб. Это можно определить в рамках аудита ИБ и ИТ-инфраструктуры, по результатам — сформировать техническое задание к DLP-системе. Система, которая лучше подойдет под требования, и будет оптимальной. И лучше выбирать DLP-систему, независимую от зарубежного ПО».
Как внедрить и правильно использовать DLP?
«Развитию рынка систем предотвращения утечек и анализа коммуникаций способствует конкурентная борьба между производителями, а внедрение DLP-систем стало типовым проектом для интеграторов сферы ИБ — сообщает Александр Дворянский. — Еще недавно мало кто из интеграторов (да и заказчиков) задумывался о том, что внедрение DLP — лишь начало пути. Любая DLP-система нуждается в сопровождении — технической поддержке и консалтинге. Консалтинг — это не только юридическая защита функционирования системы DLP, т.е. наличие пакета документов, делающих легальным ее использование в компании. Это, в первую очередь, правильная настройка системы, дальнейшее сопровождение ее работы, построение процессов мониторинга и реагирования на события».
DLP-система — обязательное средство защиты от утечек, но нельзя полагаться на него целиком и полностью, подчеркивает Андрей Арсентьев. Защита от утечек — комплексный и регулярный процесс. Он должен включать различные технические и организационные мероприятия: внедрение SIEM-систем, средств защиты от вторжений, решений управления доступом, проведение тренингов по ИБ среди сотрудников, повышение их цифровой грамотности и т.д. Кроме того, большое значение имеют правильные настройки DLP и наличие в системе мощных функций поведенческой аналитики.
«Наиболее зрелые российские системы защиты от утечек прошли огромный путь от архива почтовых коммуникаций как основного корпоративного канала передачи информации до многомодульных и многоцелевых систем, — сообщает Алексей Кубарев. — Эти системы контролируют все цифровые каналы коммуникаций, решают не только задачи обнаружения, но и предотвращения утечек, анализа поведения сотрудников и выявления аномалий в нем, выявления признаков корпоративного мошенничества. Теперь ими пользуются не только службы ИБ, но и специалисты по экономической, собственной безопасности компаний».
«Системы российского производства дополнительно предлагают заказчикам сбор всего потока информации с каналов передачи данных, а накопленный архив можно использовать как источник для формирования доказательной базы при расследованиях любого уровня, — рассказывает Александр Дворянский. — Для анализа событий необходимы специалисты, в задачи которых входит правильная настройка правил перехвата, выявление событий, фиксация инцидентов и передача сведений заинтересованным лицам (руководству, службе безопасности, руководителям подразделений) для принятия решений. Стоит задуматься: есть ли ресурсы для обеспечения таких процессов? Или же приобретенная система DLP будет просто простаивать в ожидании, когда на работу с ней появится время или придет нужный человек. Сопровождение системы DLP (как и любой другой системы безопасности) целесообразно передавать компаниям, в которых есть необходимый штат аналитиков».
Для крупного бизнеса DLP-системы уже давно — обязательный элемент безопасности. С принятием Указа Президента РФ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», а также реализацией инициатив Минцифры по ужесточению наказания компаний за утечки данных DLP-системы станут востребованными и у среднего бизнеса, уверен Алексей Кубарев.
«В последнее время средства защиты стали контролировать больше каналов утечек, появились функции анализа действий сотрудников, вплоть до создания поведенческой модели работника, — поясняет Кирилл Солодовников. — Чтобы выбрать правильное решение, необходимо четко понимать, какие задачи ставятся, и подобрать систему, с одной стороны, выполняющее большую часть этих задач (или их все), с другой — определиться с классом решения и его стоимостью. Лучше проводить тестирование решений перед их покупкой».
Средства защиты от утечек данных постепенно эволюционируют, оснащаются функциями искусственного интеллекта и автоматизации. DLP-системы превращаются в комплексные платформы автоматического управления цифровыми рисками.
«Появляется больше проактивных функций защиты, например, в DLP-системе все чаще востребованы контентные блокировки по различным каналам передачи информации. Также компании все чаще хотят привлекать сотрудников к участию в процессе защиты данных от утечек. Поэтому в программах появляются соответствующие возможности, — поясняет Алексей Дрозд. — Это, например, уведомления, уточняющие у пользователя, уверен ли он в необходимости отправки письма внешнему адресату. Метки позволяют автору документа самостоятельно отнести файл к конфиденциальным, и система, считывая эти метки, будет блокировать неправомерные действия с документом».
Эволюция касается не только самих программ, но и подхода к их применению. Для надежной защиты становится все критичнее использовать не одно решение, а их связку. Например, из DCAP и DLP-системы, DLP и SIEM.
Полный текст статьи читайте на CNews