Персональные данные, к которым злоумышленники получают доступ в результате различных инцидентов, могут использоваться для шантажа, кражи личности и различных форм финансового мошенничества. Как бизнесу противостоять утечкам информации, обсуждали на семинаре «Перспективы развития и практические кейсы защиты персональных данных в Республике Беларусь».
ЧЕМ ОПАСНЫ УТЕЧКИ?
Как отметил руководитель направления информационной безопасности Wildberries BY Антон Тростянко, «в мире уже случилось достаточно большое количество утечек, поэтому персональные данные большинства людей уже есть где-то в даркнете. Но принимать меры по защите такой информации все равно нужно. Во-первых, данные со временем актуализируются, во-вторых, их компрометация несет риски для бизнеса».
Какие именно риски?
– Финансовые: возможны штрафы в рамках административной ответственности, выплата компенсаций по судебным искам от клиентов, затраты на расследование инцидентов и перенос инфраструктуры, закупка средств защиты данных, проведение работ по обеспечению информационной безопасности.
– Репутационного ущерба: потеря доверия клиентов и партнеров, отток пользователей, падение стоимости бренда.
– Операционные: основные бизнес-процессы могут быть парализованы на несколько дней или недель.
По словам Антона Тростянко, на практике основными причинами утечек являются внешние и внутренние атаки на информационные системы. Также данные становятся доступными третьим лицам из-за технических сбоев, реже – в результате целевых атак на физлиц. При этом больше половины внутренних инцидентов случается по неосторожности. Внешние атаки, как отмечает эксперт, «как правило, автоматизированы – в даркнете можно купить скрипт, который будет гулять по заданному диапазону адресов».
Справочно
Интернет принято делить на 3 условные зоны:
1) видимый: поверхностная сеть (Surface Web), которая индексируется поисковыми системами, то есть позволяет любому желающему попасть на общедоступные сайты;
2) глубинный: неиндексируемая глубокая сеть (Deep Web), где размещены базы данных, личные аккаунты, корпоративные порталы, другие ресурсы с ограниченным доступом (например, государственные);
3) даркнет: скрытый сегмент глубокой сети, доступ к которому возможен только с помощью определенных браузеров и специализированного программного обеспечения.
Сайты в даркнете имеют собственные домены и не индексируются – их нельзя найти в стандартном поисковике. Доступ к ним анонимен, но интернет-провайдеры могут фиксировать попытки пользователей выйти в даркнет.
СТРАТЕГИИ РАБОТЫ С УТЕЧКАМИ
Чтобы обеспечить защиту от утечек, необходимы следующие меры:
– правовые – принятие в организации необходимых локальных правовых актов, назначение ответственных лиц и т.д.;
– организационные – разграничение доступа к персональным данным, ведение реестра их обработки, обучение сотрудников правильному отношению к работе с данными и т.д.;
– технические – применение средств технической и криптографической защиты информации.
Ст. 17 Закона о защите персональных данных предусмотрен минимально необходимый обязательный набор мер, которые должен принять оператор. Однако этот перечень не исчерпывающий. Поэтому оператор может самостоятельно определять дополнительные способы защиты информации, исходя из порядка ее обработки, специфики деятельности компании, потенциальных рисков и др.
Как пояснил начальник управления контроля и аудита Национального центра защиты персональных данных Владимир Кузуро, необходимо понимать: если произошла утечка, то в любом случае какая-то мера не соблюдается: «У нас нет цели всех привлечь к ответственности по ст. 23.7 Кодекса об административных правонарушениях за это. Нам важнее разобраться, что произошло, минимизировать последствия, которые могут наступить в результате несанкционированного доступа. В органы внутренних дел мы направляем материалы в исключительных случаях».
Насколько эффективно бизнес справляется с угрозами, во многом зависит от подхода к работе с утечками данных. Эксперты выделяют 2 основные стратегии:
1) реактивная подразумевает реагирование на уже произошедшую компрометацию информации. При этом компания узнает об инциденте извне: от клиента, специалистов Национального центра защиты персональных данных или из публикаций в СМИ;
2) проактивная заключается в системном поиске признаков компрометации через постоянный мониторинг собственных систем и даркнета. Как отметил Антон Тростянко, эта стратегия позволяет обеспечить раннее обнаружение утечки и минимизировать ущерб.
По словам экспертов, применение проактивного подхода позволяет снизить количество инцидентов в среднем на 87%, а финансовые потери – на 65%. При этом количество случаев обнаружения утечек до того, как они станут публичными, увеличивается на 92%.
КАК РАБОТАЕТ ПРОАКТИВНАЯ СТРАТЕГИЯ
Реализация проактивной стратегии невозможна без специализированных технологий, средств и процессов непрерывного мониторинга и анализа данных. Среди наиболее востребованных из них называют:
– DLP-системы, которые отслеживают сетевые (почты, мессенджеры) и физические (например, USB-порты) каналы передачи данных и блокируют их в режиме реального времени;
– SIEM-системы для агрегации логов, анализа событий информационной безопасности, поиска аномалий поведения пользователей, выявления инсайдерских угроз;
– сканирование открытых источников (Pastebin, GitHub, Telegram) и даркнета на предмет утечек корпоративных данных.
Помимо этого, используется картирование данных: определение их типа, мест хранения, маршрутов передачи и круга лиц, имеющих доступ к информации.
Для мониторинга интернета можно использовать специализированные сервисы (например, Darkbeam, Kela, Flashpoint), для Telegram – боты и парсеры. Ручным отслеживанием форумов занимаются аналитики Threat Intelligence.
Как отметил Антон Тростянко,«необходимо искать упоминания бренда, доменов, IP-адресов, ключевых сотрудников, слитые базы данных, логи, конфигурационные файлы, обсуждения уязвимостей в ваших системах, предложения о продаже доступа к инфраструктуре».
По словам эксперта, особенно внимательными нужно быть при мониторинге форумов и маркетплейсов даркнета.
В Telegram он советует использовать ключевые каналы, которые присылают автоматические оповещения через боты и позволяют провести API-интеграцию с SIEM-системой, а также проводить периодическую ручную проверку.
АЛГОРИТМ РЕАГИРОВАНИЯ НА УТЕЧКУ
Как подчеркнул Антон Тростянко,
«в 60% случаев быстрая и правильная реакция на инцидент снижает финансовые потери как минимум на 60%. Первые 48 часов критически важны для минимизации ущерба от инцидента. Поэтому не следует паниковать при его обнаружении».
Аналогичного мнения придерживается и DPO компании «Смартон» Дмитрий Пасечный:
«Согласно статистике, злоумышленники пытаются проникнуть в информационные системы своей цели уже через полчаса-час после того, как получили учетные данные».
Когда утечка персональных данных обнаружена, бизнес должен действовать по четкому плану:
Идентифицировать инцидент – подтвердить его факт и оценить масштаб. На этом этапе необходимо проверить подлинность и актуальность скомпрометированной информации, поскольку во многих случаях злоумышленники манипулируют данными старых взломов.
Запустить этап сдерживания: изолировать затронутые системы, отключить их от сети, заблокировать скомпрометированные учетные записи.
Собрать доказательства: сохранить логи и снимки памяти. Как отмечает Антон Тростянко, «важно не выключать и не перезагружать компьютер – это может уничтожить улики
Направить уведомления об инциденте в Оперативно-аналитический центр при Президенте Республики Беларусь в течение суток с момента выявления или обнаружения соответствующих фактов, в Национальный центр защиты персональных данных – в течение 3 рабочих дней, а также субъектам персональных данных.
Как отметил Владимир Кузуро, «нам важно сразу получить информацию о произошедшем, разобраться в ситуации и минимизировать последствия. После этого основное для оператора – найти и проинформировать тех, кого затронул этот инцидент… Необходимо в установленном порядке проинформировать НЦЗПД, указать, что вы уже сделали за этот период, что планируете сделать дальше и сколько вам для этого нужно времени».
Устранить ключевую причину утечки.
Вернуть систему в рабочее состояние из чистых бэкапов. При этом, как отметил Антон Тростянко, «бэкапы тоже необходимо проверить на компрометацию, так как бывают случаи, когда систему восстанавливают из бэкапов, к которым злоумышленники также получили доступ».
Проанализировать инцидент и проработать ошибки, которые к нему привели.
Источник: ibMedia