Автор: Ольга Шибко

Персональные данные, к которым злоумышленники получают доступ в результате различных инцидентов, могут использоваться для шантажа, кражи личности и различных форм финансового мошенничества. Как бизнесу противостоять утечкам информации, обсуждали на семинаре «Перспективы развития и практические кейсы защиты персональных данных в Республике Беларусь».

ЧЕМ ОПАСНЫ УТЕЧКИ?

Как отметил руководитель направления информационной безопасности Wildberries BY Антон Тростянко, «в мире уже случилось достаточно большое количество утечек, поэтому персональные данные большинства людей уже есть где-то в даркнете. Но принимать меры по защите такой информации все равно нужно. Во-первых, данные со временем актуализируются, во-вторых, их компрометация несет риски для бизнеса».

Какие именно риски?

– Финансовые: возможны штрафы в рамках административной ответственности, выплата компенсаций по судебным искам от клиентов, затраты на расследование инцидентов и перенос инфраструктуры, закупка средств защиты данных, проведение работ по обеспечению информационной безопасности.

– Репутационного ущерба: потеря доверия клиентов и партнеров, отток пользователей, падение стоимости бренда.

– Операционные: основные бизнес-процессы могут быть парализованы на несколько дней или недель.

По словам Антона Тростянко, на практике основными причинами утечек являются внешние и внутренние атаки на информационные системы. Также данные становятся доступными третьим лицам из-за технических сбоев, реже – в результате целевых атак на физлиц. При этом больше половины внутренних инцидентов случается по неосторожности. Внешние атаки, как отмечает эксперт, «как правило, автоматизированы – в даркнете можно купить скрипт, который будет гулять по заданному диапазону адресов».

Справочно

Интернет принято делить на 3 условные зоны:

1) видимый: поверхностная сеть (Surface Web), которая индексируется поисковыми системами, то есть позволяет любому желающему попасть на общедоступные сайты;

2) глубинный: неиндексируемая глубокая сеть (Deep Web), где размещены базы данных, личные аккаунты, корпоративные порталы, другие ресурсы с ограниченным доступом (например, государственные);

3) даркнет: скрытый сегмент глубокой сети, доступ к которому возможен только с помощью определенных браузеров и специализированного программного обеспечения.

Сайты в даркнете имеют собственные домены и не индексируются – их нельзя найти в стандартном поисковике. Доступ к ним анонимен, но интернет-провайдеры могут фиксировать попытки пользователей выйти в даркнет.

СТРАТЕГИИ РАБОТЫ С УТЕЧКАМИ

Чтобы обеспечить защиту от утечек, необходимы следующие меры:

– правовые – принятие в организации необходимых локальных правовых актов, назначение ответственных лиц и т.д.;

– организационные – разграничение доступа к персональным данным, ведение реестра их обработки, обучение сотрудников правильному отношению к работе с данными и т.д.;

– технические – применение средств технической и криптографической защиты информации.

Ст. 17 Закона о защите персональных данных предусмотрен минимально необходимый обязательный набор мер, которые должен принять оператор. Однако этот перечень не исчерпывающий. Поэтому оператор может самостоятельно определять дополнительные способы защиты информации, исходя из порядка ее обработки, специфики деятельности компании, потенциальных рисков и др.

Как пояснил начальник управления контроля и аудита Национального центра защиты персональных данных Владимир Кузуро, необходимо понимать: если произошла утечка, то в любом случае какая-то мера не соблюдается: «У нас нет цели всех привлечь к ответственности по ст. 23.7 Кодекса об административных правонарушениях за это. Нам важнее разобраться, что произошло, минимизировать последствия, которые могут наступить в результате несанкционированного доступа. В органы внутренних дел мы направляем материалы в исключительных случаях».

Насколько эффективно бизнес справляется с угрозами, во многом зависит от подхода к работе с утечками данных. Эксперты выделяют 2 основные стратегии:

1) реактивная подразумевает реагирование на уже произошедшую компрометацию информации. При этом компания узнает об инциденте извне: от клиента, специалистов Национального центра защиты персональных данных или из публикаций в СМИ;

2) проактивная заключается в системном поиске признаков компрометации через постоянный мониторинг собственных систем и даркнета. Как отметил Антон Тростянко, эта стратегия позволяет обеспечить раннее обнаружение утечки и минимизировать ущерб.

По словам экспертов, применение проактивного подхода позволяет снизить количество инцидентов в среднем на 87%, а финансовые потери – на 65%. При этом количество случаев обнаружения утечек до того, как они станут публичными, увеличивается на 92%.

КАК РАБОТАЕТ ПРОАКТИВНАЯ СТРАТЕГИЯ

Реализация проактивной стратегии невозможна без специализированных технологий, средств и процессов непрерывного мониторинга и анализа данных. Среди наиболее востребованных из них называют:

– DLP-системы, которые отслеживают сетевые (почты, мессенджеры) и физические (например, USB-порты) каналы передачи данных и блокируют их в режиме реального времени;

– SIEM-системы для агрегации логов, анализа событий информационной безопасности, поиска аномалий поведения пользователей, выявления инсайдерских угроз;

– сканирование открытых источников (Pastebin, GitHub, Telegram) и даркнета на предмет утечек корпоративных данных.

Помимо этого, используется картирование данных: определение их типа, мест хранения, маршрутов передачи и круга лиц, имеющих доступ к информации.

Для мониторинга интернета можно использовать специализированные сервисы (например, Darkbeam, Kela, Flashpoint), для Telegram – боты и парсеры. Ручным отслеживанием форумов занимаются аналитики Threat Intelligence.

Как отметил Антон Тростянко,«необходимо искать упоминания бренда, доменов, IP-адресов, ключевых сотрудников, слитые базы данных, логи, конфигурационные файлы, обсуждения уязвимостей в ваших системах, предложения о продаже доступа к инфраструктуре».

По словам эксперта, особенно внимательными нужно быть при мониторинге форумов и маркетплейсов даркнета.

В Telegram он советует использовать ключевые каналы, которые присылают автоматические оповещения через боты и позволяют провести API-интеграцию с SIEM-системой, а также проводить периодическую ручную проверку.

АЛГОРИТМ РЕАГИРОВАНИЯ НА УТЕЧКУ

Как подчеркнул Антон Тростянко,

«в 60% случаев быстрая и правильная реакция на инцидент снижает финансовые потери как минимум на 60%. Первые 48 часов критически важны для минимизации ущерба от инцидента. Поэтому не следует паниковать при его обнаружении».

Аналогичного мнения придерживается и DPO компании «Смартон» Дмитрий Пасечный:

«Согласно статистике, злоумышленники пытаются проникнуть в информационные системы своей цели уже через полчаса-час после того, как получили учетные данные».

Когда утечка персональных данных обнаружена, бизнес должен действовать по четкому плану:

Идентифицировать инцидент – подтвердить его факт и оценить масштаб. На этом этапе необходимо проверить подлинность и актуальность скомпрометированной информации, поскольку во многих случаях злоумышленники манипулируют данными старых взломов.
Запустить этап сдерживания: изолировать затронутые системы, отключить их от сети, заблокировать скомпрометированные учетные записи.

Собрать доказательства: сохранить логи и снимки памяти. Как отмечает Антон Тростянко, «важно не выключать и не перезагружать компьютер – это может уничтожить улики
Направить уведомления об инциденте в Оперативно-аналитический центр при Президенте Республики Беларусь в течение суток с момента выявления или обнаружения соответствующих фактов, в Национальный центр защиты персональных данных – незамедлительно, но не позднее трех рабочих дней, а также субъектам персональных данных.

Как отметил Владимир Кузуро, «нам важно сразу получить информацию о произошедшем, разобраться в ситуации и минимизировать последствия. После этого основное для оператора – найти и проинформировать тех, кого затронул этот инцидент… Необходимо в установленном порядке проинформировать НЦЗПД, указать, что вы уже сделали за этот период, что планируете сделать дальше и сколько вам для этого нужно времени».

Устранить ключевую причину утечки.
Вернуть систему в рабочее состояние из чистых бэкапов. При этом, как отметил Антон Тростянко, «бэкапы тоже необходимо проверить на компрометацию, так как бывают случаи, когда систему восстанавливают из бэкапов, к которым злоумышленники также получили доступ».

Проанализировать инцидент и проработать ошибки, которые к нему привели.

Источник: ibMedia

Уже в ноябре этого года Национальный центр защиты персональных данных (Центр) будет праздновать свой 4-й день рождения. Столько же в мае исполнилось закону «О защите персональных данных». О том, что изменилось в бизнес-среде Беларуси за это время, ibMedia побеседовал с директором Центра Андреем Гаевым.

– Андрей Анатольевич, кому сегодня стоит особенно задуматься над защитой персональных данных?

– Персональные данные весьма значимы для всех – граждан, бизнеса, государства.

Для человека последствия несанкционированного доступа к таким данным могут быть самыми разными, но они всегда связаны с потерей приватности, конфиденциальности, а нередко еще и сбережений.

Одна из самых серьезных проблем для бизнеса – это потеря репутации

Она зарабатывается годами, но может испариться в одночасье. В случае утечек персональных данных, помимо репутационных потерь, бизнес несет еще и финансовые. Недавно произошел инцидент, в результате которого в сеть утекла база данных с информацией о более чем 100 тыс. граждан – компания буквально за пару дней потеряла шестизначную сумму денег.

Поэтому для каждого человека критически важно знать свои права и пользоваться ими, для организаций – соблюдать требования законодательства, принимать меры по защите информации, в том числе персональных данных. А в масштабах государства инциденты с ними напрямую связаны с вопросами национальной безопасности.

– Какое значение для бизнеса имеет организация работы с персональными данными?

– Это правило хорошего тона. Радует, что ответственный бизнес рассматривает вопрос защиты персональных данных не как лишнюю обязанность, а как конкурентное преимущество. Конечно, тема внутреннего контроля за обработкой персональных данных в организации не будет любима маркетологами, у которых стоит другая задача – продать.

Но здесь надо находить баланс между желанием заработать и целью не потерять репутацию и финансы.

Конечно, говорить, что все идеально, нельзя. Есть организации, которые ждут, чтобы сначала кто-то другой организовал работу с персональными данными, а потом посмотреть, что из этого получится. Отечественный опыт и практика зарубежных стран показывают, что такой подход не оправдывается.

Проблему надо предупредить, при ее возникновении принимать меры оказывается гораздо сложнее, дороже и не всегда эффективно

  – Как изменилось отношение к персональным данным в Беларуси с момента, когда к вопросу их защиты подключилось государство?

– Еще лет 10 назад мало кто серьезно относился к защите личной информации – тогда компании думали прежде всего о том, как создать более удобные условия для того или иного процесса. Однако психология людей и бизнеса меняется, а вместе с ней и отношение к вопросам личной информации.

Сейчас, спустя почти 4 года работы Центра, мы видим повышение правовой культуры и правового сознания людей и бизнеса. Это заметно по содержанию и количеству поступающих к нам обращений – граждане и юридические лица понимают процессы обработки персональных данных, и проблемные моменты в этой сфере поднимаются ими очень грамотно.

Также заметно, что гораздо больше организаций уделяет внимание вопросам технической и криптографической защиты персональных данных. Инциденты, которые имеют место в настоящее время, часто связаны с нереализацией именно этой меры. Это случаи, когда утечка происходит в неаттестованных, незащищенных контурах, в том числе когда злоумышленники проникают в сеть, к серверам, к информационным ресурсам и системам через аутсорсинговые организации.

Количество инцидентов с серьезными последствиями, утечек, в том числе связанных с действиями персонала, уменьшилось. Это, помимо прочего, свидетельствует о том, что понимание значимости личных данных и ответственности за нарушения при их обработке растет. Значит, бизнес постепенно перестраивается.

– Что необходимо бизнесу для окончательного принятия важности защиты персональных данных?

– Для того чтобы выстроить систему защиты, требуется в первую очередь желание и, конечно, время и средства. Но на это однозначно надо идти, ведь любой бизнес зарабатывает на товарах и услугах, конечным потребителем которых является человек, который рассчитывает на то, чтобы, зарабатывая на нем, с его данными обращались уважительно, бережно и принимались меры по их защите.

Анализируя практику многих государств, мы видим, что законодательные акты о персональных данных «приживались» в обществе 20–30 лет. У нас столько времени на внедрение изменений и адаптацию к ним нет – с развитием технологий время бежит гораздо быстрее, новые вызовы требуют оперативных решений.

– С ростом осведомленности о персональных данных появляются ли злоупотребления в данной сфере?

– Да, от этого никуда не денешься, и при принятии Закона изучался опыт других стран по этому вопросу.

Их допускают как граждане, так и организации. Первые могут устраивать своеобразный экзамен оператору о том, как обрабатываются его персональные данные.

Совет операторам в таких случаях может быть только один – соблюдать закон, работать в строгом соответствии с нормами права

Злоупотребления со стороны бизнеса также встречаются. Некоторые организации жалуются в Центр на конкурентов, указывая на имеющиеся в их деятельности упущения. При этом сами забывают взглянуть на себя, допуская не меньше нарушений.

Мы такие вещи видим и соответствующим образом реагируем – перед законом равны все.

В зарубежных юрисдикциях для противодействия таким проявлениям используются разные механизмы, и мы их изучаем. Но универсального механизма нигде нет. В Беларуси на предупреждение таких действий направлен ряд норм – они закрепляют полномочия Центра на дачу разъяснений, рассмотрение жалоб, осуществление контроля и т.д. Реализуя их, мы стараемся обеспечить баланс интересов гражданина – субъекта персональных данных и оператора.

– Насколько реален для бизнеса риск утечки персональных данных?

– Инциденты с утечкой персональных данных, к сожалению, происходят. В текущем году в Центр поступило 21 уведомление различного характера о проблемах в деятельности организаций, в том числе об утечках, которые в совокупности затронули 285 тыс. записей о гражданах.

С одной стороны, понимаем крайнюю актуальность необходимости делать все возможное, чтобы количество таких инцидентов уменьшалось. С другой стороны, утечки и обращения в связи с ними никуда не исчезнут, ведь внимание к персональным данным лишь возрастает.

Невзламываемых ресурсов и информационных систем не существует – это вопрос времени и средств

Правда, зачем злоумышленникам их тратить на защищенные контуры, когда гораздо легче достичь желаемого с абсолютно доступными?

Поэтому не только Центр, но и другие структуры – Оперативно-аналитический центр при Президенте Республики Беларусь, органы внутренних дел, Следственного комитета и др., – уполномоченные осуществлять регулирование в цифровой среде, принимают меры, чтобы проблемы не только решались, но и, что самое главное, предупреждались.

Стараемся не допустить утечек и в превентивном порядке проводим методологическую, разъяснительную, просветительскую работу, мониторинг происходящего в интернете, в том числе сайтов. Если при этом выявляются нарушения – зачастую это избыточно обрабатываемые или обрабатываемые без правовых оснований либо незащищенные персональные данные, – то принимаются необходимые меры, включая удаление подобных сведений.

С начала года удалено более 3 млн таких данных в виде цифровых записей и около 3 млн аудио- и видеофайлов.

Сегодня есть все, чтобы не породить проблем с персональными данными: законодательство, уполномоченный орган, формы документов, алгоритмы действий, рекомендации. Государство создает для этого условия, как предусмотрено ст. 28 Конституции Республики Беларусь.

– По каким причинам происходит утечка информации?

– В основном инциденты, происходившие в последние годы, связаны, как упоминалось, с непринятием мер по технической и криптографической защите информации – данная мера была установлена более 12 лет назад соответствующим Указом.

Нереализация этой меры способствует успешным атакам на незащищенные ресурсы, в том числе с необновленным ПО, что и приводит к утечке информации, включая личные данные.

Нередко взлом осуществляется не через самого оператора, а через аутсорсинговую организацию – уполномоченное лицо

В этом случае организация, доверяя тот или иной процесс такому лицу, предоставляет ему доступ к своим информационным ресурсам и системам. И если партнер не реализовал меры по защите информации, то взлом осуществляется через него.

Как показывает практика последних инцидентов, уполномоченное лицо зачастую находится на территории иностранных государств. Поэтому нужно соблюдать требования Указа «О мерах по совершенствованию использования национального сегмента сети Интернет». В нем закреплено, что оказание услуг, выполнение работ на территории Беларуси должно осуществляться с применением информационных ресурсов и систем, зарегистрированных в нашем национальном сегменте.

– В чем особенности проверок Центра для бизнеса?

– Контрольные мероприятия мы всегда проводим точечно и стремимся бизнесу помогать. Основная цель – не наказать виновных, а способствовать выстроить дело так, чтобы в работе компании с личной информацией был порядок.

По итогам проверок мы составляем акты и предписания, объем которых может быть достаточно внушительным и доходить до нескольких десятков листов. Это не столько перечень нарушений, сколько подробная описательная часть: что конкретно надо сделать для их устранения, где взять необходимую информацию, формы документов и т.д.

За рубежом разная практика в этом вопросе. Некоторые из наших коллег по итогам проверки дают лист, в котором указаны нарушенные нормы, а напротив них проставляются галочки. Но в чем конкретно состоит нарушение, организации приходится разбираться самостоятельно.

Мы идем несколько иным путем и, работая на предупреждение, четко показываем, почему нарушение имеет место и что надо сделать для его устранения и недопущения в будущем.

– Может ли организация после проверок обжаловать решения Центра в суде? Как часто такое происходит?

– Состоявшихся решений по данному вопросу ровным счетом одно. По итогам одной из проверок организация не согласилась с рядом требований, вынесенных Центром. Но суд требования Центра признал обоснованными, и деятельность организации была приведена в соответствие с нормами закона. Так что обжалования не носят массового характера.

Мы работаем объективно, стараемся быть убедительными и взаимодействуем с организациями от момента проверки до устранения нарушения.

– Чем еще Центр может помочь бизнесу?

– Стремимся делать все, чтобы условия реализации законодательства о персональных данных были четкими. Разъяснительная работа продолжается, но сегодня носит несколько иной характер, чем в начале. Центр перешел от разъяснения норм права к предоставлению адаптированных пакетов решений к отдельным направлениям деятельности. В них входят типовые документы, образцы, рекомендации, необходимые для обработки персональных данных, описание алгоритмов действий и т.д.

Уже завершена такая работа для организаций двух сфер – образования и здравоохранения. Помимо того, что эти сферы являются социально значимыми, в них обрабатываются весьма значительные массивы информации, касающиеся, по сути, каждого гражданина. При этом в школе или поликлинике не всегда можно найти юриста, который мог бы одновременно решать вопросы правовой организации учебного или лечебного процесса и работать с персональными данными.

Теперь таким организациям не нужно самим разрабатывать требуемые документы с нуля – достаточно взять типовые решения и, при необходимости, внести в них небольшие корректировки, учитывающие специфику деятельности.

По результатам анализа выявляемых Центром по итогам контрольной деятельности нарушений законодательства о персональных данных подготовлен чек-лист для всех организаций, независимо от их размера, сферы деятельности и т.д. Он позволит любому субъекту хозяйствования изучить ошибки, которые возникали у других компаний, и должным образом организовать свою работу.

Совсем недавно завершена работа над созданием разъяснений для малого и среднего бизнеса, подготовлен чек-лист по организации их деятельности в рамках законодательства о персональных данных. Представителям такого бизнеса сложно обладать глубокими познаниями в этой сфере, поэтому объективно необходимо помочь им работать, соблюдая законодательство. Подготовлен также пакет готовых форм и документов (так называемый «Портфель оператора»).

– Хватает ли в Беларуси специалистов в сфере защиты персональных данных?

– Чуть более 3 лет назад на базе Центра стартовали курсы повышения квалификации по вопросам защиты персональных данных. До этого в Беларуси таких программ не было. За это время обучающие мероприятия прошли более 12 тыс. человек, а в различного рода просветительских проектах приняли участие более 35 тыс. человек.

Это крайне важно, потому как знания – это ключ к защите своей конфиденциальности в цифровом мире

Кроме того, сегодня в Институте информационных технологий БГУИР по инициативе Центра успешно проводится переподготовка на базе высшего образования, и за 1,5–2 года реально стать профессионально подготовленным специалистом по защите данных.

К слову, уже сформировалось профессиональное сообщество специалистов в сфере защиты персональных данных. Работая в своих организациях, изучая все актуальные направления действий с персональными данными, они общаются между собой и обмениваются опытом.

В Центре периодически проводятся мероприятия для таких специалистов, которые позволяют им развивать свои профессиональные навыки, компетенции, обмениваться опытом.

Сейчас на завершающем этапе находится выработка решения по созданию профессиональной площадки для общения специалистов в сфере защиты персональных данных, ответственных за внутренний контроль в организациях, на базе которой они смогут взаимодействовать по профессиональному интересу. К этому пулу специалистов смогут присоединиться все желающие, в том числе граждане, которых интересует данная тематика. Ожидаем, что такая площадка будет создана уже в этом году.

Источник: ibMedia