Кибербезопасность: защита данных в центре внимания
Большинство краж данных происходит благодаря сотрудникам компании или при их непосредственном участии.
Автор: Владимир Базылев, «ВС Лаб».
Ни для кого не секрет, что данных в современном мире очень много. Каждый человек стал ходячим генератором информации как о себе, так и о своем окружении. Подобные сведения собирает и аккумулирует великое множество организаций (банки, государственные организации, технологические компании, соцсети и т. д.). Все это позволяет людям более комфортно существовать в мире цифровых технологий, более быстро и качественно получать различные услуги и сервисы. Сомнений в том, что накопленная информация и та, что люди генерируют о себе, приносит пользу каждому человеку и бизнесу, нет, но есть оборотная сторона медали — мошенники. По данным Сбербанка, мошенники ежемесячно крадут со счетов россиян более 3,5 — 5 миллиардов рублей. Об этом заместитель председателя правления крупнейшей в РФ кредитной организации Станислав Кузнецов сообщил в июне 2021 года. По его словам, средний чек по успешной мошеннической операции составляет около 8 тысяч рублей. На один мошеннический колл-центр приходится от 3 до 7 тысяч звонков в сутки, при этом в половине случаев аферисты не дозваниваются — срабатывает 1% звонков. Очевидно, что для совершения таких мошеннических действий у преступника должен быть доступ к данным жертвы, поэтому давайте попробуем разобраться, откуда берутся эти данные, кто виноват и что делать?
Откуда у преступников наши личные данные?
На самом деле в таком положении виноваты все участники рынка персональных данных. Давайте посмотрим на степень вины каждого участника, ну и, как водится, давайте начнем с себя — с простого пользователя Интернета, смартфона, социальных сетей и т. д. Об этом сказано уже много, мы слишком доверчивы, слишком неаккуратны в цифровом мире, мы оставляем множество данных о себе там, где не следует, пренебрегая элементарными правилами безопасности. Об этом много говорится и пишется. Впрочем, виноваты не только мы, но и организации, занимающиеся хранением и обработкой наших данных. Итак, поговорим именно об этом.
Данные в организациях
Тут все немного интереснее. Данные о людях организации копят с определенными задачами, связанными с их бизнесом. BIG DATA давно стала мировым трендом и проникла во все уголки нашего мира, я думаю, что не осталось человека, который не слышал бы о больших данных. Очень многие компании поняли, что на этих данных можно неплохо зарабатывать: ведь они позволяют лучше понять своего потребителя, точно сегментировать своих клиентов, за счет этого расширить горизонты своего бизнеса или открыть новый. Компании занимаются аналитикой данных, продажей данных и многим другим.
Какие данные о нас накапливаются — зависит от того, что это за организация. Мобильные операторы копят данные о наших звонках и смс, о наших перемещениях, о посещаемых страницах в интернете, о том, какие приложения мы используем, о том, какой у нас телефон и т. д. Естественно, в базах данных организации хранятся наши паспортные сведения (таков закон), без паспорта легально симку не купить. Финансовые организации, разумеется, копят информацию о нашей кредитной истории, об используемых банковских продуктах, наших картах, нашем месте работы, прописки, проживания, наших транзакциях — опять же, паспорт, СНИЛС, права и т. д. Государство копит о нас максимально возможное количество данных. Ведь благодаря этому мы можем очень быстро и легко получить новые документы, запросить любую справку и не стоять в очередях, получить нужные пособия и помощь от государства на банковскую карту. Эти данные копятся и анализируются в очень тяжелых, высоконагруженных системах, которые определенным образом защищены и крайне важны для таких организаций. Чем организация крупнее, тем больше денег она тратит на свою защиту и защиту ваших данных. Ведь ваши данные — это клиентская база, да еще и сегментированная, да еще и с определенными результатами анализа и рекомендациями, а ни один здравомыслящий бизнес не захочет эту информацию отдавать. Но всегда есть нюансы.
Защита данных — это определенные вложения в инфраструктуру, в персонал, в программное обеспечение. Крупный бизнес, очевидно, может позволить себе такие расходы (и то случаются утечки), а вот мелкий и средний, к сожалению, не всегда. Да и дело даже не всегда в размерах расходов, а в ответственности бизнеса. А это значит, что данные компаний, подходящих безответственно к вопросам безопасности, могут быть просто украдены, причем как при помощи хакерской атаки, так и, к сожалению, из-за человеческого фактора: банальной оплошности, когда в сети оказываются в открытом доступе целые серверы с информацией о клиентах, или когда сами сотрудники компании нечисты на руку и продают данные на сторону, причем как точечную информацию, так и целые базы. Сейчас в даркнете можно купить информацию о любом человеке, и это не так дорого, информация продается с разбивкой по базам данных. И перечень таких баз указывает не только на финансовые организации и мобильных операторов, но и на то, что злоумышленники имеют доступ к государственным базам данных. Злоумышленники на тех же форумах в даркнете ищут сотрудников компаний, готовых продавать эти данные, или предоставить к ним доступ. Рынок подобных услуг стабильно растет, как и количество аналогичных преступлений.
Так что же делать компаниям, чтобы защитить наши данные?
Сейчас очевидно несколько аспектов в этом вопросе: компаниям, несомненно, надо искать новые решения и новые способы защиты данных, это постоянное поле боя. Одни защищают — другие пытаются забрать или украсть. Всегда надо понимать специфику того, что защищается и от кого. Отдельный разговор о технических средствах защиты инфраструктуры, защиты от DDOS, FireWall и т. д. Тут на самом деле у многих все не так плохо — есть специалисты, все как-то налажено и работает. Но очень во многих компаниях забывают о важном вопросе, требующем внимания: о контроле за специалистами, имеющими доступ к персональным данным и к важной информации внутри компании. Большинство краж данных происходит благодаря сотрудникам компании или при их непосредственном участии.
Вот тут помогают различные решения класса DLP (Data Leak Prevention — предотвращение утечек данных). В целом значимость таких систем в свете сегодняшней ситуации будет только повышаться. На российском рынке есть прекрасно зарекомендовавшие себя решения, целый ряд отечественных компаний входит в рейтинг Gartner Magic Quadrant for Enterprise Data Leak Prevention как нишевые игроки. В целом DLP-система — это уже понятная рынку вещь, во многих местах такие системы внедрены и успешно работают. На Западе с DLP работают в основном айтишники, они понимают систему как «контроль и блокировку трафика». В России системами DLP на старте занимались выходцы из органов безопасности, которые гораздо лучше работают с информацией и знают, как использовать ее для расследования и предотвращения инцидентов. Получается, что в России решения в области DLP выходят за пределы изначальных требований к ним. Поэтому иностранные DLP-системы могут закрыть только узкую часть потребностей заказчиков. Если использовать зарубежные термины, то российские системы DLP закрывают требования не только ИБ, но и forensic (судебная экспертиза), compliance (соответствие требованиям), risk management (управление рисками). Комплексные решения всегда очень хорошо действуют.
Помимо DLP необходимо обладать дополнительными инструментами — например, шлюзом веб-безопасности, позволяющим контролировать поведение сотрудника в Интернете, блокировать доступ к определенным сайтам, проверять трафик на наличие определенных ключевых слов, предотвращая тем самым утечку информации и решая ряд других проблем. Есть и специфические продукты для безопасности — в частности, анализатор приложений. Он позволяет по заданным алгоритмам провести анализ приложения и выявить угрозы безопасности предложения, дыры и закладки, даже не имея исходного кода, по исполняемому файлу. Это отличный инструмент для контроля своих же разработчиков и сторонних поставщиков с их программным обеспечением. Также помогают инструменты обезличивания данных. На рынке постоянно появляются новые интересные решения и проекты — например, связка DLP+OSINT (Open source intelligence — глубокий интеллектуальный поиск в открытых источниках данных и Интернете). Такая связка может показывать очень интересные результаты: выявлять потенциально неблагонадежных сотрудников, обнаруживать и перехватывать каналы продаж данных компании, выявлять способы хищения и взлома и при этом нести весь функционал DLP. Кроме того, компаниям необходимо отслеживать факт утечек данных, в том числе в даркнете. Здесь также могут помочь наработки, связанные с технологиями OSINT. Опять же, очень много найденных уязвимостей, backdoor и способов атаки/взлома публикуется на различных тематических форумах, где разные специалисты из разных стран обсуждают эти проблемы. Опыт таких специалистов, да и знания о наличии подобных уязвимостей, помогают специалистам компаний обеспечивать безопасность. Собрать эти сведения поможет, опять же, OSINT-система.
Контроль персонала — это не только DLP, OSINT и грамотные политики доступа к данным, но и системы видеоаналитики, которые позволят зафиксировать странное поведение сотрудника на работе (фотографирует экран компьютера, что-то пишет на листке бумаги открыв карточку персональных данных в системе, совершает звонки с личного мобильного устройства во время работы с базой данных и многое другое). Можно, конечно, обойтись более простым решением и сотрудникам, обладающим доступом к важной информации, запрещать пользоваться личными мобильными на рабочем месте, но тогда надо оборудовать камеру хранения телефонов и следить за исполнением введенного правила. Говоря о контроле «важных» сотрудников (имеющих доступ к персональным данным), не так уж плохо знать об их жизни и вне работы. Например, проверять свой персонал на предмет появления финансовых проблем. Это можно делать при помощи данных на сайте ФССП, через получение информации о звонках сотруднику, данные о его поисковых запросах и т. д. Ведь, скажем, если у человека есть финансовые проблемы, это может его толкнуть на сделку с продажей чужих персональных данных, а в интересах компании — предотвратить данное событие. Необходимо проверять, в каких группах в соцсетях сотрудники состоят, с кем общаются в соцсетях и на форумах (это могут OSINT-системы), если есть «тревожные звоночки» — если они есть, то принимать меры. Это не значит, что надо увольнять всех, у кого появились проблемы, но лишний разговор со службой безопасности компании может предотвратить происшествие. Все меры, направленные на усиление безопасности, вероятнее всего, приведут к так называемому «цифровому концлагерю» в рамках конкретной компании. Сегодня нередко дискутируется вопрос о соотношении моральных и технических аспектов в сфере применения таких методов защиты.
Но тут, по моему мнению, на самом деле все просто. Передача, кража, продажа персональной информации — это нарушение закона. В какой момент благонадежный сотрудник лишается своих высоких моральных принципов и переходит на «сторону зла» (становится преступником), понять не всегда просто. Поэтому нужна дополнительная мораль, желательно роботизированная, неподкупная, следующая определенным правилам, а это как раз грамотное распределение доступа, системы DLP, видеоаналитики, OSINT и многое другое. Даже если после их внедрения в организации сотрудникам, например, современного банка, придется работать весь день под прицелом видеокамер и всяких «умных» систем, которые фиксируют его действия, фиксируют произнесенные слова, его интернет-активности и т. д., от этого в выигрыше будут все — простые люди, сами сотрудники, организация и государство. И именно потому, что у преступников нет морали, офис или подразделения крупного банка или иной организации, работающей с персональными данными, должен становиться цифровым концлагерем, ведь вред, который способна причинить утечка данных — просто колоссальный.
А что же государство?
Государство сегодня очень хорошо понимает и пользу, и возможный вред от использования больших данных. При этом государство прекрасно понимает, что отказаться от них невозможно, что уже построено множество бизнесов на хранении и обработке данных, что ни один банк в стране не может работать, не собирая и не анализируя данные, что вокруг этого появляются все новые виды данных, сервисы и компании, что в конечном счете уже в эту тему вложено колоссальное количество денег. Государство пытается найти правильный баланс, чтобы не ущемить права бизнеса и не лишить его сделанных инвестиций, но и не допустить массовых утечек данных, и в то же время сделать так, чтобы жизнь и комфорт обычных граждан не пострадали. Государство борется с площадками в интернете, незаконно продающими данные, борется с теми, кто пытается украсть данные у своего работодателя (ст. 272 УК РФ), и оно делает правильно, взяв за аксиому тезис: чем меньше у злоумышленников товара для продажи, тем лучше.
Но нет пределов совершенству, и я думаю, в государственных ведомствах также необходимо внедрение разных «умных» систем, ограничивающих или отслеживающих действия сотрудника и реагирующих на определенные инциденты. Я думаю, мы к этому придем.