Сообщения об утечке конфиденциальной информации в открытый доступ регулярно появляются в СМИ. Речь идет как о персональных данных, так и о коммерческой тайне. Основатель и технический директор специализирующейся на кибербезопасности компании DeviceLock Ашот Оганесян рассказал, от кого исходит основная угроза и как снизить риск взлома и кражи данных.
Внутренний враг опаснее внешнего
– Сегодня любая компания работает с критичной информацией – персональные данные клиентов, переписка, бухгалтерские базы, документы – все это передается и хранится, причем часто в облачных сервисах. И все это, если верить СМИ, крадут хакеры. Как сегодня защитить свою компанию и ее данные и чем грозит их потеря?
– Начать нужно с того, что существует три основных группы угроз именно корпоративной информационной безопасности: первое – это вымогательство под угрозой уничтожения информации. Им занимаются живые хакеры и вирусы-шифровальщики.
Вторая угроза – кража информации. Сюда относятся взломы и инсайдерские хищения внутренней информации, а также копирование баз данных, неосторожно оставленных открытыми. Крадут сегодня в основном клиентскую информацию, которую можно продать конкурентам или просто спамерам.
Третья распространенная угроза – взлом бухгалтерских программ (редко) и банк-клиентов (чаще) с целью прямого хищения средств компании. Также можно упомянуть угрозу вмешательства в производственные процессы, например заводов, через взлом систем управления или интернет вещей, однако в реальности это пока большая редкость. В нашей стране за последние несколько лет, насколько я знаю, такого не случалось.
Злоумышленниками могут выступать хакеры, «ломающие» именно вашу компанию или всех, кто имеет конкретную уязвимость в оборудовании и программном обеспечении, а также вирусописатели и инсайдеры. Цели и возможности у них разные и защищаться от них также необходимо по-разному.
Легче всего защититься от вирусописателей – нужна всего лишь актуальная антивирусная защита, а также перекрытие ключевых каналов проникновения вирусов (в первую очередь запрет использования внешних устройств хранения данных, например flash-накопителей), а также фишинговых писем и документов. С последней угрозой бороться нужно, обучая пользователей не открывать подозрительные письма и файлы, а также установив антивирусное ПО на почтовом сервере.
– Странно, что вы сразу не упомянули о хакерах.
– Для защиты от хакеров необходимо поддерживать в актуальном состоянии защитную инфраструктуру, максимально закрыть сетевой периметр, а также быстро устанавливать актуальные обновления. Для защиты важных данных от уничтожения должна существовать система резервного копирования. Всеми этими вопросами должна заниматься IT-служба компании.
Но сложнее всего защититься от инсайдеров. Они находятся внутри периметра, знакомы с инфраструктурой и системами защиты и, что важнее всего, понимают, какая информация имеет ценность, где ее найти и как продать. Сегодня от 50% до 70% хищений корпоративной информации осуществляется именно инсайдерами – и эта доля растет. Для борьбы с ними требуется тщательная настройка прав доступа, а также использование DLP-систем, которые контролируют обращения к ценной информации, а также попытки вынести ее за пределы периметра – например послать по почте, скопировать на флэшку или загрузить в облако.
– Кто опаснее для компании – хакеры или инсайдеры?
– Безусловно, инсайдеры. Хакеры, если они не наняты с конкретной целью, не разбираются в работе компании и ценности информации, которая попадает им в руки. Максимум, что они могут, – выставить скопированную базу на продажу в даркнете, а чаще просто скопировать ее к себе, удалить оригинал и потребовать выкуп. Инсайдеры отлично знают, что и где искать, и могут действовать так, что никто до последнего момента не заподозрит их в хищении.
Как защитить информацию
– Можно ли «купить» защиту от взлома, обратившись к специалистам в области информационной безопасности? Какие решения стоит использовать и к кому обращаться?
– На мой взгляд, центр защиты корпоративной информации должен находиться в самой компании, чтобы его сотрудники были заинтересованы в результате и посвящали максимум времени этой задаче. А внешние специалисты должны обязательно использоваться для аудита системы информационной безопасности – тестирования систем защиты, поиска уязвимостей и т.п. Например, мы в DeviceLock не только проводим такие аудиты, но и создали сервис разведки уязвимостей, который автоматически находит открытые базы данных с корпоративной информацией.
Конкретных технологических решений на рынке довольно много, и важнее упомянуть, какие классы должны использоваться: антивирусная защита, контроль сетевого периметра, DLP-системы и резервное копирование.
– Куда развивается информационная безопасность, какие угрозы ждут нас завтра и как от них защититься?
– Сегодня уже видны несколько проблемных направлений. Во-первых, объем бизнес-данных растет, а вместе с ним – количество сервисов для их хранения или обмена: мессенджеры, облачные сервисы и средства для совместной работы. В результате данные обязательно будут утекать просто из-за мелких ошибок в настройке, например общего доступа, как это было в историях с индексированием поисковиками файлов Dropbox или рабочих столов сервиса Trello. Защититься от этого можно использованием минимального количества и только проверенных облачных сервисов, а также максимально жестким режимом их защиты и DLP-системами для контроля попадания в эти облачные сервисы конфиденциальных данных.
Вторая проблема – самодеятельная диджитализация. Компании все чаще используют собственные онлайн-сервисы, которые разрабатывают самостоятельно или руками аутсорсеров, имеющих очень слабое представление о необходимой защите данных. Недавно мы проводили исследование и обнаружили в Рунете более 1000 открытых баз логов и других данных от множества сервисов с большим объемом критичной информации – персональными данными, логинами, паролями.
Также часто мы обнаруживаем различные точки обмена данными между сайтами и внутренними системами, где простым перебором параметров можно получить доступ ко всем данным во внутренней информационной системе. Здесь главным средством защиты служит повышение квалификации разработчиков собственных IT-систем в области безопасности, проведение аудита безопасности IT-продуктов и строгий контроль над тем, какая информация из вашей компании обрабатывается сторонними подрядчиками. В нашей практике все чаще встречаются случаи, когда информация утекает не у самой компании, а у «аутсорсера аутсорсера», о котором в начале цепочки никто даже не знает.
Третья проблема – интернет вещей и роботы. Их количество вокруг нас растет, а степень защиты часто невысока, да и сами они могут быть опасны. Например, роботизированные автомобили сегодня могут быть взломаны даже с помощью рисунков, воспринимаемых ИИ как дорожные знаки. А кроме того, большое количество connected things и приложений собирает, хранит и передает производителям практически в открытом виде массу конфиденциальной информации – от геолокации до аудио- или видеопотока. Если ваша компания использует в работе или продает роботов или устройства интернета вещей, она должна позаботиться об их защите от взлома и утечек.
Отдельно стоит сказать о развитии средств защиты от инсайдерских утечек данных. Саму проблему сложно назвать новой, но рост ее масштаба заставляет искать новые методы борьбы. Развитие DLP-систем, которые постоянно получают новые возможности перехвата данных, передаваемых по различным каналам, создает огромный массив информации (сетевой трафик, переписка, документы, активность в поисковых системах), позволяет оценивать намерения сотрудников, а также выявлять потенциальные ситуации, когда возможно хищение информации.
– А как «вычислить» потенциального инсайдера?
– Самый простой пример – посещение сайтов с вакансиями говорит о грядущей смене работы, а – по нашей статистике – до 60% сотрудников при смене работы «уносят» с собой информацию со старого места. Другой пример – посещение сайтов онлайн-МФО говорит о нужде в деньгах, которая может толкнуть сотрудника на продажу корпоративных данных. Особую эффективность дает обработка таких паттернов с использованием технологий искусственного интеллекта, которые позволяют выявить закономерности, «незаметные» человеческому глазу. И за такими системами будущее, как минимум в борьбе с инсайдерами.
Беседовала Кристина Фирсова