Защита от кибератак: как действовать компаниям?

В мире стремительно растет количество кибератак: в 2021 году количество кибератак выросло на 40%, а отдельно в России — на 54% (по данным Check Point). Текущие события в мире, пошатнувшие стабильность, заставляют задуматься об информационной безопасности не только государственные корпорации, но и частные компании из различных отраслей.

Атакам подвергаются СМИ, правительственные ресурсы, образовательные компании, исследовательские проекты, медицинские организации и компании других сфер.

Наибольшей угрозе кибератаки подвержены конфиденциальные данные компаний, которые имеют ценность не только для самой компании, но и внешних лиц. Последствия утечек данных только за 2021 год нанесли урон мировой экономике на $9 трлн (данные ДМИБ МИД).

Вот 7 шагов, которые помогут компаниям выстроить комплексный подход и системную работу по защите конфиденциальных данных.

1. Выделить ресурсы на защиту данных

Эффективная работа по защите данных начинается с осознания того, что такие угрозы существуют и что данные требуют защиты.

Как отмечает Сергей Вахонин, руководитель направления DLP компании «Киберпротект», сегодня обращение с конфиденциальными данными часто воспринимается исключительно в контексте требований закона о защите персональных данных, при этом упускается из виду, что в условиях тотальной цифровизации практически все данные внутри компании имеют реальную ценность и утечка многих из них будет иметь негативные последствия для бизнеса.

Диапазон рисков, которым подвергаются компании в случае утечек — от административной до уголовной ответственности. Финансовые убытки, потеря репутации — наиболее серьезные риски, которые могут поставить под угрозу дальнейшее существование бизнеса.

По наблюдениям Ильи Петрова, директора департамента продвижения собственных продуктов Innostage, репутационные риски провоцируют отток клиентов, падение стоимости акций, прямые финансовые убытки, потерю позиций в конкурентной гонке и даже, например, утерю наработок и ноу-хау.

В случае громких утечек регуляторы могут начать внеплановые проверки на соответствие требованиям законодательства, что чревато штрафами и, в крайнем случае, приостановкой деятельности организации до устранения несоответствий.

Не всегда финансовые и репутационные потери пропорциональны масштабам самого инцидента. Ярослав Каргалев, операционный директор Group-IB в ОЭЗ «Иннополис» отмечает, что ущерб будет зависеть от рода деятельности бизнеса, характера похищенной информации, возможных вариантов использования данных мошенниками и других факторов.

В случае, если компания-жертва небольшая и работает на высококонкурентном рынке, последствия атак могут привести к остановке и закрытию бизнеса.

2. Проанализировать угрозы и риски

Для выбора эффективных решений по защите данных необходимо провести анализ угроз, которым может подвергнуться компания.

По данным экспертов из «Киберпротект», InfoWatch и Innostage, среди распространенных причин атак: ошибки сотрудников и непонимание, какие данные можно передавать третьим лицам, а какие нет, слабые места в системах, недостаточная защищённость IT-инфраструктуры, отсутствие средств контроля мест и каналов передачи защищаемых данных, а также недобросовестное отношение операторов данных к их защите.

Все чаще причинами утечек становятся «гибридные» атаки в результате сговора внешнего и внутреннего нарушителя. На фоне развития средств коммуникаций и массового перехода к удаленной работе злоумышленникам стало легче находить уязвимые точки в инфраструктуре и склонять к преступлениям сотрудников различных организаций, отметили эксперты Innostage.

В текущей реальности виды атак быстро меняются и усложняются, поэтому возвращаться к анализу возможных рисков и угроз нужно регулярно.

Наглядный пример с новыми вызовами — атаки программ-шифровальщиков, представляющие большие угрозы для бизнеса.

Как отмечает эксперт из Group-IB, теперь перед тем, как зашифровать рабочие станции, шифровальщики похищают все данные, до которых они дотянулись, и только после этого зашифровывают устройства.

Ранее компании малого и среднего бизнеса с развитой IT-службой, у которых были бэкапы, могли относительно быстро восстановить инфраструктуру, но теперь у жертвы появляется дополнительные проблемы — в случае отказа заплатить похищенные данные будут опубликованы в интернете. Для этого киберпреступники создают специальные веб-площадки, где устраивают между собой аукционы по продаже похищенных данных.

3. Разработать политику работы с данными и разграничить доступ к информации

Не самая лучшая идея — хранить все рабочие данные и клиентские базы на «Google диске» и открыть к нему доступ всем сотрудникам. Однако такая ситуация характерна для большинства компаний малого и среднего бизнеса, и особенно — для стартапов. По данным резидента ОЭЗ «Иннополис» InfoWatch, подавляющее большинство утечек в России (79 %) случаются по вине сотрудников.

В большинстве случаев они совершаются умышленно и значительно реже происходят по причинам халатности, по незнанию, неосторожности и других непреднамеренных действий, сообщили в Innostage.

Важные вопросы, которые нужно задать на этом этапе: «каким сотрудникам и отделам нужен доступ к той или иной информации?» Эксперт по информационной безопасности, директор и основатель стартапа «Третья сторона» Антон Бочкарев советует обязательно разграничивать доступ к информации внутри компании и определять политику работы с данными, ведь это то, что не требует больших вложений.

При разработке политики по работе с данными важно ориентироваться на цели компании, определить места, средства обработки информации и владельцев информационных систем, обрабатывающих данные, а также назначить ответственных за обеспечение безопасности данных.

Илья Петров из Innostage подчеркивает, что важна детальная юридическая проработка внутренней документации, в которой будет регламентирован порядок обработки и хранения данных, разграничен доступ, назначены ответственные и установлена ответственность за нарушение этих правил.

4. Внедрить технические решения по защите данных

Существуют различные IT-решения: от простой парольной защиты документов до сложных многофункциональных профессиональных вариантов. И в каждой отдельной компании сервисы подбираются под задачи, масштаб и специфику бизнеса.

Как пояснили в «Киберпротект», можно защитить данные базовыми техническими средствами, начиная с разграничения доступа и простой парольной защитой документов, в некоторых ситуациях есть смысл пойти по пути обезличивания данных.

Однако это непросто и потребует создания специальных информационных систем, осуществляющих обработку персональных данных в обезличенной форме.

Противовесом к базовым техническим средствам защиты и организационным мерам всегда будет оставаться человеческий фактор, который позволит обойти все уровни защиты. В таких случаях на помощь приходят специализированные решения для предотвращения утечек данных (DLP).

Такие средства контролируют все основные каналы, по которым могут передаваться конфиденциальные данные, и моментально блокируют попытки их несанкционированной передачи.

Самый действенный метод защиты данных от утечек — это обезличивание информации, считают эксперты из Innostage. Для этого нужно изменить процесс обработки данных таким образом, чтобы итоговый массив информации не являлся персональными данными и не представлял ценности для злоумышленника, например, за счет хранения данных «по частям» — в разных таблицах и базах данных.

Если это невозможно реализовать в компании, подходящим решением будет централизация обработки персональных данных, их локализация в отдельных защищённых сегментах с контролем (или полным запретом) на распространение информации за пределы данного сегмента.

Пример такой практики — организация терминальной фермы для доступа сотрудников к системе персональных данных с запретом копирования информации на устройство сотрудника. Это позволяет обеспечить лучший контроль и защищённость информации, а также сэкономить средства на защите каждого отдельного рабочего компьютера.

Не всегда утрата персональных данных — это целенаправленная утечка. Злоумышленники могут зашифровать всю информацию.

Эксперты компании «Третья сторона» советуют с появлением развитой технической инфраструктуры стоит уйти от локального хранения персональных данных. Были случаи, когда потеря именно контактных данных клиентов (и почтового архива) была крайне болезненным следствием атаки шифровальщика. Популярным на рынке решением считается облако со сквозным шифрованием и резервным копированием.

5. Провести информационную работу с сотрудниками

Намеренный слив данных со стороны сотрудников — это частая причина утечек. Но, к сожалению, большинство компаний не уделяют достаточно внимания информационной работе с персоналом.

Эксперты из Innostage подчеркивают, что в компаниях важно до сотрудников доносить действующие правила по обеспечения безопасности при работе с данными, обсуждать ответственность в случае нарушений, а также проводить обучающие мероприятия по безопасной работе с данными и защите от внешних угроз.

Работники, имеющие доступ к данным, должны понимать, что они могут столкнуться со злоумышленниками, и в случае атаки должны быть готовыми правильно среагировать.

По словам Ярослава Каргалева, желание дополнительно подзаработать, продавая конфиденциальные данные конкурентам или мошенникам является частым мотивом нарушений у сотрудников.

Так, например, многие лично сталкивались с телефонным мошенничеством и звонками от «представителей» банка. Основной источник утечки этих персональных данных — инсайдеры в финансовых учреждениях.

Сегодня существует целый подпольный рынок слитых и похищенных данных. Мошенники активно ищут инсайдеров внутри интересующих их компаний. Как сообщили в Innostage, монетизация украденных данных зачастую становится мотивацией злоумышленников, как внутренних, так и внешних.

Данные представляют интерес для хакерских группировок, конкурентов, или просто рядовых мошенников, поэтому пользуются спросом в даркнете и хорошо монетизируются.

6. Настроить контроль и провести тестовые проверки

После разработки процесса обработки данных и внедрения технических решений эксперт из Innostage рекомендует настроить средства контроля конкретных мест обработки данных, каналов утечек и пользователей.

Важно также периодически проводить тестовые почтовые рассылки и звонки, обучать коллег быть внимательными к подозрительным письмам и звонкам, чтобы не стать жертвами фишинга и социотехнических атак в целом, советует Антон Бочкарев из компании «Третья сторона».

7. Быть готовыми к угрозам и устранению последствий