Утечка этой информации по вине сотрудников может нести для компании ущерб абсолютно разного уровня – от небольших репутационных издержек до серьезных последствий, ставящих под угрозу дальнейшее существование компании. «В моменте» понять потенциальный ущерб нередко бывает затруднительно – факт утечки данных сам по себе не опасен. Опасно то, кто, как, когда этой информацией воспользуется и с какими намерениями.
Рассмотрим на обезличенных примерах.
Один из агрегаторов допускает утечку персональных данных своих клиентов – физических лиц. Да, эту базу купят мошенники и будут использовать для телефонного скама. Да, база попадет в профильные Telegram-каналы. Да, потенциально через жертв утечки могут провести целевую атаку на организации, где они работают. Но для самого агрегатора риск скорее в ущербе деловой репутации и потере части клиентской базы, а также в символических штрафных санкциях.
В качестве второго примера рассмотрим ситуацию с крупным холдингом из сферы ТЭК. В холдинге происходит утечка внутренних документов, содержащих планы будущих слияний или поглощений новых юрлиц. Даже просто обнародование этих данных грозит серьезными бизнес-издержками и потерей капитализации всего холдинга. Возможен шантаж со стороны злоумышленника и, очевидно, простор для негативных сценариев в отношении холдинга более широкий, чем в первом сценарии.
Для оценки актуальности вопроса взглянем на некоторые новостные заголовки за последние годы.
5 октября 2019 года Сбербанк опубликовал на своем сайте сообщение о завершении внутреннего расследования по выявлению канала утечки данных учетных записей по кредитным картам клиентов, в результате которого удалось выявить похитителя данных. Им оказался сотрудник банка 1991 года рождения, руководитель сектора в одном из бизнес-подразделений Сбербанка, который имел доступ к базам данных в силу выполнения служебных обязанностей. Хищение учетных записей он попытался осуществить в корыстных целях, выяснили в Сбербанке.
Согласно исследованию InfoWatch, за девять месяцев 2020 года почти 80% утечек данных из российских компаний произошли из-за внутренних нарушений. Причем в России доля сливов по вине работников вдвое выше, чем в мире, — более 72%. Финансовый сектор занимает второе место по частоте краж данных (18,9% инцидентов), уступая хайтек-индустрии (21,9%).
По данным Банка России, за 2020 год мошенники украли у банковских клиентов около 9 млрд руб. Самым популярным способом атаки является социальная инженерия — психологические методы, направленные на введение жертв в заблуждение в целях кражи денежных средств. Злоумышленники звонят банковским клиентам, представляясь сотрудниками кредитных организаций, и для убеждения используют их персональные данные, которые в том числе можно получить из слитых баз.
28 июля 2022 года стало известно о том, что Верх-Исетский районный суд г. Екатеринбурга вынес приговор в отношении трех мужчин по уголовному делу о разглашении персональных сведений о клиентах банков. Об этом сообщила Прокуратура Свердловской области. По версии обвинения, в период до октября 2019 года Олег Беляев узнал о возможности за деньги получить персональные данные клиентов банков — контактную информацию, сведения о суммах кредита и страховой премии, дате и месте заключения кредитного договора, наименовании банка. С предложением о предоставлении информации о кредитных счетах клиентов банков он обратился к исполнительному директору финансово-юридического агентства, осуществляющего коммерческую деятельность по оказанию юридических услуг в сфере кредитования, в том числе по возвращению страховых премий по заключенным кредитным договорам. Через некоторое время им удалось договориться с руководителем допофиса «МТС-Банка» в одном из районов Москвы Андреем Вамичем. По данным гособвинения, банкир с ноября 2019 года по июнь 2021 года передал одному из обвиняемых информацию о не менее чем 5,6 тыс. клиентах банка. Впоследствии Олег Беляев аналогичным образом продал сведения о нескольких десятках клиентов других банков. Суд приговорил сотрудника «МТС-Банка» Андрея Вамича к трем годам и шести месяцам колонии строгого режима и выплате штрафа в размере свыше 5 млн руб. за продажу мошенникам информации о клиентах банка. Посредникам назначено условное наказание сроком от 3,5 до 4,5 лет и штрафы в размере около 11,7 млн руб. и около 8,4 млн руб.
Как видно из представленных примеров, актуальность внутренних утечек информации из компаний, находилась на высоком уровне еще до обострения политической ситуации. В текущих реалиях снижения реальных доходов населения подкуп сотрудников становится еще более вероятным сценарием, а людей и организаций, заинтересованных в хищении информации с применением инсайдеров, однозначно становится больше.
Что делать компаниям в таких условиях и как себя обезопасить? Существует несколько подходов – инфраструктурный, периметровый, ответственный. Давайте их рассмотрим.
Периметровым можно назвать традиционный подход, основная идея которого заключается в выстраивании мультивендорной эшелонированной периметровой защиты инфраструктуры организации с применением средств защиты информации классов Anti-Viruses, MailSecurity, NGFW, IDS/IPS, Anti-APT, WAF и многих других, с непременным рекомендуемым заведением событий безопасности от этих источников в SIEM.
Такой подход в целом применим и для защиты от внутреннего нарушителя. Тогда периметровой защитой обеспечивают внутренние критичные информационные и бизнес-системы. В этом случае чаще всего используют продукты классов WAF, DLP, DAG/DCAP, PAM, IGM. Одна из негативных особенностей подхода – это необходимость постоянного менеджмента систем защиты, особенно в условиях частой смены деятельности сотрудников, большой их численности и высокой ротации, что повышает операционные затраты на информационную безопасность. Другой негативный фактор – это низкая способность контролировать сложные каналы утечки – мессенджеры, фотографирование данных с экрана монитора, использование «черновиков» электронных писем в качестве транспорта файлов за периметр и так далее. То есть покрытие рисков получается неполное.
Инфраструктурный подход – это изначальная проработка архитектуры рабочих мест, сетевых коммуникаций и внутренних политик безопасности таким образом, чтобы сотрудники ни при каком стечении обстоятельств и при всем желании не смогли получить доступ к непредназначенным их глазам данным. А также максимально подавляющая политика пользовательских прав на местах с разрешением только предусмотренных рабочими процессами действий. К сожалению, такой подход применим только в жестко бюрократизированных структурах и чаще всего не подходит для решения задач стремительно развивающихся бизнесов.
Но есть и третий путь – подход ответственный. Он предусматривает введение ответственности сотрудников за принимаемые решения и предпринимаемые действия на рабочем месте. Ответственность при этом может назначаться с очень разных точек зрения – ответственность пользователей за соблюдение режимов конфиденциальности документов, ответственное хранение и обработка логов и событий безопасности офицерами и администраторами ИБ, ответственность за использование вверенных активов предприятия. Решения Crosstech Solutions Group дают полноценный инструментарий для формирования, введения в эксплуатацию и менеджмента политики ответственной информационной безопасности.
Продукт DSS (Docs Security Suite) - комплексное решение по управлению доступом к неструктурированным данным и контролю за их использованием с применением целостной системы административных процессов, политик и руководств. Это решение позволяет нивелировать недостаточное покрытие кейсов безопасности средствами DLP и DAG/DCAP за счет применения функциональных возможностей маркирования документов специальными метками уровня конфиденциальности, разграничения разрешенных действий пользователей с маркированными документам, шифрования документов, уникализации отображения документов на рабочих местах пользователей.
DataGrain ESO (Events Stream Optimization) – решение для сбора, анализа, консолидации, нормализации и хранения индексированных событий информационной безопасности, которое позволяет реализовать ответственный сбор, хранение и обработку логов IT-систем и ИБ-решений.
CrossTech Smart Assets (CTSA) – комплексное решение для контроля за состоянием ИТ-активов в компании. С помощью этого решения можно снизить эксплуатационные затраты на менеджмент активов и ввести принципы ответственного использования оборудования и лицензий сотрудниками предприятия.
Разумеется, единого решения проблемы внутренней утечки данных не существует. Для снижения рисков таких инцидентов рекомендуется использовать комбинированный подход, а именно:
- Продумать внутреннюю политику безопасности, сформировать перечень архитектурных изменений с учетом новой политики, разграничить доступы сотрудников к ключевым информационным системам и доступ за периметр организации средствами ИТ-инфраструктуры;
- Пересмотреть существующий подход к организации периметровой защиты инфраструктуры и, главное – внутренних информационных систем, с учетом модели потенциального внутреннего нарушителя. Провести модернизацию комплексной системы обеспечения информационной безопасности с учетом новых рисков;
- Ввести ответственную работу с данными – как структурированными (хранящимися в СУБД, ERP, MES, CRM, CLM, ITAM и т.д.), так и неструктурированными данными (документами) в организации;
- Разработать и ввести в работу регламенты по управлению парком используемых средств ИБ, их оперативной настройке/переконфигурации/обновлению в условиях изменяющегося ландшафта внешних и внутренних угроз. Озаботиться вопросом оптимизации процессов в рамках этих регламентов.
