что позволяет снизить риск утечки данных с цифрового носителя шифрование
Как минимизировать риск утечки персональных данных для компании
Сотрудник аналитического отдела Falcongaze
Компании оперируют миллионами строк данных пользователей своих услуг. Эти данные являются лакомым кусочком для злоумышленников, ведь их можно использовать в своих целях большим количеством способов. Поэтому количество кибератак и утечек данных постоянно растет. А это, в свою очередь, наносит все больше ущерба компаниям.
Как пользовательские данные могут утечь в сеть, чем это может обернуться для компании и как минимизировать риск утечки? Аналитический отдел Falcongaze разобрался в этой проблеме.
Как пользовательские данные утекают в сеть
Причин утечек данных, на самом деле, достаточно много. Но их можно разделить на условные две группы:
Внешние причины — это все, что не относится к системам компании и ее персоналу. Как правило, это такие действия злоумышленников, как фишинговые атаки, попытки подбора учетных данных для входа в систему, использование уязвимостей программ, которыми пользуется компания или даже попытки физического проникновения.
К внутренним же можно отнести все, что может позволить информации утечь, и находится внутри компании. Например, это может быть подкупленный злоумышленниками сотрудник (инсайдер) или неправильно настроенный сервер, который случайно индексируется поисковыми системами и дает доступ к базам данных, которые на нем хранятся.
На самом деле, нередко утечку вызывают одновременно и внешние, и внутренние утечки. Например, злоумышленники провели фишинговую рассылку с вредоносным вложением по сотрудникам компании и халатные или необученные цифровой гигиене сотрудники открыли это письмо и скачали вредонос на рабочий компьютер.
Какие последствия для компании может иметь утечка данных
Утечки данных могут нанести серьезный ущерб компании по двум направлениям:
Как компании минимизировать риск утечки данных
Способов усилить защиту информации в компании много. Среди них можно выделить:
Но по отдельности все эти меры малоэффективны. Их нужно применять вместе, чтобы достичь максимального эффекта. Например, анализ защищенности или пентест позволят выявить наиболее слабые места в защите информации, а исходя из полученных отчетов и рекомендаций специалистов можно применить и другие методы, будь то переход на более надежное ПО или обучение сотрудников цифровой гигиене и основам информационной безопасности.
Конечно, все это стоит недешево (например, простой пентест с помощью социальной инженерии по электронной почте может стоить от 150 тысяч рублей, но в итоге, если компания работает с большим количеством конфиденциальных данных, это с высокой долей вероятности все равно обойдется дешевле, чем убытки в случае утечки этих данных.
Обзор: как снизить вероятность утечки персональных данных
С момента разоблачений Эдварда Сноудена прошло уже шесть лет, но ситуация с приватностью в интернете не становится лучше. Спецслужбы всего мира по прежнему стремятся узнать как можно больше информации о простых пользователях сети, а киберпреступники стремятся использовать эти данные для личной выгоды. Регулярно появляются сливы о новых программах глобальной слежки, ботнетах из сотен тысяч взломанных домашних устройств.
И хотя понятно, что полностью защитить приватность, если спецслужбы вам заинтересовались, получится вряд ли, все же есть средства, позволяющие снизить вероятность утечки своих данных в руки правительственных агентств и злоумышленников со всего мира.
Инструменты шифрования
Инструменты, которые позволяют пользователям шифровать данные и коммуникации, очень не нравятся спецслужбам во всем мире. Они ищут уязвимости в алгоритмах шифрования, внедряют в них бэкдоры, пытаются блокировать доступ к таким сервисам. Стопроцентной гарантии защиты не даст ни один инструмент, однако их комбинация может значительно снизить вероятность утечки ваших личных данных. Вот, какие из них стоит использовать:
Ограничения по выходу в интернет для разных гаджетов
Развитие интернета вещей с одной стороны удобно, а с другой к сети сейчас подключается все больше устройств, и даже те, кому этого не очень-то и нужно. Smart TV, видеоняни, веб-камеры – все эти устройства можно взломать, зачастую удаленно и без всяких затрат.
Исследования показывают, что разработчики подключаемых гаджетов не очень заботятся о безопасности и оставляют в прошивках множество уязвимостей, включая вшитые пароли по умолчанию – не нужно быть хакером, чтобы прочитать их в документации, найти «торчащий» в сеть девайс через Shodan и захватить полный контроль над ним. В итоге возможны ситуации, когда взломщикам удавалось подглядывать за семьями, которые использовали видеоняни, и даже разговаривать с детьми через встроенный микрофон или фотографировать их и выкладывать снимки в сеть.
Один из утекших снимков
Исследователи безопасности установили, что пароли примерно 15 из 100 девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар, можно получить доступ к «админке» каждого десятого устройства:
Популярные стандартные логины/пароли, которые устанавливаются по-умолчанию производителями IoT-устройств
Поскольку вы не сможете повлиять на уязвимости такого рода, выход один – отключать доступ в интернет для всех устройств, которым он не нужен для выполнения основных функций. Если умный холодильник может охлаждать еду без подключения к сети – пусть так и работает.
Установка обновлений
Удивительно, как много людей не следуют этому простому, но эффективному совету. По статистике, средний возраст прошивки на среднестатистическом домашнем роутере составляет 3–4 года. За это время в них находят десятки уязвимостей, в том числе критических. В итоге любому, кто захочет проникнуть в домашнюю сеть, не нужно предпринимать усилий, а просто использовать эксплоит к уже известной ошибке.
Установка обновлений – не самое веселое занятие в мире, но оно реально повышает уровень защищенности.
Нельзя разменивать безопасность на удобство
Главным образом этот совет подразумевает ограниченное использование облачных сервисов. Вы не можете быть уверены в безопасности своих данных и файлов, если они хранятся не на вашем сервере, агде-то в облаке. Даже в случае утечки с личного сервера, отследить ее источник будет проще.
Спецслужбы США и других стран используют системы фильтрации интернет-трафика, поэтому данные, отправляемые в сторону облачных сервисов можно перехватить.
Используйте сервисы и инструменты с фокусом на приватности
Понятно, что полностью отказаться от использования различных цифровых сервисов не удастся, но вы всегда можете отобрать те, что помогут защитить приватность. Вот список полезных инструментов:
Заключение: только комплексные меры дают результат
Обеспечение приватности – это процесс, который никогда не должен заканчиваться. Чтобы добиться результата необходимо погрузиться в тему глубже, чем чтение пары поверхностных статей в интернете.
К примеру, в сети немало статей, которые рассказывают о пользе использования режиме инкогнито в браузере – на деле же он никак не помешает спецслужбам и обычным хакерам отследить онлайн-активность пользователя. Точно также многое написано об анонимности биткоина, но на практике криптовалюта не является приватной – все транзакции записываются в блокчейн, а использование сервисов вроде криптокошельков позволяет связать личность с конкретными транзакциями.
Только комплексные меры, включающие анализ подключений к сети, установку обновлений, шифрование и использование защищенных инструментов позволят усложнить работу тем, кто хочет шпионить за вами.
Способы предотвращения утечки информации
Защита данных
с помощью DLP-системы
У течка информации является серьезной опасностью для многих предприятий. Она может произойти в результате умысла третьих лиц или по неосторожности сотрудников. Умышленная организация утечки совершается с двумя целями: первой из них становится нанесение ущерба государству, обществу или конкретному предприятию, эта цель характерна для проявлений кибертерроризма; второй целью является получение преимущества в конкурентной борьбе.
Непреднамеренная утечка происходит чаще всего по неосторожности сотрудников организации, но также может привести к серьезным неблагоприятным последствиям. Создание системы защиты информационных активов от утраты в компаниях всех типов должно осуществляться на профессиональном уровне, с использованием современных технических средств. Для этого необходимо иметь представление о каналах утечки и способах блокировки этих каналов, а также о требованиях, предъявляемых к современным системам безопасности.
«СёрчИнформ КИБ» перехватывает данные, передаваемые по различным каналам – почта, облачные сервисы, съемные носители, мессенджеры, документы, отправленные на печать. Программа анализирует поток данных и выявляет случаи их небезопасного использования.
Нормативная основа
Все информационные массивы делятся на две основные группы:
К первым относятся данные, содержащие государственную тайну и иные сведения, предусмотренные федеральными законами. Это персональные данные сотрудников и клиентов, защищаемые в соответствии с Законом «О персональных данных». Их бесконтрольное распространение может нанести ущерб личности и ее безопасности. К этой группе сведений относится и банковская тайна, которая охраняется на основании закона «О банках и банковской деятельности», и некоторые другие. Утечка этих сведений способна привести к финансовому ущербу для клиентов, который может быть переложен на виновника в регрессном порядке.
Коммерческая и профессиональная тайна организации, представляющая интерес для ее конкурентов, охраняется в соответствии с нормами Гражданского и Трудового кодекса и внутренними нормативно-правовыми актами компании. Чаще всего она представляет интерес для конкурентов компании, которые могут использовать ее в борьбе за преимущества на рынках сбыта, но может она иметь и самостоятельную ценность для преступных группировок.
Создание ситуации для хищения информации или само преступление преследуются в соответствии с Уголовным кодексом, в котором содержится статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
Утечка и перехват информации
С точки зрения терминологии необходимо различать утечку информации и ее перехват. Перехват – это незаконный способ овладения сведениями с использованием технических средств. Утечка информации – это ее утрата при распространении по каналам связи и физическому пространству по всем типам причин, включая и перехват, и перенаправление. Намеренно созданная утечка информации по техническим каналам предполагает установку на пути ее распространения различных устройств, осуществляющих ее перехват.
Этот термин применяется чаще в профессиональной сфере, на практике под данным определением понимаются все типы утечек, основанные и на человеческом, и на техническом факторе. Неправомерный акт записи сведений, содержащих охраняемую законом тайну, на внешний носитель и вынос его за пределы корпоративного пространства является наиболее распространенным способом хищения. Современные DLP-системы настраиваются сейчас в основном на опасности, исходящие от корпоративного пользователя, а не от внешнего проникновения.
Примером такой ситуации стал случай, когда корпорация Google подала в суд на Uber, принявшую на работу бывшего сотрудника компании. Топ-менеджер неправомерно скопировал практически все данные, связанные с разработкой под его руководством беспилотного автомобиля. Система безопасности, существующая в одной из крупнейших корпораций мира, не смогла предотвратить хищение сведений, совершенное одним из ее топ-менеджеров. При этом судебные перспективы возмещения причиненного вреда туманны, так как между компанией и сотрудником, очевидно, не было заключено соглашение, определяющее механизм возмещения ущерба в этом случае. Ответчиком была выбрана именно Uber, ставшая выгодоприобретателем хищения. Файлы, возможно, были возвращены, но информация, содержащаяся на них, могла быть использована для создания конкурентных преимуществ.
Этот случай говорит о том, что вне зависимости от уровня компании риск утраты информации одинаково серьезен для всех.
Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».
Организации в зоне риска
Исходя из вышеприведенных критериев защищаемых данных, различаются несколько типов субъектов предпринимательского оборота, находящихся в основной зоне риска утечки информации. Это:
Всем им необходимо в максимальной степени использовать доступные способы предотвращения утечки информации, так как ущерб в этом случае может быть причинен не только непосредственно юридическому лицу, но и неопределенно широкому кругу лиц. В ряде случаев за непринятие мер защиты компания может быть привлечена к ответственности. Каждый канал утечки информации должен быть проанализирован с точки зрения определения его безопасности и максимально защищен.
Технические каналы утечки информации
Выделяются четыре основных группы технических способов организации утечки информации:
В каждом случае использования технического канала утечки конкурентами применяются самые современные способы получения и обработки сведений, и само знание о наличии таких возможностей должно помочь снизить уровень риска. Для полного снятия опасности необходима коммуникация с профессионалами, которые смогут определить наиболее ценные массивы данных, являющиеся целью для возможных атак, предложить полный комплекс средств защиты.
Визуально-оптические средства
Если экран монитора или часть лежащих на столе документов можно увидеть через окно офиса, возникает риск утечки. Любой световой поток, исходящий от источника информации, может быть перехвачен. Для борьбы с этим способом необходимо применять в большинстве случаев простые технические средства:
Но существует и более типичный риск утечки видовой информации: вынос документов из помещения для их фотографирования, иные формы копирования, скрины экранов баз данных, содержащих важные сведения, и другие способы. Основные меры борьбы с этими рисками относятся исключительно к административно-организационной сфере, хотя существуют программные средства, которые, например, не дают возможности сделать скрин данных, выводимых на экран монитора.
Акустические каналы
Информация, существующая в форме звука, наиболее незащищена от перехвата и утечки. Звук, который находится в ультрадиапазоне (более 20 тысяч герц), легко распространяется. Если на его пути окажется преграда, звуковая волна вызовет в ней колебания, и они будут считаны специальными устройствами. Это свойство звука должно быть учтено уже на стадии проектировки здания или офиса, где расположение помещений архитекторами должно продумываться так, чтобы исключить утечку информации. Если этот способ нереализуем, необходимо обратиться к техническим средствам и использовать для отделки помещения звукоотражающие материалы, например, пористую штукатурку. Для оценки степени защищенности используются стетоскопы.
Если не удается добиться максимального звукопоглощения, могут быть применены генераторы шума, которые можно установить по периметру не защищенных от прослушивания основных стен здания или в переговорных.
Утечка акустической информации возможна также с использованием диктофонов при проведении переговоров. Для выявления их наличия используются специальные устройства. Установка приборов снятия голосового сигнала на телефонные аппараты (жучков) сейчас практически не применяется, используется перехват цифрового трафика другим способом, в том числе через телефонного оператора или через Интернет-провайдера. Эту степень риска тоже стоит учитывать, возможно, путем создания специальных инструкций о той конфиденциальной информации, которая может быть обсуждаема в телефонных переговорах.
Электромагнитные каналы и каналы связи
Представляет опасность также перехват информации, содержащейся в побочных электромагнитных излучениях. Электромагнитные волны, распространяясь в пределах электромагнитного поля на небольшом расстоянии, также могут быть перехвачены. Они могут исходить:
Перехватить и расшифровать их не представляет сложности для современных технических средств.
Технологии позволяют подключать закладные устройства ПЭМИН (термин расшифровывается как «побочные электромагнитные излучения и наводки») непосредственно к цепям питания или же установить в мониторе или корпусе компьютера, при этом они через внутренние подсоединения к платам могут перехватывать данные:
Способами борьбы в этом случае станут заземление проводов, экранирование наиболее явных источников электромагнитного излучения, выявление закладок или же использование специальных программных и аппаратных средств, позволяющих выявить закладки. Но информация, передаваемая по сети Интернет, является доступной для перехвата. Здесь борьба с ее хищениями может осуществляться и аппаратными, и программными техническими средствами.
Материально-вещественные каналы
Обыкновенный мусор или производственные отходы могут стать ценным источником данных. Химический анализ отходов, покидающих пределы контролируемой зоны, может стать источником получения важнейших сведений о составе продукции или о технологии производства. Для разработки системы борьбы с этим риском необходимо комплексное решение с использованием в том числе и технологий переработки отходов.
Все вышеперечисленные способы утечки информации (кроме материально-вещественного) требуют территориальной доступности источника для похитителя, зона работы обычного устройства перехвата звуковой или визуальной информации не превышает нескольких десятков метров. Установка закладных устройств для съема электромагнитных излучений и акустических колебаний должна потребовать прямого проникновения на объект. Также необходимо знание его планировки, это может потребовать вербовки сотрудника. При том, что большинство помещений оснащено камерами видеонаблюдения, эти способы сейчас применяются в крайне редких случаях.
Наиболее же серьезную опасность несут современные способы хищения с использованием возможностей сети Интернет и доступа с ее помощью к архивам данных или голосовому трафику.
Способы предотвращения утечки информации
Для эффективной защиты от всех вышеприведенных способов утечки необходима разработка системы мер безопасности, в которую входят две основные группы действий и мероприятий:
И первая и вторая группы мероприятий перед их внедрением требуют обязательного консультирования с профессионалами, особенно если компания имеет намерение получить лицензию на работу с государственной тайной. Применяемые технические средства должны быть сертифицированы и допущены к обороту на территории РФ, недопустимо в целях защиты информации использовать или не опробованные, или запрещенные, относящиеся к категории «шпионских». Защита информации должна основываться только на правовых методах борьбы.
Система безопасности должна проектироваться комплексно, опираясь как на базис на организационные меры. Все ее элементы должны составлять единый комплекс, контроль над работоспособностью которого должен быть возложен на компетентных сотрудников.
Если у компании нет выделенной службы информационной безопасности, выходом станет внедрение и обслуживание «СёрчИнформ КИБ» по принципу ИБ-аутсорсинга.
Принципы проектирования систем защиты
Существуют определенные принципы, на которых должна основываться комплексная система мер по защите конфиденциальной информации от утечек:
Построение систем такого уровня не всегда требуется небольшим торговым фирмам, но для крупных компаний, особенно сотрудничающих с государственным заказчиком, оно является насущной необходимостью.
Административно-организационные меры
За их соблюдение должен нести ответственность руководитель компании, а также один из его заместителей, в чьем ведении находится служба безопасности. Почти 70% от общей степени безопасности сведений зависит именно от административно-технических мер, так как в деятельности служб коммерческого шпионажа использование случаев подкупа сотрудников встречается гораздо чаще, чем использование специальных технических средств хищения сведений, требующих высокой квалификации и раскрытия информации третьим лицам, непосредственно не участвующим в конкурентной борьбе.
Разработка документации
Все нормативно-правовые акты организации, посвященные защите коммерческой тайны и иных сведений, должны соответствовать самым строгим требованиям, предъявляемым к аналогичным документам, необходимым для получения лицензии. Это связано не только с тем, что они наиболее проработаны, но и с тем, что качественная подготовка этого типа документации даст в будущем возможность защиты позиции компании в суде при возникновении споров об утечке информации.
Работа с персоналом
Персонал является наиболее слабым звеном в любой системе защиты информации от утечек. Это приводит к необходимости уделять работе с ним максимальное внимание. Для компаний, работающих с государственной тайной, предусмотрена система оформления допусков. Иным организациям необходимо принимать различные меры для обеспечения ограничения возможности работы с конфиденциальными данными. Необходимо составить перечень сведений, составляющих коммерческую тайну, и оформить его в качестве приложения к трудовому договору. При работе с информацией, содержащейся в базе данных, должны быть разработаны системы допуска.
Необходимо ограничить все возможности копирования и доступ к внешней электронной почте. Все сотрудники должны быть ознакомлены с инструкциями о порядке работы со сведениями, содержащими коммерческую тайну, и подтвердить это росписями в журналах. Это позволит при необходимости привлечь их к ответственности.
Пропускной режим, существующий на объекте, должен предполагать не только фиксацию данных всех посетителей, но и сотрудничество только с охранными предприятиями, которые также соответствуют всем требованиям безопасности. Ситуация, когда сотрудник ЧОПа дежурит в ночное время на объекте, в котором сотрудники для удобства системного администратора записывают свои пароли и оставляют их на рабочем столе, может являться столь же опасной, как и работа хакера-профессионала или заложенные в помещении технические средства перехвата.
Работа с контрагентами
Достаточно часто виновниками утечек информации становятся не сотрудники, а контрагенты компании. Это многочисленные консалтинговые и аудиторские компании, фирмы, поставляющие услуги по разработке и обслуживанию информационных систем. Как достаточно любопытный, хоть и спорный, пример можно привести украинскую ситуацию, где была запрещена работа ряда дочерних компаний 1С из-за подозрений в возможности хищения ее сотрудниками конфиденциальной бухгалтерской информации. Ту же опасность представляют распространенные сегодня облачные CRM-системы, которые предлагают услуги облачного хранения информации. При минимальном уровне их ответственности за сохранность доверенных им сведений никто не сможет гарантировать, что вся база телефонных звонков клиентов, записанная в системе при ее интеграции с IP-телефонией, не станет одномоментно добычей конкурентов. Этот риск должен оцениваться как очень серьезный. При выборе между серверными или облачными программами следует выбирать первые. По данным Microsoft число кибератак на облачные ресурсы в этом году возросло на 300%
Столь же осторожно необходимо относиться ко всем контрагентам, которые требуют передачи им данных, составляющих коммерческую тайну. Во всех договорах должны быть предусмотрены условия, вводящие ответственность за ее разглашение. Достаточно часто акты оценки собственности и акций, аудиторских проверок, консалтинговых исследований перепродаются конкурирующим организациям.
Планировочные и технические решения
При планировании архитектуры помещения, в котором проводятся переговоры или находится защищаемая информация, должны соблюдаться все требования ГОСТа по способам защиты. Помещения переговорных должны быть способны пройти необходимую аттестацию, должны применяться все современные способы экранирования, звукопоглощающие материалы, использоваться генераторы помех.
Технические средства и системы предотвращения утечек
Для защиты информации от утечки или хищения необходимо применять широкий спектр мер аппаратно-технического характера. Современные технические средства подразделяются на четыре группы:
Инженерные
Эта категория средств защиты применяется в рамках реализации планировочно-архитектурных решений. Они представляют собой устройства, физически блокирующие возможность проникновения посторонних лиц к охраняемым объектам, системы видеонаблюдения, сигнализации, электронные замки и другие аналогичные технические приспособления.
Аппаратные
К ним относятся измерительные приборы, анализаторы, технические устройства, позволяющие определять места нахождения закладных приборов, все, что позволяет выявить действующие каналы утечки информации, оценить эффективность их работы, выявить значимые характеристики и роль в ситуации с возможной или произошедшей утратой сведений. Среди них присутствуют индикаторы поля, радиочастотометры, нелинейные локаторы, аппаратура для проверки аналоговых телефонных линий. Для выявления диктофонов используются детекторы, которые обнаруживают побочные электромагнитные излучения, по тому же принципу работают детекторы видеокамер.
Программные
Это наиболее значимая группа, так как с ее помощью можно избежать проникновения в информационные сети посторонних лиц, блокировать хакерские атаки, предотвратить перехват информации. Среди них необходимо отметить специальные программы, обеспечивающие системную защиту информации. Это DLP-системы и SIEM-системы, наиболее часто применяемые для создания механизмов комплексной информационной безопасности. DLP (Data Leak Prevention, системы предотвращения утечек данных) обеспечивают полную защиту от утраты конфиденциальной информации. Сегодня они настраиваются в основном на работу с угрозами внутри периметра, то есть исходящими от пользователей корпоративной сети, а не от хакеров. Системы применяют широкий набор приемов выявления точек утраты или преобразования информации и способны блокировать любое несанкционированное проникновение или передачу данных, автоматически проверяя все каналы их отправки. Они анализируют трафик почты пользователя, содержимое локальных папок, сообщения в мессенджерах и при выявлении попытки переправить данные блокируют ее.
SIEM-системы (Security Information and Event Management) управляют информационными потоками и событиями в сети, при этом под событием понимается любая ситуация, которая может повлиять на сеть и ее безопасность. При ее возникновении система самостоятельно предлагает решение об устранении угрозы.
Программные технические средства могут решать отдельные проблемы, а могут и обеспечивать комплексную безопасность компьютерных сетей.
Криптографические
Эта категория обеспечивает алгоритмы шифрования всей информации, которая передается по сетям или хранится на сервере. Даже при утрате она не будет представлять интерес для гипотетического конкурента.
Комплексное применение всего диапазона методов защиты может быть избыточным, поэтому для организации систем защиты информации в конкретной компании нужно создавать собственный проект, который окажется оптимальным с ресурсной точки зрения.