Все тенденции, приобретающие мировые масштабы, рано или поздно становятся объектом для нападок мошенников или источником новых рисков. Так и глобальная цифровизация бизнеса стала палкой о двух концах. Увеличение объема виктимных данных и одновременное облегчение доступа к ним повлекло целую череду утечек информации и хакерских атак.
Статистика – вещь упрямая. И согласно аналитике за последние пять лет 65% случаев утечки информации в компаниях произошли из-за действий инсайдеров. Более 95% записей скомпрометированы по неосторожности — от незнания правил по обращению с данными или из-за сбоя в системе. Процент утечки персональных данных от общего количества инцидентов все пять лет не опускался ниже 60%.
В лидерах по утечкам — B2C-компании, имеющие большую клиентскую базу: это розничные банки, МФО и операторы связи. От самых громких утечек за последние пару лет пострадало более полумиллиарда учетных записей – напомню некоторые из них, чтобы не быть голословным.
Посему неудивительно, что свежий отчет Allianz risk Barometer 2019 считает нарушение кибербезопасности вторым по счету глобальных риском в предпринимательской деятельности. Большая часть нападений направлена на слабые места самых используемых приложений: браузеры, офисное ПО, программы Adobe. Как руководитель компании-разработчика систем для операторов связи, хочу остановиться на теме безопасности ПО и рассказать о предотвращении утечек по неосторожности сотрудников, которые скомпрометировали свои устройства или авторизацию.
Современные условия работы по типу BYOD или использование облаков не упрощают задачу кибербезопасности на предприятиях. Концепция BYOD параллельно с экономией бюджета, повышением эффективности работы сотрудников и их лояльности увеличивает риск утечки или кражи информации с личных устройств. Приходится искать баланс, так как сотрудники становятся ходячими мишенями для хакеров, а «одиночек», как известно, атаковать легче. Да и работники зачастую не пекутся о сохранении безопасности данных на личных девайсах.
На первый план выходят риски потери данных вместе с гаджетом, заражение компьютеров через рабочую сеть, использование сотрудниками нелицензионного ПО и ломаных OC, атаки класса Man-in-the-Middle. Обычно проблемы решаются использованием VDI с многофакторной аутентификацией и базовым мониторингом устройств, но и подробным инструктажем о защите данных советую не пренебрегать.
90% утечек корпоративных данных из облаков тоже спровоцированы человеческим фактором. Виной всему социальная инженерия, а вовсе не облачные провайдеры. Психологические наживки становятся изощренными и продуманными, поэтому в случае работы в «облаках» следует уделять этому особое внимание.
Первое, о чем следует позаботиться для предотвращения утечек – исключение компрометации доступа при аутентификации сотрудников на уровне сетевого стека. Все инструменты для этих целей по сути завязаны на 2F аутентификации.
Одним из самых привлекательных вариантов кажется биометрия, которую уже начинают внедрять российские банки. Но если говорить не о личном смартфоне с одним владельцем, биометрические технологии лучше не использовать в качестве единственной защиты доступа. Для гарантии безопасности биометрическая информация подтверждается смарт-картой, токеном или паролем. Собственно, такие правила пока диктует и ЦентроБанк с международными стандартами ISO/IEC 29003, FIPS Pub 201-2.
Упомянутые токены, к слову, лучше всего подходят для защиты аутентификации в случае невозможности внедрения биометрических систем. Генерация одноразовых паролей в аппаратных токенах надежнее, чем программный аналог или SMS. GSM-сигнал не перехватить ни хакеру, ни антивирусу, да и банальная разрядка телефона больше не будет проблемой. Ну а самый ТОП – это перепрошивыемые бесконтактные аппаратные токены, которые, кстати, еще и сэкономят бюджет.
Не могу не поделиться и опытом моей компании Forward Telecom. Мы работаем с операторами, системы которых обрабатывают гигантские массивы персональных данных абонентов, утечку которых компании просто не могут себе позволить. Поэтому при разработке программ для операторов связи, будь то биллинг, PRM или CRM, мы много внимания уделяем инструментам для предотвращения утечек информации из-за инсайдеров и быстрого исправления ситуации, если доступ скомпрометирован. И вот наши фавориты, проверенные годами.
1. Логирование.
Журналирование пользовательских действий сотрудников оператора и подробный лог отслеживают потенциальные и реальные угрозы внутренней утечки. Перехват неосторожных или умышленных операций позволяет программе мгновенно блокировать запуск и установку приложений, набранный текст и работу с опасными файлами. В качестве бонуса логирование на ежедневной основе можно использовать как контроль за рабочим временем сотрудников.
2. Распределение прав.
Многие пренебрегают настройкой прав и ограничением доступа к конфиденциальной и важной информации, а потом расплачиваются за это миграцией данных не в те руки. Просматривать и редактировать файлы, способные в свободном доступе нанести вред компании, должен только ограниченный круг ответственных лиц – для меня это уже аксиома.
3. Многоуровневое бэкапирование.
Больше, еще больше резервных копий. Это тот случай, когда «слишком» не бывает. SSD в качестве оптимизированного кэша чтения/записи продлевает хронологию бэкапов. Думаю, все согласятся с тем, что лучше старая версия данных, чем их потеря без возможности восстановления.
4. Песочницы.
Мы ЗА развитие и эксперименты – как свои, так и клиентские. Экспериментировать нужно и можно, но лучше осторожно, а еще лучше – в песочницах. А уж об открытии подозрительных и непроверенных файлов я вообще молчу. Песочница в ПО – панацея от «сырого» кода и вирусов, как следствие – панацея от утечек.
5. Верификация файлов.
Проверка документов на подлинность, особенно после бэкапирования, помогает избежать подмены файлов вирусами и гарантирует их техническую чистоту.
6. Доступ к системе по защищенным каналам.
В эпоху расцвета практики удаленной работы большое внимание необходимо уделять защите каналов используемых сотрудниками для работы из дома.
7. Проверка аппаратно-программных слепков устройств, с которых осуществляется вход.
Программа создает слепок системы девайсов с информацией об ID материнской платы и серийном номере жесткого диска. Файл C2V хранится в центре лицензирования и при аутентификации сравнивает его с текущим. При несовпадении ключ блокируется.
8. Система алертинга при компрометации устройства.
Если все же доступ был скомпрометирован, лучше узнать об этом в ту же секунду. Система алертов оповещает ответственных, чтобы те приняли меры по предотвращению утечки информации и персональных данных.
Разрабатывая ПО, в части безопасности я и мои коллеги руководствуемся одним принципом: «Лучше перебдеть, чем недобдеть». Учитывая мировую и российскую статистику трата до 30% времени на создание и тестирование инструментов многоуровневой защиты вполне оправдана.
Делитесь, какие механизмы в вашей практике обеспечивали лучшую защиту от утечек информации и компрометации доступа.
Статистика – вещь упрямая. И согласно аналитике за последние пять лет 65% случаев утечки информации в компаниях произошли из-за действий инсайдеров. Более 95% записей скомпрометированы по неосторожности — от незнания правил по обращению с данными или из-за сбоя в системе. Процент утечки персональных данных от общего количества инцидентов все пять лет не опускался ниже 60%.
В лидерах по утечкам — B2C-компании, имеющие большую клиентскую базу: это розничные банки, МФО и операторы связи. От самых громких утечек за последние пару лет пострадало более полумиллиарда учетных записей – напомню некоторые из них, чтобы не быть голословным.
- В марте 2017 года хакеры выставили на продажу данные от 25 миллионов аккаунтов Gmail и 5 миллионов аккаунтов Yahoo.
- В ноябре 2018 хакеры раздобыли личные сведения о 120 миллионах пользователей Facebook, а часть информации вообще оказалась в свободном доступе.
- Самый резонансный случай в декабре 2018 года: закрытие социальной сети Google+ после утечки личных данных 52,5 миллионов владельцев аккаунтов.
- Секретную информацию выкрали в апреле 2018 года даже у NASA, которые скрывали инцидент до недавнего времени.
- В апреле впервые утекли в общий доступ данные Центробанка, а именно «черный список» клиентов, которым отказано в обслуживании.
- Еще один отечественный прокол: в мае 2019 в открытом доступе обнаружили внутренние файлы портала Госуслуг. Например, список ответственных лиц с личными данными, в том числе руководителя подразделения межведомственного взаимодействия ФСБ.
Посему неудивительно, что свежий отчет Allianz risk Barometer 2019 считает нарушение кибербезопасности вторым по счету глобальных риском в предпринимательской деятельности. Большая часть нападений направлена на слабые места самых используемых приложений: браузеры, офисное ПО, программы Adobe. Как руководитель компании-разработчика систем для операторов связи, хочу остановиться на теме безопасности ПО и рассказать о предотвращении утечек по неосторожности сотрудников, которые скомпрометировали свои устройства или авторизацию.
BYOD и облака
Современные условия работы по типу BYOD или использование облаков не упрощают задачу кибербезопасности на предприятиях. Концепция BYOD параллельно с экономией бюджета, повышением эффективности работы сотрудников и их лояльности увеличивает риск утечки или кражи информации с личных устройств. Приходится искать баланс, так как сотрудники становятся ходячими мишенями для хакеров, а «одиночек», как известно, атаковать легче. Да и работники зачастую не пекутся о сохранении безопасности данных на личных девайсах.
На первый план выходят риски потери данных вместе с гаджетом, заражение компьютеров через рабочую сеть, использование сотрудниками нелицензионного ПО и ломаных OC, атаки класса Man-in-the-Middle. Обычно проблемы решаются использованием VDI с многофакторной аутентификацией и базовым мониторингом устройств, но и подробным инструктажем о защите данных советую не пренебрегать.
90% утечек корпоративных данных из облаков тоже спровоцированы человеческим фактором. Виной всему социальная инженерия, а вовсе не облачные провайдеры. Психологические наживки становятся изощренными и продуманными, поэтому в случае работы в «облаках» следует уделять этому особое внимание.
Сим-сим, откройся
Первое, о чем следует позаботиться для предотвращения утечек – исключение компрометации доступа при аутентификации сотрудников на уровне сетевого стека. Все инструменты для этих целей по сути завязаны на 2F аутентификации.
Одним из самых привлекательных вариантов кажется биометрия, которую уже начинают внедрять российские банки. Но если говорить не о личном смартфоне с одним владельцем, биометрические технологии лучше не использовать в качестве единственной защиты доступа. Для гарантии безопасности биометрическая информация подтверждается смарт-картой, токеном или паролем. Собственно, такие правила пока диктует и ЦентроБанк с международными стандартами ISO/IEC 29003, FIPS Pub 201-2.
Упомянутые токены, к слову, лучше всего подходят для защиты аутентификации в случае невозможности внедрения биометрических систем. Генерация одноразовых паролей в аппаратных токенах надежнее, чем программный аналог или SMS. GSM-сигнал не перехватить ни хакеру, ни антивирусу, да и банальная разрядка телефона больше не будет проблемой. Ну а самый ТОП – это перепрошивыемые бесконтактные аппаратные токены, которые, кстати, еще и сэкономят бюджет.
Кто предупрежден, тот вооружен
Не могу не поделиться и опытом моей компании Forward Telecom. Мы работаем с операторами, системы которых обрабатывают гигантские массивы персональных данных абонентов, утечку которых компании просто не могут себе позволить. Поэтому при разработке программ для операторов связи, будь то биллинг, PRM или CRM, мы много внимания уделяем инструментам для предотвращения утечек информации из-за инсайдеров и быстрого исправления ситуации, если доступ скомпрометирован. И вот наши фавориты, проверенные годами.
1. Логирование.
Журналирование пользовательских действий сотрудников оператора и подробный лог отслеживают потенциальные и реальные угрозы внутренней утечки. Перехват неосторожных или умышленных операций позволяет программе мгновенно блокировать запуск и установку приложений, набранный текст и работу с опасными файлами. В качестве бонуса логирование на ежедневной основе можно использовать как контроль за рабочим временем сотрудников.
2. Распределение прав.
Многие пренебрегают настройкой прав и ограничением доступа к конфиденциальной и важной информации, а потом расплачиваются за это миграцией данных не в те руки. Просматривать и редактировать файлы, способные в свободном доступе нанести вред компании, должен только ограниченный круг ответственных лиц – для меня это уже аксиома.
3. Многоуровневое бэкапирование.
Больше, еще больше резервных копий. Это тот случай, когда «слишком» не бывает. SSD в качестве оптимизированного кэша чтения/записи продлевает хронологию бэкапов. Думаю, все согласятся с тем, что лучше старая версия данных, чем их потеря без возможности восстановления.
4. Песочницы.
Мы ЗА развитие и эксперименты – как свои, так и клиентские. Экспериментировать нужно и можно, но лучше осторожно, а еще лучше – в песочницах. А уж об открытии подозрительных и непроверенных файлов я вообще молчу. Песочница в ПО – панацея от «сырого» кода и вирусов, как следствие – панацея от утечек.
5. Верификация файлов.
Проверка документов на подлинность, особенно после бэкапирования, помогает избежать подмены файлов вирусами и гарантирует их техническую чистоту.
6. Доступ к системе по защищенным каналам.
В эпоху расцвета практики удаленной работы большое внимание необходимо уделять защите каналов используемых сотрудниками для работы из дома.
7. Проверка аппаратно-программных слепков устройств, с которых осуществляется вход.
Программа создает слепок системы девайсов с информацией об ID материнской платы и серийном номере жесткого диска. Файл C2V хранится в центре лицензирования и при аутентификации сравнивает его с текущим. При несовпадении ключ блокируется.
8. Система алертинга при компрометации устройства.
Если все же доступ был скомпрометирован, лучше узнать об этом в ту же секунду. Система алертов оповещает ответственных, чтобы те приняли меры по предотвращению утечки информации и персональных данных.
Разрабатывая ПО, в части безопасности я и мои коллеги руководствуемся одним принципом: «Лучше перебдеть, чем недобдеть». Учитывая мировую и российскую статистику трата до 30% времени на создание и тестирование инструментов многоуровневой защиты вполне оправдана.
Делитесь, какие механизмы в вашей практике обеспечивали лучшую защиту от утечек информации и компрометации доступа.