Антон Иванов, «Лаборатория Касперского»: В случае появления новости об утечке компания должна максимально быстро обратиться к киберразведке

Уходящий год в российской кибербезопасности можно ознаменовать годом утечек данных. При этом далеко не все новости о «сливах» были реальны. О том, что делать с подобными фейковыми утечками данных, порталу Cyber Media рассказал директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов.

Cyber Media: В одном из выступлений Вы рассказали историю о фейковой утечке исходного кода продуктов «Лаборатории». Тогда, по Вашим словам, в компании все очень сильно напряглись. Как бороться с подобными психологическими атаками?

Антон Иванов: А вот для этого как раз нужно пользоваться поставщиком сервисов, которые занимаются киберразведкой, потому что они, во-первых, могут предоставить свою закрытую информацию. Например, рассказать произошел в реальности инцидент, или же нет. На основе этой информации «пострадавшая» компания сможет как можно скорее выпустить пресс-релиз, в котором расскажет, что новость об утечке данных – фейк.

Также благодаря службам киберразведки компаниям сможет предоставить детали: рассказать, что взлома не было, в открытых источниках нигде не лежат данные, а сама база была собрана из «сливов» пятилетней давности. 

Компаниям, оказавшимся в ситуации, когда СМИ и Telegram-каналы тиражируют новости о возможной утечке данных, необходимо оперативно получить полную информацию и выпустить пресс-релиз для своих клиентов и поставщиков.

Cyber Media: Обычно этот процесс занимает длительное время, – пока компания будет проводить внутреннее расследование, многие СМИ напишут: «В компании “N” произошла утечка», – что с этим делать и как журналистам распознавать фейки в таких случаях? 

Антон Иванов: Журналистам в этом вопросе нужно понимать свою ответственность. Всем хочется получить горячую громкую новость: кто-то один заметит информацию, все остальные уже его репостят. Но это личное дело каждого журналиста и редакционной политики издания.

Компании, повторюсь, в любом случае надо быстрее бежать к экспертам, которые оказывают сервис по расследованию инцидентов и по киберразведке. Получить всю необходимую информацию и быстро выпустить пресс-релиз: «Был проведен аудит: информация не подтверждена». Это, поверьте, многих успокоит.

Cyber Media: Что в таких случаях делать журналистам, которые не хотят публиковать непроверенную информацию?

Антон Иванов:  Отправить запрос и ждать официального ответа. Обычно компании за своей репутацией следят и достаточно быстро отвечают на подобные вопросы. В нашем случае, например, в тот же день, как эта новость вышла, посыпались запросы от журналистов.

Мы всем отвечали, что проводим аудит, все проверяем. Позже просто написали, что ничего не было, не подтверждено, ну а эти «коллеги» через два дня и сами написали, что никакой утечки на самом деле не было. 

Cyber Media: Если вернуться к теме атак, то Вы упоминали работу инсайдеров внутри компании – как бизнесу вычислить недобросовестного сотрудника?

Антон Иванов: Сначала им нужно понять, ищут ли злоумышленники инсайдеров в их компании. Если всё-таки ищут, то в дело вступает служба безопасности. Важно, чтобы ее сотрудники провели работу с реальными и потенциальными инсайдерами. 

Это дает точную цель, в каком месте искать инсайдера: это может быть ИТ-отдел, это могут быть финансисты, это кто угодно может быть. И это сужение круга, особенно в больших компаниях, дает компаниям время и возможность разобраться. 

Cyber Media: Во многих компаниях у каждого сотрудника есть доступ только к какой-то определенной информации, не ко всей инфраструктуре. Как Вы считаете, какой сотрудник может стать инсайдером? Кого нужно больше всего «киберобучать»?

Антон Иванов: Обучать надо всех сотрудников. У нас, кстати, есть даже отдельный продукт, который любого рядового сотрудника, чем бы он ни занимался, обучает кибергигиене, киберграмотности: рассказывает что ему надо делать, чтобы его компания дальше продолжала развиваться и зарабатывать деньги. Продукт помогает сотруднику понять, как не нарушить стабильность инфраструктуры, например.В том числе – как злоумышленники могут его атаковать и что ему надо предпринять.

Что касается наиболее уязвимых сотрудников, то сейчас следить надо, конечно, за ИТ-кадрами, потому что, разумеется, злоумышленники охотятся на тех, кто имеет максимальный доступ к ИТ-инфраструктуре. Это администраторы, DevOps-специалисты, разработчики и другие. Последние, кстати, лакомый кусочек для каждого злоумышленника, потому что у любого разработчика есть понимание об инфраструктуре. Они знают где обрабатываются данные и как получить доступ к ним.

Cyber Media: В одном из выступлений Вы упомянули, что злоумышленники часто нанимают на работу разработчиков ПО. Случались ли прецеденты, когда разработчиков «Лаборатории Касперского» пытались «захантить» хакеры?

Антон Иванов: У нас очень жесткая инструкция на этот счет: все сотрудники знают, что в таких случаях необходимо сделать. Но, к слову, о подобных прецедентах нам неизвестно. Среди именно работающих сотрудников – нет. Потому  что они знают, что это все бесполезно, у нас жесткая инструкция, согласно которой человек, получивший подобное предложение от хакеров, докладывает об этом службе безопасности и дальше этот вопрос разрешается в юридической плоскости.

Cyber Media: Нередки случаи, когда компании отрицают сам факт утечки или занижают ее критичность чтобы минимизировать репутационные и иные риски. Но такой подход все чаще встречает негатив со стороны пользователей. На Ваш взгляд, если утечка действительно произошла, какой должна быть реакция компании?

Антон Иванов: Я считаю, что компания должна официально признать факт утечки, провести нотификацию своих клиентов с предоставлением инструкции, что им необходимо сделать.

Далее компания обязательно должна провести расследование (своими силами или с привлечением внешних экспертов) и понять вектор атаки через который стал возможен слив данных.

После проведенного расследования необходимо максимально оперативно произвести исправления в своей инфраструктуре.