Масштабные взломы, утечки персональных и конфиденциальных данных – печальная примета 2022 года. Мы попросили ИБ-экспертов поделиться практическими советами, как свести негативный эффект к минимуму, если инцидент коснулся вашей организации.
В материале приняли участие:
Константин Родин, руководитель направления развития продуктов компании «АйТи Бастион»
Алексей Мунтян, основатель и СЕО компании Privacy Advocates, внешний Data Protection Officer в двух транснациональных холдингах
Максим Головлев, технический директор компании iTPROTECT
Cyber Media: Что нужно сделать, как только стало известно об утечке?
Константин Родин, «АйТи Бастион»:
Первое что стоит сделать: как можно быстрее определить причину утечки и компрометации системы. Тут в помощь все доступные средства в контуре от SIEM и DLP до журналов на машинах, если по какой-то причине они не передают события в общую систему. Понимание причины утечки — первый шаг к тому, чтобы, с одной стороны, предотвратить и более тяжелые последствия, и повторение инцидента, а, с другой, — понять причины того, кто за этим стоит.
Чего точно не стоит делать, так это предпринимать действия, которые могу привести к уничтожению следов инцидента. К примеру, восстанавливать из резервных копий системы, которые были потенциально причиной утечки, надеясь, что это поможет. Это с большей степенью вероятности только помешает понять причины, но не повысит надежность.
Алексей Мунтян, Privacy Advocates: Есть масштаб инцидента и есть его последствия. Когда инцидент происходит, первое, чем должны озаботиться ИБ-специалисты – это уменьшить масштаб, изолировать пораженный сегмент корпоративной сети. Если взломщик проник во внутренние сегменты сети, то, возможно, единственным средством будет полностью отключить серверы.
Необходимо разделять базы данных, чтобы компрометация одного хранилища не повлияло на общую безопасность. Другие методы – хеширование, шифрование информации. Минимизация и разделение данных – гораздо проще.
У компании должны быть планы реагирования на разные ситуации. Если план А не срабатывает, переходим к плану Б. Одно дело, когда инцидент связан с автоматизированными системами обработки данных, другое – если речь о неавтоматизированной обработке. Например, если бумажные документы оказываются в мусорном ведре. Здесь тоже первая задача – это уменьшить масштаб утечки. Даже если история попадает в СМИ и какие-то данные уже могут быть скомпрометированы.
Максим Головлев, iTPROTECT: Первое, что нужно сделать – это локализовать место утечки. Любая утечка может произойти повторно. Поэтому важно предпринять комплекс мер для выявления и блокирования нарушителя, расследования схемы его действий и исключения возможности ее повторить. Также можно проверить возможность воспроизвести инцидент еще раз, например, с помощью пентеста.
Но в целом меры могут варьироваться в зависимости от того, что утекло, кто был виновником (внутренний инсайдер или внешний хакер), как мы об этом узнали - например, нашли информацию в открытом доступе или выявили на своих средствах защиты попытки/факты передачи информации.
Если выявили на собственных средствах защиты, то мы должны исключить дальнейшие возможности утечки – заблокировать или изолировать конкретную рабочую станцию, сменить пароли, разобраться с правами доступа и пр. Также важно разобраться - почему мы сразу не отреагировали на утечку, возможно, какие-то плейбуки службы ИБ требуют модернизации или нужен аудит политик безопасности. Чтобы исключить последующие утечки нам помогут такие системы как DCAP, DLP, SIEM, IRP. ИБ – это всегда комплекс мер.
Если инструментов защиты данных в компании нет, то расследовать утечку будет сложно и можно привлечь внешнего подрядчика, который сможет собрать форензику - выгрузить системные логи, создать слепки виртуальных машин, проанализировать жесткие диски и пр. Начать расследование необходимо как можно раньше, т.к. логи и технические данные об утечке хранятся ограниченное количество времени.
Однако любые действия должны быть сопоставимы стоимости последствий от утраты.
Минимизировать негативные последствия возможно далеко не всегда. Например, если мы выявили факт утечки в режиме реального времени, то можно постараться приостановить ее в моменте. Другой вариант - если мы что-то можем изменить, это надо сделать, например, если у нас утекла база паролей, их надо сменить.
Для быстрой блокировки нужны инструменты, в мануальном режиме это почти невозможно. Это DLP, NGFW, EDR/XDR, чтобы изолировать рабочую станцию, сервер или сегменты сети. Также, чтобы быстро отреагировать в реальном времени, сотрудники ИБ-службы должны быть готовы к таким мероприятиям, а этому должны предшествовать регулярные тренировки.
Екатерина Старостина, «Орлан»: Важно отметить, что технические меры предпринимаются заблаговременно, а не в момент утечки. Поэтому вспомним, что существует четыре основные группы технических средств:
Программные
Аппаратные
Криптографические
Программные являются наиболее распространенными, с их помощью появляется возможность избежать проникновения в сети нелегитимных субъектов, блокировать атаки и предотвращать перехват информации. Программных средств очень много, но явно выделить можно DCAP, DLP и SIEM системы, которые являются наиболее часто применимыми для создания комплекса защиты информационной безопасности.
DCAP - подход к созданию системы безопасности, в рамках которого пользовательские данные являются первоочередной целью защиты. Задача DCAP — это защита данных, которые лежат и никак не обрабатываются. Это контентное разграничение доступа: не по объектам файловой системы, а по содержимому.
DLP - программный продукт для предотвращения утечек конфиденциальных данных в корпоративной сети. Это общее определение и название класса ПО, которое создано для защиты данных от несанкционированного доступа. DLP-система позволяет контролировать каналы передачи данных, выявлять и предотвращать утечки критичной информации
SIEM – система, которая обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.
Отдельно выделю DCAP в парадигме средств защиты информации и вот почему. Оптимизация данных – это одна из возможностей этого класса решений, включая оптимизацию хранилища. Помимо основной своей задачи — защиты данных, решение DCAP предусматривает активную миграцию данных, для оптимизации систем хранения и экономии места. Преимуществом в данном случае может быть уменьшение площади потенциальной атаки. С помощью DCAP мы можем уменьшать количество данных, сокращать стоимость владения ими окно бэкапа. А также можем выполнять и требования регуляторов, в частности, хранить персональные данные полгода, а затем удалять их.
Аппаратные — это технические устройства и приборы для определения места нахождения закладок, что позволяет определить каналы утечки информации и выявить ряд метрик, по которым возможна потеря конфиденциальной информации. Чаще всего используются детекторы, локаторы, индикаторы полей, радиочастотометры и другая аппаратура.
Криптографические используются повсеместно, так как главной задачей является шифрование всей информации, что в свою очередь делает информацию бесполезной для злоумышленника, так как в зашифрованном виде она не представляет практически никакой ценности.
Инженерные средства являются самыми долгоживущими и закрывают сразу ряд потребностей, в том числе и защиту данных. Стандартный набор состоит из замков, камер видеонаблюдения и сигнализации, но есть огромное множество аналогичных технических средств.
Cyber Media: Какие организационные меры дополняют технические?
Максим Головлев, iTPROTECT: Есть стандартные этапы расследования инцидентов, которые подробно описаны в ISO 27001, ISO/IEC 27035, ГОСТ Р ИСО/МЭК ТО 18044-2007. На верхнем уровне это сбор информации об инциденте, анализ ситуации, локализация инцидента и реагирование, установление причин инцидента, расследование с определением ответственных и реализация профилактических мер.
Что касается реагирования, то, например, внутренние организационные меры должны быть предприняты на основании того, внесена ли эта информация в реестр конфиденциальной информации, подписаны ли с сотрудниками положения о защите информации, коммерческой тайне и пр. Со всем этим нужно разобраться и при наличии доказательной базы обратиться в правоохранительные органы.
Когда все экстренные меры реагирования приняты, позже можно провести внеплановое обучение по киберграмотности.
Для того, чтобы расследовать инциденты есть такие инструменты как SIEM и IRP. SIEM собирает и компонует информацию в инциденты, а IRP визуализирует информацию об инцидентах и позволяет подключить готовые плейбуки реагирования, вплоть до автоматического назначения руководителя и генерации задач.
В целом для предотвращения утечек нужно сокращать число каналов утечек путем их запрета и блокировки, если они не критично важны для рабочих процессов, например, сторонние файлообменники, флешки, мессенджеры.
Екатерина Старостина, «Орлан»: Самое главное, конечно, это обучение сотрудников и создание корпоративной культуры информационной безопасности в организации. Но невозможно закрыться исключительно организационными мерами, только комплекс мер даст необходимый результат. Практика показывает положительный результат при грамотно реализованном подходе, начинать всегда следует с аудита, далее идут пункты: классификация, выделение критических точек, разработка политик и методов, а также программ обучения персонала.
Константин Родин, «АйТи Бастион»: В качестве организационных мер после, а лучше до инцидента можно рекомендовать разумные меры по сегментированию и контролю привилегий. Вы должны всегда понимать кто и почему использует повышенный уровень доступа к системам, но делать это желательно "гуманно" используя удобные средства, которые могут перекрывать слабые стороны "коллег по цеху" и быть удобными в использовании и безболезненно встраиваемыми в текущие бизнес-процессы компании.
Cyber Media: Кто должен войти в оперативный штаб по реагированию на инцидент?
Максим Головлев, iTPROTECT: Что касается ролей, то у всех это может быть по-разному. Но верхнеуровнево в организации должен быть ответственный за расследование инцидента, руководитель ИБ-службы и команда быстрого реагирования. Также к процессу может быть привлечен ответственный за конкретные данные со стороны первых лиц компании.
Екатерина Старостина, «Орлан»: В обязательном порядке возглавляет штаб руководитель по ИБ, обязательным членством должны обладать HR, финансовый директор, юрист желательно с профилем по ИБ, руководитель по информационным технологиям и конечно же в зависимости от компании топ руководители направлений, подход всегда идеальный, но причастных лиц определить не сложно. Роли всегда распределяются в зависимости от специфики работы компании, CISO естественно всему голова в данном вопросе, HR отвечает за соблюдение трудового законодательства и правильную обработку персональных данных, юрист соответственно по своему направлению, как и остальные причастные.
Константин Родин, «АйТи Бастион»: Единственное, что я могу рекомендовать — это привлечение внешних команд, если не к расследованию, то, как минимум, к проверке надежности системы после окончания расследования, даже если были точно установлены причины и если привлечение внешних команд допустимо. Нет ничего плохого в получении второго и даже третьего мнения, т.к. подходы, экспертиза и "талант" у всех разных.
Cyber Media: Как следует действовать с точки зрения коммуникаций с клиентами, партнерами, прочими заинтересованными сторонами?
Алексей Мунтян, Privacy Advocates: Первое, что нужно делать – это оперативно уведомить субъектов. Чем быстрее люди узнают о компрометации данных, тем быстрее они смогут уменьшить негативные последствия для самих себя (даже хотя бы просто поменять пароль на скомпрометированном ресурсе).
Внутри компании необходимо создать рабочую группу, которая займется изучением инцидента: какие данные затронуты, в каком объеме, насколько они актуальны, какие могут быть последствия. Эта группа далее займется митигацией ущерба. Нужно быть готовым к тому, что отработка негативных последствий будет включать и судебные разбирательства. При этом речь не о штрафах, которые назначает суд за нарушения при обработке ПДн, а о компенсациях пользователям, партнерам, прочим лицам, которых затронула утечка. Тут может идти речь и о денежных компенсациях, и о скидках, и так далее.
Плюс, я бы подумал об организации информационного портала по инциденту. Причин тут несколько, начиная с того, чтобы перехватить информационную повестку у недоброжелателей. И клиентам компании будет проще, если у компании будет официальный источник информации, где она будет давать понятные разъяснения, без сухого языка, которым об утечках сообщают в официальных сводках.
В пользу такого портала говорит и тот факт, что во многих утечках большую роль играет шантаж – злоумышленники рассчитывают, что компания не хочет предавать инцидент огласке и требуют деньги за молчание. Сами данные могут иметь второстепенное значение. К тому же, информацией об атаке могут воспользоваться конкуренты, чтобы подчеркнуть свою безопасность. Если у компании будет ее официальный ресурс, с этими рисками проще работать.
Екатерина Старостина, «Орлан»: Любые заявления или месседжи до окончания расследования должны быть четко согласованны со штабом. Даже одна неявно сказанная фраза может вызвать огромное количество негативных последствий, что безусловно является серьезной проблемой. В зависимости от тяжести инцидента будет строиться информационное поле для субъектов.
Главным фактором информирования является подача ровно той информации, которая покажет, что все действия и меры предприняты в полном объеме и расследование покажет, какая именно информация была скомпрометирована, ведь при соблюдении всех мер мало вероятна утечка большого объема, возможно только открытая информация была похищена, а проблема была сильно преувеличена или вообще придумана, например могли быть украдены списки содержащие имена и фамилии, а это всего лишь косвенная информация, которая не в состоянии повлечь никаких последствий для субъектов.
Cyber Media: Какие действия необходимо предпринять с точки зрения законодательства?
Алексей Мунтян, Privacy Advocates: Что касается инцидентов в автоматизированных системах обработки данных, порядок действий изложен в ст.21 ч.3.1 152-ФЗ. Компания должна в течение 24 часов уведомить Роскомнадзор, рассказать, что произошло и какие предполагаются причины. Подчеркну, что отсчет 24 часов стартует как с момента, когда компания сама выявляет утечку, так и с момента, когда о ней становится известно, например, из СМИ.
Очень важно понимать, что сообщать нужно только об инцидентах, которые напрямую затрагивают субъекты персональных данных. Бывают ситуации, когда этого не происходи, например, если бухгалтер случайно увидел контакты контрагентов. Технически это тоже утечка, но пока этот бухгалтер не копирует базу, негативных последствий для субъектов у нее нет. Это, кстати, пример из официальной презентации регулятора по сентярьским изменениям законодательства.
Спустя 72 часа нужно подать вторичное уведомление, где оператор должен отчитаться о результатах внутреннего расследования и предоставить информацию о виновниках (если таковых удалось установить).
Екатерина Старостина, «Орлан»: В финансовой сфере и законов, требований, приказов и положений огромное множество, что также заставляет компании увеличивать количество квалицированного персонала в сфере ИБ не только для защиты, но и для соблюдения требований регуляторов.
Грамотно подобранный персонал в состоянии свести к минимуму любые претензии регуляторов, но только при поддержке руководства. Из последних обновлений можно выделить изменения о сроках уведомления РКН о намерении обрабатывать персональные данные. Сроки сократились с 30 календарных до 10 рабочих дней, возможно увеличение срока на 5 рабочих дней на основании мотивированного уведомления.
Также сократили большинство случаев исключения, когда не нужно уведомлять регулятор, но в случае, если обработка осуществляется без автоматизированных средств оставили и уведомлять не требуется. Сами уведомления так же были изменены, теперь для каждой цели обработки необходимо расписывать категорию, правовое основание и перечень действий. Конкретизировали требования к локальным актам по вопросам обработки персональных данных. Обязанность взаимодействия с ГосСОПКА, через механизм, который определит ФСБ. Согласия на обработку персональных данных тоже переформатировали, информирование физлиц усовершенствовали. Договора с физлицами имеют новые требования и передача данных иностранным компаниям теперь делает их равноценно ответственными за обеспечение защиты.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться