Рубрика:
Заочный круглый стол
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Еще раз о кибербезопасности
События последнего времени – громкие утечки служебной информации, продажа баз данных, массированные кибератаки – ставят в тупик даже опытных специалистов по ИБ. Кибератакам подвергаются компании, предприятия, госкорпорации, любые системно значимые организации. И это только начало года! Прогноз аналитиков о том, что 2023-й станет годом бума и усложнения кибератак, уже начал сбываться. Поэтому возвращаемся к повторению пройденных уроков и обсуждению стратегии ИБ в этом году.
Вопросы для экспертов:
- Как предотвращать утечки и потерю данных в компаниях? Новые средства защиты.
- Что делать, если утечка все же произошла? Как реагировать и устранять последствия инцидента, результатом которого стала компрометация данных?
- Насколько высок уровень функциональных возможностей российских кибертехнологий
- В каких отечественных средствах защиты информации вы нуждаетесь? Что есть и чего не хватает на рынке ИБ в России?
- Считаете ли вы, что необходимо усилить требования регуляторов (Банк России, Роскомнадзор, ФСТЭК РФ, ФСБ РФ) для обеспечения кибербезопасности? Если да, то какие меры, на ваш взгляд, могут быть эффективными?
- Есть ли у вашей компании своя ИБ-стратегия? Каковы ее основные принципы?
Представляем участников заочного круглого стола
|
|
|
|
|
Дмитрий Артеменков, руководитель центра информационной безопасности RAMAX Group
|
Сергей Белов, CEO AtreIdea
|
Сергей Гатауллин, Московский технический университет связи и информатики, декан факультета «Цифровая экономика и массовые коммуникации»
|
|
Дмитрий Горлянский, руководитель направления технического сопровождения продаж компании «Гарда Технологии»
|
Гегам Дерцян, старший менеджер группы «Информационная безопасность» компании «Марвел-Дистрибуция»
|
Евгений Доможиров, CEO CESCA
|
|
Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»
|
Сергей Золотухин, специалист Group-IB по информационной безопасности
|
Александр Зубриков, генеральный директор ITGLOBAL.COM Security
|
|
Павел Кравцов, пресейл-инженер ГК MONT
|
Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт»
|
Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности»
|
|
Игорь Ляпунов, директор по разработке NGR Softlab
|
Юлия Новикова, руководитель аналитического отдела Kaspersky Threat Intelligence
|
Александра Синявина, бизнес-консультант по кибербезопасности в IT-компании Outlines Tech
|
Вопрос 1. Как предотвращать утечки и потерю данных в компаниях? Новые средства защиты.
Юлия Новикова
– Риск утечки данных сохраняется всегда, поскольку они происходят по разным причинам: как из-за человеческого фактора, так и из-за недостатков в системах защиты (уязвимостях в ПО, ошибках в конфигурации сервисов). Даже если технических средств достаточно для того, чтобы злоумышленники не смогли провести успешную атаку, компания может пострадать из-за действий инсайдеров или по ошибке сотрудников. Однако эти риски можно и нужно сводить к минимуму, уделяя особое внимание критически важным активам компании, данным клиентов и корпоративным данным всей ИТ-инфраструктуры.
В первую очередь этого можно добиться за счет многоуровневого подхода к созданию системы информационной безопасности. Стоит обратить внимание на экосистемы решений от надежных вендоров, центральным элементом которых, как правило, является SIEM: такая платформа, в том числе в комплексе с сервисами Threat Intelligence, позволит обнаружить попытку несанкционированного доступа на начальном этапе атаки и своевременно начать реагирование.
При этом важно уделить особое внимание разграничению прав доступа сотрудников к конфиденциальной информации, хранению данных, проведению мониторинга поверхности атаки, процессу «Управления уязвимости», разработке плана реагирования на инцидент, корпоративному обучению и тренингам по цифровой грамотности.
Злоумышленники также могут выкладывать объявления о продаже доступов в инфраструктуру различных компаний в даркнет. Сегодня критически важно отслеживать подобные угрозы и оперативно реагировать на них, например, инициировать расследование инцидента при появлении сообщений о целевой атаке или продаже данных на форумах теневых площадок. Для этого существуют специальные ИБ-сервисы, которые предоставляет и «Лаборатория Касперского»: речь идет о Kaspersky Threat Intelligence.
Павел Коростелев
– Предотвращение утечек на самом деле зависит не только от каких-то технических средств, но и, скажем так, околотехнической работы. По большому счету средства защиты можно считать вторичными, потому что даже закупив суперсовременные решения, конфиденциальные данные все равно могут украсть.
Поэтому первое, что необходимо понимать при построении ИБ-системы – какие данные мы в принципе считаем для себя конфиденциальными, какие риски несет их утечка, каковы требования регуляторов в нашей отрасли, как эти данные должны циркулировать в рамках компании. Ответить на эти вопросы помогут специализированные интервью сотрудников. Только после того, как появится картина сущности «конфиденциальные данные», можно будет выстраивать систему безопасности.
Она может включать уровень ИТ-инфраструктуры, приложений, конечных станций, серверов и так далее, и в зависимости от того, какой путь у нас проходят конфиденциальные данные, необходимо настроить политики безопасности, разработать стандарты и руководства работы с важной информацией, назначить ответственных.
Затем необходимо провести обучение сотрудников. Поскольку большинство атак осуществляется с помощью социальной инженерии – обучение основам цифровой гигиены помогает избежать 90% инцидентов.
Александра Синявина
– Методы, которые улучшают безопасность информации, предотвращают утечку и потерю данных в компаниях:
- Ограничение доступа к конфиденциальным данным, обязательное использование пароля и кода доступа.
Далеко не все компании устанавливают высокие требования для кодирования корпоративной информации. Пароль обновляют раз в полгода и ставят на часть файлов и систем. В компаниях, где трепетно относятся к сохранности данных, требования строже. В банках, например, пароль обновляют раз в 3 месяца. Это обязательно новые символы, и поменять одну букву в коде не получится. Также пароль обновляют на все документы и файлы, а не только на общий вход.
- Обучение сотрудников правилам защиты данных и регулярное тестирование.
Я периодически сталкиваюсь с низким уровнем ИБ-грамотности и ответственности линейного персонала. Например, сотрудники фотографируют данные клиента и передают по личным мобильным телефонам.
- Использование виртуальной частной сети (VPN) при передаче информации.
Технология скрывает IP-адрес и шифрует действия сотрудников в интернете.
- Установка систем защиты от утечек, мониторинг и аудит доступа.
Компании необходимо разработать политику конфиденциальности и определить, к каким документам открывать доступ и как мониторить уровень опасности.
Александр Зубриков
– Для предотвращения утечек и потери данных в компаниях необходимо применять комплексный подход, содержащий не только технические средства защиты, но и правила использования и хранения данных, а также обучение персонала и повышение осведомленности пользователей о кибербезопасности. В качестве технических мер необходимо использовать средства защиты информации (СЗИ), такие как многофакторная аутентификация, DLP-система, WAF, EDR/XRD, шифрование данных, а также систему мониторинга (SIEM или SOC), которая будет мониторить все СЗИ и уведомлять об инцидентах ИБ.
Евгений Доможиров
– В условиях современного рынка информационной безопасности, мы настоятельно рекомендуем всем нашим заказчикам переходить на использование нового типа межсетевых экранов – NGFW. Эти системы обеспечивают не только защиту от вторжений, но и контентную фильтрацию, контроль приложений и проверку трафика на вирусы. Благодаря использованию NGFW, возможна настройка безопасного VPN, создание системы отчетности и реализация многих других полезных функций.
Кроме того, мы настоятельно рекомендуем обучать своих сотрудников основам информационной безопасности, используя автоматизированные системы повышения осведомленности (Security Awareness). Эти системы не только помогают повысить цифровую грамотность сотрудников в вопросах безопасности при работе с электронной почтой, сайтами, социальными сетями, мессенджерами и другими ресурсами, но и способствуют созданию культуры безопасности в организации. Таким образом, поведение сотрудников становится более безопасным.
Игорь Ляпунов
– Надежная защита данных и предотвращение утечек являются результатом комплексного подхода при оценке рисков и потенциального ущерба, а также определения поверхностей атаки и использования соответствующих инструментов. Применяя сочетания подходов «не класть яйца в одну корзину», «разделяй и властвуй» и других можно выстроить вполне надежную систему информационной безопасности.
Не менее важными являются архитектура ИТ-ландшафта компании и самих приложений. Критичные данные, по возможности, должны быть разделены и защищены по отдельности. Поэтому, в первую очередь, важен комплексный подход, нежели только средства защиты.
Сергей Гатауллин
– В 2023 году продолжает увеличиваться не только число кибератак, но и сложность реализуемых киберпреступниками сценариев, как с точки зрения задействованной распределенной сети вычислительных мощностей, так и со стороны многокомпонентности, в которой методы социальной инженерии играют ключевую роль.
Компании всех секторов цифровой экономики, работающие с большими данными, в том числе персональными, а особенно – медицинские учреждения, финансовые институты, промышленные предприятия, госсектор, транспортно-логистические компании, агробизнес, наращивают как программно-аппаратную защиту, так и кадровое обеспечение кибербезопасности.
К текущим задачам обеспечения кибербезопасности можно отнести преодоление сложностей, связанных со сменой поставщиков решений информационной безопасности, и недостаток квалифицированных специалистов по обеспечению кибербезопасности.
При этом уровень функциональных возможностей российских кибертехнологий соответствует запросам рынка, но требует постоянного повышения при смене парадигмы от экстренного импортозамещения к реализации российскими ИБ-вендорами полного спектра глобально конкурентоспособных услуг.
К более длинным трендам отрасли можно отнести поиск возможностей использования технологий искусственного интеллекта для защиты киберпространства, например, разработку межсетевого экрана нового поколения с использованием нейросетевых технологий (AI Firewall) и систем доверенного искусственного интеллекта (Trustworthy AI). Однако для создания отечественных решений по этим направлениям требуются значительные инвестиции.
Сергей Белов
– Действительно, киберугрозы являются серьезной угрозой для любой организации. Предотвращение утечек и потерь данных должно быть в приоритете у каждой компании. Можно дать следующие релевантные типовые рекомендации:
- Обучайте своих сотрудников основам безопасности информации, таким как: не использовать одинаковые пароли в разных сервисах, не открывать подозрительные письма и ссылки, не делиться конфиденциальной информацией в социальных сетях и так далее. Регулярно проводите тренинги и обновляйте знания сотрудников.
- Регулярно обновляйте программное обеспечение и операционные системы, используемые в вашей компании. Обновления содержат исправления уязвимостей безопасности, которые могут использоваться злоумышленниками.
- Используйте средства защиты, такие как антивирусы, брандмауэры, системы мониторинга, VPN-сервисы и т.д. Обязательно проводите аудит безопасности систем и сетей.
- Установите контроль доступа к информации. Убедитесь, что каждый сотрудник имеет доступ только к той информации, которая необходима для его работы.
- Обеспечьте шифрование обрабатываемых данных. Шифрование данных (в т.ч. резервных копий) поможет обеспечить дополнительную защиту.
- Используйте многофакторную аутентификацию, такие как пароль и одноразовый код из SMS или специального приложения, для входа в систему. Это повышает уровень безопасности.
- Регулярно создавайте резервные копии данных, чтобы в случае кибератаки можно было быстро восстановить потерянную информацию.
Дмитрий Горлянский
– Сегодня основным средством борьбы с утечками остаются DLP-системы (Data Leak Prevention – защита от утечки информации), но в то же время набирают популярность и другие решения, рассчитанные не на контроль пользователей, а на хранилища данных: DCAP (Data-Centric Audit and Protection – аудит и защита файловой системы и неструктурированных данных), DAM (Database activity monitoring – мониторинг активности баз данных).
Кроме того, изменяется подход к работе с детектированием утечек: если раньше ограничивались непосредственным выявлением и предотвращением отправки критических данных за периметр, то сейчас все больше внимания уделяется косвенным признакам – атипичное поведение, выявление нехарактерных контактов, избыточный доступ к информации.
Сергей Золотухин
– Сначала давайте разберемся, каким образом утекают данные у компаний? Во-первых, в результате кибератаки извне. Во-вторых, из-за целенаправленных действий инсайдеров изнутри. И, наконец, из-за халатности самих сотрудников компании. Во всех трех случаях причина инцидента заключается в недостаточной защищенности цифровых активов.
Недавно наши аналитики Group-IB Threat Intelligence подсчитали общее количество баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в прошлом году. Их оказалось 311. И все они были опубликованы в бесплатном доступе, то есть мотив злоумышленников оказался не заработать, а нанести максимальный ущерб компаниям и их клиентам.
От утечек не защищена ни одна сфера российского бизнеса – жертвами злоумышленников становились финансовые, страховые и ИТ-компании, сервисы доставки, мобильные операторы, онлайн-магазины различных товаров, транспортные и медицинские компании. Общее количество строк данных пользователей в утечках 2022 году составило 1,4 млрд! Для сравнения: в 2021 году их насчитывалось всего 33 млн.
Учитывая различные векторы киберугроз, есть несколько направлений защиты. Впрочем, они не отменяют, а дополняют друг друга.
1. Мониторинг всех доступных извне цифровых активов организации, как и известных, так теневых, то есть давно забытых и неиспользуемых. Совокупность таких активов составляет “поверхность вероятной атаки” и требует первоочередного внимания специалистов.
Более 60% инцидентов, которые расследовала Лаборатория цифровой криминалистики Group-IB в 2022, произошли в результате эксплуатации уязвимостей публично доступных приложений и могли быть предотвращены. Решение Group-IB для управления поверхностью атаки Attack Surface Management в режиме реального времени позволяет проводить оперативный анализ цифровых рисков для компании: выложены ли данные в даркнете, есть ли открытые порты, есть ли уязвимости, которые могут быть проэксплуатированы.
2. Регулярный аудит информационной безопасности, RedTeaming.
Вне зависимости от размера или сферы деятельности мы рекомендуем компаниям регулярно проводить аудит безопасности – анализ защищенности и тестирование на проникновение. Для более серьезной проверки можно воспользоваться сервисом Red Teaming, который позволяет проводить имитацию реальных сценариев кибератак и реагирования на них.
3. Использование решений для проактивного поиска и защиты от сложных и неизвестных киберугроз.
Флагманское инженерное решение Group-IB Managed XDR способно обнаруживать и останавливать даже неизвестные киберугрозы на сетевом периметре при попытках атак через электронную почту и конечные устройства (EDR).
4. Предупредить кибератаки еще на этапе их подготовки помогает Group-IB Threat Intelligence (Киберразведка).
Это комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Решение Group-IB позволяет выстроить проактивную систему ИБ, предоставляя клиентам доступ к стратегическим, тактическим и оперативным данным о киберугрозах, преступных группах и используемым ими инструментах. Group-IB Threat Intelligence отслеживает Telegram-чаты и теневые форумы, позволяя оперативно получать собранные данные об утечках или размещенных заказах на получение инсайдерской информации.
Дмитрий Артеменков
– Причин, по которым происходит утечка данных, много: это и взлом внешнего периметра организации с последующим проникновением злоумышленника во внутреннюю инфраструктуру компании, и внутренние утечки по вине инсайдера, и просто халатность сотрудников, открывших «не то письмо», пришедшее не с корпоративной почты.
Поэтому к вопросу необходимо подходить комплексно, учитывая как решения по защите периметра организации и средства защиты от утечек, так и организационные меры, в числе которых разграничение доступа к данным и повышение уровня «цифровой гигиены» сотрудников.
DLP-системы хорошо зарекомендовали себя как традиционные средства защиты от утечек, но новые вызовы приносят потребность в новых решениях, поэтому на рынке появляются средства класса ILD, использующие технологию невидимой маркировки документов, помогающие провести расследование и определить, кто именно из сотрудников мог вынести печатный документ или сделать фотографию экрана с конфиденциальными данными.
Также желательно использовать решения класса Security Awareness для повышения уровня грамотности сотрудников в части информационной безопасности.
Гегам Дерцян
– Самым уязвимым источником был, есть и будет человек. В первую очередь необходимо проводить обучение по кибергигиене для сотрудников, так как многие пользователи не соблюдают простейшие меры по безопасности, в результате чего и утекает информация или происходит заражение вредоносным программным обеспечением.
Большинство заражений происходит через фишинговые атаки. Они основаны на человеческих ошибках и являются основным вектором атак, поэтому обучение сотрудников имеет решающее значение для предотвращения утечки данных. Сотрудники должны знать, что нельзя нажимать на подозрительные ссылки или загружать файлы из неизвестных источников. Но в случае, если сотрудник запускает вредоносный файл или переходит по ссылке, в организациях должны стоять современные решения по защите данных.
Например, российский разработчик Positive Technologies предлагает решение Sandbox, который представляет виртуальную среду, в которой запускаются все подозрительные файлы для проверки наличия вредоноса. Если в файле не обнаружено ВПО, то песочница передает файл дальше пользователю. Если же в файле существует ВПО, то решение блокирует передачу файла пользователю и сообщает об этом остальным системам.
Еще одним, можно сказать, новым решением, которое способно обеспечить защиту от утечек данных, атак и шифровании, являются решения класса XDR (extended detection and response). Это продукты – для выявления киберугроз и реагирования на них. Система относится к средствам обеспечения информационной безопасности на базе клиент-серверной архитектуры, предназначена для обнаружения угроз на серверах и рабочих станциях корпоративной сети и реагирования на них. Решение объединяет в себе события и контекст из множества систем информационной безопасности, верифицирует сработки и подтверждает факт атаки. Далее XDR автоматически предлагает варианты реагирования на угрозы, производит лечение и позволяет восстановить работоспособность систем сети. Среди российских вендоров такие решения есть у Positive Technologies и «Лаборатории Касперского».
Алексей Дрозд
– Компании уже хорошо знакомы с «классическими» средствами предотвращения утечек – DLP-системами; особенно продвинутые вдобавок используют DCAP (Data-Centric Audit and Potection) как инструмент «первой линии обороны» – превентивного поиска данных, чувствительных к утечке, и контентного разграничения доступов к ним. Но сегодня кроме автоматизированного контроля актуальность набирает методика вовлечения пользователей, повышения их культуры ИБ.
Естественно, в ИБ всегда работает правило «доверяй, но проверяй», но последние разработки в ИБ позволяют сместить вектор в пользу «доверяй» сильнее, при этом без ущерба понятию «проверяй». Практика деления ответственности с пользователями, владельцами информации и создателями документов зарекомендовала себя положительно.
Стоит отдавать предпочтение тем средствам защиты информации (СЗИ), которые позволяют вовлечь в этот процесс пользователя. Потому что подавляющее большинство сотрудников – честные люди, которые не хотят допускать инцидентов ни по незнанию, ни тем более по собственной инициативе. Поэтому выигрывают СЗИ, которые позволяют начать работу не с этапа автоматизированной проверки и анализа трафика, не с создания блокирующих правил, а с вовлечения пользователя. Соответственно, если софт позволяет уведомить сотрудника или даже дает ему возможность самостоятельно обозначить, что документ является конфиденциальным, уже на этапе работы с ним, то стоит к нему присмотреться.
Вопрос 2. Что делать, если утечка все же произошла? Как реагировать и устранять последствия инцидента, результатом которого стала компрометация данных?
Александр Зубриков
– Если произошла утечка данных, необходимо немедленно принимать меры по устранению последствий инцидента. В первую очередь необходимо определить масштаб утечки, выяснить причины и устранить уязвимости, которые привели к инциденту, чтобы исключить возможность рецидива. Также необходимо оповестить пользователей и соответствующие органы (НКЦКИ, ФинЦЕРТ и т.д).
Юлия Новикова
– Любой компании важно иметь четко оформленный алгоритм действий на случай утечки данных. Он должен состоять из трех этапов: идентификации инцидента, коммуникации и реагирования на инцидент.
Так, если компания узнала о возможной утечке информации из открытых источников, в первую очередь стоит подтвердить или опровергнуть факт компрометации данных. Если инцидент подтвердился, следующим шагом будет оценка его масштабов, анализ атакованных ИТ-систем. В этом случае важно провести корректную коммуникацию со всеми заинтересованными сторонами, в том числе сообщить в регулирующий орган детали расследования.
Затем важно принять соответствующие технические меры для устранения инцидента и его последствий: провести расследование, определить вектор атаки и факт закрепления злоумышленников в ИТ-инфраструктуре, а затем устранить угрозу. У внутренней команды, занимающейся информационной безопасностью, может быть недостаточно ресурсов или компетенций для проведения расследования, помощь и экспертиза внешних квалифицированных специалистов позволит существенно улучшить результаты расследования, сформировать план дальнейших действий и долгосрочные рекомендации по повышению уровня защищенности. Подробный разбор утечек данных, с которыми столкнулись российские компании в 2022 году, представлен в отчете команды Kaspersky Digital Footprint Intelligence «Значимые утечки данных в 2022».
Павел Кравцов
– Если утечка произошла, необходимо немедленно принять меры по ее устранению и предотвращению дальнейшего распространения. В первую очередь, нужно остановить исходящий поток данных, затем провести анализ утечки и выявить ее источник.
Кроме того, необходимо оповестить пользователей и клиентов, которые могут быть затронуты утечкой, и предпринять меры по защите их данных. В дополнение к этому, необходимо провести расследование и выяснить причины утечки, чтобы в будущем избежать подобных инцидентов.
Дмитрий Ковалев
– Прежде всего, важно определить причину утечки, изолировать слабо защищенное место и устранить уязвимости в системе безопасности, которые позволили инциденту произойти. Расследование поможет оценить объем и важность похищенных данных, понять алгоритм действия злоумышленников и роль человеческого фактора в сложившейся ситуации.
Порядок шагов для некоторых инцидентов определен законодательным образом. В частности, в законе описан алгоритм действий при инцидентах, которые затрагивают системы обработки данных и субъекты персональных данных, в ряде случаев требуется в определенный срок предоставить информацию об утечке в Роскомнадзор.
Чтобы не допустить утечку, важно внимательно относиться к вопросам информационной безопасности критически важных бизнес-процессов, своевременно проводить анализ защищенности и качественно выстраивать систему безопасности.
Чтобы минимизировать риск компрометации данных, компаниям необходимо уметь фиксировать инциденты, правильно реагировать на них и проводить работу над ошибками. Поэтому так важно иметь проверенного технологического партнера, который поможет провести расследование инцидента, проанализировать уровень защиты бизнес-процессов и предложить технические решения для усиления информационной безопасности.
Павел Коростелев
– Здесь многое зависит от отрасли, в которой работает компания, подпадает ли она под требования какого-то регулятора и так далее. В целом при инцидентах стараются следовать следующей логике: локализация инцидента и восстановление событий атаки – поиск причины инцидента и виновных – работа над ошибками, в которую может входить как относительно несложное изменение политик безопасности, так и финансовые вложения в новые средства защиты, которые могли бы предотвратить подобные атаки в будущем.
Александра Синявина
– Порядок действий при минимизации ущерба от утечки:
1) Понять причину и оценить масштаб проблемы. Определить, какие данные украли, как это произошло. 2) Изменить пароли и уведомить пользователей, чтобы они тоже поменяли коды доступа. 3) Сообщить об инциденте руководству компании и провести расследование. 4) Усилить меры безопасности, чтобы предотвратить будущие утечки информации. 5) Разработать стратегию защиты данных, которая отвечает на вопросы:
- как обеспечить конфиденциальность информации;
- как действовать при кибератаках;
- кто ответственен и реагирует на проблему;
- как работать с последствиями и оповещать пользователей.
6) Установить систему мониторинга, которая оповещает о подозрительных действиях. 7) Следить за новостями и сообщениями о других утечках данных, чтобы подготовиться к будущим инцидентам.
Евгений Доможиров
– Основные шаги по реагированию на инцидент ИБ при компрометации данных:
- Остановить все операции, связанные с данными, в том числе все автоматические бэкапы, которые могут перезаписывать зараженные файлы.
- Отключить зараженные устройства от сети и интернета, чтобы предотвратить распространение вируса на другие системы.
- Определить и устранить уязвимость, которую использовал злоумышленник для получения доступа к данным. Если уязвимость не была еще устранена, злоумышленник может использовать ее вновь.
- Сделать бэкапы всех неповрежденных данных. Это поможет восстановить информацию после инцидента.
- Оповестить правоохранительные органы и НКЦКИ о случившемся и сотрудничать с ними в процессе расследования инцидента.
- Уведомить всех заинтересованных сторон о произошедшем инциденте, включая клиентов, партнеров и поставщиков.
- Обеспечить правильное руководство и коммуникацию со всеми сотрудниками, которые могут быть затронуты инцидентом, и оказать помощь тем, кто нуждается в ней.
- Провести форензику инцидента, выявлять причины и принимать меры, чтобы предотвратить подобные инциденты в будущем. Это может включать внесение изменений в системы безопасности, обучение персонала в части повышение осведомленности об угрозах информационной безопасности.
Игорь Ляпунов
– При инциденте важно проводить глубокий разбор ситуации и искать «тонкие» места в защите. Результатом будет совершенствование системы информационной безопасности, которое содержит технические, организационные меры и обучение сотрудников.
Сергей Белов
– Если утечка данных все же произошла, важно немедленно принимать меры по реагированию на инцидент и устранению его последствий. Основные шаги, которые стоит предпринять в данном случае, это:
- Изолировать проблему. Отключить компрометированные устройства и системы от сети, чтобы предотвратить дальнейшее распространение угрозы.
- Оценить ущерб. Оценить объем данных, которые были скомпрометированы, а также типы конфиденциальной информации, которые были украдены. Это поможет понять, какие меры необходимо принимать в будущем.
- Информировать заинтересованные стороны. Обязательно уведомить своих клиентов и партнеров о произошедшем инциденте и действиях, которые были предприняты для защиты их данных.
- Провести расследование. Выяснить, каким образом произошла утечка данных и кто за нее ответственен. Это поможет предотвратить подобные инциденты в будущем.
- Восстановить данные. Восстановить потерянные данные из резервных копий и других источников.
- Обновить политику безопасности. Проанализировать существующую политику безопасности и внести изменения, если необходимо, чтобы предотвратить подобные инциденты в будущем.
- Провести технический аудит скомпрометированных систем. Проведение аудита позволит подсветить возможные технические проблемы в безопасности используемых систем.
- Провести обучение персонала. Провести дополнительные тренинги и обучение для сотрудников, чтобы повысить их осведомленность в области безопасности информации.
- В случае утечки данных важно действовать быстро и профессионально, чтобы минимизировать ущерб и защитить компанию от повторных инцидентов. Чем быстрее будут предприняты меры, тем больше шансов на успешное восстановление и защиту от последствий инцидента.
Дмитрий Горлянский
– Есть стандартные методики реагирования на инциденты (NIST – специальные публикации, рекомендации и стандарты), которые в основном сводятся к:
- прекращению утечки (блокировка доступа, пользователя и др.);
- оценке ущерба (от нее будет зависеть дальнейшая реакция: официальное расследование, игнорирование, компенсирующие меры и др.);
- анализу: как произошел инцидент, что не сработало и т.д.;
- действиям: дополнительная настройка средств защиты, организационные меры, разработка превентивных мер;
При этом есть еще стартовый «нулевой» этап – правильное формирование модели угроз, на котором желательно не ограничиваться стандартными моделями, а учитывать специфику бизнеса и процессов в компании. В случае если инцидент все-таки произошел, имеет смысл пересмотреть этот этап еще раз.
Вопросы доведения до суда решаются индивидуально для каждого инцидента. Главное помнить, что без юридически правильно внедренных систем контроля это будет крайне тяжело, поэтому на «бумажное» внедрение систем типа DLP нужно обратить пристальное внимание еще до начала работы с системой.
Сергей Золотухин
– В первую очередь, нужно постараться утечки не допустить. Однако, если утечка все-же произошла, в компании должен быть разработан и внедрен план реагирования на подобный инцидент, а персонал регулярно проходить подготовку и киберучения. Если инцидент произошел, компании обязаны по закону «О персональных данных» (№ 152-ФЗ) уведомить Роскомнадзор о неправомерной или случайной передаче персональных данных в течение 24 часов, а в течение 72 часов – о результатах внутреннего расследования инцидента. Если компания не может справиться сама, необходимо сразу пригласить специалистов.
Во-вторых, план действий зависит от масштабов и содержания украденных массивов данных утечки. Если утекли персональные данные клиентов, злоумышленники могут их использовать для мошеннических атак. Если в руки киберпреступников попали доступы в инфраструктуру, пароли системного администратора, продолжением может стать атака программы-вымогателя, в результате чего бизнес понесет огромные финансовые и репутационные потери. Понять, что произошло или происходит – основная задачи первого этапа реагирования.
Дмитрий Артеменков
– Конечно, лучше не допускать утечек, но нужно быть готовым к подобным ситуациям – руководствуясь риск-ориентированным подходом, рассмотреть возможную утечку и последствия, к которым она может привести.
На основании этого можно заранее проработать сценарий действий со всеми вовлекаемыми подразделениями при обнаружении утечки: определить круг лиц, которые должны реагировать в подобной ситуации по установленному протоколу.
В первую очередь необходимо «найти и обезвредить»: определить, откуда произошла компрометация данных, и перекрыть этот канал во избежание новых инцидентов.
Далее необходимо понять, только ли эти данные утекли, или же потенциально возможна компрометация более обширного объёма конфиденциальных данных.
Вследствие этого – оценить фактические риски (репутационные и финансовые) и принять меры по их смягчению. Ну и, конечно, уведомить регуляторов, если вопрос касается данных, подпадающих под юрисдикцию законодательства (например, персональные данные).
Гегам Дерцян
– После известных нам событий рынок переформатировался. Если рассуждать поверхностно, то российские вендоры выиграли с точки зрения конкуренции. Очевидно, что технологии с нуля не сравнятся с технологиями, которые разрабатывались и прокачивались десятки лет. Но все же, в России много грамотных специалистов и высокая экспертиза по кибербезопасности, а это значит, что уровень функциональных возможностей в ближайшем будущем выйдет на высокий уровень. Сейчас для российского рынка хорошее время чтобы показать силу отечественной экспертизы. И это не только разработка ПО и решений по ИБ, но и совместное противодействие кибератакам со стороны других стран.
Алексей Дрозд
– Во-первых, есть алгоритмы, которых сегодня требует закон. Например, если компания относится к госсектору, КИИ или системообразующим предприятиям, первое, что нужно сделать после инцидента – отчитаться о нем в НКЦКИ. На первое уведомление есть сутки, затем за 72 часа нужно провести расследование и назвать регулятору причины, виновников и вред от происшествия. Финансовые организации должны отчитываться еще и перед ЦБ. Об утечке персональных данных нужно сообщить в Роскомнадзор.
Во-вторых, необходимо предпринять меры, чтобы «залатать» брешь в защите. Однако сделать это невозможно, если в компании нет средств аудита. Если утечка произошла, очевидно, что средства защиты не доработали, но понять, что пошло не так, можно только при реконструкции инцидента. Это нужно, чтобы понять, как это произошло, очертить круг причастных и выяснить, виновник сделал это осознанно или по ошибке. Только после этого можно настроить средства защиты таким образом, чтобы они повторно такого инцидента не допустили.
В-третьих, нельзя забывать про коммуникацию с пострадавшими – например, если у компании утекли данные клиентов. Кроме отчета регулятору, хороший тон – уведомить пострадавших и предупредить, каких угроз стоит ожидать. Рассказать, как вести себя при атаках, например, социнженеров, которые часто базируются на таких утечках. Когда компания замалчивает факт, она наносит долгосрочный вред пострадавшим, фигурировавшим в утечке.
Мы, кстати, готовили памятку на случай, если утечка произошла. Там по шагам рассказываем про оптимальную стратегию реагирования
Вопрос 3. Насколько высок уровень функциональных возможностей российских кибертехнологий?
Павел Кравцов
– Уровень функциональных возможностей российских кибертехнологий в целом довольно высокий. Россия имеет квалифицированных специалистов в области кибербезопасности, которые создают высокотехнологичные программные продукты для защиты информации. Кроме того, российские компании разрабатывают различные кибер-инструменты, такие как средства обнаружения и предотвращения кибератак, мониторинга информационной безопасности.
Дмитрий Ковалев
– Российский ИБ-рынок – довольной зрелый, прошедший год показал, что российские решения по ряду направлений не уступают продуктам зарубежных вендоров.
Александр Зубриков
– Данный вопрос очень актуален для всех компаний, как с точки зрения ЦА решений ИБ, так с точки зрения интеграторов или компаний, занимающихся консалтинговыми услугами. В текущей ситуации с уходом зарубежных продуктов с рынка многие обратили внимание на российский рынок ИБ-решений. Уровень функциональных возможностей отечественных решений в области ИБ зависит от конкретных продуктов и компаний, которые их создают. Некоторые отечественные компании разрабатывают продукты, которые не уступают зарубежным аналогам, но также есть и продукты, которые требуют дополнительной работы и совершенствования. В целом, российские кибертехнологии имеют большой потенциал и возможности для дальнейшего развития.
Юлия Новикова
– В целом на российском рынке представлена широкая палитра защитных решений от локальных разработчиков с большой экспертизой, которые предоставляют широкие возможности для защиты IT-инфраструктуры на разных уровнях.
Павел Коростелев
– Это легко оценить по прошлому году – несмотря на возросшую агрессию киберсреды, участившиеся атаки различных сил, вплоть до уровня западных спецслужб, в России не случилось большого количества громких инцидентов. Более того, их не было в контексте объектов, которые считаются критическими для экономической и социальной стабильности страны.
Надо понимать, что во многих сегментах информационной безопасности российские решения имеют весьма высокий уровень даже по сравнению с инструментами ведущих зарубежных вендоров. Скажем, в сетевой безопасности. Но даже в тех сферах ИБ, где отечественные вендоры отставали от западных, уже сейчас мы начинаем подтягиваться за счет ускорения процесса импортозамещения и все той же агрессивной киберсреды. С одной стороны, она несет большие риски, но с другой, это такой интенсивный курс, который позволяет быстро выйти на качественно новый уровень.
Александра Синявина
– Уровень варьируется в зависимости от конкретных компаний и продуктов. В корпорациях, например, функциональные возможности высоки. А вот малые и средние компании сталкиваются с финансовыми ограничениями.
Игорь Ляпунов
– Российские технологии нисколько не уступают любым другим. Помимо того, что они остаются конкурентоспособными, разработчики активно развивают и привносят в продукты новые методы, алгоритмы и подходы к защите данных.
Сергей Белов
– В целом, Россия является довольно крупным игроком в области кибербезопасности, и российские компании и специалисты по кибербезопасности имеют ряд достижений и обширный опыт в этой области. Например, крупные российские компании создают программное обеспечение антивирусной защиты, брандмауэров, систем мониторинга и других средств защиты от киберугроз. Российские специалисты по кибербезопасности участвуют в международных конференциях и соревнованиях в области кибербезопасности и нередко занимают высокие места в мировых рейтингах (например, https://ctftime.org/stats/2021/RU).
Однако вопросы безопасности данных и кибербезопасности остаются актуальными для всех стран и компаний, и никакая технология не может гарантировать полную защиту от киберугроз. Важно следить за новыми угрозами и использовать комплексный подход к обеспечению безопасности данных и сетей
Дмитрий Горлянский
– Однозначно сложно ответить – в некоторых областях сопоставим с мировыми лидерами, в некоторых даже превосходит, а в некоторых, к сожалению, отстает.
Так, отечественные DLP системы по функциональным возможностям не уступают западным аналогам и давно успешно вытеснили иностранные DLP. Произошло это во многом не за счет процессов импортозамещения, хоть они и повлияли, причина скорее в более удобном и дружелюбном интерфейсе, что сильно сказывается на времени, затрачиваемом на выявление инцидентов, настройку системы и проведение расследований.
Сергей Золотухин
– У российских разработчиков достаточно собственных зрелых решений, которые заменяют зарубежные аналоги. В прошлом году мы запустили Group-IB Unified Risk Platform – флагманский продукт, который объединил на одной платформе передовые решения и сервисы, обеспечив клиенту максимальный уровень защиты от киберугроз на трех основных направлениях: внешний периметр компании, внутренняя инфраструктура, интеллектуальная собственность (бренд). Group-IB Unified Risk Platform не имеет аналогов ни в России, ни за рубежом.
Конечно, изменения на рынке во многом произошли из-за ухода зарубежных вендоров. Участники российского рынка ИБ-решений стали активнее договариваться с партнерами о технологическом сотрудничестве, кооперироваться с российскими производителями.
Дмитрий Артеменков
– Средства защиты от утечек – одно из тех направлений, за которые российским производителям не приходится краснеть. Ряд компаний присутствуют на рынке уже более двадцати лет и за это время успели отточить технологии. А некоторые технические преимущества, например, работа с кириллицей и распознавание текстов на её основе, выгодно отличают отечественные решения от западных. Это позволило отечественным продуктам заполнить российский рынок систем DLP ещё до ситуации ухода западных игроков.
Что касается комплексных систем безопасности, то на данный момент российский рынок успел адаптироваться по многим направлениям и имеет вполне зрелые, работоспособные решения, поэтому нам удаётся подобрать аналогичные средства ИБ, закрывающие основные «базовые» потребности по функционалу. Однако при этом во многих отечественных продуктах остаются пробелы в гибкости функционала, возможности кастомизации и масштабирования.
Гегам Дерцян
– За последние 10 лет российский рынок ИБ вырос и показал хорошие результаты, особенно те компании, которые вкладывались в рост экспертизы: «Лаборатория Касперского», «Гарда Технологии», UserGate, R-Vision, InfoWatch. Нельзя сказать, что ощущается дефицит решений. Основные продукты, которые используют организации – межсетевые экраны, решения класса SIEM, VPN, PAM, AV, VM, WAF, DLP, Anti DDoS – так или иначе на российском рынке представлены. Однако в таких направлениях, как NGFW, PAM и Anti DDoS нам еще есть куда расти, особенно в сравнении с ушедшими брендами.
Алексей Дрозд
– Разделим российские технологии на три базовые составляющие – и ответы будут разными.
Если брать прикладные решения, в частности, СЗИ, то уровень их возможностей очень высок. Решения, по сути, ничем не уступают иностранным аналогам, а временами даже превосходят в функциональности.
Если брать уровень системный – ОС и СУБД, то тут тоже все неплохо. Проблема скорее в том, что возникает не нехватка, а слишком большое изобилие этих систем, потому что в каждую заложены свои технологии и стандарты и они зачастую друг с другом несовместимы – например, разработчикам прикладных решений нужно в разы больше усилий, чтобы поддержать их все.
Если брать уровень оборудования, то все уже не так гладко – программно-аппаратные комплексы (ПАК) российского производства есть, но, если изучить компонентную базу, выяснится, что все-таки они создаются не полностью на российских комплектующих.
Это всегда риски, потому что по ряду позиций у нас нечем заместить иностранные технологии – например, условная оперативная память в России не производится в принципе. По ряду позиций производство есть, но его масштаба не хватает для закрытия потребностей всей страны. К тому же в этой сфере особенно заметно некоторое технологическое отставание российских производителей.
Вопрос 4. В каких отечественных средствах защиты информации вы нуждаетесь? Что есть и чего не хватает на рынке ИБ в России?
Павел Кравцов
– В отечественных средствах защиты информации компании нуждаются в различных областях, включая защиту периметра, защиту электронной почты, защиту от вредоносных программ и шифрования данных. На рынке ИБ в России есть достаточно много продуктов и решений для этих задач, однако многие компании также нуждаются в консультациях и услугах специалистов по кибербезопасности.
Дмитрий Ковалев
– Мы видим большой спрос на комплексную защиту инфраструктуры, в частности на продукты для защиты приложений, сайтов, решения для профилактики и быстрого реагирования на сетевые угрозы и DDOS-атаки различной сложности, а также системы для защиты конечных устройств и организации безопасности удаленной работы. На рынке по объективным причинам, есть дефицит аппаратных и программно-аппаратных решений. Сейчас практически в каждой категории ИБ есть альтернатива зарубежным продуктам. В ближайшее время по многим направлениям ПО мы ожидаем значительный рост отечественных решений с точки зрения качества и функционала.
Александр Зубриков
– На рынке ИБ в России есть множество отечественных средств защиты информации, таких как антивирусы, брандмауэры, системы мониторинга и анализа угроз и т.д. Однако на текущий момент критически не хватает квалифицированных специалистов по ИБ, которые могут обеспечить эффективную защиту информации в компаниях и организациях.
Кроме того, на рынке ИБ в России не хватает инвестиций в развитие отечественных технологий и продуктов в области кибербезопасности, как со стороны государства, так и со стороны других инвесторов. Пока только Positive Technologies из отечественных разработчиков ИБ решений смогла провести успешное IPO на фондовом рынке.
Александра Синявина
– Мне кажется, в России хватает инструментов для защиты информации. На рынке представлены антивирусные программы, средства защиты от DDoS-атак, межсетевые экраны, интеллектуальные системы анализа безопасности. Однако, как и в любой сфере, возможны улучшения. Проблемы возникают в стоимости средств защиты. Если корпорации выделяют бюджет на кибербезопасность, то малый и средний бизнес не всегда располагает средствами. Поэтому вынужден отказываться от инструментов и рискует потерять данные.
Но главная проблема – нехватка квалифицированных кадров в кибербезопасности. При этом не достает и обучающих курсов. Образовательные программы содержат базовый набор информации и обновляются раз в 3-5 лет, и за это время теряют актуальность.
Дмитрий Горлянский
– Нужны системы виртуализации, сетевые экраны.
Сергей Золотухин
– Могу ответить, исходя из запросов наших клиентов. Крупными заказчиками хорошо востребованы флагманские продукты Group-IB: Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз и Threat Intelligence (Киберразведка).
В регионах и компаниях сегмента МСБ мы видим большой спрос на «легковесные» и быстрые облачные решения для относительно небольших бюджетов. Самым популярным продуктом у нас стал Attack Surface Management, отслеживающий забытые ИТ-активы, незащищенные участки инфраструктуры, некорректно настроенные элементы сети, которые могут использовать атакующие, а также облачная версия Business Email Protection, позволяющая обнаруживать и блокировать все связанные с электронной почтой угрозы, включая продвинутые кибератаки.
Вопрос 5. Считаете ли вы, что необходимо усилить требования регуляторов (Банк России, Роскомнадзор, ФСТЭК РФ, ФСБ РФ) для обеспечения кибербезопасности? Если да, то какие меры, на ваш взгляд, могут быть эффективными?
Павел Коростелев
– Вопрос ужесточения – довольно неоднозначный. С одной стороны, мы видим, что чем суровее становится закон, например, в отношении тех же утечек персональных данных, тем больше улучшается ситуация с безопасностью. И жесткое государственное регулирование, безусловно, необходимо, особенно в нынешней ситуации, когда у нас – будем честны – идет полноценная информационная война.
С другой стороны, как бы ни старалось государство и надзорные органы, не одна мера не будет эффективной без высокого уровня зрелости самих игроков рынка. Несмотря на то, что многие компании подвергаются атакам, их топ-менеджеры, как правило, считают ИБ-решения всего лишь блажью своих «безопасников». Здесь, конечно, помогут только очень большие штрафы, однако в любом случае процесс повышения безопасности – это дорога с двусторонним движением. Только тесное сотрудничество государства и бизнеса позволит более эффективно защитить информационные системы страны.
Александра Синявина
– Считаю, необходимо следить за актуальностью требований, обновлять и усиливать их по мере необходимости.
Выделю меры, которые улучшат сохранность данных: 1) Штрафы за несоблюдение правил безопасности при хранении данных. Санкции повысят ответственность компаний за сохранность персональных данных и другой конфиденциальной информации. 2) Проведение регулярных аудитов и тестирований на проникновение для выявления уязвимостей и оценки уровня кибербезопасности. 3) Улучшение квалификации кадров в сфере кибербезопасности, предоставление специализированной программы обучения и сертификации.
Евгений Доможиров
– Требования регуляторов считаем достаточными и эффективными в современных условиях и многократно возросших кибератак.
Александр Зубриков
– Да, усиление требований регуляторов может быть эффективным для обеспечения кибербезопасности. Это может включать в себя ужесточение требований к защите персональных данных, обязательную сертификацию средств защиты информации, а также усиление мер по борьбе с киберпреступностью. Однако такие меры должны быть сбалансированы с необходимостью сохранения конфиденциальности и свободы в Интернете.
Игорь Ляпунов
– Усилить требования важно в направлениях персональных данных, телефонного мошенничества и спама. Сейчас многие компании считают необходимым собирать большое количество информации о клиентах, в том числе ненужной. При этом очевидно, что такие организации не способны самостоятельно спроектировать систему защиты данных и не всегда их владельцы готовы обращаться к дорогостоящим консультантам и решениям.
Сергей Гатауллин
– Что касается усиления требований регуляторов (Банк России, Роскомнадзор, ФСТЭК РФ, ФСБ РФ) для обеспечения кибербезопасности, то это оружие обоюдоострое. Вместо создания условий, в которых операторы персональных данных будут стараться скрыть утечки, необходимо работать над системой взаимодействия регуляторов и бизнеса, под контролем государства, гарантирующей соблюдение прав как субъектов персональных данных, так и бизнеса.
Сергей Белов
– Я считаю, что усиление требований регуляторов в области кибербезопасности является важным шагом для обеспечения безопасности данных и сетей в России. Несмотря на то, что некоторые регуляторы уже имеют определенные требования к компаниям в этой области, эти требования могут быть усилены и дополнены, учитывая новые угрозы и риски.
Некоторые меры, которые могут быть эффективными:
- Больше контроля и надзора со стороны регуляторов. Регуляторы должны усилить свой надзор за компаниями, обрабатывающими конфиденциальную информацию и данных, чтобы гарантировать, что они соблюдают необходимые стандарты и рекомендации в области кибербезопасности.
- Ужесточение требований к защите персональных данных. В свете нового Закона о персональных данных, регуляторы должны ужесточить требования к компаниям в отношении обработки и хранения персональных данных и осуществления контроля за доступом к ним.
- Применение новейших технологий и инструментов кибербезопасности. Регуляторы должны установить требования для компаний, чтобы они использовали новейшие технологии и инструменты кибербезопасности, такие как многофакторная аутентификация, средства мониторинга и так далее.
- Регулярное проведение тестирований на проникновение и аудитов безопасности. Компании должны регулярно проводить тестирование на проникновение и аудит безопасности, чтобы определить возможные риски и устранить уязвимости.
- Обучение и повышение осведомленности сотрудников. Регуляторы должны требовать от компаний проводить регулярное обучение и повышение осведомленности сотрудников в области кибербезопасности.
Эти меры могут помочь улучшить уровень кибербезопасности в России и защитить компании и государственные организации от киберугроз. Также важно, чтобы регуляторы и компании сотрудничали и оперативно обменивались информацией о новых угрозах.
Сергей Золотухин
– В деятельности регуляторов нужно выделить два важных аспекта. За последний год обеспечение информационной безопасности перешло из “бумажной” плоскости в практическую, и необходимо обеспечить реальное соблюдение требований действующих нормативов.
Второй аспект – выстраивание внутриотраслевого взаимодействия, чтобы был оперативный сбор и обмен данными о киберугрозах, актуальных для той или иной сферы: банки, телеков, ритейл, энергетика. Если будет атака, например, на телеком-оператора, то, поделившись техническими индикаторами атаки, и предоставив исчерпывающую информацию о кибер-инциденте, можно составить рекомендации по превентивному обнаружению потенциальных киберугроз, предотвратить инциденты в смежных организациях.
Дмитрий Артеменков
– Оценивая подход регуляторов, можно уже сказать, что некоторые из них отслеживают ситуацию, происходящую в цифровой среде, ведут регулярный диалог с бизнесом и стараются корректировать требования по защите данных.
Алексей Дрозд
– За прошлый год многое в этом направлении уже было сделано, что однозначно позитивно. Но некоторых мер еще приходится ждать. Пока наказание за разглашение данных слишком мягкое – до 200 тыс. рублей для юридических лиц; для сравнения, внедрение всех необходимых СЗИ может обойтись компании в десятки раз дороже. Естественно, при таком раскладе легче заплатить несерьезный штраф, чем вложиться в защиту. При этом вред от компрометации личных данных для всех с каждым днем больше, потому что общество больше и больше цифровизуется.
Введение оборотных штрафов для компаний, допустивших утечки персданных, может изменить ситуацию. Подвижки уже есть: например, с 1 марта действует приказ Роскомнадзора, в котором прослеживается взаимосвязь размера ущерба с размером утечки. Компании должны будут проводить оценку, насколько утечка навредит пострадавшим гражданам, в зависимости от того, какие данные были скомпрометированы. Такая оценка сможет стать критерием при расчете штрафов. Вдобавок прорабатывается инициатива создания фонда для выплат потерпевшим от утечек.
Но здесь нужно помнить, что механизм возмещения вреда в гражданско-правовом порядке есть и сейчас (можно вспомнить коллективный иск пострадавших от утечки к «Яндекс.Еде»). Важнее, чтобы сами потерпевшие тоже были активны в этом направлении и обращались за возмещением ущерба. Для этого нужно поднимать общую ИБ-грамотность среди населения.
Второй момент касается физических лиц, которые допускают серьезные нарушения при работе с персональными данными – им нужна особая ответственность вплоть до уголовной. Знаю, что вопрос тоже уже прорабатывается.
В феврале текущего года Правительство РФ поддержало концепцию законопроекта о введении уголовной ответственности за незаконные сбор, хранение и передачу ПДн. Обсуждение новой версии законопроекта началось еще летом 2022 года, сейчас сенаторы работают над текстом документа и конкретизацией размера наказания. Конечно, наказание должно быть соразмерным, однако оно должно быть жестче для рецидивистов, лиц, намеренно и с финансовой заинтересованностью совершающих преступления. При этом важно стремиться раскрыть всю цепочку и оценить вклад организации, откуда утекли данные, в защиту своих ресурсов.
В целом мы ждем, что использование средств защиты станет «знаком качества» для компаний, маркером, по которому граждане будут оценивать – стоит обращаться в эту компанию за услугами или нет. ФСТЭК в ряде областей уже выпускает рекомендации с указаниями конкретных средств защиты. Практика позитивная, такое письмо организациями воспринимается проще, чем традиционные приказы на сложном юридическом языке. Хорошо бы распространить такие письма на все регионы.
Кроме того, появляются отдельные отраслевые стандарты безопасности, причем не только привычные банковские, но и для отраслей, тесно связанных с персданными – например, Концепция по ИБ в здравоохранении. Это тоже движение вперед.
Вопрос 6. Есть ли у вашей компании своя ИБ-стратегия? Каковы ее основные принципы?
Александр Зубриков
– Главные принципы, которых мы придерживаемся при разработке рекомендаций: «Стоимость защиты ИТ-актива не должна превышать стоимость потенциального ущерба, который может быть вызван его утратой или компрометацией». Это значит, что нужно грамотно проводить оценку рисков ИБ, взвешивать все подходы к безопасности и не зацикливаться только на технических решениях для защиты информации.
Александра Синявина
– В ИБ-стратегию нашей компании включены 6 принципов: 1) Идентификация и оценка рисков 2) Контроль доступа, кодирование информации 3) Конфиденциальность и защита данных 4) Обучение и тестирование персонала 5) Обеспечение безопасности сети 6) Непрерывное совершенствование, актуализация
Евгений Доможиров
– Команда отдела информационной безопасности CESCA советует своим заказчикам, крупным и средним предприятиям, уделять первоочередное внимание информационной безопасности для защиты конфиденциальных данных от киберугроз.
Чтобы достичь этой цели, необходимо разработать эффективную стратегию информационной безопасности, которая будет включать регулярные оценки рисков, внедрение соответствующих мер безопасности, а также обучение сотрудников с помощью автоматизированных систем повышения осведомленности.
Также важно установить четкие политики доступа, использования и хранения данных, и разработать надежный план реагирования на инциденты, в котором описаны шаги, которые необходимо предпринять в случае взлома или кибератаки.
Если у предприятия нет отдельного структурного подразделения, отвечающего за оперативный мониторинг ИТ-среды и предотвращение киберинцидентов, CESCA рекомендует рассмотреть возможность использования отечественного внешнего решения по обнаружению и предотвращению компьютерных атак, так называемого SOC на аутсорсинге. Тестирование и обновление протоколов безопасности должны проводиться регулярно, чтобы предприятие всегда было на шаг впереди потенциальных угроз. Сильная стратегия информационной безопасности является ключевым фактором для противостояния современным и будущим угрозам любого предприятия.
Сергей Белов
– Оптимальная ИБ-стратегия для ИТ-компании должна быть адаптирована к конкретным потребностям и рискам компании. Следующие принципы могут помочь компании обеспечить максимальную защиту и минимизировать риски:
- Комплексный подход. ИБ-стратегия должна охватывать все аспекты безопасности информации, включая защиту периметра, защиту от вредоносных программ, управление доступом, шифрование данных, аудит безопасности и т.д.
- Регулярное обновление политики безопасности. ИБ-стратегия должна быть гибкой и регулярно обновляться в соответствии с изменяющимися угрозами и требованиями рынка.
- Регулярные аудиты безопасности. Компания должна проводить регулярные аудиты безопасности, чтобы определить уязвимости и недостатки в системе защиты информации и принимать меры по их устранению.
- Обучение персонала. Регулярное обучение и повышение осведомленности персонала по вопросам безопасности информации помогут минимизировать риски внутренних и внешних угроз.
- Управление рисками. Компания должна проводить регулярную оценку рисков и принимать меры для уменьшения рисков на основе приоритетов и бюджетных ограничений.
- Кризисное управление. Компания должна иметь план действий на случай кибератаки или утечки информации и регулярно проводить практические учения.
- Сотрудничество с внешними экспертами. Компании стоит использовать услуги внешних экспертов по кибербезопасности для аудита безопасности, обучения персонала и улучшению систем защиты информации.
Сергей Золотухин
– В последние годы мир кардинально изменился, а миссия Group-IB осталась прежней. Мы боремся с киберпреступниками с помощью инновационных решений, чтобы сделать бизнес наших клиентов безопаснее.
Алексей Дрозд
– Мы, как разработчик ИБ-софта, в первую очередь формулируем рекомендации для бизнеса – их же, впрочем, придерживаемся сами. Наша концепция состоит в том, чтобы защищаться комплексно, на всех уровнях. Фокусируемся в первую очередь на данных.
Для начала у нас выстроен защищенный контур. Мы ставим задачи аудита инфраструктуры, централизованного анализа событий ИБ, сканирования и выявления уязвимостей, антивирусной, сетевой защиты и защиты почты, криптографии. Они все важные, даже обязательные, поэтому в нашем «арсенале» есть все необходимые для этого решения. Но статистика говорит, что причина подавляющего большинства инцидентов – внутри компании. Поэтому особенно тщательно подходим к контролю данных в пределах корпоративного периметра.
Во-первых, когда информация просто хранится: нужно понимать, где находятся данные и кому доступны, кто и как по факту с ними взаимодействует, разграничивать доступы. Когда исключены ситуации, что конфиденциальная информация «плохо лежит» и доступна кому попало, ниже риск ее компрометации.
Во-вторых, нужно отслеживать передвижение информации в компании и за ее пределы – это база для защиты от утечек.
Наконец, снова на уровне ИТ-инфраструктуры нужен мониторинг, как с данными взаимодействуют не только пользователи, но и процессы – в ПО, даже оборудовании; в каком состоянии корпоративные системы. Это позволяет вовремя замечать потенциальные бреши в защите, через которые возможны внешние атаки или случайная компрометация данных.
Мы сами производим решения, необходимые для каждой из задач внутреннего контроля. Но, как я уже упоминал, считаем, что мало обходиться одной автоматикой. Мы обучаем персонал правилам ИБ и внедряем «открытый» режим контроля – когда СЗИ уведомляют сотрудников о рисках, корпоративных политиках и действующих ограничениях, в том числе вовлекают их в принятие решений. Например, наша DLP предупреждает, что отправка письма с таким-то вложением может грозить компрометацией данных, и пользователю нужно уведомить службу ИБ, что он доверяет адресату. Или вступит DCAP-система: запретит отправлять это письмо или сохранять документ без метки конфиденциальности. Такой подход повышает ответственность и дисциплину сотрудников, а потенциальным нарушителям, которые готовы осознанно нарушить правила, дает понять, что ведется контроль – это хорошо работает для предупреждения инцидентов.
Наконец, мы проводим регулярное обучение, причем не только у себя. У нас есть бесплатные курсы для госслужащих и компаний из разных сфер, которые учитывают актуальные отраслевые риски – мы рассказываем рядовым пользователям, как их избежать.
Ещё по теме
Эксперты ИТ-компании «Инфосистемы Джет» – о киберугрозах
По данным центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT, 2022 год стал абсолютным рекордсменом по количеству атак, объему утечек данных, мощности DDоS-атак в зоне РФ.
Исследование подготовлено Jet CSIRT – экспертной командой в составе центра информационной безопасности компании «Инфосистемы Джет», которая противостоит киберпреступникам в режиме реального времени. В документе собрана аналитика от группы мониторинга внешних цифровых рисков, результаты мониторинга и реагирования на инциденты в рамках оказания сервисов SOC, результаты расследований компьютерных инцидентов со стороны экспертов по форензике, а также результаты исследования техник, тактик и процедур (TTPs) киберпреступных группировок за 2022 год.
Основные выводы исследования
- Эксперты зафиксировали трехкратное увеличение общего числа кибератак по сравнению с 2021 годом.
- Наиболее атакуемые отрасли: ритейл, финансовый сектор и ИТ – 82% среди всех зафиксированных нами инцидентов.
- Более 460 миллионов учетных записей пользователей попали в открытый доступ, из них 33 миллиона оказались корпоративными учетными записями.
- Более чем 150 тысяч российских компаний стали жертвами утечек корпоративных учетных записей.
- Более чем в 5 раз возросло количество инцидентов категории «Вредоносная сетевая активность».
- Почти в 4 раза зафиксирован рост «инсайдерских» инцидентов.
Утечки данных
2022 год стал самым масштабным по количеству утечек конфиденциальной информации, в том числе и персональных данных. За большей частью опубликованных материалов стоят хактивистские группировки, которые публикуют данные в открытый доступ. В большинстве случаев хактивисты публикуют украденные базы данных, которые содержат персональные данные (ФИО, электронная почта, номер телефона, и т. д.).
Анализ опубликованных данных показывает, что злоумышленникам удалось взломать более 355 российских компаний, а украденную информацию выложить в открытый доступ.
В общей сложности злоумышленники за 2022 год опубликовали информацию о более чем 460 миллионах учетных записей пользователей, из которых 33 миллиона оказались корпоративными учетными записями.
При анализе фактов компрометации наиболее популярных интернет-ресурсов оказалось, что сотрудники более чем 150 тысяч российских компаний использовали рабочую почту в личных целях, в результате чего сведения о корпоративных учетных записях оказались доступны злоумышленникам.
Кибератаки
2022-й стал годом массовых кибератак. Большинство атак в 2022 году проводили политически мотивированные хактивисты. Финансовая выгода перестала быть основной мотивацией проведения кибератак, злоумышленники нацелены на привлечение внимания и нанесение репутационного ущерба.
По итогам года центр мониторинга Jet CSIRT зафиксировал более 10 тысяч инцидентов ИБ, что в три раза больше аналогичного показателя по сравнению с прошлым годом.
Чаще всего в 2022 году происходили следующие категории инцидентов[1]:
- заражение вредоносным ПО (49% от всех инцидентов за год);
- компрометация учетной записи (25% от всех инцидентов за год);
- вредоносная сетевая активность (17% от всех инцидентов за год);
- компрометация узла (6% от всех инцидентов за год).
В разбивке по категориям, рост инцидентов 2022 году по сравнению с 2021 годом выглядит следующим образом:
- «Заражение вредоносным ПО» + 126%
- «Компрометация учетной записи» +363%
- «Вредоносная сетевая активность» + 514%
- «Компрометация узла» +171%
- «Нарушение политик безопасности» +376%
Значительно вырос интерес злоумышленников к атакам на цепочку поставок. Самыми уязвимыми для подобных атак стали компании малого и среднего бизнеса. Именно они испытывают особую нехватку бюджета и специалистов ИБ, возлагая зачастую вопросы безопасности на плечи непрофильных специалистов – ИТ, СБ.
Уровень защищенности компаний
По данным, полученным с консалтинговых проектов компании «Инфосистемы Джет» за 2021-2022 годы, менее трети компаний применяют базовые меры, направленные на нивелирование риска взаимодействия с третьими сторонами: профили риска поставщиков, анализ уровня ИБ подрядчика до взаимодействия, организация буферной безопасной зоны и другие меры.
- Только в 10% компаний определены и классифицированы категории рисков, связанных с отношениями с поставщиками, данные риски рассматриваются в рамках корпоративного процесса управления рисками.
- Политика взаимодействия c поставщиками и правила безопасного обмена данными формализованы только у 20% компаний.
- Детализация мер защиты для поставщиков в зависимости от их уровня риска и критичности предоставляемых услуг наблюдалась у 5% компаний, в основном набор обязательных требований формировался из принципа «один размер для всех».
- Разработанные опросные листы для определения уровня ИБ поставщика услуг есть у 8% компаний
[1] Категории инцидентов, используемые в Jet CSIRT
|
Ключевые слова: кибербезопасность, киберугрозы, утечка данных, служба ИБ, правила безопасности, компрометация данных.
Подпишитесь на журнал Купите в Интернет-магазине
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|