Ущерб от утечек информации в российских компаниях ежегодно оценивается в миллиарды рублей, и цифры только растут
В числе главных угроз, если не считать целевых хакерских атак, остаются инсайдеры, готовые за деньги предоставить доступ в IT-периметр злоумышленникам. Однако опасаться стоит не только их — немало утечек происходит из-за банальной халатности и неграмотности сотрудников. Как защитить бизнес от самого слабого звена, «Ко» рассказал Андрей Конусов, генеральный директор компании «Аванпост», разработчика систем идентификации и управления доступом.
— О том, что сотрудники являются самым уязвимым звеном системы безопасности компании, говорят последние 10 лет. Люди хотят заработать на данных?
— Не всегда речь идет о злоумышленниках, таких в мире не более 10 %, в России меньше, ведь внедрение с целью сбора данных или шпионажа дорого и рискованно. В 95 % случаев всему виной халатность и неграмотность персонала, который становится легкой добычей для социальной инженерии. А утечки становятся результатом желания помочь коллеге открыть файл или попытки пройти тест «Какая ты машина» по ссылке в письме. И не нужна команда хакеров, атакующая IT-периметр в реальном времени. Бессильны и технические средства защиты, хотя они и стали очень совершенными.
Цель таких манипуляций — и получение данных, и перехват финансовых транзакций. Но все, что связано с деньгами, находится под усиленной защитой, таких кейсов кратно меньше. К защите данных компании относятся менее бдительно.
— Рассчитывают сэкономить или не верят в эффективность?
— Инновационные технологии защиты сложно монетизировать, заказчик не готов тратиться, пока не произошел инцидент. Если же в защиту вложились и инцидентов закономерно не происходит, тебя никто не похвалит. Скорее отметят, что деньги потратили неэффективно. Хотя именно на защиту данных стоит обратить максимум внимания. Информационные процессы в бизнесе стали основными, 90 % данных существуют в электронном виде, без защиты их легко скопировать. И ваши решения, в разработку которых вложены миллионы, получат конкуренты, выпустят на рынок и будут на них зарабатывать. Может быть, это уже случилось, поэтому ваши продажи и упали?
Доля утечек по вине сотрудников в России вдвое выше, чем в мире, — более 72 % (данные InfoWatch).
— Утечки бывают у всех, даже в спецслужбах, а это самые закрытые организации. Мы нередко слышим об утечках из госструктур…
— Госструктуры в России защищены лучше: они обязаны хотя бы следовать нормативным рекомендациям. Для бизнеса же киберзащита — всегда компромисс между удобством, безопасностью и деньгами. Обычно из трех компонентов учитывают в лучшем случае два, а чаще один. Но понимание важности киберзащиты растет, к этому вынуждает жизнь, у тех же банков нередко происходит кража денег. До какого-то момента на это можно закрывать глаза, возмещая убытки, но сейчас Центробанк не позволяет игнорировать эти вызовы. В других отраслях нет таких регуляторов, но уровень безопасности все равно растет.
— Как пандемия повлияла на ситуацию?
— Число киберпреступлений выросло радикально. Образно говоря, раньше мы сидели за крепостными стенами, считая, что все под защитой. Пожар выгнал всех в поле, отразить нападение стало сложно. Компании быстро выводили сотрудников на удаленку, не думая о безопасности. Многие сели за домашние компьютеры, доступные в том числе детям, конечно же, с вирусами, стали использовать общедоступные каналы связи. А это ключевые точки утечек: незащищенный компьютер и открытый канал. Исправить это быстро не вышло: начался локдаун, к некоторым заказчикам нельзя было попасть в офис и установить необходимые средства. Потом доступ стал чуть легче, но за три месяца у нас около 400 тыс. руб. ушло на COVID-тесты…
В целом пандемия увеличила спрос на системы защиты, компании хотят обезопасить организованные по-новому процессы. Ведь они с нами надолго, в офисы в прежнем формате вернутся не все. Другое дело, что многое уже украдено, но это как с неожиданной войной, к которой никто не готов.
В январе–сентябре 2020 года в мире «утекло» 9,93 млрд записей персональных данных и платежной информации, из них 96,5 млн — в России.
— Есть ли какие-то базовые гигиенические правила, которые помогли бы смягчить последствия экстренной децентрализации?
— Два золотых правила безопасности: не давать доступа к информации сотрудникам, которым для работы она не нужна, и контролировать действия тех, кто такой доступ имеет. За первую задачу, то есть за обеспечение предоставления прав доступа к компьютерам и информационным системам, отвечают IDM-системы. Еще недавно их воспринимали как способ автоматизации предоставления прав доступа, но потенциал с точки зрения безопасности тут реально огромен. Сотрудники, работая в компании годами, участвуют в разных проектах, группах, меняют должности, получая всё новые права доступа. В какой-то момент сотрудник со «шлейфом прав» может попасть практически везде, и до утечки остается шаг.
— Звучит как преувеличение…
— По оценкам Kaspersky Lab, причиной около 60 % утечек оказываются незакрытые вовремя права доступа уволенных сотрудников. Это создает благодатную почву для преступлений, без риска для исполнителя. Выход один — автоматическое изменение прав доступа в зависимости от должности, отзыв ненужных прав, их периодическая аттестация. Но во многих компаниях это вручную делают сотрудники ИТ-подразделений, на основании служебных записок или даже просто по просьбе сотрудника. Вопросов никто не задает, переходов человека с одной позиции на другую не отслеживает. IDM-cистема знает положенные права для сотрудников в определенной должности, может сверять их с реальным набором, видеть расхождения — всё автоматически.
— Может быть, просто нужно давать меньше прав?
— Идея минимизации прав доступа к информации — правильный путь. Но куда важнее отслеживать критические наборы прав. К примеру, платежку для перевода денег в банке готовит операционист, ее подтверждает начальник смены. Но начальник смены мог ранее работать операционистом (а в будущем может и возглавить филиал). Сохранив права доступа, гипотетически он платежку может набить, одобрить, а потом следы замести. Вот и создалась опасная комбинация прав.
В мире 52,6 % случаев утечек спровоцированы внешним воздействием, в России — в пределах 21 %. Более 79 % утечек в стране произошли в результате внутренних нарушений.
— В России бизнес интересуется автоматизированными решениями, которые могут пресечь «правовую избыточность»?
— Да, безусловно, хотя мы немножко запаздываем. Например, если говорить о IDM-системах, в США или Европе ими оснащены около 90 % крупных компаний и порядка 60 % компаний среднего размера. Причем у многих это система облачная, которой они пользуются как сервисом. В России IDM есть примерно у половины крупного бизнеса, на среднем уровнем ими пользуется не больше 20 % компаний. Хотя системы, кроме прочего, помогают экономить на лицензионных отчислениях. Например, во время периодической аттестации прав доступа сотрудников нередко обнаруживается, что многими продуктами они не пользуются, не активируют даже учетные записи.
— Насколько сложнее решать проблему аутентификации сотрудников на «удаленке»?
— Если компании работают с системами класса SSO (Single sign-on), то ничего не меняется. Технология позволяет не использовать множество сложных паролей для доступа к разным продуктам (CRM, ERP, почте и т.д.), что создает массу рисков: люди заводят один пароль для всего, стикеры с ними висят на экранах… В SSO реализован следующий принцип: для первичного входа в компьютер пользователь должен пройти серьезную, возможно многофакторную, аутентификацию (например, вводится код из СМС), но после того, как он точно подтвердил, что он это он, все приложения доступны без паролей (их вводит установленный на рабочей станции агент). Реальные пароли в каждую из систем SSO генерируются автоматически, поэтому их можно сделать состоящими хоть из тысячи символов и менять хоть каждые пять минут — взломать аккаунт подбором не получится. В качестве факторов первичной аутентификации сейчас можно использовать и биометрию, у некоторых заказчиков появились запросы на Face ID, можно учитывать «клавиатурный почерк» пользователя, то есть как он набирает текст, с какой скоростью и т.д., сверяя поведение с обычной моделью.
За девять месяцев 2020 года в мире зарегистрировано на 7,4 % меньше утечек, чем за аналогичный период прошлого года. В России за тот же период число утечек, наоборот, выросло на 5,6 %.
— Получается, что многие решения для кибербезопаности оправдывают рост контроля над активностью не только сотрудника, но и массового пользователя?
— Да, с одной стороны, алгоритм работы упрощается, не надо помнить множество паролей, но одновременно за пользователем увеличивают контроль. Это правильный путь, потому что позволяет совместить и безопасность, и удобство.
— Могут ли технологии контроля из периметра бизнес-компаний прийти в обычную жизнь пользователя?
— Да, гайки закручивают. И то, что мир идет к сокращению количества свобод, отлично показано в сериале «Черное зеркало». Все, что может быть использовано против нас, будет использовано, сделать это государству технологии позволяют. Хотя в некоторых случаях технологии же и оказываются выше желания тотального контроля. Вот Telegram — очень показательный пример. Сколько Роскомнадзор пытался закрыть к нему доступ? Между тем Telegram все еще с нами. Пока выдохнули, поняли, что не всё можно закрыть просто по щелчку.
Ольга Блинова
По материалам: “Компания”