Как управлять рисками утечки критичных данных
Привычно полагаясь на безупречность защиты периметра, люди упускают из виду одно очень важное обстоятельство: в современном бизнесе больше нет единого периметра безопасности. Точнее, их становится много – вокруг каждого компьютера и мобильного устройства.История развития корпоративных информационных систем сложилась так, что главным рубежом защиты стал периметр ИБ. Такой подход до поры до времени действительно позволял управлять рисками утечки важных, критичных, конфиденциальных данных, от которых существенно зависит бизнес и производственные процессы.
Однако бурное развитие мобильных технологий и широкое проникновение их в бизнес-процессы уже требуют защищать информацию не только в пределах периметра, но и за его пределами: там, где она обрабатывается и хранится, то есть на мобильных компьютерах. Ведь мобилизация офиса значительно повысила риски утечки «чувствительных» данных.
Снижение рисков ИБ – результат совместных усилий
Никто не спорит, что современные ноутбуки и другие мобильные устройства позволяют увеличить эффективность бизнеса, например, за счет повышения производительности труда из-за возможности удобной и простой обработки корпоративной информации вне офиса. Однако в вопросах обеспечения ИБ далеко не всегда удается достигнуть компромисса.
С одной стороны, менеджмент заботят проблемы получения прибыли и развития бизнеса, а безопасность – это почти всегда набор некоторых ограничений, которые никому не нравятся. Не нравятся они и ИТ-подразделениям. Ведь именно к ним первым с претензиями идут сотрудники, которым мешают комфортно жить постоянные напоминания систем ИБ о необходимости соблюдения регламентов и политик безопасности.
Надо отметить, что некоторые пути решения подобного конфликта интересов нашли свое отражение в первой части стандарта BS25999-1:2006. Code of Practice, которая содержит общие рекомендации по управлению непрерывностью бизнеса в государственных и коммерческих организациях. К основным целям управления непрерывностью бизнеса документ относит, во-первых, сохранение стабильного функционирования компании в чрезвычайных ситуациях в течение продолжительного промежутка времени.Во-вторых, защита репутации и имиджа компании в чрезвычайных ситуациях путем надлежащего использования соответствующих организационных и технических решений. И, наконец, совершенствование способности компании сохранять свое стабильное функционирование в чрезвычайных ситуациях.
Таким образом, лучшие практики говорят о том, что реальная безопасность возможна лишь в том случае, когда ИБ-отдел находится в подчинении, как и генеральный директор компании, у собрания акционеров, и все вместе, включая сотрудников ИТ-отдела, делают общее дело.
Но в жизни так не всегда получается. В итоге тлеет конфликт между подразделениями и менеджментом, который зачастую не уделяет ИБ должного внимания. Возникает ситуация, когда сотрудники считают, что организация сама должна заботиться о защите данных, ведь есть же периметр ИБ.
Дмитрий Канищев, ведущий инженер ИБ МГТС, отмечает: «Как бы идеально не была выстроена защита периметра ИБ в компании, одним из слабых мест становится использование мобильных устройств. Сотрудники не задумываются о каких-либо мерах защиты ИБ, забывая о том, что, находясь за пределами компании, принцип обеспечения ИБ сильно меняется. И поэтому в современных условиях становится крайне важно обеспечить защиту корпоративных мобильных устройств».
Но настроена ли там защита? Не нашел ли пользователь пути либо отключить, с позволения сказать, такую защиту, либо способ убедить представителей службы ИБ вовсе ее не устанавливать? Кто в такой ситуации даст гарантию того, что уровень риска утечки конфиденциальных данных не превысил допустимое значение?
Ход развития событий нельзя оставлять на самотек
Гарантию в данном случае могли бы предоставить системы прозрачного шифрования файлов, папок, разделов, а еще лучше – всего накопителя целиком. Наверное, это единственное средство ИБ, которое сегодня является актуальным ответом на риски утечки информации, возникающие при мобильной обработке данных.
Однако психология корпоративного пользователя такова, что человек, видя вокруг себя огромное количество происшествий, краж, взломов, не проецирует их на себя. Большинство полагает, что подобное может произойти с кем угодно, только не с ним. И чем выше на служебной лестнице находится менеджер, тем крепче в нем это убеждение.
И если в бизнесе нет, как отмечалось выше, равновесия между ИТ, ИБ и менеджерами департамента продаж, то надо иметь в виду, что предоставленные сами себе события имеют тенденцию развиваться от плохого к худшему. Нужны примеры? Пожалуйста!
Так, в июне 2015 г. директор венгерской АЭС «Пакш», оставив кейс с ноутбуком в автомобиле, запер машину и отошел на краткую встречу. Вернувшись, директор не обнаружил ноутбука, в котором находились секретные документы, содержащие планы по расширению электростанции, как сообщает издание Blikk со ссылкой на источники в Правительстве Венгрии. В итоге потеря секретных документов грозит директору АЭС «Пакш» тремя годами лишения свободы. А что грозит директору по ИБ подобного режимного объекта, представить нетрудно.
Но если бы это был единичный случай! Охотники за чужими тайнами не дремлют и ни перед чем не останавливаются. Буквально через два месяца, по данным Russia Today, в Брюсселе неизвестными из служебного автомобиля был украден портативный компьютер премьер-министра Бельгии Элио Ди Рупо. В устройстве хранились внутриполитические документы и конфиденциальная информация о королевской семье.
Апофеозом краж подобного рода, произошедших в 2015 г., наверное, можно считать случай, когда министр обороны теневого правительства Великобритании лишился ноутбука, в котором хранились данные министерства. Ноутбук лежал в машине, которую злоумышленники угнали от дома министра. На вопрос о том, были ли зашифрованы данные, точного ответа пока нет.
Информация сегодня стоит намного дороже «железа»
Печальный список краж и потерь с последовавшим за этим несанкционированным съемом данных из мобильных устройств настолько велик, что аналитики вынуждены прибегать к статистике. Так, например, исследование Ponemon Institute показало, что в 2014 г. в Европейском Союзе было утрачено без малого 73 тыс. корпоративных ноутбуков (примерно 265 штук на каждую крупную организацию). При этом доля инцидентов во время поездок и работы персонала вне офиса составляет 64%. Отмечается, что лишь 4,5% утраченных ноутбуков возвращались к владельцам.
Убытки вследствие каждой утери ноутбука значительно превысили стоимость нового устройства, то есть информация в нем оценивалась намного дороже «железа». В итоге, 275 опрошенных организаций ежегодно теряют около 1,29 млрд евро из‐за утечек данных из утраченных ноутбуков, что составляет около 4,7 млн евро на каждую из компаний. Ранее проводилось аналогичное исследование в США. Тогда было опрошено 329 организаций, которыми было утеряно более 86 тыс. ноутбуков, а совокупная величина финансовых потерь составила $2,1 млрд.
Эксперты компании Eset подтверждают данные коллег. Они подсчитали: что в Великобритании в 2014 г. (и предварительно в 2015 г.) только в барах было потеряно примерно 130 тыс. смартфонов и ноутбуков, как личных, так и корпоративных. Выяснилось, что на 64% устройств отсутствовала какая-либо защита от несанкционированного доступа.
Но если бы в убытки попадал только ущерб от потери самих данных! В ряде случаев оплачивать приходится и штрафы. Так, руководство компании EMC и администрация больницы Hartford Hospital выплатят штату Коннектикут, США, $90 тыс. в качестве компенсации за утерю ноутбука с незашифрованными медицинскими данными 8883 пациентов. Об этом со ссылкой на заявление главного прокурора штата Коннектикут Джорджа Джепсена (George Jepsen) сообщает издание Networkworld
Проблему надо решать вне зависимости от желания пользователя
Все перечисленные примеры, а также статистика краж мобильных устройств призваны доказать тот факт, что риск потери конфиденциальных данных относится к любому человеку без исключения. Задача злоумышленника – вычислить список жертв, а далее – дело техники. А если такой злоумышленник – инсайдер, то есть сотрудник компании, то дело приобретает совсем скверный оборот.
На логичный вопрос «что делать?», специалисты дают однозначный ответ. «На мобильные устройства, прежде всего ноутбуки, необходимо устанавливать средства принудительного прозрачного шифрования дисков, папок, файлов. Причем наибольшего снижения рисков возможной утечки конфиденциальной информации можно добиться при шифровании системного раздела операционной системы (диск С). При этом у пользователя не должно быть возможности отключить этот компонент ИБ», – уверен Денис Суховей, директор по развитию бизнеса направления баз данных компании «Аладдин Р.Д.».
При этом необходимо подбирать такие решения, где пользователю ничего специально делать не надо, все операции шифрования проходят для него абсолютно незаметно и не мешают работать. Что это за решения и в чем их специфика – будет рассказано в следующей статье.
Татьяна Ведешкина