Украсть данные могут даже умная колонка и робот-пылесос. Что делать бизнесу?
Главная причина утечек данных — человеческий фактор
Причина утечки клиентских данных компаний зачастую банальна: многие бизнесы просто-напросто игнорируют сам факт существования угроз. Как объясняет директор по информационной безопасности ActiveCloud Антон Грецкий, одни ведут себя беспечно, другие экономят не там, где нужно, а у третьих просто нет возможности вкладывать деньги в безопасность. Вот только результат, к сожалению, всегда один.
— Угроз на самом деле много, — говорит эксперт. — В первую очередь это DDoS-атаки, которые делают вас недоступными. Но самые простые способы реализации угроз — это социальная инженерия, фишинг, непонимание сотрудниками простых правил. Например, сложности паролей: в каждой организации есть сотрудники, у которых пароль что-то вроде дня рождения дочери, и он на всех аккаунтах.
Антон Грецкий обращает внимание и на утечки информации из-за злоупотребления служебным положением или недостатков кадровой работы. Как показывает практика, немногие организации думают о том, что сотрудников надо не только правильно нанимать, но и грамотно увольнять. И если вы расстаетесь с людьми правильно, снижается вероятность того, что ваши конкуренты узнают что-то лишнее.
По мнению эксперта, главная уязвимость в любой системе — человек. И вовремя преподнесенные знания помогают закрыть огромную дыру в безопасности. Но для этого нужно работать с персоналом, чтобы люди понимали, что такое фишинг, почему стоит внимательно смотреть на адреса сайтов, где оставляют какие-то данные, почему не нужно клеить стикеры с паролями прямо на монитор компьютера. Казалось бы, банальные вещи, но их важно постоянно проговаривать.
Новые угрозы и при чем здесь искусственный интеллект
Угроз для информационной безопасности не только становится больше, они пестрят своим разнообразием. Из актуальных — устаревание отдельных информационных систем. Компании то и дело пользуются ПО, которое давно не обновляется и не поддерживается, в то время как системы устаревают достаточно быстро, а злоумышленники всегда в поиске новых уязвимостей. В итоге разработчикам программного обеспечения и производителям аппаратуры постоянно приходится на это реагировать.
— Есть большое количество продуктов, которые уже не поддерживаются, и «дырки» там никто не латает, — говорит Антон Грецкий. — Например, во время аудита в крупной компании мы обнаружили, что там до сих пор на компьютерах работает Windows Vista. И первый вопрос, который владельцы бизнеса должны задавать своим безопасникам, обновлены ли информационные системы и сервисное ПО.
Вторая проблема, подчеркивает эксперт, — повсеместное использование искусственного интеллекта. Эта технология породила множество хакеров, которым стало доступнее написание вредоносного кода. Использование этого инструмента увеличило число злоумышленников на квадратный метр — атак стало больше. Что делать? Ответ достаточно простой: мониторить и еще раз мониторить, ведь информационная безопасность начинается не с покупки дорогостоящих средств защиты, а именно с мониторинга. Но важно понимать: в любом случае в информационную безопасность придется вкладывать деньги.
Еще один современный вызов — интернет вещей. Помимо компьютеров, в каждом офисе есть и другие устройства, подключенные к интернету, — от колонок до роботов-пылесосов.
— Они выглядят безобидно, но на самом деле подключены к сети, и в эту сеть можно проникнуть, — предупреждает Антон Грецкий. — Мы используем много вещей, которые содержат в себе большое количество «дырок» для безопасности. Например, была история с роботом-пылесосом, когда в компании случайно заметили, что через Wi-Fi идет какой-то трафик, хотя даже не было заявлено, что эта штуковина куда-то подключается. Но в таких случаях злоумышленник получает возможность попасть в сеть, получить либо добавить информацию. Я не призываю бояться прогресса, но важно понимать, что мы используем и для чего. И если запускаете устройство такого рода в корпоративную сеть, нужно понимать и оценивать риски.
Утечка данных может уничтожить бизнес
К сожалению, утечки данных не проходят без последствий для бизнеса. Печальный пример тому — компания «Инмедбай». Ее сервис позволял записывать пациента к врачу, естественно, компания обрабатывала персональные данные, которые в том числе содержали и врачебную тайну, и к ней относится сам факт обращения к врачу. А потом оказалось, что в Сети начала продаваться база клиентов сервиса.
— В итоге бизнес приостановлен, серверы потушены, а владельцы компании могут получить большое количество судебных исков, связанных с тем, что субъекты персональных данных имеют право на компенсацию, — объясняет Антон Грецкий. — Самое печальное, что произошла утечка данных, они уже где-то продавались, а компания узнала об этом от Национального центра защиты персональных данных.
В свою очередь технический pre-sale ActiveCloud Павел Райков уточняет, что сегодня под угрозой оказываются персональные данные ретейла, медицинских организаций, букмекеров, логистических компаний, финансовых и страховых организаций, интернет-порталов и других профессиональных сфер. Речь может идти как о личном кабинете, в котором регистрируются клиенты, так и о скидочных картах, в которых предусмотрена регистрация фамилии, имени, отчества, электронной почты, номера телефона. И если компания имеет дело с данными ограниченного распространения, ей предстоит пройти три этапа аттестации системы защиты информации, чтобы получить аттестат ОАЦ. Речь идет о проектировании системы защиты информации, затем ее создании, где нужно выбрать между собственной площадкой и облачной, и третий этап — непосредственно аттестация.
Достаточно ли внутренней IT-службы компании, чтобы защитить данные?
Эксперты подчеркивают, что информационная безопасность перестала быть небольшим направлением с понятным алгоритмом действий. Чтобы сегодня обеспечить качественную информационную безопасность, нужно в ней жить. Да, многие компании пытаются защищать себя самостоятельно, силами внутренней IT-службы, но это, считает Антон Грецкий, достаточно серьезная ошибка:
— Еще одна ошибка, когда компании думают, что системный администратор, который сходил на двухнедельные курсы, стал безопасником. Увы, это человек без боевого опыта и перегруженный своими задачами. И безопасность куда эффективнее использовать именно как сервис, что уже стало нормальной практикой во всем мире.
По мнению экспертов, облачные провайдеры тут выигрывают, так как, во-первых, у них уже есть все средства защиты информации, купить которые сейчас тот еще квест. Во-вторых, они контролируют доступ и защищают данные от несанкционированного использования. Третий момент связан с шифрованием данных и при хранении, и при передаче, плюс резервное копирование и восстановление, что помогает минимизировать потери в случае сбоя или атак. Основное же в данном случае — мониторинг, который позволяет отслеживать активности и понимать, к чему готовиться и чего ждать. Очень немного компаний могут себе это позволить.
При этом специалисты убеждены, что нет неважных систем защиты, так как рядом с новыми по-прежнему работают и старые уязвимости. А значит, компании важно защищаться как традиционными средствами вроде фаерволов и антивирусных программ, так и новыми инструментами, например, при помощи машинного обучения или искусственного интеллекта. Но чтобы определить, что именно нужно конкретному бизнесу, важно провести аудит.
Фото: Envato Elements