Правильное обращение с корпоративными данными — верный способ избежать лишних проблем с информационной безопасностью. Однако ложные представления руководителей о том, как происходит работа с данными в их компании, приводят к неверной оценке рисков и делают организацию более уязвимой перед лицом потенциальной угрозы. Мы собрали топ-5 заблуждений о взаимодействии с данными внутри компании, от которых пора избавиться современному и дальновидному бизнесу.
Заблуждение 1. Мы храним важные данные только в базах данных.
Информация из критически важных приложений, таких как CRM или системы бухгалтерского учета, хранится в корпоративных базах данных. Однако это не единственные хранилища ценной информации в компании. Рабочие файлы в Word и Excel, презентации в PowerPoint, электронные письма, различные медиафайлы (скриншоты, видео) также являются источниками данных — неструктурированных, но не менее важных. И хотя таких файлов очень много, организации, как правило, мало знают об их содержимом. Это затрудняет выполнение требований по обработке персональных данных и может вызвать вопросы, связанные с правами интеллектуальной собственности. Чтобы обеспечить безопасность ценных данных внутри компании, их нужно идентифицировать и классифицировать. После этого — определить разрешения и права доступа к файлам, а также осуществлять мониторинг выполнения установленных правил.
Заблуждение 2. Мы точно знаем, кто и когда имел доступ к данным.
На первый взгляд вопрос безопасности данных решается с помощью мониторинга, так как операционные системы способны самостоятельно фиксировать все действия пользователей. Однако на практике все немного иначе. Многие системные администраторы до сих пор сталкиваются с трудностями, когда пытаются выяснить, кто, когда и при каких обстоятельствах получил доступ к конкретным корпоративным данным. Используя стандартные инструменты, сложно понять, что делал пользователь с определенным файлом, какие изменения он в него внес или какую информацию из него скопировал. Можно отследить эти действия с помощью Active Directory и ACL, однако это будет ручная ресурсозатратная задача. В большинстве случаев потребуются более сложные сторонние решения.
Заблуждение 3. Мы распознаем подозрительные события, указывающие на атаку.
Отслеживая поведение пользователя и активность при работе с файлами, можно быстро выявить аномалии и предотвратить их (часто в автоматическом режиме). Однако некоторые компании бросают все силы лишь на то, чтобы не допустить киберугрозы. Они не ищут признаков того, что атака уже произошла, не знают, как реагировать на уже состоявшийся инцидент. Специалистам важно знать, могут ли их системы защиты вовремя выявлять подозрительное поведение. (Простой пример — хранение или распечатывание большого количества файлов вне корпоративной Можно автоматизировать действия по обнаружению подозрительной активности, которую проявляют отдельные пользователи, однако некоторым компаниям это не интересно. Основной задачей они видят предотвращение киберугроз и при этом совершенно не подготовлены к сценарию, когда атака уже произошла. Антивирусные решения в этом вопросе тоже не помогут, поэтому специалистам важно понять, может ли их система вовремя идентифицировать подозрительные действия — например, распечатку большого количества документа с важной информацией вне корпоративной учетной записи или атипично высокую файловую активность, которая может свидетельствовать об атаке вымогателей.
Заблуждение 4. Мы защищены от вымогателей и автоматически отражаем атаки.
Перекрыть свою инфраструктуру брандмауэрами, установить последние антивирусные программы — вот что поможет защититься от атак злоумышленников. Соответственно, вот, чем должны заниматься в отделе информационной безопасности. Однако все не так однозначно. Растущее число атак вирусов-вымогателей, которое фиксируется в последние годы, показывает, что вредоносному ПО довольно легко пройти через брандмауэр. Все, что нужно для успешной атаки, — это сотрудник, который опрометчиво перешел по зараженной ссылке. Один клик — и вирус сразу получает доступ к данным и шифрует их. Отчет Varonis Data Global Risk за 2018 год показал, что в среднем больше 20% корпоративных папок доступны каждому сотруднику, а у 58% компаний более 100 000 папок не имеют никаких ограничений доступа. Естественно, все они могут быть зашифрованы в случае атаки. Для защиты от криптотроянов должны быть введены более эффективные средства управления правами доступа.
Заблуждение 5. Мы удаляем ненужные данные и записи неактивных пользователей.
Согласно отчету Varonis, около 54 % данных компаний — устаревшие, а 34% учетных записей — «призрачные» (ghost users), то есть принадлежат неактивным пользователям. Угроза безопасности данных заключается в том, что старые файлы, которые на первый взгляд кажутся неважными, могут обладать скрытой ценностью для злоумышленника. То же самое относится к аккаунтам-«призракам»: они идеально подходят для хакеров, так как их использование обычно не отслеживается. С одной стороны, нет активного пользователя, который бы заявил о несанкционированном применении своей учетной записи. С другой стороны — у аккаунта есть конкретные права доступа, что помогает преступникам без привлечения внимания добыть нужную информацию.
Бонус для компаний, работающих с пользователями из ЕС
Заблуждение 5+. Мы совместимы с GDPR. Мы легко и быстро находим файлы и обрабатываем запросы потребителей, включая «право на забвение».
Право быть забытым (или «право на забвение»), которое должна обеспечить пользователям из ЕС компания, обрабатывающая их данные, для многих организаций все еще является проблемой. Согласно регламенту GDPR, в течение 30 дней они должны идентифицировать всю персональную информацию, связанную с обратившимся лицом, и удалить ее. Проблему усугубляет тот факт, что, как правило, эти данные не находятся в одном месте. И даже если используются соответствующие системы баз данных, конфиденциальные данные о пользователе могут храниться на локальных серверах, в сообщениях электронной почты или в облаке (см. Заблуждение 1).
Заключение
Эволюционирующие виды атак и вирусов продолжают представлять угрозу для ИТ-систем компании, и, следовательно, несут опасность для конфиденциальных данных. Имея неверное представление о реальном положении вещей при работе с данными, исполнительные руководители, сами того не желая, подвергают компанию скрытому риску. Чтобы избавиться от старых заблуждений и не допустить появление новых, нужно наладить постоянный конструктивный диалог между ИТ-директорами и топ-менеджерами. Обеспечение цифровой безопасности — задача не одного дня и не месяца. Это непрерывный процесс, который предполагает периодический пересмотр и оценку существующих методов защиты, тестирование новых подходов и планов по аварийному восстановлению после инцидента.
P. S. Данные — это не только о мучительном планировании безопасности и страхе утечек. Они также являются альфа и омегой в управлении ИТ-инфраструктурой. Поэтому одну из следующих публикаций мы посвятим подходу DataOps. А что? Если есть DevOps, DevSecOps и DevNetOps , почему не могут быть DataOps? Если хотите узнать подробности, подписывайтесь на наш блог, чтобы не пропустить статью.