Новости о сливах данных компании поступают уже почти каждый день. Кажется, что это стало «нормальным», и субъектам не стоит рассчитывать на какую-то приватность или защиту своих данных: утекает у всех, даже у серьезных компаний.
Возникает вопрос: если можно взломать таких больших, то средним и маленьким, видимо, придется просто смириться. Или нет?
В последнее время мы становимся свидетелями лавинообразного роста числа утечек из различных источников, причем про некоторые из них никак нельзя подумать, что компании не занимаются информационной безопасностью, например, сервис Яндекс.Еда, Лента, ДНС.
В этой ситуации может оказаться любой или можно все-таки как-то избежать этой ситуации?
Мы оставляем свои персональные данные в различных местах практически каждый день. В этой ситуации приходится менять свое отношение к некоторым из них. ФИО, дата рождения, электронная почта, телефон – данные практически публичные. Они известны очень многим, и найти их в сети не составляет особого труда. Другие данные, вроде информации о состоянии здоровья, финансовом положении могут быть более критичными для субъекта, и поэтому к их защите следует подходить уже более внимательно.
Но что делать с паролями, с информацией, по которой можно восстановить их или использовать для подбора? Приватности не существует? Следует быть готовым к тому, что злоумышленник будет знать ФИО, номер телефона, место жительства, имена родственников и, скорее всего, паспортные данные. Исходя из этого предположения и строить свою модель защиты и поведения.
Есть персональные данные субъекта, а есть – персональные данные «в связи с субъектом» - те, которые создает о нем, как правило, государство – номер паспорта, СНИЛС, различные базы данных и проч. Субъект, по сути, этими данными не управляет и не владеет. Второй тип – это данные в связи с субъектом, но используемые в коммерческой деятельности – для работы различных сервисов. На них субъект тоже не может особо повлиять, потому что тогда он этих услуг лишится. Ими управляют коммерческие организации под неким контролем государства. Третий тип как раз относится к privacy, это те персональные, которые и характеризуют субъекта. По поводу их конфиденциальности надо как раз переживать.
Можно ли предотвратить утечки данных от операторов, которые их обрабатывают?
Основная причина сливов – это невыполнение базовой гигиены с точки зрения ИБ. Например, утечка переписки через непропатченный Exchange. При изменении IT-ландшафта компании меньше всего почему-то думают об информационной безопасности. Анализа реальных причин утечек не хватает, т.к. это информация как правило закрытая, но как правило это нелояльные сотрудники, слабые системы защиты, несовершенные процессы управления IT.
Часть утечек вообще не являются настоящими, это попытки дезинформации с различными целями.
В любом случае, утечек много, они происходят вне зависимости от уровня зрелости ИБ в компании. Репутация компании при отсутствии альтернатив практически не является сдерживающим фактором. В этом должен быть заинтересован безопасник и бизнес. Пока что стимулирующих факторов для выстраивания защиты и предотвращения утечек мало.
Проблема каждой утечки имеет две стороны: сама утечка и последующая информационная атака на оператора данных.
Советы для владельцев данных и тех, кто их обрабатывает:
осознать, что информация даже если еще не утекла, то вот-вот утечет.
подготовиться к этому. Перейти от управления угрозами к управлению рисками. Подготовить планы действий заранее и отработать их.
после факта утечки ситуацией будут пользоваться конкуренты для проведения информационных атак с целью нанести репутационный ущерб. Важно не вступать с ними в противоборство и не пытаться атаку «погасить». Необходимо перенести обсуждение в удобную для себя плоскость. Например, добавить в начало БД заведомо абсурдные данные, добавление в поля (например email) информации, указывающей на принадлежность базы другой компании, конкурентам и пр.,
сегментировать базу по зонам ответственности, чтобы утекло не всё, индексировать данные, маскировать их.
добавить digital watermarks для идентификации образцов данных.
не регистрироваться где попало, не указывать реальные данные там, где это возможно.
Конечно, есть организации, у которых ничего не утекает, но на это требуется колоссальное количество усилий. А в первую очередь страдают компании, пренебрегающие информационной безопасностью ради экономии.
Для предотвращения утечек должен быть социальный запрос на защищенность данных со стороны потребителей услуг. При отсутствии их интереса к этому вопросу стимулов у операторов еще меньше.
Еще одним средством могут быть механизмы снижения негативного воздействия на субъектов в случае утечки. Как минимум, двухфакторная аутентификация.
Итак, что делать компании?
понимать какая информация, где и кем обрабатывается
маркировать данные, чтобы определить вектор возможной утечки
подготовить план действий на случай утечки для снижения ущерба
реализовать хотя бы базовые принципы кибергигиены
ИБ должна быть и работать
Этими мерами можно снизить вероятность утечки до приемлемого уровня, но полностью исключить ее не получится.
Как реагировать на утечку, если она все же произошла?
не паниковать. Поспешные непродуманные действия при любом инциденте ИБ принесут больше вреда, чем пользы;
убедиться, что данные действительно утекли и что они наши;
проверить инфраструктуру, провести расследование, чтобы определить, был ли инцидент, приведший к утечке;
оценить реальные масштабы утечки;
прекратить ее, если возможно. Изолировать оставшиеся данные и скомпрометированные системы;
PR и связь с пользователями. Слухи и домыслы принесут гораздо больше вреда, чем разумное раскрытие информации. Это должна делать PR служба во взаимодействии с ИБ и IT. Оповещение пользователей окажет положительное впечатление и позволит снизить негативное воздействие на них;
Анализ и выводы – понять, что делать чтобы этого не повторилось