[[slotProps.postItem.title]]
Большинство организаций уже применяют на практике оценку киберрисков. Однако не все компании знают, что первым шагом в процессе оценки информационной безопасности должна быть оценка рисков, связанных с обеспечением безопасности данных. Хотя эти два понятия и кажутся похожими, они имеют различное значение. Давайте разберемся, что представляют собой риски, связанные с обеспечением безопасности данных, как их оценивать и почему это важно.
1. Анализ рисков безопасности данных
Риски, связанные с использованием и хранением данных, могут включать такие риски, как утечка конфиденциальной информации, потеря или недоступность важных данных, похищение, использование, намеренное искажение злоумышленниками информации, угрожающей репутации организации.
В ходе анализа таких рисков важно провести обследование всего ландшафта информационных систем компании, где хранятся и обрабатываются конфиденциальные данные, включая интеллектуальную собственность и информацию, позволяющую установить личность (например, персональные данные клиентов, сотрудников, контрагентов). Применяя системный подход, необходимо определить, где находятся конфиденциальные данные, кто может является пользователем таких данных, а также определить порядок доступа к базам данных и возможности внесения любых изменений в них.
Практика показывает, что зачастую организации не могут определить все типы данных и места, где хранится информация. Так, важно провести проверку информационных баз, облачных сервисов, файлов, общих дисков и инструментов для совместной работы. Необходимо определить, содержат ли они важную информацию о сотрудниках, проектах, клиентах.
Проведение анализа позволит определить:
- комплаенс-риски в части соблюдения внутренних нормативных требований организации, законодательных требований, требований регуляторов и отраслевых стандартов;
- потенциальные уязвимости, повышающие вероятность утечки данных или преднамеренного взлома информационных систем;
- полноту системы ключевых показателей эффективности (КПЭ) информационной безопасности (например, уровень обновления всех информационных систем и антивирусного программного обеспечения, проведение обучающих тренингов для сотрудников, работающих с базами данных, среднее время обнаружения и устранения инцидентов и другие);
- необходимость дополнительных инвестиций для повышения уровня безопасности данных.
Таким образом, анализ рисков данных помогает получить представление о значительных внутренних недостатках и потенциальных уязвимостях, которые могут привести к нарушениям конфиденциальности данных.
2. Оценка рисков безопасности данных
Важной частью анализа рисков безопасности данных является их оценка, которая, как правило, представляет собой процесс, состоящий из трех этапов:
2.1. Определение связи данных с действующими в организации информационными системами
Первым шагом является обследование процесса управления данными в организации с целью достижения его прозрачности на всех этапах, где остается «цифровой след», а именно сбора, обработки, хранения, передачи информации. В рамках этого обследования необходимо:
- определить владельцев информационных систем и баз данных, ответственных за сбор, качество и защиту данных;
- классифицировать данные в соответствии с типами и параметрами (атрибутами) данных, выделяя в отдельную категорию конфиденциальные файлы;
- определить вероятность и потенциальное воздействие рисков на организацию, если данные будут скомпрометированы.
При классификации можно использовать такие категории данных, как:
- ограниченный доступ: данные, несанкционированное раскрытие, изменение или уничтожение которых оказывает значительное влияние на организацию (в том числе репутационные и финансовые потери).
- личные: данные, несанкционированное раскрытие, изменение или уничтожение которых оказывает умеренное влияние на организацию;
- общедоступные: данные, несанкционированное раскрытие, изменение или уничтожение которых оказывает незначительное влияние на организацию.
После определения ответственных сторон и уровней риска необходимо убедиться, что связи между данными и информационными системами, которые их запрашивают и используют, корректно установлены. В том числе необходимо определить:
- среду данных (географические местоположения или регионы, в которых хранятся данные);
- потоки данных: способ передачи данных между системами и приложениями, базами данных и процессами;
- элементы управления: элементы управления безопасностью, используемые для защиты данных на всех этапах использования.
2.2. Исследование угроз
Второй этап оценки включает исследование внешних существующих и потенциальных угроз и внутренних уязвимостей, которые могут привести к реализации рисков.
Области процесса управления данными, которые необходимо проанализировать для выявления «узких» мест, могут включать:
- распределение прав доступа: проверка списка сотрудников, которые обладают привилегированными правами доступа (например, администратор, суперпользователь), а также правами расширенного доступа: всем ли пользователям это необходимо для выполнения служебных обязанностей? Также необходимо выявить, нет ли прав доступа к базам данных организации у уволенных сотрудников;
- инструменты для совместной работы (насколько безопасен обмен данными в программах и приложениях, используемых сотрудниками организации для коммуникации);
- сроки использования информации (сколько хранятся и в какие сроки архивируются устаревшие данные и неиспользуемые базы).
Использование автоматизированных решений может помочь упростить этот этап за счет роботизированного сканирования репозиториев (хранилищ) данных. Существуют программы, которые сканируют репозитории данных, помогают идентифицировать и классифицировать найденное конфиденциальное содержимое, а также анализируют средства контроля хранения и обеспечения безопасности.
2.3. Устранение уязвимостей
После того как потенциальные риски идентифицированы и оценены, необходимо разработать и реализовать комплекс мероприятий (в том числе запланировать необходимые ресурсы) по воздействию на риски для устранения слабых мест процесса управления данными. Такие мероприятия могут включать:
- использование принципа наименьших привилегий (пользователи имеют наименьший объем доступа, необходимый для выполнения рабочих функций, этого можно добиться с помощью использования модели управления доступом на основе ролей (RBAC) и управления доступом на основе атрибутов (ABAC));
- внедрение многофакторной аутентификации (включите дополнительные элементы аутентификации и авторизации пользователей при получении доступа к конфиденциальным данным);
- актуализацию политики безопасности с целью защиты конфиденциальных типов данных, которая будет учитывать особенности деятельности организации, а также передачу данных между пользователями и местами хранения внутри организации.
- разработку политики совместного использования данных (создание и применение политик, определяющих, когда и как обмениваться данными с внешними пользователями);
- определение политики хранения данных, регламентирующей способы архивирования и удаления по истечении срока хранения;
- мониторинг доступа к данным (определение «нормального» поведения пользователей и отслеживание «аномального» доступа, включая загрузку и доступ в нерабочее время).
Переход от традиционного подхода к обеспечению информационной безопасности к подходу, ориентированному на данные, может оказаться сложной задачей. Например, традиционный подход к защите сетей фокусируется на межсетевых экранах, осуществляющих контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. Однако некоторые сотрудники подключаются к системам организации из незащищенной сети (например, работая удаленно из дома или в общественных местах). Это означает, что организации необходимо защитить саму передачу, например, с помощью VPN (Virtual Private Network). Такое соединение будет более безопасным, данные будет сложно перехватить и расшифровать, так как они зашифровываются, автоматически проверяется их целостность и подлинность, проводится аутентификация пользователей виртуальной сети.
3. Негативные последствия реализации риска безопасности данных
Одним из последних громких случаев реализации риска управления данными стала крупная утечка конфиденциальной информации одного из крупнейших в мире регистраторов доменных имен GoDaddy, который поддерживает более 60 млн доменных имен в крупнейших доменных зонах первого уровня, включая .ru, .com, .org, .net, .info. С помощью подбора пароля одного из сотрудников злоумышленники смогли получить доступ к 1,2 млн активных и неактивных аккаунтов, в том числе к электронным адресам и номерам клиентов. Хакеры также смогли украсть данные протокола SFTP (Secure File Transfer Protocol) для передачи данных, логины и пароли и закрытые ключи SSL (Secure Sockets Layer), с помощью которых можно выдать один сайт за другой. При этом атака длилась более двух месяцев (с 6 сентября по 17 ноября), что говорит о недостаточной эффективности системы безопасности данных регистратора. Обнаружив инцидент, GoDaddy заблокировал злоумышленникам доступ к своей системе и только 22 ноября GoDaddy раскрыл детали произошедшего. На следующий день акции GoDaddy упали до минимального уровня за 2021 г. (66,71$).
Источник: https://www.google.com/finance/quote/GDDY:NYSE
Таким образом, инцидент не только подорвал доверие клиентов, но сильно понизил инвестиционную привлекательность акций компании. В Godaddy заявили, что уже предприняли действия для обеспечения большей безопасности данных, однако расследование и устранение причин (риск-факторов) взлома может занять длительное время и привести к большим затратам.
С развитием технологий обработки и хранения данных, а также переходом большого числа компаний в онлайн в период пандемии утечка конфиденциальной информации становится настоящей серьезной угрозой. Киберпреступники все время совершенствуют свои навыки и находят новые способы обхода систем безопасности компаний. При этом организации могут долгое время не идентифицировать, что к их данным кто-то получил несанкционированный доступ, как например, случилось с GoDaddy. Полностью исключить вероятность кибератак невозможно, однако страхование является важным инструментом управления рисками, связанными с обеспечением безопасности данных, позволяющим минимизировать потенциальный ущерб для бизнеса.
Автор: Дарья Бочарова
