Топ-5 заблуждений о безопасности данных внутри компании

Правильное обращение с корпоративными данными — верный способ избежать лишних проблем с информационной безопасностью. Однако ложные представления руководителей о том, как происходит работа с данными в их компании, приводят к неверной оценке рисков и делают организацию более уязвимой перед лицом потенциальной угрозы. Мы собрали топ-5 заблуждений о взаимодействии с данными внутри компании, от которых пора избавиться современному и дальновидному бизнесу. 

 

Информация из критически важных приложений, таких как CRM или системы бухгалтерского учета, хранится в корпоративных базах данных. Однако это не единственные  хранилища ценной информации в компании. Рабочие файлы в Word  и Excel, презентации в PowerPoint, электронные письма, различные медиафайлы (скриншоты, видео) — все это тоже является кладезем данных — неструктурированных, но не менее важных. И хотя таких файлов очень много, организации, как правило, мало знают об их содержимом. Это затрудняет выполнение требований по обработке персональных данных и может вызвать вопросы, связанные с правами интеллектуальной собственности.  Чтобы обеспечить безопасность ценных данных внутри компании, их нужно идентифицировать и классифицировать. После этого —  определить разрешения и права доступа к файлам, мониторить выполнение установленных правил. 

 

Казалось бы, операционные системы автоматически регистрируют все, что делают пользователи. Но так кажется лишь на первый взгляд. Определить, кто, когда, к каким данным имел доступ — до сих пор для большинства ИТ-администраторов является непосильной задачей. Увидеть, что конкретный пользователь делал с конкретным файлом, с помощью внутренних ресурсов очень сложно. Для проведения такого аудита требуется время — информация собирается из различных источников, проверяется, анализируется, обобщается. И все это делается в основном вручную. Хотя некоторые сведения о пользователях и группах можно узнать с помощью Active Directory и ACL, отследить доступ к файлам без специальных сторонних решений практически невозможно.  

 

Отслеживая поведение пользователя и активность при работе с файлами, можно быстро выявить аномалии и предотвратить их (часто в автоматическом режиме). Однако некоторые компании бросают все силы лишь на то, чтобы не допустить киберугрозы. Они не ищут признаков того, что атака уже произошла, не знают, как реагировать на уже состоявшийся инцидент.  Специалистам важно знать, могут ли их системы защиты вовремя выявлять подозрительное поведение. (Простой пример — хранение или распечатывание большого количества файлов вне корпоративной учетной записи в облаке.) Насколько оперативно они предупреждают о повышении файловой активности? (Это может указывать на атаку вымогателей.) Антивирусные решения, увы, в таких случаях не могут гарантировать безопасность данных.  

 

Перекрыть свою инфраструктуру брандмауэрами, установить последние антивирусные программы — вот что поможет защититься от атак злоумышленников. Соответственно, вот, чем должны заниматься в отделе информационной безопасности. Однако все не так однозначно. Растущее число атак вирусов-вымогателей, которое фиксируется в последние годы, показывает, что вредоносному ПО довольно легко пройти через брандмауэр. Все, что нужно для успешной атаки, — это сотрудник, который опрометчиво перешел по зараженной ссылке. Один клик — и вирус сразу получает доступ к данным и шифрует их. Отчет Varonis Data Global Risk за 2018 год показал, что в среднем больше 20% корпоративных папок доступны каждому сотруднику, а у 58% компаний более 100 000 папок не имеют никаких ограничений доступа. Естественно, все они могут быть зашифрованы в случае атаки.  Для защиты от криптотроянов должны быть введены более эффективные средства управления правами доступа.

 

Согласно отчету Varonis, около 54 % данных компаний — устаревшие, а 34% учетных записей — «призрачные» (ghost users), то есть принадлежат неактивным пользователям. Угроза безопасности данных заключается в том, что старые файлы, которые на первый взгляд кажутся неважными, могут обладать скрытой ценностью для злоумышленника.  То же самое относится к аккаунтам-«призракам»: они идеально подходят для хакеров, так как их использование обычно не отслеживается. С одной стороны, нет активного пользователя, который бы заявил о несанкционированном применении своей учетной записи. С другой стороны — у аккаунта есть конкретные права доступа, что помогает преступникам без привлечения внимания добыть нужную информацию. 

 

 

Право быть забытым (или «право на забвение»), которое должна обеспечить пользователям из ЕС компания, обрабатывающая их данные, для многих организаций все еще является проблемой. Согласно регламенту GDPR, в течение 30 дней они должны идентифицировать всю персональную информацию, связанную с обратившимся лицом, и удалить ее. Проблему усугубляет тот факт, что, как правило, эти данные не находятся в одном месте. И даже если используются соответствующие системы баз данных, конфиденциальные данные о пользователе могут храниться на локальных серверах,  в сообщениях электронной почты или в облаке (см. Заблуждение 1).

 

Эволюционирующие виды атак и вирусов продолжают представлять угрозу для ИТ-систем компании, и, следовательно, несут опасность для конфиденциальных данных. Имея неверное представление о реальном положении вещей при работе с данными, исполнительные руководители, сами того не желая, подвергают компанию скрытому риску.  Чтобы избавиться от старых заблуждений и не допустить появление новых, нужно наладить постоянный конструктивный диалог между ИТ-директорами и топ-менеджерами. Обеспечение цифровой безопасности — задача не одного дня и не месяца. Это непрерывный процесс, который предполагает периодический пересмотр и оценку существующих методов защиты, тестирование новых подходов и планов по аварийному восстановлению после инцидента.

 

P. S. Данные — это не только о мучительном планировании безопасности и страхе утечек. Они также являются альфа и омегой в управлении ИТ-инфраструктурой. Поэтому одну из следующих публикаций мы посвятим подходу DataOps. А что? Если есть DevOps, DevSecOps и  DevNetOps , почему не могут быть DataOps? Если хотите узнать подробности, подписывайтесь на наш блог, чтобы не пропустить статью.