Партнерский материал

Классная работа

Классификация и защита данных: инструкция к применению

Пандемия и переход на гибридные форматы работы подсветили пробелы организаций в сфере информационной безопасности (ИБ). Например, в 2020 году около 100 млн записей с персональными данными россиян попали в сеть — и в четырех из пяти случаев к утечкам привели осознанные действия сотрудников компаний, которые пытались на этом заработать. Общая доля таких инцидентов в России за год выросла примерно на три четверти, говорится в исследовании InfoWatch. Кроме того, из-за перевода персонала на удаленный режим работы часть утечек данных ограниченного доступа вообще не фиксировалось системами безопасности.

«Ъ» и Microsoft разобрались, что делать бизнесу, чтобы минимизировать риски: зачем и как классифицировать данные, какие средства использовать для защиты и почему в процесс должен быть вовлечен не только IT-отдел, но и весь топ-менеджмент.


Цифры и факты: сколько данных утекает в сеть — и сколько это стоит для бизнеса в Сбере предлагают управлять компанией со смартфона

По данным компании «СерчИнформ», в первом полугодии 2020 года данные утекали из 91% российских компаний, причем из всех утечек 40% произошли из-за невнимательности или наивности, а 60% — в результате осознанных злонамеренных действий. «Лаборатория Касперского» добавляет, что больше половины организаций по всему миру считают свой персонал основной угрозой корпоративной безопасности. В России, по оценке Group-IB, доля таких компаний и вовсе составляет 88%.

«Мы видим, что много утечек действительно возникает по вине сотрудников. Возможно, это связано с тем, что организации в целом стали собирать больше данных. А в прошлом году компании массово переходили на удаленный режим работы, из-за чего меняли принцип предоставления доступа к корпоративной информации, — поясняет Станислав Федотин, руководитель направления Cloud Security компании „Инфосистемы Джет“. — Больше предприятий стали использовать средства для совместной работы с документами — такие, как облачные хранилища. Это сильно изменило ландшафт и перечень рисков. Организации не всегда успевали перестроиться с классического подхода — установки агентов (модулей для перехвата данных и передачи их серверу управления — прим. „Ъ“) на рабочие станции — на защиту файлов, которые сотрудники передают в „новый облачный мир“, откуда их может скачать кто угодно».

Утечки данных обходятся компаниям дорого: небольшие теряют на этом около 1,9 млн руб., при этом в 2020 году каждая российская компания в сегменте СМБ потратила на обеспечение инфобезопасности в среднем 4,7 млн руб., утверждает «Лаборатория Касперского». В IBM Security посчитали, что средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году составил $3,86 млн, а для предприятий в сфере здравоохранения — и вовсе $7,13 млн. При этом самые дорогостоящие утечки связаны именно с персональными данными — $150 на одну запись.

Как быстро бизнес обнаруживает подобные утечки? «Крок» утверждает, что две трети компаний узнают о произошедшем уже после того, как информация появляется на рынках данных. Среднее время обнаружения и устранения последствий утечки данных составляет 280 дней. При этом можно уменьшить ущерб на $1 млн, если разобраться с последствиями быстрее 200 дней, указано в глобальном исследовании IBM Security.

С учетом количества утечек и их дороговизны для пострадавших организаций, вопрос обеспечения комплексной защиты данных в компаниях становится все более актуален. Как к нему подступиться?

88% компаний

в России считают свой персонал основной угрозой корпоративной безопасности (оценка Group-IB)

Зачем классифицировать данные и почему IT-отдел не справится самостоятельно

Прежде чем выстраивать стратегию защиты данных, необходимо понять, что именно компания хочет защитить — то есть определить, потеря каких документов обойдется дороже всего с точки зрения финансов и репутации. «Если мы будем одинаково усердно защищать и булавки, и бриллианты, то очень скоро у нас будет либо очень много булавок, либо очень мало бриллиантов, — объясняет Иван Будылин, технический директор центра технологий Microsoft в России. — Компания может привлечь к процессу защиты сотрудников ИБ, которые будут контролировать действия с каждым документом, но эти люди либо потонут под потоком событий, либо будут с ним справляться, но пропускать мимо себя важные единицы бизнес-смысла».

Распространенная ошибка, с которой сталкиваются опрошенные эксперты — попытка передать классификацию данных в компании сотрудникам ИБ, не привлекая топ-менеджмент и data owners (владельцев информации). «Средства защиты данных существуют уже много лет: у IT-департамента и служб ИБ есть политики, листы доступа, системы предотвращения утечек. Но у них, как правило, нет бизнес-контекста. Это хорошо и правильно, потому что если в компании есть человек, который может посмотреть внутрь любого конфиденциального файла, и этот человек — не гендиректор, бояться надо в первую очередь именно его, — говорит господин Будылин. — Поэтому для сотрудников ИБ весь объем информации, которая распределена по файловым хранилищам, устройствам, почтам и т. д., представляет собой некую „серую массу“ бизнес-данных. И отличить в них важные от неважных они не могут».

Понимание того, какие документы представляют для бизнеса наибольшую ценность, а какие можно распространять свободно, должно быть транслировано от бизнеса, то есть топ-менеджмента и владельцев информации (финансистов, юристов, технологов и т. д.), IT-отделу и службе безопасности в понятных им терминах, продолжает эксперт. А они, разработав внутри уже существующих систем политики и классы защиты, должны вернуть их обратно бизнесу в понятном для сотрудников формате.

«Не усложняйте»: как классифицировать данные

Информацию, которой обладает компания, можно условно разделить на несколько категорий, рассказывает исполнительный директор CSI Group Александр Писемский:

  • Свободно распространяемая с неограниченным доступом. Например, содержимое веб-сайта компании или маркетинговые материалы;
  • Коммерческая тайна. В частности, финансовая отчетность, информация о бизнес-операциях, планах и коммерческих условиях;
  • Сведения, связанные с профессиональной деятельностью. Например, адвокатская или банковская тайна;
  • Тайна следствия или судопроизводства;
  • Персональные данные. Это любые данные о человеке, которые могут его идентифицировать: ФИО, номер телефона, адрес электронной почты и т. п.;
  • Информация об изобретениях до официальной публикации. Например, чертежи, исходные коды, эскизы, прототипы;
  • Государственная тайна.

Нужно понимать, что не только файлы, но и почтовые письма, сообщения в мессенджере, таблицы, строки и ячейки в базе данных или объекты в block storage могут содержать ту самую конфиденциальную информацию, при потере которой бизнес сильно пострадает.

При классификации данные всех типов относят к определенной категории конфиденциальности в зависимости от того, насколько они ценны для бизнеса, а также ориентируясь на требования регулятора. В российской и международной практике больше всего внимания уделяется регулированию информации, которая обрабатываются в государственных информационных системах, персональным данным и финансовым операциям. При этом в области защиты персональных данных нормативно-правовая база существенно менялась несколько раз. Среди значимых изменений: отмена «четырехкнижия» ФСТЭК, публикация Приказа № 58 «об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», а также редакции ФЗ «О персональных данных», в том числе 2021 года.

4,7 млн руб.

в среднем потратила на обеспечение инфобезопасности в 2020 году каждая российская компания в сегменте СМБ, утверждает «Лаборатория Касперского»

Для классификации документов обычно используются три подхода: content-based, context-based и user-based.

  • Context-based: информация классифицируется в зависимости от контекста, в котором она возникла, без учета содержания. Например, если документ создали в сетевой папке финансового отдела, он будет классифицирован как финансовый с применением к нему соответствующих политик (например, доступ разрешен только финансистам). А если он появился на рабочем столе сотрудника — как служебный.
  • Content-based: данные классифицируются по признакам внутри документов. Например, по ключевым словам, регулярным выражениям, точному вхождению в строку, колонтитулам, меткам. Так, файл с пометкой «конфиденциально» попадет в группу высокой конфиденциальности. Туда же будет отнесена заполненная медицинская карта, инвойс и т. д.
  • User-based: классификация файлов вручную пользователем. Сотрудники как владельцы данных самостоятельно определяют, насколько информация чувствительна — они могут сделать это при создании документа, после редактирования или проверки или, например, перед публикацией.

Конечное решение по-хорошему должно оставаться за пользователем

Оптимальная стратегия — комбинировать эти подходы. «Конечное решение по-хорошему должно оставаться за пользователем, — поясняет Иван Будылин. — Но система защиты при этом может работать как в рекомендательном режиме, так и в режиме максимальной жесткости, когда пользователь не может изменить класс самостоятельно — он только нажимает „ок“ и подтверждает предложенную категорию».

Сколько классов конфиденциальности нужно выделить по итогам классификации? Специалисты Microsoft советуют делать разбивку максимально простой: например, неконфиденциальная, умеренно конфиденциальная и максимально конфиденциальная информация, добавить как можно больше синонимов и критериев вхождения документов. Хороший подход к разработке этих классов — оценка потенциального ущерба в деньгах. «Определите финансовые трешхолды вхождения в ту или иную категорию, — советует Иван Будылин. — В идеале они должны определяться индивидуально для каждой компании внутри нее, но в реальности организация вряд ли обойдется без привлечения внешних консультантов. Классификация данных — это не то, что можно сделать за пять минут в одиночку на коленке».

Важно, чтобы персонал компании понимал, какие документы к какому классу относятся. Хорошо, если правила классификации умещаются на одном листе A4 и дублируются на интернет-портале, где их может найти каждый сотрудник. При этом система защиты может упростить работу для пользователей: так, если бухгалтер делает справку о зарплате, она сможет выбрать категорию «финансовый документ», и система защиты автоматически разметит его как документ с максимальным классом конфиденциальности.

После того, как компания разработала классы конфиденциальности, она может использовать автоматизированные средства для разметки уже существующих данных. Такие инструменты входят в состав Microsoft 365 — Enterprise E5 или Enterprise E3 с купленным E5 compliance аддоном. Они устанавливаются внутри инфраструктуры заказчика, сканируют файловые хранилища и в режиме аудита классифицируют файлы. После того, как бизнес подтвердит правильность классификации, система установит метки.

DLP, DAM, CASB и другие средства для защиты классифицированных данных

С помощью специалистов по ИБ из компаний «Инфосистемы Джет», группы компаний Angara Technologies Group и Microsoft мы выделили несколько основных классов решений для защиты данных:

DLP (Data Loss Prevention или Data Leak Prevention) — классические средства для защиты от утечек, которые позволяют выявлять перемещения данных внутри периметра. Компания контролирует устройства с помощью агентов, отслеживая, с какими данными работают пользователи, куда и кому они их отправляют. Такие решения могут как просто формировать сообщения об инцидентах, так и блокировать нежелательные действия.

Решения по маркировке и шифрованию данных — документам присваиваются разные метки и права доступа в зависимости от класса конфиденциальности. К этим меткам привязываются и политики DLP — то есть инструменты DLP по-разному реагируют на конфиденциальные документы и файлы из категории общего доступа. Критически важную информацию можно хранить и обрабатывать в зашифрованном виде.

DAM (Database Activity Monitoring) — инструменты для независимого мониторинга и анализа действий пользователей. Они помогают обнаружить необычные и несанкционированные действия, как внутренние, так и внешние, и при этом оценивают эффективность существующих решений и политик безопасности.

CASB (Cloud Access Security Brokers) — решения для обеспечения безопасности в облачных сервисах. Это прослойка между пользователем и сервис-провайдером, которая позволяет контролировать, какие данные уходят, обрабатываются и хранятся в облаке и какие права доступа к ним есть у пользователей. Так, если в открытом доступе появляется конфиденциальный файл, который может открыть любой человек без ограничений, брокер выявит это, сформирует инцидент и покажет его службам ИБ.

EMM (Enterprise Mobility Management) — системы для управления контентом, который сотрудник получает на свое мобильное устройство. Лидирующие программные продукты этого класса контейнизируют корпоративную информацию и создают внутри устройств отдельное рабочее пространство для хранения и обработки данных компании. Получатель не сможет передать эти данные за пределы контейнера, при этом его личную информацию, например, фотографии это никак не затронет.

Отдельным трендом в сфере защиты данных можно назвать поведенческую аналитику. Раньше основой была ручная фиксация паттернов, которые компания хочет выявить и ограничить. С увеличением количества данных определить все последовательности и шаблоны становится практически невозможно. Поведенческая аналитика позволяет замечать аномалии в действиях пользователей и блокировать нежелательные операции: например, если сотрудник начинает агрессивно выкачивать файлы их хранилищ или удалять их. Такие средства можно также «привязать» к определенным событиям, например, последнему рабочему дню сотрудника.

Тем не менее, если пользователь собирается совершить злонамеренную операцию, он с большой вероятностью сможет это сделать даже при наличии классификации, примененных к данным политик защиты и отдельных технических средств, подчеркивают эксперты по информационной безопасности. Поэтому и классификация документов по классам чувствительности, и отдельные решения должны быть частью комплексной стратегии обеспечения кибербезопасности.

В такой стратегии необходимо прописать, как организация защищает аккаунты сотрудников, контролирует их устройства, что происходит в случае хакерской атаки или потери данных по вине инсайдера — и т. д. Так у компании не остается слепых мест, и в случае утечки она может провести расследование и предъявить в суде необходимые доказательства.

Гранулированный подход: как выстроить защиту корпоративных данных в зависимости от их класса

«Есть устоявшееся мнение о том, что внедрение систем безопасности снижает эффективность процессов, — рассказывает Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara. — Можно внедрить жесткие политики ИБ, правила блокировки потоков на большинство данных в компании. В таком случае бизнес-процессы просто остановятся: сотрудники не смогут работать, а клиенты — получать информацию. Поэтому мы используем гранулированный подход, где самые жесткие правила и меры по защите данных должны применяться к самой критичной и чувствительной информации. Чем ниже риски влияния утечки данных того или иного класса на бизнес-процессы и репутацию компании, тем слабее меры по защите».

Стратегия защиты разных типов данных выстраивается индивидуально для каждой организации. Условное разделение может быть таким:

  • Информация общего класса (то есть с нулевым уровнем конфиденциальности), свободно распространяется внутри и вне организации;
  • Данные среднего уровня конфиденциальности, например, только для внутреннего использования, не выходят за периметр организации, что контролируется с помощью DLP. Если же такие данные передаются в облачное хранилище, к ним применяются политики защиты с ограничением прав доступа.
  • Крайне конфиденциальная информация шифруется на уровне отдельного файла, к которому привязываются соответствующие политики. То есть если злоумышленник перехватит документ, доступ к которому разрешен только пользователям из определенной группы — и неважно, на флешку или в хранилище — система попросит его авторизоваться и не позволит открыть файл, если это условие не выполнено.

$3,86 млн

составил средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году, подсчитали в IBM Security

«Бесполезно пытаться контролировать все каналы, через которые файл может передаваться, — поясняет Иван Будылин. — Их слишком много: флешки, мессенджеры, файловые хранилища, файлообменные сервисы. Компания может узнать о том, какие каналы использовались, уже по факту утечки. Но если документ возник в сетевой папке финансового отдела, был классифицирован как финансовый и получил политику защиты, которая позволяет работать с ним только финансистом, не имеет значения, как этот файл ушел из периметра и где он лежит сейчас. Чтобы его открыть, необходимо аутентифицироваться, и только в этом случае пользователь получит доступ к содержимому».

Microsoft в вопросах защиты данных пропагандирует идеологию «слоеного пирога», основанную на zero trust, добавляет эксперт — то есть всегда:

  1. Проверяйте, кто пытается открыть документ, зачем он это делает и можно ли ему это сделать;
  2. Предоставляйте только необходимые привилегии и только на нужное время;
  3. Предполагайте брешь. Если ваша система защиты не сработает, что будет происходить? Как вы об этом узнаете, как отреагируете, что будете делать после? Ответы на эти вопросы необходимо дать на старте.

В результате система защиты конфиденциальных документов выглядит так. Прежде, чем дать доступ пользователю к конфиденциальному документу, необходимо его аутентифицировать. То есть — проверить, что сотруднику в принципе можно получить доступ к файлу, причем с того устройства и программы, которые он использует, и из того места, где он находится. Такой преаутентификационный уровень защиты по сути представляет собой криптоконтейнер: пока пользователь не предъявит подтверждающий токен, содержимое документа он не увидит.

280 дней

составляет среднее время обнаружения и устранения последствий утечки данных

После аутентификации сотрудник получает лицензию на использование документа. Права доступа могут отличаться: например, пользователь в зависимости от группы, к которой он принадлежит, может либо просто смотреть, либо редактировать документы, печатать их и т. д. Система также может закешировать лицензию на какой-то период, чтобы сотрудник мог, в частности, использовать файл без интернета. Технологии лицензирования встроены в Microsoft 365 и в решения партнерской экосистемы: Azure Information Protection, продукты Adobe и другие.

После разметки данных компания начинает контролировать их движение. Файлы максимального уровня конфиденциальности не должны покидать периметр: их нельзя пересылать по почте, копировать на флешки и т. д. Эта политика распространяется на инфраструктуру хранения файлов, почтовую систему, облако. И если система безопасности замечает, что каким-то образом файл максимальной конфиденциальности попал в облачный сервис — документ можно будет удалить.

Для защиты конфиденциальной информации такими способами можно использовать средства, встроенные в Windows, Exchange и SharePoint Online для почтовых систем и Microsoft Cloud Security Broker, который контролирует как происходящее в облаке Microsoft 365, так и в других облаках. Например, если по каким-то причинам сотрудникам компании не хватает продуктов от Microsoft и они пользуются Dropbox, можно купить персоналу подписку на Dropbox Enterprise, привязать к нему CASB от Microsoft через API и контролировать движения конфиденциальных документов, применяя соответствующие политики защиты.

Рекомендации для бизнеса от экспертов по ИБ

Иван Будылин

Технический директор центра технологий Microsoft в России

«Первая и основная рекомендация — пожалуйста, займитесь классификацией. После того, как данные будут размечены, можно применять к ним политики защиты, контроля, системы для предотвращения утечек и т. д. Но пока данные не промаркированы, все эти средства будут работать в полсилы.

У любой утечки данных есть имя и фамилия. Причиной не всегда становятся ошибки в классификации, в 80% случаев это вопрос компрометации личности пользователя. Сотрудники имеют перманентный привилегированный доступ к очень важным документам и используют однофакторную аутентификацию по паролю „123123“. Это плохая практика.

Наконец, помните, что именно бизнес должен обогатить IT и ИБ контекстом, объяснить им, какая информация важная, какая — нет. А они взамен должны дать средства, которые пользователю будут понятны и удобны».

Станислав Федотин

Руководитель направления Cloud Security компании «Инфосистемы Джет»

«Я бы хотел сделать упор на защиту данных в облаках, потому что использование облачных сервисов часто проходит мимо внимания сотрудников по ИБ и становится для них теневым IT. На облака не распространяются политики безопасности, которые применяют внутри организации. Это приводит в том числе к тому, что файлы передаются неограниченно, пользователи по незнанию используют ссылки общего доступа, и злоумышленники получают конфиденциальные документы.

Чтобы с этим бороться, необходимо:

  1. Понять, какие данные у вас обрабатываются в облаке. Это можно сделать в том числе автоматизированными средствами.
  2. Распространить подходы и регламенты ИБ, которые используются внутри организации, на облака.

В развитых сервис-провайдерах, например, в Microsoft 365, уже есть множество встроенных средств защиты. Но существуют и наложенные средства, такие как Cloud Access Security Brokers. И такие CASB-решения могут защищать не один сервис, а сразу все облака, которые используются в организации».

Руслан Косарим

Руководитель отдела прикладных систем группы компаний Angara

«Я уверен, что в любой компании, независимо от размера, есть данные, которые необходимо защищать. Их утечка повлияет и на финансовую сторону вопроса, и на репутацию.

Когда не выстроен понятный процесс по обеспечению ИБ, конечно же, лучше всего обратиться к экспертам в индустрии, которые помогут его построить. Но существует подход Data Centric Security, который шаг за шагом объясняет, как правильно организовать защиту данных. Я бы посоветовал изучить его и пытаться применять инструменты и техники, рекомендованные в этом подходе».

Татьяна Петрущенкова

Читайте также:

  • «С точки зрения кибербезопасности все больше компаний переходят на сервисную модель»

    Интервью с руководителем отдела прикладных систем группы компаний Angara Русланом Косаримом

    Подробнее
  • «В компаниях зачастую просто нет правил и политик по защите и работе с информацией»

    Колонка исполнительного директора CSI Group Александра Писемского

    Подробнее