Классная работа
Классификация и защита данных: инструкция к применению
Классификация и защита данных: инструкция к применению
Пандемия и переход на гибридные форматы работы подсветили пробелы организаций в сфере информационной безопасности (ИБ). Например, в 2020 году около 100 млн записей с персональными данными россиян попали в сеть — и в четырех из пяти случаев к утечкам привели осознанные действия сотрудников компаний, которые пытались на этом заработать. Общая доля таких инцидентов в России за год выросла примерно на три четверти, говорится в исследовании InfoWatch. Кроме того,
«Ъ» и Microsoft разобрались, что делать бизнесу, чтобы минимизировать риски: зачем и как классифицировать данные, какие средства использовать для защиты и почему в процесс должен быть вовлечен не только
По данным компании «СерчИнформ», в первом полугодии 2020 года данные утекали из 91% российских компаний, причем из всех утечек 40% произошли
«Мы видим, что много утечек действительно возникает по вине сотрудников. Возможно, это связано с тем, что организации в целом стали собирать больше данных. А в прошлом году компании массово переходили на удаленный режим работы,
Утечки данных обходятся компаниям дорого: небольшие теряют на этом около 1,9 млн руб., при этом в 2020 году каждая российская компания в сегменте СМБ потратила на обеспечение инфобезопасности в среднем 4,7 млн руб., утверждает «Лаборатория Касперского». В IBM Security посчитали, что средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году составил $3,86 млн, а для предприятий в сфере здравоохранения — и вовсе $7,13 млн. При этом самые дорогостоящие утечки связаны именно с персональными данными — $150 на одну запись.
Как быстро бизнес обнаруживает подобные утечки? «Крок» утверждает, что две трети компаний узнают о произошедшем уже после того, как информация появляется на рынках данных. Среднее время обнаружения и устранения последствий утечки данных составляет 280 дней. При этом можно уменьшить ущерб на $1 млн, если разобраться с последствиями быстрее 200 дней, указано в глобальном исследовании IBM Security.
С учетом количества утечек и их дороговизны для пострадавших организаций, вопрос обеспечения комплексной защиты данных в компаниях становится все более актуален. Как к нему подступиться?
в России считают свой персонал основной угрозой корпоративной безопасности (оценка Group-IB)
Прежде чем выстраивать стратегию защиты данных, необходимо понять, что именно компания хочет защитить — то есть определить, потеря каких документов обойдется дороже всего с точки зрения финансов и репутации. «Если мы будем одинаково усердно защищать и булавки, и бриллианты, то очень скоро у нас будет либо очень много булавок, либо очень мало бриллиантов, — объясняет Иван Будылин, технический директор центра технологий Microsoft в России. — Компания может привлечь к процессу защиты сотрудников ИБ, которые будут контролировать действия с каждым документом, но эти люди либо потонут под потоком событий, либо будут с ним справляться, но пропускать мимо себя важные единицы бизнес-смысла».
Распространенная ошибка, с которой сталкиваются опрошенные эксперты — попытка передать классификацию данных в компании сотрудникам ИБ, не привлекая
Понимание того, какие документы представляют для бизнеса наибольшую ценность, а какие можно распространять свободно, должно быть транслировано от бизнеса, то есть
Информацию, которой обладает компания, можно условно разделить на несколько категорий, рассказывает исполнительный директор CSI Group Александр Писемский:
Нужно понимать, что не только файлы, но и почтовые письма, сообщения в мессенджере, таблицы, строки и ячейки в базе данных или объекты в block storage могут содержать ту самую конфиденциальную информацию, при потере которой бизнес сильно пострадает.
При классификации данные всех типов относят к определенной категории конфиденциальности в зависимости от того, насколько они ценны для бизнеса, а также ориентируясь на требования регулятора. В российской и международной практике больше всего внимания уделяется регулированию информации, которая обрабатываются в государственных информационных системах, персональным данным и финансовым операциям. При этом в области защиты персональных данных
в среднем потратила на обеспечение инфобезопасности в 2020 году каждая российская компания в сегменте СМБ, утверждает «Лаборатория Касперского»
Для классификации документов обычно используются три подхода:
Конечное решение по-хорошему должно оставаться за пользователем
Оптимальная стратегия — комбинировать эти подходы. «Конечное решение
Сколько классов конфиденциальности нужно выделить по итогам классификации? Специалисты Microsoft советуют делать разбивку максимально простой: например, неконфиденциальная, умеренно конфиденциальная и максимально конфиденциальная информация, добавить как можно больше синонимов и критериев вхождения документов. Хороший подход к разработке этих классов — оценка потенциального ущерба в деньгах. «Определите финансовые трешхолды вхождения в ту или иную категорию, — советует Иван Будылин. — В идеале они должны определяться индивидуально для каждой компании внутри нее, но в реальности организация вряд ли обойдется без привлечения внешних консультантов. Классификация данных — это не то, что можно сделать за пять минут в одиночку на коленке».
Важно, чтобы персонал компании понимал, какие документы к какому классу относятся. Хорошо, если правила классификации умещаются на одном листе A4 и дублируются на
После того, как компания разработала классы конфиденциальности, она может использовать автоматизированные средства для разметки уже существующих данных. Такие инструменты входят в состав Microsoft 365 — Enterprise E5 или Enterprise E3 с купленным E5 compliance аддоном. Они устанавливаются внутри инфраструктуры заказчика, сканируют файловые хранилища и в режиме аудита классифицируют файлы. После того, как бизнес подтвердит правильность классификации, система установит метки.
С помощью специалистов по ИБ из компаний «Инфосистемы Джет», группы компаний Angara Technologies Group и Microsoft мы выделили несколько основных классов решений для защиты данных:
DLP (Data Loss Prevention или Data Leak Prevention) — классические средства для защиты от утечек, которые позволяют выявлять перемещения данных внутри периметра. Компания контролирует устройства с помощью агентов, отслеживая, с какими данными работают пользователи, куда и кому они их отправляют. Такие решения могут как просто формировать сообщения об инцидентах, так и блокировать нежелательные действия.
Решения по маркировке и шифрованию данных — документам присваиваются разные метки и права доступа в зависимости от класса конфиденциальности. К этим меткам привязываются и политики DLP — то есть инструменты DLP
DAM (Database Activity Monitoring) — инструменты для независимого мониторинга и анализа действий пользователей. Они помогают обнаружить необычные и несанкционированные действия, как внутренние, так и внешние, и при этом оценивают эффективность существующих решений и политик безопасности.
CASB (Cloud Access Security Brokers) — решения для обеспечения безопасности в облачных сервисах. Это прослойка между пользователем и
EMM (Enterprise Mobility Management) — системы для управления контентом, который сотрудник получает на свое мобильное устройство. Лидирующие программные продукты этого класса контейнизируют корпоративную информацию и создают внутри устройств отдельное рабочее пространство для хранения и обработки данных компании. Получатель не сможет передать эти данные за пределы контейнера, при этом его личную информацию, например, фотографии это никак не затронет.
Отдельным трендом в сфере защиты данных можно назвать поведенческую аналитику. Раньше основой была ручная фиксация паттернов, которые компания хочет выявить и ограничить. С увеличением количества данных определить все последовательности и шаблоны становится практически невозможно. Поведенческая аналитика позволяет замечать аномалии в действиях пользователей и блокировать нежелательные операции: например, если сотрудник начинает агрессивно выкачивать файлы их хранилищ или удалять их. Такие средства можно также «привязать» к определенным событиям, например, последнему рабочему дню сотрудника.
Тем не менее, если пользователь собирается совершить злонамеренную операцию, он с большой вероятностью сможет это сделать даже при наличии классификации, примененных к данным политик защиты и отдельных технических средств, подчеркивают эксперты по информационной безопасности. Поэтому и классификация документов по классам чувствительности, и отдельные решения должны быть частью комплексной стратегии обеспечения кибербезопасности.
В такой стратегии необходимо прописать, как организация защищает аккаунты сотрудников, контролирует их устройства, что происходит в случае хакерской атаки или потери данных по вине инсайдера —
«Есть устоявшееся мнение о том, что внедрение систем безопасности снижает эффективность процессов, — рассказывает Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara. — Можно внедрить жесткие политики ИБ, правила блокировки потоков на большинство данных в компании. В таком случае
Стратегия защиты разных типов данных выстраивается индивидуально для каждой организации. Условное разделение может быть таким:
составил средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году, подсчитали в IBM Security
«Бесполезно пытаться контролировать все каналы, через которые файл может передаваться, — поясняет Иван Будылин. — Их слишком много: флешки, мессенджеры, файловые хранилища, файлообменные сервисы. Компания может узнать о том, какие каналы использовались, уже по факту утечки. Но если документ возник в сетевой папке финансового отдела, был классифицирован как финансовый и получил политику защиты, которая позволяет работать с ним только финансистом, не имеет значения, как этот файл ушел из периметра и где он лежит сейчас. Чтобы его открыть, необходимо аутентифицироваться, и только в этом случае пользователь получит доступ к содержимому».
Microsoft в вопросах защиты данных пропагандирует идеологию «слоеного пирога», основанную на zero trust, добавляет эксперт — то есть всегда:
В результате система защиты конфиденциальных документов выглядит так. Прежде, чем дать доступ пользователю к конфиденциальному документу, необходимо его аутентифицировать. То есть — проверить, что сотруднику в принципе можно получить доступ к файлу, причем с того устройства и программы, которые он использует, и из того места, где он находится. Такой преаутентификационный уровень защиты по сути представляет собой криптоконтейнер: пока пользователь не предъявит подтверждающий токен, содержимое документа он не увидит.
составляет среднее время обнаружения и устранения последствий утечки данных
После аутентификации сотрудник получает лицензию на использование документа. Права доступа могут отличаться: например, пользователь в зависимости от группы, к которой он принадлежит, может либо просто смотреть, либо редактировать документы, печатать их
После разметки данных компания начинает контролировать их движение. Файлы максимального уровня конфиденциальности не должны покидать периметр: их нельзя пересылать по почте, копировать на флешки
Для защиты конфиденциальной информации такими способами можно использовать средства, встроенные в Windows, Exchange и SharePoint Online для почтовых систем и Microsoft Cloud Security Broker, который контролирует как происходящее в облаке Microsoft 365, так и в других облаках. Например, если по
«Первая и основная рекомендация — пожалуйста, займитесь классификацией. После того, как данные будут размечены, можно применять к ним политики защиты, контроля, системы для предотвращения утечек
У любой утечки данных есть имя и фамилия. Причиной не всегда становятся ошибки в классификации, в 80% случаев это вопрос компрометации личности пользователя. Сотрудники имеют перманентный привилегированный доступ к очень важным документам и используют однофакторную аутентификацию по паролю „123123“. Это плохая практика.
Наконец, помните, что именно бизнес должен обогатить IT и ИБ контекстом, объяснить им, какая информация важная, какая — нет. А они взамен должны дать средства, которые пользователю будут понятны и удобны».
«Я бы хотел сделать упор на защиту данных в облаках, потому что использование облачных сервисов часто проходит мимо внимания сотрудников по ИБ и становится для них теневым IT. На облака не распространяются политики безопасности, которые применяют внутри организации. Это приводит в том числе к тому, что файлы передаются неограниченно, пользователи по незнанию используют ссылки общего доступа, и злоумышленники получают конфиденциальные документы.
Чтобы с этим бороться, необходимо:
В развитых
«Я уверен, что в любой компании, независимо от размера, есть данные, которые необходимо защищать. Их утечка повлияет и на финансовую сторону вопроса, и на репутацию.
Когда не выстроен понятный процесс по обеспечению ИБ, конечно же, лучше всего обратиться к экспертам в индустрии, которые помогут его построить. Но существует подход Data Centric Security, который шаг за шагом объясняет, как правильно организовать защиту данных. Я бы посоветовал изучить его и пытаться применять инструменты и техники, рекомендованные в этом подходе».
Интервью с руководителем отдела прикладных систем группы компаний Angara Русланом Косаримом
ПодробнееКолонка исполнительного директора CSI Group Александра Писемского
Подробнее