Партнерский материал

«С точки зрения кибербезопасности все больше компаний переходят на сервисную модель»

CSI Group с 2013 года работает в индустрии управления рисками мошенничества и оказывает клиентам поддержку при проведении внутреннего аудита, корпоративных расследований, судебных разбирательств, реструктуризации бизнеса и в других ситуациях. Компания уже реализовала больше 500 проектов в сферах Forensics, Business Intelligence и Compliance в 53 странах.

В своей колонке Александр Писемский, исполнительный директор CSI Group, рассказывает, с какими рисками с точки зрения данных сталкиваются компании сегодня, без чего невозможно выстроить защиту информации в организации и что бизнесу дает Data Governance. А еще — о проектах CSI Group.


Хакеры и инсайдеры

Сегодня многие компании понимают ценность информации и озабочены вопросом предотвращения утечек конфиденциальных данных из-за действий хакеров или инсайдеров. Массовый принудительный уход на удаленную работу существенно повысил эти риски, так как большинство организаций не были готовы к новому формату и не обладали эффективными средствами для контроля и защиты информации.

Пример: совсем недавно мы завершили проект по изучению обстоятельств утечки большого объема корпоративных документов и чертежей. В ходе анализа выяснилось, что один из инженеров компании для удобства работы из дома скопировал все данные со своего рабочего компьютера на домашнее сетевое хранилище, которое было неправильно настроено для доступа по сети. В итоге в публичный доступ попали более 600 ГБ очень чувствительных данных: контракты, персональные данные, корпоративная тайна, архитектурные планы, чертежи коммуникаций и др.

Другой серьезный вызов для компаний — кибервымогатели, которые, проникнув в сеть предприятия, шифруют данные на компьютерах, серверах, файловых хранилищах и затем требуют выкуп, часто доходящий до десятков миллионов долларов. Несмотря на усилия экспертов по ИБ во всем мире оптимальной стратегией для компании после такой атаки остается восстановление систем и данных из резервных копий.

В одном из последних инцидентов, связанных с вирусами-вымогателями, удалось спасти только 60% данных за счет быстрого реагирования и отключения питания серверов и компьютеров. Промедление на 2–3 часа привело бы к потере всех пользовательских и финансовых данных компании за последние 18 месяцев.

3 млрд руб.

превысил ущерб российских компаний от утечек по итогам 2020 года, выяснили аналитики «Крок»

Нельзя защитить то, что не контролируешь

Если вы ставите задачу защитить определенную информацию, нужно понимать, где она хранится, в каком виде, как передается, как обрабатывается, кто к ней имеет доступ, где она резервируется и как уничтожается. Разные типы информации требуют различных уровней защиты и подходов к обработке, которые в том числе регулируются законодательством.

Чтобы ответить на эти вопросы и выстроить систему защиты, необходимо проделать скрупулезную работу — исследовать IT-инфраструктуру и классифицировать обрабатываемую в ней информацию. Не пройдя этот шаг, невозможно определить во всем объеме данных, где находятся персональные данные, коммерческая тайна, банковская тайна, интеллектуальная собственность и патенты, конфиденциальная информация ваших клиентов и партнеров. Как следствие — нельзя выстроить эффективную систему управления данными и их защиты. В будущем это может стать причиной утечек информации, ее уничтожения, внесения в нее неавторизованных изменений, а также существенных штрафов от регуляторов.

Знание о том, какая информация и где обрабатывается и хранится у вас в компании, может помочь:

  1. Удалить дубликаты, устаревшие данные. Это снизит расходы компании и поможет оптимизировать IT-инфраструктуру;
  2. Обеспечить необходимый уровень защиты и разграничение доступа к информации в зависимости от ее типа конфиденциальности. А также — точно выполнить требования законодательства и избежать штрафов;;
  3. Внедрить средства защиты данных от утечки. После того, как вы промаркировали данные и определили разрешенное использование и место хранения, можно эффективно настроить средства мониторинга и защиты от утечек (DLP);;
  4. Быстро отвечать на запросы регуляторов, субъектов персональных данных, клиентов и партнеров, судов о том, где, как и кем обрабатывается охраняемая законом информация. Вы также сможете делать необходимые выгрузки или уничтожать все копии данных, когда это необходимо.;
  5. Все это поможет снизить юридические и финансовые риски, которые возникают из-за нарушения требований законодательства по защите информации, а также в случае утечек данных.

Закон и данные: что особенно важно защитить

Сбор, обработка, хранение и использование отдельных типов данных регулируется на законодательном уровне. К таким типам данных относятся, например, персональные данные, государственная тайна, банковская и адвокатская тайна. При этом если компания работает одновременно на нескольких рынках, она должна учитывать в своей работе законодательство разных стран.

До 4% от оборота

могут доходить штрафы за пренебрежение защитой информации в Евросоюзе

Data Governance: что это такое и зачем нужно

Data Governance — это набор принципов работы с данными внутри компании, который позволяет получить от них максимальную пользу. С помощью data governance компания решает ряд важных задач:

  • повышение качества данных;
  • обеспечение их конфиденциальности, целостности и доступности;
  • унификация и нормализация данных;
  • контроль хранения, версионности и доступа;
  • согласованность работы с данными между всеми подразделениями компании;
  • получение знаний из данных.

Для реализации стратегии управления данными компании обычно вводят у себя специальную позицию: Chief Data Officer (CDO) — директор по данным. Однако это задача, требующая вовлечения также бизнес-подразделений и руководства.

Обеспечение безопасности информации — это комплексный процесс. Недостаточно одних технических средств — антивирусов, средств шифрования и других дорогостоящих решений. Важна стратегия обеспечения безопасности, хорошо проработанные политики и процедуры. Обучение рядовых сотрудников и специалистов по безопасности должно быть регулярным.

Именно политики и регламенты определяют принципы и подходы к защите информации. Чем качественнее они проработаны, чем лучше связаны с бизнес-стратегией компании, тем эффективнее будет система безопасности.

Главный вызов

Чаще всего с Data Governance мы сталкиваемся на проектах по обеспечению информационной безопасности чувствительных данных. Это, например, проведение аудита безопасности информационных систем; их создание. Также — в ходе проектов по расследованию обстоятельств инцидентов информационной безопасности и финансовых злоупотреблений.

На проектах по обеспечению кибербезопасности мы помогаем клиентам понять, где и как данные обрабатываются, как реализовать механизмы защиты их от несанкционированного доступа, обеспечить доступность и контроль, выполнить требования законодательства.

Проекты по расследованию инцидентов ИБ требуют от нас исследования скомпрометированных систем и оценки, какая информация «утекла» или стала доступны неавторизованным лицам. Классификацию больших массивов данных приходится проводить максимально оперативно, потому что в зависимости от типов информации может потребоваться уведомить регуляторов, субъектов и владельцев данных, попавших под инцидент.

Финансовые расследования и проекты по раскрытию данных в рамках международных судебных споров — одни из самых сложных с точки зрения работы с данными. В таких проектах мы детально изучаем, где и какие данные хранятся, как реализована система резервного копирования, уничтожения устаревших данных, какие политики и правила работы определены в компании, какое законодательство распространяется на информацию, с которой мы будем работать. Часто в таких проектах речь идет о десятках терабайт неструктурированных и структурированных данных, которые необходимо собрать, обработать и проанализировать, чтобы найти интересующие факты.

В случае международных судебных процессов мы делаем обязательную оценку возможности передачи данных в другую страну, где идет судебный процесс. При необходимости мы анонимизируем данные, исключаем их из анализа или раскрытия из-за регуляторных ограничений.

Наверное, самый главный вызов на большинстве наших проектов — это отсутствие в компаниях необходимых правил и политик по защите и работе с информацией. Без распорядительных документов невозможно оперативно собрать всю необходимую нам информацию.

Искусственный интеллект на страже данных

Для работы с большими массивами данных — структурированных и неструктурированных — наши специалисты используют специализированные решения. Большинство из них может применять искусственный интеллект для решения задач по классификации данных, поиска похожих объектов, выявления аномалий.

Машинное обучение и другие алгоритмы искусственного интеллекта позволяют в десятки раз ускорить процессы работы с данными. Задача по классификации или разметке сегодня может быть решена за считанные часы вместо недель. С использованием ИИ можно быстро найти все документы, в которых, например, есть персональные данные, идентифицировать все дубликаты и близкие копии файлов, найти и отсортировать бухгалтерские документы по их типу и контрагенту.

Уровень защищенности в существенной степени определяется безопасностью ее самого слабого звена, а им чаще всего является человек. В дополнение к во многом технической задаче по классификации информации я рекомендовал бы уделить особое внимание внутренним регламентам и политикам, а также объяснением правил безопасной работы с информацией сотрудникам компании.

Простые и понятные правила работы с информацией позволят существенно повысить эффективность системы безопасности, снизят риски. Также наличие политик и утвержденных правил работы критично при наступлении инцидентов и привлечении виновных лиц к ответственности.

Читайте также:

  • Классная работа

    “Ъ” и Microsoft разобрались, что делать бизнесу, чтобы минимизировать риски: зачем и как классифицировать данные, какие средства использовать для защиты и почему в процесс должен быть вовлечен не только IT-отдел, но и весь топ-менеджмент.

    Подробнее

  • «С точки зрения кибербезопасности все больше компаний переходят на сервисную модель»

    Интервью с руководителем отдела прикладных систем группы компаний Angara Русланом Косаримом

    Подробнее