Классная работа
Классификация и защита данных: инструкция к применению
- Цифры и факты: сколько данных утекает в сеть — и сколько это стоит для бизнеса
- Зачем классифицировать данные и почему IT-отдел не справится самостоятельно
- «Не усложняйте»: как классифицировать данные
- DLP, DAM, CASB и другие средства для защиты классифицированных данных
- Гранулированный подход: как выстроить защиту корпоративных данных в зависимости от их класса
- Рекомендации для бизнеса от экспертов по ИБ
Пандемия и переход на гибридные форматы работы подсветили пробелы организаций в сфере информационной безопасности (ИБ). Например, в 2020 году около 100 млн записей с персональными данными россиян попали в сеть — и в четырех из пяти случаев к утечкам привели осознанные действия сотрудников компаний, которые пытались на этом заработать. Общая доля таких инцидентов в России за год выросла примерно на три четверти, говорится в исследовании InfoWatch. Кроме того,
«Ъ» и Microsoft разобрались, что делать бизнесу, чтобы минимизировать риски: зачем и как классифицировать данные, какие средства использовать для защиты и почему в процесс должен быть вовлечен не только
Цифры и факты: сколько данных утекает в сеть — и сколько это стоит для бизнеса в Сбере предлагают управлять компанией со смартфона
По данным компании «СерчИнформ», в первом полугодии 2020 года данные утекали из 91% российских компаний, причем из всех утечек 40% произошли
«Мы видим, что много утечек действительно возникает по вине сотрудников. Возможно, это связано с тем, что организации в целом стали собирать больше данных. А в прошлом году компании массово переходили на удаленный режим работы,
Утечки данных обходятся компаниям дорого: небольшие теряют на этом около 1,9 млн руб., при этом в 2020 году каждая российская компания в сегменте СМБ потратила на обеспечение инфобезопасности в среднем 4,7 млн руб., утверждает «Лаборатория Касперского». В IBM Security посчитали, что средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году составил $3,86 млн, а для предприятий в сфере здравоохранения — и вовсе $7,13 млн. При этом самые дорогостоящие утечки связаны именно с персональными данными — $150 на одну запись.
Как быстро бизнес обнаруживает подобные утечки? «Крок» утверждает, что две трети компаний узнают о произошедшем уже после того, как информация появляется на рынках данных. Среднее время обнаружения и устранения последствий утечки данных составляет 280 дней. При этом можно уменьшить ущерб на $1 млн, если разобраться с последствиями быстрее 200 дней, указано в глобальном исследовании IBM Security.
С учетом количества утечек и их дороговизны для пострадавших организаций, вопрос обеспечения комплексной защиты данных в компаниях становится все более актуален. Как к нему подступиться?
в России считают свой персонал основной угрозой корпоративной безопасности (оценка Group-IB)
Зачем классифицировать данные и почему IT-отдел не справится самостоятельно
Прежде чем выстраивать стратегию защиты данных, необходимо понять, что именно компания хочет защитить — то есть определить, потеря каких документов обойдется дороже всего с точки зрения финансов и репутации. «Если мы будем одинаково усердно защищать и булавки, и бриллианты, то очень скоро у нас будет либо очень много булавок, либо очень мало бриллиантов, — объясняет Иван Будылин, технический директор центра технологий Microsoft в России. — Компания может привлечь к процессу защиты сотрудников ИБ, которые будут контролировать действия с каждым документом, но эти люди либо потонут под потоком событий, либо будут с ним справляться, но пропускать мимо себя важные единицы бизнес-смысла».
Распространенная ошибка, с которой сталкиваются опрошенные эксперты — попытка передать классификацию данных в компании сотрудникам ИБ, не привлекая
Понимание того, какие документы представляют для бизнеса наибольшую ценность, а какие можно распространять свободно, должно быть транслировано от бизнеса, то есть
«Не усложняйте»: как классифицировать данные
Информацию, которой обладает компания, можно условно разделить на несколько категорий, рассказывает исполнительный директор CSI Group Александр Писемский:
- Свободно распространяемая с неограниченным доступом. Например, содержимое
веб-сайта компании или маркетинговые материалы; - Коммерческая тайна. В частности, финансовая отчетность, информация о
бизнес-операциях , планах и коммерческих условиях; - Сведения, связанные с профессиональной деятельностью. Например, адвокатская или банковская тайна;
- Тайна следствия или судопроизводства;
- Персональные данные. Это любые данные о человеке, которые могут его идентифицировать: ФИО, номер телефона, адрес электронной почты
и т. п. ; - Информация об изобретениях до официальной публикации. Например, чертежи, исходные коды, эскизы, прототипы;
- Государственная тайна.
Нужно понимать, что не только файлы, но и почтовые письма, сообщения в мессенджере, таблицы, строки и ячейки в базе данных или объекты в block storage могут содержать ту самую конфиденциальную информацию, при потере которой бизнес сильно пострадает.
При классификации данные всех типов относят к определенной категории конфиденциальности в зависимости от того, насколько они ценны для бизнеса, а также ориентируясь на требования регулятора. В российской и международной практике больше всего внимания уделяется регулированию информации, которая обрабатываются в государственных информационных системах, персональным данным и финансовым операциям. При этом в области защиты персональных данных
в среднем потратила на обеспечение инфобезопасности в 2020 году каждая российская компания в сегменте СМБ, утверждает «Лаборатория Касперского»
Для классификации документов обычно используются три подхода:
Context-based : информация классифицируется в зависимости от контекста, в котором она возникла, без учета содержания. Например, если документ создали в сетевой папке финансового отдела, он будет классифицирован как финансовый с применением к нему соответствующих политик (например, доступ разрешен только финансистам). А если он появился на рабочем столе сотрудника — как служебный.Content-based : данные классифицируются по признакам внутри документов. Например, по ключевым словам, регулярным выражениям, точному вхождению в строку, колонтитулам, меткам. Так, файл с пометкой «конфиденциально» попадет в группу высокой конфиденциальности. Туда же будет отнесена заполненная медицинская карта, инвойси т. д. User-based : классификация файлов вручную пользователем. Сотрудники как владельцы данных самостоятельно определяют, насколько информация чувствительна — они могут сделать это при создании документа, после редактирования или проверки или, например, перед публикацией.
Конечное решение по-хорошему должно оставаться за пользователем
Оптимальная стратегия — комбинировать эти подходы. «Конечное решение
Сколько классов конфиденциальности нужно выделить по итогам классификации? Специалисты Microsoft советуют делать разбивку максимально простой: например, неконфиденциальная, умеренно конфиденциальная и максимально конфиденциальная информация, добавить как можно больше синонимов и критериев вхождения документов. Хороший подход к разработке этих классов — оценка потенциального ущерба в деньгах. «Определите финансовые трешхолды вхождения в ту или иную категорию, — советует Иван Будылин. — В идеале они должны определяться индивидуально для каждой компании внутри нее, но в реальности организация вряд ли обойдется без привлечения внешних консультантов. Классификация данных — это не то, что можно сделать за пять минут в одиночку на коленке».
Важно, чтобы персонал компании понимал, какие документы к какому классу относятся. Хорошо, если правила классификации умещаются на одном листе A4 и дублируются на
После того, как компания разработала классы конфиденциальности, она может использовать автоматизированные средства для разметки уже существующих данных. Такие инструменты входят в состав Microsoft 365 — Enterprise E5 или Enterprise E3 с купленным E5 compliance аддоном. Они устанавливаются внутри инфраструктуры заказчика, сканируют файловые хранилища и в режиме аудита классифицируют файлы. После того, как бизнес подтвердит правильность классификации, система установит метки.
DLP, DAM, CASB и другие средства для защиты классифицированных данных
С помощью специалистов по ИБ из компаний «Инфосистемы Джет», группы компаний Angara Technologies Group и Microsoft мы выделили несколько основных классов решений для защиты данных:
DLP (Data Loss Prevention или Data Leak Prevention) — классические средства для защиты от утечек, которые позволяют выявлять перемещения данных внутри периметра. Компания контролирует устройства с помощью агентов, отслеживая, с какими данными работают пользователи, куда и кому они их отправляют. Такие решения могут как просто формировать сообщения об инцидентах, так и блокировать нежелательные действия.
Решения по маркировке и шифрованию данных — документам присваиваются разные метки и права доступа в зависимости от класса конфиденциальности. К этим меткам привязываются и политики DLP — то есть инструменты DLP
DAM (Database Activity Monitoring) — инструменты для независимого мониторинга и анализа действий пользователей. Они помогают обнаружить необычные и несанкционированные действия, как внутренние, так и внешние, и при этом оценивают эффективность существующих решений и политик безопасности.
CASB (Cloud Access Security Brokers) — решения для обеспечения безопасности в облачных сервисах. Это прослойка между пользователем и
EMM (Enterprise Mobility Management) — системы для управления контентом, который сотрудник получает на свое мобильное устройство. Лидирующие программные продукты этого класса контейнизируют корпоративную информацию и создают внутри устройств отдельное рабочее пространство для хранения и обработки данных компании. Получатель не сможет передать эти данные за пределы контейнера, при этом его личную информацию, например, фотографии это никак не затронет.
Отдельным трендом в сфере защиты данных можно назвать поведенческую аналитику. Раньше основой была ручная фиксация паттернов, которые компания хочет выявить и ограничить. С увеличением количества данных определить все последовательности и шаблоны становится практически невозможно. Поведенческая аналитика позволяет замечать аномалии в действиях пользователей и блокировать нежелательные операции: например, если сотрудник начинает агрессивно выкачивать файлы их хранилищ или удалять их. Такие средства можно также «привязать» к определенным событиям, например, последнему рабочему дню сотрудника.
Тем не менее, если пользователь собирается совершить злонамеренную операцию, он с большой вероятностью сможет это сделать даже при наличии классификации, примененных к данным политик защиты и отдельных технических средств, подчеркивают эксперты по информационной безопасности. Поэтому и классификация документов по классам чувствительности, и отдельные решения должны быть частью комплексной стратегии обеспечения кибербезопасности.
В такой стратегии необходимо прописать, как организация защищает аккаунты сотрудников, контролирует их устройства, что происходит в случае хакерской атаки или потери данных по вине инсайдера —
Гранулированный подход: как выстроить защиту корпоративных данных в зависимости от их класса
«Есть устоявшееся мнение о том, что внедрение систем безопасности снижает эффективность процессов, — рассказывает Руслан Косарим, руководитель отдела прикладных систем группы компаний Angara. — Можно внедрить жесткие политики ИБ, правила блокировки потоков на большинство данных в компании. В таком случае
Стратегия защиты разных типов данных выстраивается индивидуально для каждой организации. Условное разделение может быть таким:
- Информация общего класса (то есть с нулевым уровнем конфиденциальности), свободно распространяется внутри и вне организации;
- Данные среднего уровня конфиденциальности, например, только для внутреннего использования, не выходят за периметр организации, что контролируется с помощью DLP. Если же такие данные передаются в облачное хранилище, к ним применяются политики защиты с ограничением прав доступа.
- Крайне конфиденциальная информация шифруется на уровне отдельного файла, к которому привязываются соответствующие политики. То есть если злоумышленник перехватит документ, доступ к которому разрешен только пользователям из определенной группы — и неважно, на флешку или в хранилище — система попросит его авторизоваться и не позволит открыть файл, если это условие не выполнено.
составил средний ущерб от утечки данных для компаний из 17 регионов мира в 2020 году, подсчитали в IBM Security
«Бесполезно пытаться контролировать все каналы, через которые файл может передаваться, — поясняет Иван Будылин. — Их слишком много: флешки, мессенджеры, файловые хранилища, файлообменные сервисы. Компания может узнать о том, какие каналы использовались, уже по факту утечки. Но если документ возник в сетевой папке финансового отдела, был классифицирован как финансовый и получил политику защиты, которая позволяет работать с ним только финансистом, не имеет значения, как этот файл ушел из периметра и где он лежит сейчас. Чтобы его открыть, необходимо аутентифицироваться, и только в этом случае пользователь получит доступ к содержимому».
Microsoft в вопросах защиты данных пропагандирует идеологию «слоеного пирога», основанную на zero trust, добавляет эксперт — то есть всегда:
- Проверяйте, кто пытается открыть документ, зачем он это делает и можно ли ему это сделать;
- Предоставляйте только необходимые привилегии и только на нужное время;
- Предполагайте брешь. Если ваша система защиты не сработает, что будет происходить? Как вы об этом узнаете, как отреагируете, что будете делать после? Ответы на эти вопросы необходимо дать на старте.
В результате система защиты конфиденциальных документов выглядит так. Прежде, чем дать доступ пользователю к конфиденциальному документу, необходимо его аутентифицировать. То есть — проверить, что сотруднику в принципе можно получить доступ к файлу, причем с того устройства и программы, которые он использует, и из того места, где он находится. Такой преаутентификационный уровень защиты по сути представляет собой криптоконтейнер: пока пользователь не предъявит подтверждающий токен, содержимое документа он не увидит.
составляет среднее время обнаружения и устранения последствий утечки данных
После аутентификации сотрудник получает лицензию на использование документа. Права доступа могут отличаться: например, пользователь в зависимости от группы, к которой он принадлежит, может либо просто смотреть, либо редактировать документы, печатать их
После разметки данных компания начинает контролировать их движение. Файлы максимального уровня конфиденциальности не должны покидать периметр: их нельзя пересылать по почте, копировать на флешки
Для защиты конфиденциальной информации такими способами можно использовать средства, встроенные в Windows, Exchange и SharePoint Online для почтовых систем и Microsoft Cloud Security Broker, который контролирует как происходящее в облаке Microsoft 365, так и в других облаках. Например, если по
Рекомендации для бизнеса от экспертов по ИБ
Иван Будылин
Технический директор центра технологий Microsoft в России«Первая и основная рекомендация — пожалуйста, займитесь классификацией. После того, как данные будут размечены, можно применять к ним политики защиты, контроля, системы для предотвращения утечек
У любой утечки данных есть имя и фамилия. Причиной не всегда становятся ошибки в классификации, в 80% случаев это вопрос компрометации личности пользователя. Сотрудники имеют перманентный привилегированный доступ к очень важным документам и используют однофакторную аутентификацию по паролю „123123“. Это плохая практика.
Наконец, помните, что именно бизнес должен обогатить IT и ИБ контекстом, объяснить им, какая информация важная, какая — нет. А они взамен должны дать средства, которые пользователю будут понятны и удобны».
Станислав Федотин
Руководитель направления Cloud Security компании «Инфосистемы Джет»«Я бы хотел сделать упор на защиту данных в облаках, потому что использование облачных сервисов часто проходит мимо внимания сотрудников по ИБ и становится для них теневым IT. На облака не распространяются политики безопасности, которые применяют внутри организации. Это приводит в том числе к тому, что файлы передаются неограниченно, пользователи по незнанию используют ссылки общего доступа, и злоумышленники получают конфиденциальные документы.
Чтобы с этим бороться, необходимо:
- Понять, какие данные у вас обрабатываются в облаке. Это можно сделать в том числе автоматизированными средствами.
- Распространить подходы и регламенты ИБ, которые используются внутри организации, на облака.
В развитых
Руслан Косарим
Заместитель технического директора по развитию бизнеса группы компаний Angara«Я уверен, что в любой компании, независимо от размера, есть данные, которые необходимо защищать. Их утечка повлияет и на финансовую сторону вопроса, и на репутацию.
Когда не выстроен понятный процесс по обеспечению ИБ, конечно же, лучше всего обратиться к экспертам в индустрии, которые помогут его построить. Но существует подход Data Centric Security, который шаг за шагом объясняет, как правильно организовать защиту данных. Я бы посоветовал изучить его и пытаться применять инструменты и техники, рекомендованные в этом подходе».
Читайте также:
-
«С точки зрения кибербезопасности все больше компаний переходят на сервисную модель»
Интервью с заместителем технического директора по развитию бизнеса группы компаний Angara Русланом Косаримом
Подробнее
-
«В компаниях зачастую просто нет правил и политик по защите и работе с информацией»
Колонка исполнительного директора CSI Group Александра Писемского
Подробнее