Как бизнесу защищать данные клиентов (и почему это важно)

Дмитрий Будорин. Фото автора.

В ноябре этого года на сайте сети отелей Marriott International появилось сообщение, что злоумышленники получили доступ к персональным данным 500 млн клиентов. Скомпрометированные наборы включают имена, почтовые адреса, телефоны, пол, дату рождения, паспортные данные, информацию о прибытии и данные платежных карт в зашифрованном виде.

Компания заявила, что уведомит всех клиентов, чьи данные были украдены. Пострадавшим гостям из США, Канады и Великобритании пообещали бесплатную годовую подписку на сервис WebWatcher, который обнаруживает мошеннические действия с платежными картами. Отель создал специальный сайт и колл-центр, чтобы предоставить оперативную помощь и консультации пострадавшим клиентам.

Marriott International — огромная корпорация, у них в управлении 6700 отелей, включая три в Украине (Sheraton Hotel Kyiv, Aloft Kiev, 11 Mirrors). Очень маловероятно, что в компании вообще не заботились о защите данных. Вероятнее, корпорация просто недооценила масштаб угрозы со стороны хакеров.

Этот инцидент получил широкую огласку в том числе из-за нового регламента по защите данных (GDPR), который вступил в силу в мае. Согласно регламенту штраф может достигать 20 млн евро или 4% годового оборота. В ходе расследования выяснилось, что злоумышленники получили доступ к базе в 2014 году, когда вопрос о защите персональных данных не стоял так остро.

Кибербезопасность — слабое место бизнеса

Атака на Marriott — одна из крупнейших в истории, но не самая масштабная. Даже в рейтинге крупнейших взломов 2018 года от Business Insider она заняла «почетное» второе место. На первом — Aadhar, система идентификации граждан и резидентов Индии. Там пострадали 1,1 млрд человек: паспортные и биометрические данные, информация о банковских аккаунтах и других сервисах. В том же списке — Quora, Facebook, Google+, Timehop, Cambridge Analytica, My Heritage, Cathay Pacific Airways и еще 12 компаний.

Кибербезопасность — ахиллесова пята многих бизнесов. Причем волноваться стоит не только тем, кто относится к IT. Как сообщает Forbes, в 2017 году около 65% кибератак были направлены на компании в индустрии развлечений, что намного превышает подобные инциденты в других сферах: 9,4% пришлось на сферу информации, 7% в сфере здравоохранения и 5,5% в сфере финансов. Атаки происходят там, где больше уязвимостей.

При этом высококвалифицированных инженеров по кибербезопасности в мире не хватает, а те, что есть, стоят очень дорого. Зарплата топовых специалистов измеряется в тысячах долларов (иногда — шестизначными суммами), а их рабочее время бронируется на месяцы вперед.

В таких условиях содержать в штате команду специалистов даже «среднего полета» — дорогое удовольствие для бизнеса. Попробуем разобраться, что же можно сделать.

В первую очередь нужно устранить возможные риски в трех сферах:

• Учесть человеческий фактор.
• Создать и внедрить политики безопасности.
• Проверить технологическую готовность к атакам.

Технологические методы защиты от атак

Технологическая готовность системы противостоять взлому — это только полдела, но начинать защиту стоит именно с устранения уязвимостей в технологиях.

Тестирование на проникновение

Тест на проникновение (penetration test) представляет собой имитацию кибератаки против вашей компьютерной системы. Цель — найти уязвимости, которые потенциально могут использовать злоумышленники. По результатам пентестов нужно «залатать» обнаруженные уязвимости и, возможно, внести изменения в политику безопасности.

Тест на проникновение происходит в несколько этапов:

1. Планирование (определяем цели атаки, регламентируем правила).
2. Сбор информации (анализируем данные из открытых источников).
3. Сканирование (проверка, как код приложения будет реагировать на вторжения).
4. Получение доступа.
5. Поддержание доступа (проверка, сможет ли злоумышленник достаточно долго остаться в системе, чтобы получить глубокий доступ к данным).
6. Документирование и анализ результатов.

Пентесты могут проводить сотрудники отдела информационной безопасности или сторонние подрядчики (компания-аудитор или этичные хакеры-фрилансеры).

Соревнования bug bounty

Bug bounty — это краудсорсинговая инициатива по поиску уязвимостей. Этичные хакеры (они же Security researchers) ищут ошибки в ПО и сообщают о них компании-заказчику. За каждую найденную лазейку бизнес выплачивает вознаграждение этичному хакеру.

По сути, участники пытаются взломать реальную IT-систему бизнеса, чтобы выявить уязвимости раньше, чем это сделают злоумышленники. Такие проверки на прочность давно практикуются технологическими гигантами вроде Facebook, Microsoft или Google и постепенно набирают популярность среди других компаний.

Программу bug bounty бизнес может запустить:

• своими силами — если хватает ресурсов и экспертизы;
• с помощью специальной платформы — тогда команда платформы помогает разработать регламент, определить вознаграждения, привлечь этичных хакеров.

В Украине bug-bounty-программы проводятся уже несколько лет. Собственные программы запускают в основном крупные корпорации. Вариант с запуском на платформе набирает все большую популярность, потому что он доступен практически любому бизнесу. Тем более, что уже существует и bug-bounty-платформа с украинскими корнями — HackenProof, на которой зарегистрировано более тысячи этичных хакеров со всего мира.

HackenProof, входящая в Hacken Ecosystem, проводит соревнования по этичному взлому в рамках международного форума кибербезопасности HackIT. Для бизнеса это еще один способ привлечь этичных хакеров к проверке своего продукта: участники хакатона (security researchers из разных стран) проверяют сайты, мобильные приложения, платежные системы компаний-партнеров.

Персонал: обучение и осведомленность сотрудников

Cybersecurity Trend приводит результаты исследования: в 2016 году 24% случаев серьезных нарушений кибербезопасности были вызваны халатными действиями или ошибками сотрудников. Еще 31% проблем — из-за вредоносного ПО (установление которого также можно отнести к ошибкам сотрудников).

Таким образом, более половины всех проблем безопасности происходят из-за человеческого фактора. Чтобы снизить риск подобных киберугроз, компаниям следует обучать персонал и внедрять внутренние стандарты кибербезопасности.

Фишинг: предупрежден значит вооружен

Огромное количество кибератак происходит посредством фишинга, когда сообщение в мессенджере или почте содержит ссылку на вредоносный объект. После того, как пользователь переходит по ссылке или скачивает прикрепленный файл, вирус проникает в систему.

В зависимости от намерений злоумышленника, фишинг может служить различным целям: шпионажу, вредительству, удалению баз данных, шифрованию файлов. Главное, что можно сделать для предотвращения такого типа атак, — научить сотрудников распознавать фишинговые электронные письма и соблюдать осторожность.

• Фишинговые имейлы часто имеют провоцирующую, шокирующую тему письма, которая вынуждает немедленно открыть письмо и совершить определенное действие.
• Стоит сверять подпись в конце письма и фактический адрес отправителя. Сам адрес тоже нужно читать внимательно, потому что часто злоумышленники маскируются под доверенных отправителей, создавая подставные имейлы. Адрес может быть очень похож на имейл коллеги или партнера.
• Прежде чем переходить по ссылке, стоит навести на нее указатель мыши. В левом нижнем углу браузера высветится реальный адрес. Его тоже нужно внимательно изучить: действительно ли ссылка ведет на сайт налоговой или вас пытаются обмануть?

Осторожность в BYOD-политике

Многие компании в целях экономии поощряют сотрудников приносить личные ноутбуки для работы в офисе. Это называется политикой «принеси свое устройство» (bring your own device, BYOD).

Контролировать защищенность гаджетов сотрудников — крайне сложная задача. Кроме того, если сотрудник выносит устройство из офиса компании, растет риск, что его украдут — и физически получат доступ к данным компании и клиентов.

Если нет возможности отказаться от BYOD, следует учитывать риски в политике безопасности. Например, установить правило, что работать с файлами компании можно только через облачное хранилище, запретить скачивать файлы на компьютер или телефон. И в случае угрозы можно будет оперативно заблокировать доступ с аккаунта этого сотрудника. В идеале — иметь возможность удаленно стереть данные с устройства.

В любом случае нужно уделять внимание тому, какое ПО используют на своих гаджетах сотрудники, настаивать на антивирусах и регулярном обновлении баз.

Симуляции атак

Лучший способ показать, как просто злоумышленник может взломать систему, — симулировать атаку. Симуляция подготовит сотрудников к ситуации, с которой они, вероятно, столкнутся при реальной попытке взлома. Такие тренировки делают всю организацию более осведомленной о киберугрозах и более бдительной.

Для «фейковой» атаки можно использовать методы социальной инженерии: отправить сотрудникам фальшивое фишинговое письмо. Далее нужно проследить, как команда ведет себя при попытке взлома. Важно, чтобы это оставалось обучением, а не поводом для штрафных санкций.

После проверки проанализируйте результаты и решите, что делать для усиления безопасности. Возможно, решением станет семинар по информационной безопасности для сотрудников. А возможно, некоторым департаментам придется ограничить доступ к определенным данным — чтобы гипотетический взлом одного аккаунта не парализовал всю систему и не обернулся кражей информации о клиентах.

Правила и регламенты для обеспечения безопасности

Разрабатывая политики кибербезопасности, стоит помнить, что они касаются не только IT-отдела, но и всех других департаментов. Для каких-то отделов необходимо будет разработать специальные нормы, которые позволят снизить риски взломов и утечки информации.

Регламентация должна описывать все базовые процедуры, которые сделают работу безопасной. Даже простой процесс регистрации в системе описывается с требованиями: как сотрудники должны создавать, обновлять пароли, а также хранить и передавать их.

О регистрации самих клиентов тоже стоит позаботиться. Установите требования к паролю. Главное — чтобы он был достаточно длинным (хотя бы 10 символов) и представлял собой случайный набор знаков, а не реальное слово. Напоминайте о регулярной смене паролей. Установите возможность двухфакторной аутентификации. Обучайте и образовывайте клиентов, но не пытайтесь снять с себя ответственность. Если вы не заботитесь о защите данных, даже самый сложный пароль пользователя не спасет.

Компании по всему миру начинают все больше внимания и ресурсов уделять защите данных — и своих, и клиентов. Так, Forbes сообщает, что в США расходы на кибербезопасность подскочили с $40 млрд США в 2013 году до $66 млрд в 2018 году. Вскоре кибербезопасность станет обязательной строкой расходов даже для самых маленьких предприятий, ведь несмотря на то, что речь идет о виртуальных атаках, теряемые из-за взломов деньги — вполне реальны.

Автор: Дмитрий Будорин, руководитель Hacken.