Ни один бизнес не застрахован на 100% от утечек данных и киберинцидентов. Любой эксперт по информационной безопасности в такой ситуации первым делом посоветует прибегнуть к плану восстановления работы системы на случай инцидента. Размер компании, по сути, не важен, в 2022 году абсолютно любой бизнес имеет дело с информационными технологиями, хоть и в разном масштабе. Сегодня мы поделимся, что можно сделать, когда критическая ситуация уже случилась, чтобы восстановить работу быстрее, и что сделать, чтобы предотвратить утечку.
Самое важное в критической ситуации – скорость, чтобы сохранить и восстановить то, что подлежит восстановлению. Заблаговременно руководство компании должно назначить доверенных лиц из отдела информационной безопасности, которые будут оповещать менеджмент в случае атаки или утечки. Ответственные за план должны быть практичеки «на быстром наборе» у руководителя, чтобы мгновенно дать указания и скоординировать действия в нужный момент. Эти люди должны не только идеально знать систему компании изнутри, но и быть в курсе работы отделов, чтобы суметь разъяснить, что конкретно нужно сделать руководству разных департаментов компании, чтобы заблокировать поток информации к злоумышленнику, или, наоборот, чтобы внять плану действий и поспособствовать реанимации работы как можно быстрее.
Кибербезопасность компании – один из составляющих аспектов работы всей компании, поэтому человек, ответственный за план реагирования, должен быть высококлассным специалистом и доверенным лицом руководителя.
Как уже было упомянуто выше, ответственный за план реагирования оповещает все отделы компании о случившемся и даёт первый набор действий по реанимации. Критически важно выяснить, какое конкретно программное обеспечение, приложения, информация и системы имеют решающее значение для текущей операционной функциональности каждого из отделов. Эта информация является ключом к эффективному восстановлению операций с минимальным временем простоя.
Для того, чтобы это выяснить, нужно проводить своевременный аудит информационной безопасности компании по каждому из отделов, и, в зависимости от отдела, план аудита может меняться. Нетрудно понять, что информация, критически важная для отдела работы с клиентами, не так важна для отдела логистики или отдела кадров, и наоборот. Разная информация может терять актуальность к концу реализации проекта, заключения сделки, срока поставки, сезона, квартала и т.д. Простой пример: данные о стоимости закупки оборудования максимально актуальны в момент реализации, когда на такую информацию можно повлиять, а не когда сделка заключена и потеря этих данных в результате утечки, например, не грозит бизнесу большим ущербом.
Обязательно узнать о существовании резервных копий конфиденциальных данных или определить разумность их создания (некоторые компании во имя большей безопасности предпочитают избегать дополнительных рисков и хранят важнейшие данные в единственном экземпляре). Стоит отметить, что последнюю версию любого плана реагирования на крупные киберинциденты следует хранить в надежном месте — под замком, если это включает какие-либо основные пароли конфиденциальной информации. Нет смысла иметь план в цифровом виде, если вы не можете получить к нему доступ из-за взлома вашей сети.
Выявление потенциальных опасностей помогает их предотвратить, поэтому есть смысл продумать несколько версий аварийных планов действий в каждом из отделов компании. Популярная практика последних лет – приглашать в компанию пентестера – квалифицированного белого хакера. Этот человек взглянет на систему защиты компании со стороны злоумышленника и попытается её взломать как раз для того, чтобы выявить слабое место и устранить уязвимость в дальнейшем.
Помним, что наибольший процент утечек происходит из-за человеческой ошибки, поэтому следует озадачиться такими вопросами, как
Не забываем также про социальную инженерию, от которой никто не застрахован. Злоумышленники применяют всё более изощрённые методы кражи информации, в частности, втираясь в доверие к нужным людям и выманивая её. Поэтому обязательно проводить разные тренинги и обучения по реагированию на атаки разных видов и их распознавание. Однажды это может буквально спасти вашу организацию.
Создание этой документации и определение ваших слабых мест укажет на множество проблем, которые вы можете решить прямо сейчас. Например, можно предотвратить нарушение цепочки поставок с помощью программного обеспечения для защиты во время выполнения, защитить управляемые базы данных с помощью облачных решений для обеспечения безопасности данных или автоматизировать защиту API. Первым шагом является знание ваших уязвимостей, определение и документирование того, как вы будете реагировать.
Что делать, если утечка информации произошла в нерабочее время, кого оповестить первым, как довести ситуацию до сведения нужных людей как можно быстрее? Прежде всего, нужно составить список тех, кто должен быть в курсе раньше всех и чей опыт имеет решающее зачение в рамках ликвидации последствий катастрофы.
Кроме того, следует заранее определить, нужно ли сообщать об инциденте клиентам или поставщикам, если их данные вовлечены в произошедшее, а также кто будет информировать все указанные лица и через какие каналы. Возможно, в маленьких компаниях об этих вопросах не сильно заботятся, однако во многомиллионных корпорациях чёткий план оповещений – это необходимость. Представьте, что в банковской системе произошла утечка информации о счетах клиентов. Если оперативно не отреагировать и не проинформировать нужных людей, ответственных за ликвидацию атаки и координацию действий – банк ждёт огромная проблема с дальнейшей работой и репутационные риски в дальнейшем.
Все крупные компании этого мира уже давно перешли на DLP-системы и подтвердили их функциональность и необходимость для защиты данных. DLP-система – это программное решение, которое предотвращает утечку конфиденциальной информации из внутренней сети компании. Например DLP-система Falconaze SecureTower: 3 в 1 – защита от утечек данных по вине сотрудников + контроль работы сотрудников на компьютере+ анализ поведения пользователя.
Как работает SecureTower? На все компьютеры сотрудников централизованно ставится программа SecureTower, контролирующая все действия сотрудников на компьютере. Вы видите всё, чем занимался сотрудник в течение рабочего дня: начало и конец работы, время активности и простоя, используемые приложения, посещённые сайты, отправленные сообщения и файлы. Вы получаете полный контроль всех каналов коммуникации и протоколов передачи данных. Все действия сотрудников, анализируются и, в случае выявления нарушения, система автоматически отправит уведомление службе безопасности компании и руководству.
Где можно использовать SecureTower? В локальной сети компании, в сетях со сложной архитектурой, в территориально-распределённых офисах, на мобильных рабочих местах. Внедрение, настройка системы в компаниях происходит централизовано, а возможность контроля филиалов организации из центрального офиса помогает существенно снизить затраты службы безопасности на персонал.
Таким образом, можно сказать, что внедрение DLP-системы в корпоративную сеть компании является ключевым элементом в построении в организации эффективной системы управления информационной безопасностью.