Предотвращение киберинцидента: первые действия

Ни один бизнес не застрахован на 100% от утечек данных и киберинцидентов. Любой эксперт по информационной безопасности первым делом посоветует прибегнуть к плану восстановления работы системы на случай инцидента. Размер компании, по сути, не важен, сейчас каждый бизнес имеет дело с информационными технологиями, хоть и в разном масштабе. Сегодня мы поделимся вариантами поведения при случае, когда критическая ситуация уже случилась. Как восстановить работу быстрее и что сделать, чтобы предотвратить утечку?

Утвердить ответственных за план реагирования

Самое важное в критической ситуации – скорость. Заблаговременно руководство компании должно назначить доверенных лиц из отдела информационной безопасности, которые будут оповещать менеджмент в случае атаки или утечки. Ответственные за план должны быть практически «на быстром наборе» у руководителя. Эти люди обязаны не только идеально знать систему компании изнутри, но и быть в курсе работы отделов, суметь разъяснить, что конкретно нужно сделать руководству разных департаментов компании, как заблокировать поток информации к злоумышленнику.

Определить критически важную информацию в разных отделах

Ответственный за план реагирования оповещает все отделы компании о случившемся и даёт первый набор действий по реанимации. Критически важно выяснить, какое конкретно программное обеспечение, приложение, информация из системы имеют решающее значение для текущей операционной функциональности каждого из отделов. Эта информация является ключом к эффективному восстановлению с минимальным временем простоя.

Чтобы это выяснить нужно проводить своевременный аудит информационной безопасности компании по каждому из отделов, и, в зависимости от отдела, план аудита может меняться. Нетрудно понять, что информация, критически важная для отдела работы с клиентами, не так важна для отдела логистики или отдела кадров, и наоборот. Разная информация может терять актуальность к концу реализации проекта, заключения сделки, срока поставки, сезона, квартала и т.д. Простой пример: данные о стоимости закупки оборудования максимально актуальны в момент реализации, когда на такую информацию можно повлиять, а не когда сделка заключена, и потеря этих данных в результате утечки, например, не грозит бизнесу большим ущербом.

Обязательно узнать о существовании резервных копий конфиденциальных данных (некоторые компании во имя большей безопасности предпочитают избегать дополнительных рисков и хранят важнейшие данные в единственном экземпляре).

Определить риски

Выявление потенциальных опасностей помогает их предотвратить. Популярная практика последних лет – приглашать в компанию квалифицированного белого хакера. Этот человек взглянет на систему защиты со стороны злоумышленника и попытается её взломать.

Помним, что наибольший процент утечек происходит из-за человеческой ошибки, поэтому следует озадачиться такими вопросами, как:

• Что делать, если недовольный бывший сотрудник решит удалить или слить важные данные?
• Что делать, если в компании завёлся инсайдер, но пока непонятно, кто он?
• Что делать, если сотрудник компании потерял носитель с критически важными данными?

Не забываем также про социальную инженерию, от которой никто не застрахован. Злоумышленники применяют всё более изощрённые методы кражи информации, в частности, втираясь в доверие к нужным людям и выманивая её. Поэтому обязательно проводить разные тренинги и обучения по реагированию на такие атаки и их распознавание. Однажды это может буквально спасти вашу организацию.

Создать план коммуникации на случай ЧС

Если утечка информации произошла в нерабочее время, кого оповестить первым и как довести ситуацию до сведения нужных людей быстрее? Прежде всего сформируйте приоритетность действий. Чей опыт имеет решающее значение в рамках ликвидации последствий катастрофы.

Кроме того, следует заранее определить, нужно ли сообщать об инциденте клиентам или поставщикам, если их данные вовлечены в произошедшее, а также кто будет информировать все указанные лица и через какие каналы. Возможно, в маленьких компаниях об этих вопросах несильно заботятся, однако во многомиллионных корпорациях чёткий план оповещений – это необходимость. Представьте, что в банковской системе произошла утечка информации о счетах клиентов. Если оперативно не отреагировать и не проинформировать нужных людей, банк ждёт огромная проблема с дальнейшей работой и репутационные риски.

Установить надёжное ПО против утечек данных

Многие крупные компании мира уже давно перешли на DLP-системы. Это программное решение, которое предотвращает утечку конфиденциальной информации из внутренней сети компании. Например DLP-система Falconaze SecureTower – это решение 3 в 1: защита от утечек данных по вине сотрудников, контроль работы сотрудников на компьютере и анализ поведения пользователя.

Как работает SecureTower? На все компьютеры сотрудников централизованно ставится программа-агент, контролирующая их действия. Вы видите всё, чем занимался сотрудник в течение рабочего дня: начало и конец работы, время активности и простоя, используемые приложения, посещённые сайты, отправленные сообщения и файлы. Вы получаете полный контроль всех каналов коммуникации и протоколов передачи данных. Все действия сотрудников анализируются и, в случае выявления нарушения, система автоматически отправит уведомление службе безопасности компании и руководству.

Где можно использовать SecureTower? В локальной сети компании, в сетях со сложной архитектурой, в территориально-распределённых офисах, на мобильных рабочих местах. Внедрение и настройка системы происходит централизовано, а возможность контроля филиалов организации из центрального офиса помогает существенно снизить затраты службы безопасности на персонал.

Таким образом, можно сказать, что внедрение DLP-системы в корпоративную сеть компании является ключевым элементом в построении эффективной системы управления информационной безопасностью.