Чёрный рынок данных

div>

Нашумевшие в последние месяцы обнаружения утечек персональных данных в банковском секторе застали многих врасплох. Но не стоит думать, что с этой проблемой столкнулись только в России. По данным оператора Verizon, только в этом году зафиксировано более 2 000 подтверждённых фактов крупных утечек данных в различных секторах экономики, включая здравоохранение и облачные сервисы, которые на предприятиях по всему миру используют в работе. И это только при взломе компьютерных сетей извне. Но самый большой канал связан с обычным документооборотом. Бумаги с данными лежат в открытом или условно открытом доступе, их может взять или сфотографировать любой сотрудник. Файлы с важной информацией лежат на обычных офисных компьютерах рядовых сотрудников или секретарши. И это первое слабое звено.

«В любой компании, у любого сотрудника есть некоторая автоматизированная бизнес IT-система, или отдел бухгалтерии, или ещё что-то, что открывает непосредственный доступ к информации, к базе клиентов или заказчиков, к корпоративной базе. Это информация, которую можно использовать в личных целях, а можно просто продать. Нередки случаи, когда линейный сотрудник, который сидит на ресепшене, сканирует паспорта и каждую неделю их продаёт, потому что за каждый паспорт дают по 300 рублей, если скан хороший. Согласитесь, что при большом потоке клиентов выходит неплохая прибавка к зарплате. Это отдельный теневой бизнес», — рассказывает руководитель отдела аналитики ООО «СёрчИнформ» Алексей Парфентьев.

Но даже если на предприятии все — кристально честные люди и не помышляют о таких заработках, риск утечки есть. К сотруднику могут втереться в доверие, выдать себя за другого: сценариев может быть много.

«Мошенники всегда пользовались и будут пользоваться приёмами социальной инженерии. Они применимы к чему угодно, цыганка ли вас на рынке разводит, или вам звонит по телефону некто, кто представляется службой безопасности банка — это всё явления одного характера. К этой же сфере относятся фишинговые письма по всем сотрудникам в надежде, что там всё же найдётся человек, который кликнет на картинку, запускающую вирус. А если на компьютере установлено устаревшее программное обеспечение, если при этом сотрудник ещё и введёт пароль, это становится ещё проще», — объясняет независимый IT-аналитик Михаил Климарев.

«На предприятии должна применяться централизованная система хранения данных, доступ к которой будут иметь только обладатели специальной учётной записи. Необходимо ограничить возможность работы с секретной информацией: к ней должны обращаться только сотрудники, имеющие на это полномочия. Нужно проводить работу с персоналом по информационной безопасности и использовать только специализированное и проверенное оборудование для работы с конфиденциальной информацией», — дополняет руководитель отдела маркетинга и рекламы ГК «МАСКОМ» Евгений Фёдоров.

По словам руководителя направления защиты АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет» Виталия Сиянова, во время тестирования ряда предприятий на проникновение к данным именно работники и становились самым уязвимым местом. Более того, на уловки, которые применяют хакеры, попадались даже IT-специалисты.

«Также распространены случаи, когда недовольные зарплатой или положением сотрудники готовы продать нужную для проникновения в технологический сегмент информацию», — делится опытом г-н Сиянов.

Самое трагичное, что зачастую у высшего руководства компаний нет понимания рисков, связанных с кибератаками на промышленные системы управления. С сотрудниками даже не проводят работу на эту тему. А если где-то тот же системный администратор берёт на себя функции по обучению, они превращаются в формальность.

«Требования к единым правилам и нормативам по информационной безопасности должны быть написаны понятно, грамотно и доступно. В некоторых компаниях надо просто гвоздь в голову вбивать тем, кто эти регламенты писал, потому что они неадекватные совершенно, они написаны даже не знаю для кого. Они не предусматривают каких-то глобальных вещей, ориентируются на какие-то детали и тонкости, хотят там на самом деле правила информационной гигиены можно писать в пяти абзацах», — говорит Михаил Климарев.

Конечно, даже правильно составленные правила обеспечения безопасности данных не будут панацеей. Тем не менее повышение грамотности сотрудников — необходимость.

«Любая отрасль проходит различные уровни зрелости, вот и сейчас мы находимся на пути становления защиты информации. Глобальной информатизации всего несколько десятков лет, а защите персональных данных и того меньше. Нет таких решений, которые позволили бы исключить взлом или утечку, но можно минимизировать риск или сделать взлом нерентабельным», — считает директор ООО «Комрунет» (компания по защите информации) Фёдор Петрушенко.

Допустим, вы сейчас реально озаботились состоянием информационной безопасности на своём предприятии. Прочитали множество источников по защите данных, посмотрели предложения рынка по антивирусным программам, защищённым серверам и каналам связи.

«Закон о персональных данных в Российской Федерации практически не действует. Любые данные, которые кто-то где-то собирает, могут попасть в открытые источники и продаваться. Поэтому вопрос организации защиты важен. Сделать это самостоятельно или отдать на аутсорсинг — зависит от целей и объёмов предприятия. Если у вас пять сотрудников — бессмысленно делать свой IT-отдел. Если же у вас, к примеру, гидроэлектростанция, тогда понятно, лучше создать систему защиты себя внутри и не допускать к ней никого», — рекомендует генеральный директор информационно-аналитического агентства Telecom Daily Денис Кусков.

Но и тут есть свои нюансы. Даже самый опытный специалист по компьютерной безопасности не в силах предотвратить попадание «чужих» даже в самую совершенную на текущий момент систему.

«Сами по себе системы управления критически важными объектами в большинстве своём достаточно надёжны и безопасны. Проблемы начинаются, когда эти системы перестают быть изолированными, то есть их подключают к корпоративной сети предприятия или к интернету напрямую. Делается это для повышения эффективности бизнеса — такой процесс уже давно стал глобальным трендом и необходимостью для компаний, желающих остаться конкурентоспособными на рынке. Сегодня большинство систем управления КВО подключены к корпоративной сети предприятий, а значит, они могут быть доступны злоумышленникам через информационно-телекоммуникационные сети. Уровень защиты промышленных систем управления от подобных атак очень сильно разнится как от компании к компании, так и по отраслям. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» был принят не так давно, и сделано на текущий момент, прямо скажем, очень мало», — объясняет руководитель направления по информационной безопасности АСУ ТП компании Schneider Electric в России и СНГ Ян Сухих.

Наиболее эффективные средства защиты позволяют себе, как ни странно, не военные и госструктуры, а банки. Не будем углубляться в причины выбора поставщиков — все и так понимают, что на поверхности лежит несовершенство закона о закупках и коррупция.

«Продукты для спецслужб ломают школьники. ФГУП «ГлавНИВЦ УДП РФ» (Федеральное государственное унитарное предприятие «Главный научно-исследовательский вычислительный центр» Управления делами Президента Российской Федерации) — фигурант расследования издания Meduza. Для разработки продуктов для полиции и ФСБ организация привлекала студентов-временщиков. Соглашение о конфиденциальности при этом никто не подписывал. Даже дизайн разработан на аутсорсинге: чуть позже все эскизы дизайнер опубликовал на личном сайте. Всё это свидетельствует о форменном бардаке. Поэтому повсеместны такие случаи, как утечка персональных данных, взломы, кража личных средств и иные преступления, совершённые посредством информационно-телекоммуникационных технологий», — утверждает владелец ООО «Интернет-Розыск» Игорь Бедеров.

Поэтому эксперты рекомендуют ориентироваться именно на системы защиты в финансовом секторе — DLP-системы.

«Это узкие сегменты системы информационной безопасности специализирующихся на предотвращении утечки данных. Как антивирус, только для чувствительных данных. Есть огромный ряд других систем информационной безопасности, но они конкретно к защите данных подходят немножко по-другому. Тот же антивирус, какое-то средство защиты от утечек, от внешних врагов. Системы информационной безопасности в косвенной мере позволяют эти данные защитить, хотя бы за счёт криптозащиты или за счёт разграничения доступа к этим данным», — поясняет Алексей Парфентьев.

Примечательно, что DLP-системы — в основном отечественной разработки. По словам г-на Перфентьева, в квадранте Gartner, который в IT-мире главный эталон, ¼ систем — российские.

«Но исключить взлом или утечку на 100% ни одно решение не позволяет, поскольку это в принципе невозможно. Можно существенно снизить вероятность таких инцидентов. Единственный абсолютный способ защитить данные от утечки — это уничтожить их безвозвратно. Все остальные способы подразумевают, что доступ к данным будет хотя бы у одного человека, а это уже риски. Если собрать группу достаточно квалифицированных хакеров и поставить задачу проникнуть в сеть любой крупной организации, то рано или поздно это удастся сделать», — уверяет ведущий специалист по обеспечению информационной и инженерно-технической безопасности «Ростелеком Контакт-центр» Дмитрий Андреев.

Некоторые из опрошенных экспертов выражали мнение, что если наказание для хакеров будет серьёзным, то и случаев хищения данных станет меньше. Но на самом деле это утопия. Даже если ввести смертную казнь, найти злоумышленников не так-то просто. Рядовые полицейские вряд ли будут этим заниматься.

А спецслужбы займутся поиском только в случае, если масштабы превысят все возможные пределы либо если злоумышленники «копнули» в сторону национальной безопасности. Более того, в случае поимки компьютерным гениям предлагают работать на благо страны — той, спецслужбы которой оказались первыми.

К тому же депутаты Госдумы во время разработки законопроектов, вроде бы призванных защищать от киберпреступников, предлагают популистские решения, совершенно не задумываясь о механизмах реализации.

«Государство предлагает новые правила, которые не всегда применимы к действительности. Например, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ, в некоторых пунктах которого содержатся требования, которые невозможно применить: создать единое информационное пространство для объектов, находящихся в разных концах страны, в то же время ограничив доступ к общим каналам передачи данных. Поэтому зачастую именно регламенты и ограничения, то есть перерегулирование, становятся «источником» причины нарушения безопасности. В этой ситуации нарушен баланс интереса между заинтересованными сторонами. Поскольку одна из сторон, в большей степени обладающая профильными компетенциями, не участвует в принятии решений.

Экспертное сообщество практически не представлено в регуляторных и законодательных структурах. Более того, профильных специалистов готовят достаточно, но настоящих профессионалов — совсем немного», — говорит Михаил Климарев.

Так, в ФСБ подвергли критике законопроект о создании цифровых профилей граждан России, который «нуждается в доработке».

«...Законопроект не содержит конкретных целей, для достижения которых предусматривается обработка персональных данных в предлагаемом объёме, что не соотносится с принципами, закреплёнными в статье 5 ФЗ «О персональных данных».

При этом обработка указанных данных в рамках единой инфраструктуры значительно повышает риски их неправомерного сбора и распространения, а также разглашения информации о лицах, подлежащих государственной защите, в связи с чем целесообразность такого подхода нуждается в дополнительном обосновании», — следует из письма руководителя службы оперативной информации и международных связей ФСБ Сергея Беседы начальнику государственно-правового управления Президента РФ Ларисе Брычевой от 4 октября 2019 года.

Вернёмся к нормативам ФСБ и ФСТЭК. Они предписывают: определённые материалы и технические средства обеспечивают требуемый уровень защиты от электромагнитного излучения.

«Однако любые меры не дают стопроцентной защиты, тем не менее нормативы незаменимы в оценке рисков: от каких угроз мы защищены, а от каких нет. Утечка информации возможна по разным каналам: Сноуден, например, похищал информацию спецслужб США благодаря SD-карте, которую прятал внутри кубика Рубика», — приводит пример Евгений Фёдоров.

«У крупных компаний нет цели создать безопасную инфраструктуру. Наша команда выявляла риски в организации работы таких порталов, как Сбербанк-АСТ в 2018 году или АТИ в 2015 году. С того времени никаких мер для обеспечения безопасности пользователей не было принято. Владельцев больше беспокоят многомиллионные штрафы и уголовные дела: и то и другое они стараются закрыть минимальными средствами за счёт коррупционных связей. Очевидно, закон о персональных данных в Российской Федерации не работает: практически любые данные, которые где-то собираются, могут попасть в открытые источники и быть проданы», — рассуждает Игорь Бедеров.

В июле 2019 года Ассоциации банков России (АБР) и российских банков (АРБ) выступили за запрет на использование смартфонов на рабочем месте. Проблема эта не нова — с ней столкнулись такие компании, как АО «Мособлгаз», ПАО «Газпром нефть», ПАО «МОЭСК», ПАО «ОАК». Некоторые из них ввели запрет на использование гаджетов: сотрудники оставляли свои мобильные устройства на КПП. Однако такая мера дала обратный эффект: трудящиеся так или иначе нарушали этот запрет. Поэтому организации обратились к альтернативному решению — ввели корпоративный парк мобильных устройств, подконтрольных руководству.

В качестве программной платформы использовали SafePhone — разработку НИИ СОКБ, которая появилась задолго до июльских запретов. Она позволяет автоматизировать процессы безопасного централизованного управления мобильными средствами. При этом корпоративные данные возможно хранить как у самого заказчика, так и в защищённом ЦОД НИИ СОКБ.

С помощью SafePhone организации могут изолировать корпоративные приложения и данные, блокировать/разблокировать интерфейсы USB, Wi-Fi, Bluetooth камеры и микрофона, а также получать доступ к информации о звонках, SMS и геопозиции сотрудников.

«Для банковских структур есть специализированные решения — DLP-системы. Этот программный продукт похож на антивирус, только для чувствительных данных. Есть множество других систем информационной безопасности, но они могут защитить данные лишь косвенно: за счёт криптозащиты или разграничения доступа к этим данным. Конкретно эту задачу решает отдельный вид системы.

Если говорить про рынок DLP, Россия находится на передовой не только по СНГ, но и по миру. Предложений немало, но известные решения можно пересчитать по пальцам. В нашей стране в основном используют внутренние разработки: они специально созданы для защиты персональных данных граждан РФ. Российское законодательство обязывает любую такую систему пройти персонификацию, экспертизу проводит ФТЭК», — объясняет руководитель отдела аналитики ООО «СёрчИнформ» Алексей Парфентьев.

«Реестр лицензий на деятельность по технической защите конфиденциальной информации ФСТЭК содержит более 2 400 наименований специализированных компаний. Также на рынке представлены лицензиаты ФСБ России: системные интеграторы, консалтинговые компании, криминалистические лаборатории и аналитические центры. В обеспечении безопасности должны участвовать и производители средств защиты информации, органы государственного контроля и регулирования, научно-исследовательские центры», — дополнил заместитель руководителя по ИБ ООО «УЦСБ» (Уральский центр систем безопасности) Сергей Борисов.

По мнению Алексея Парфентьева, зарубежные компании вряд ли будут передавать исходные коды российскому регулятору. Кроме того, наши системы сильнее западных.

«Для обеспечения безопасности необходим комплексный подход: разделение корпоративного и технологического сегментов, межсетевое экранирование, антивирусную политику, анализ трафика, внедрение систем предотвращения компьютерных атак, создание ситуационных центров с группой реагирования на компьютерные инциденты. Для защиты информации необходимо применять классификацию по уровням важности, контроль её движения и выхода за пределы контрольных зон предприятия», — подметил руководитель направления защиты АСУ ТП Центра информационной безопасности компании «Инфосистемы Джет» Виталий Сиянов.

«Продукт АССОИ «Матрица» группы компаний «МАСКОМ» — комплексное масштабируемое решение по обеспечению безопасности объектов. Это автоматизированная система сбора и обработки информации. Наши разработчики создали специализированный программно-аппаратный комплекс, который связывает вместе все ранее перечисленные системы: охранно-тревожной сигнализации, контроль доступа, видеонаблюдение, освещение, датчики и другие.

ПАК «Матрица-ТБ» устанавливают непосредственно в будке пункта управления охранника моста, чтобы он контролировал всю доверенную территорию, а в случае необходимости мог выйти и проверить лично, что произошло, либо вывести сигнал дальше в ситуационный центр. Мы выделили два типа ситуационных центров: территориальный, который охватывает уровень какого-либо района, и региональный, осуществляющий контроль субъектов Федерации.

Комплекс способен масштабироваться от уровня объекта до уровня регионального ситуационного центра. На «верхах» детальная информация не нужна — там требуют поверхностную аналитику, за неё отвечают зелёная и красная лампочки. Они могут быть полезны, например, должностному лицу уровня губернатора», — описывает представитель ГК «МАСКОМ».

Система «ШОРОХ-5Л» предназначена для защиты акустической речевой информации, циркулирующей в помещениях, путём формирования акустических и вибрационных маскирующих помех и относится к средствам активной защиты информации 1-го класса тип «Б». Комплекс устройств состоит из блока питания и управления «БПУ-1» с активными вибровозбудителями «ПЭД-8А» и активными акустическими излучателями «АИ-8А/Н» и «АИ-8А/Мини».

Один из способов оградить переговоры от прослушки — акустический сейф «Капсула», он защищает акустическую речевую информацию, которая циркулирует вблизи абонентских устройств сотовой связи, за счёт их недекларируемых функций.

Существуют также устройства для ведения скрытых телефонных переговоров. Наиболее востребован в этом плане аппарат «Телефон-Н2» — с его помощью можно вести открытые переговоры. Используют его в выделенных помещениях до второй категории включительно: это могут быть и помещения органов государственной власти РФ, которые входят в зону ответственности ФСБ России.

Для хранения конфиденциальной информации используют экранированные сооружения. В перечень услуг ГК «МАСКОМ» входит проектирование, производство, монтаж, обслуживание таких объектов, в том числе сервисное, для промышленных предприятий и силовых структур. Возможно проектирование и создание не только новых камер, но и уже существующих на предприятиях заказчика, которые нуждаются в модернизации.

«Экранированные камеры — это не гарантия отсутствия утечек информации, но важный элемент безопасности. Наше оборудование служит для защиты от ИТР, от утечки информации и прослушки, различных электромагнитных наводок, не пропускает шум, различное излучение, радиоволны и помехи, такие как электромагнитные наводки. Плюс в чистых камерах можно хранить оборудование и технику, чтобы скрыть их от посторонних глаз», — информирует Евгений Фёдоров.

Многие организации выходят на рынок с тематическими продуктами.

«Вопрос безопасности данных сейчас актуален как никогда, поэтому «ЭР-Телеком» разработал портфель продуктов по информационной безопасности для B2B-рынка. Например, консалтинг в вопросах соответствия требованиям регуляторов, это могут быть персональные данные или критическая информационная инфраструктура. Или тестирование на проникновение, поставка средств защиты информации различной направленности. В планах — услуги по мониторингу безопасности всей инфраструктуры клиента», — комментирует руководитель направления информационной безопасности АО «ЭР-Телеком Холдинг» Михаил Терешков.

Будущее за биометрическими данными, которые давно используют для авторизации, например, фотографии пользователей или отпечатки пальцев.

В своей презентации на конференции «Защита персональных данных-2019», которая прошла 7 ноября, исполнительный директор, начальник Центра организации обработки и защиты персональных данных ПАО «Сбербанк» Евгений Калинин назвал цифру — на теневом рынке орудуют более 50 преступных групп, в списке махинаций с персональными данными — вербовка, предательство, фишинг, взломы IT, вирусные атаки и перепродажа.

Закон 342-ФЗ предписывает: новостройки по соседству с котельными или АЗС не будут вводить в эксплуатацию до тех пор, пока не определят санитарно-защитную зону вредных предприятий. Кроме того, теперь все потенциально опасные предприятия, а не только строящиеся, должны устанавливать санитарно-защитные зоны. Данные об опасном соседстве будут фиксироваться в ЕГРН. Это значит, любой гражданин, который планирует покупку жилья, теперь может посмотреть, достаточно ли безопасное расстояние от будущего жилого объекта до «опасной» зоны.

Symantec, Forcepoint, McAfee (теперь Intel Security), Digital Guardian

Создание цифрового профиля — одна из задач нацпроекта «Цифровая экономика», реализовать которую должны ЦБ, Минкомсвязь и «Ростелеком». Согласно паспорту федеральной программы «Цифровое госуправление», к 2024 году должна быть создана платформа идентификации, включая биометрию, облачную квалифицированную электронную подпись, а также цифровые профили граждан и юридических лиц.

Всего на это из федерального бюджета будет выделено 4,526 млрд рублей.

В сентябре 2019 году Роспатент зарегистрировал патент на «Способ обеспечения безопасного использования электронного документа».

Решение SafeCopy подразумевает, что пользователь работает только с уникальной и именной копией документа: он не сможет делать и рассылать копии, фотографировать распечатанные документы с мониторов компьютеров. Копия или фото именной копии документа однозначно указывает на источник утечки.

Программу можно использовать в судопроизводстве для подготовки заключений экспертов или комиссий в соответствии с ФЗ от 31 мая 2001 г. N 73-ФЗ «О государственной судебно-экспертной деятельности в РФ».

Реестр лицензий на деятельность по технической защите конфиденциальной информации ФСТЭК содержит более 2 400 наименований специализированных компаний.

Как пишет издание «Коммерсантъ», база данных «Сбербанка» была разбита на 11 частей — именно столько у него территориальных банков.

Каждая строка в Даркнете стоит 5 рублей.