Оглавление
Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
Автор: Максим Степченков, совладелец компании RuSIEM
Однако с недавним резким увеличением штрафов и усилением контроля возникло четкое понимание, что персональные данные становятся частью общего риска для бизнеса. Осознание важности мер безопасности пришло только с опытом утечек.
Тем не менее защита персональных данных по-прежнему проще обосновывается требованиями законодательства. Например, если какое-либо техническое решение не прописано в соответствующем нормативном акте, заказчикам, особенно из числа госструктур, бывает сложно найти аргументы для его применения.
SIEM – это ядро корпоративной информационной безопасности. Главной функцией этой системы является мониторинг: своевременное выявление атак и адекватное реагирование на них за счет корреляции событий, происходящих в инфраструктуре. Такой подход при правильной настройке позволяет обнаружить большинство инцидентов.
Использование SIEM-системы с точки зрения законодательства о ПДн не является обязательным для всех организаций. Однако мы подошли к моменту, когда реальная безопасность, интегрированная с защитой персональных данных, немыслима без SIEM.
Расследование утечек
SIEM помогает не только в мониторинге событий и реагировании на инциденты в реальном времени. Она незаменима и при расследовании происшествий. Нередко бывает так, что утечка данных уже случилась, и необходимо выяснить, как именно это произошло. Именно SIEM становится одной из ключевых систем для расследования.
Процесс начинается с анализа данных: аналитики исследуют, как произошел инцидент, выявляют использованные уязвимости, выясняют источник атаки. Один из самых запоминающихся случаев из нашей практики – это атака, которую заказчик сначала принял за действия инсайдера. Однако в ходе расследования выяснилось, что организация была взломана через общедоступные уязвимости, информация о которых публиковалась в Даркнете.
Конечно, большинство злоумышленников стараются уничтожить следы своего присутствия и своих действий, но даже в таких случаях SIEM позволяет обнаружить, продолжается ли атака в текущий момент, и восстановить хронологию событий.
Правильно проведенные расследования помогают внести в настройку средств защиты необходимые изменения, чтобы избежать в будущем реализации того же вектора атаки, повторных утечек и, как следствие, оборотных штрафов.
К слову, мы сталкивались с примерами, когда SIEM не была установлена до инцидента, но после него систему внедряли и начинали активно, а главное, правильно использовать.
Уведомление об утечках
Штрафы за несвоевременное уведомление об инцидентах, связанных с утечкой персональных данных, были значительно увеличены. На уведомление отводится 24 часа, после чего необходимо провести расследование и дополнительно информировать о результатах произошедшего в течение 72 часов.
SIEM помогает собрать необходимую информацию и позволяет автоматизировать техническую часть процесса подготовки и отправки уведомления, сокращая время и облегчая выполнение требований законодательства.
Хотя уведомления можно отправлять и другими способами, SIEM значительно упрощает этот процесс, особенно в случаях, когда компании среднего и крупного бизнеса сталкиваются с многочисленными инцидентами и необходимо выделить те из них, которые действительно требуют уведомления.
Впрочем, не стоит полностью отдавать SIEM решение об отправке уведомления. Необходим тщательный анализ каждого инцидента, и его может выполнить только человек. Важно понимать, что не все события, которые система фиксирует как возможные утечки, таковыми являются. Нередко встречаются случаи, когда компании ошибочно считали инцидент утечкой.
Приведу характерный пример из практики: два ЦОД одной организации синхронизируют информацию между собой. В таком случае SIEM-система может сработать на обычный процесс резервного копирования, ошибочно считая его утечкой данных. Если в результате этого каждый день будет отправляться уведомление в ГосСОПКА, это приведет к ненужным последствиям.
Есть и другие риски: например, случаи, когда уведомления автоматически отправляются в огромных объемах, что может привести к блокировке доступа к ГосСОПКА, если система, например, случайно определит DDoS-атаку за утечку данных. Важно найти золотую середину: хотя автоматизация уведомлений полезна, конечное решение о том, что уведомление действительно необходимо, должен принимать человек.
Важно также правильно внедрить и протестировать SIEM, чтобы в случае реального инцидента не было сомнений в действиях системы. В конце концов, в случаях, когда утечка действительно произошла, необходимо незамедлительно оповестить все заинтересованные стороны.
Принцип “все уже утекло”
Стоит принять за данность, что любые персональные данные и аккаунты, как правило, уже скомпрометированы с высокой степенью вероятности. Настройка систем ИБ должна производиться, исходя из этого принципа.
В этом контексте SIEM становится незаменимым инструментом, который позволяет отслеживать попытки несанкционированного доступа, – например, использование аккаунтов для подключений из нетипичной геопозиции или с нового устройства. При правильной настройке SIEM выявит подобные попытки и таким образом поможет подтвердить подозрения, что эта конкретная учетная запись действительно была скомпрометирована. Дальнейшие действия очевидны: нужно менять пароль, добавлять дополнительные факторы аутентификации или даже полностью отключать доступ.
Помимо этого, SIEM может быть настроена на мониторинг перебора паролей. Суть заключается в том, что если система зафиксировала несколько неудачных попыток ввода логина подряд, а затем последовал успешный вход, это должно быть расценено как инцидент, на который обязательно нужно отреагировать.
Смягчающие обстоятельства
Одно из новых смягчающих обстоятельств для снижения размера оборотного штрафа – если в течение трех лет компания тратит хотя бы 0,1% от своего оборота на нужды информационной безопасности. Но пока не вполне ясны трактовка и практика применения этого положения.
В любом случае важно помнить, что комплексный подход предполагает вовлеченность в вопросы ИБ не только специально выделенных специалистов или подразделений, но и всей организации. В этом контексте обеспечение безопасности становится общим делом всего коллектива, и руководство компании играет важную роль в повышении уровня осведомленности и защищенности на всех уровнях. Это касается не только непосредственно ИБ-отделов, но и работы юристов, сотрудников подразделений, которые взаимодействуют с персональными данными, а также обязательного обучения всего персонала основам безопасности. Время, которое сотрудники тратят на обучение, по сути, можно рассматривать как затраты на ИБ.
Кроме того, важно отметить, что даже компании, которые не выделяют отдельные средства на информационную безопасность, уже оснащены сетевыми устройствами и базовыми средствами защиты, такими как антивирусы, VPN-шлюзы, межсетевые экраны, коммутаторы. Многие из этих продуктов давно решают не только ИТ-задачи, но обеспечивают дополнительную безопасность.
Это позволяет фактически достигать установленного порога на основе уже затраченного времени и усилий, а также приобретенного оборудования.
Безусловно, затраты на приобретение, внедрение и эксплуатацию SIEM при должном документировании также помогут достичь необходимого уровня.
Новый рывок для рынка ИБ
Законодательные требования всегда были важным драйвером развития рынка информационной безопасности в России. Достаточно вспомнить ажиотаж, сопровождающий вступление в силу законов № 152 и № 187.
Текущие нововведения, скорее всего, создадут для заказчиков определенные сложности, но станут еще одним ускорителем для рынка информационной безопасности. Однако можно привести и пару возражений против этого тезиса.
Во-первых, если рассматривать крупные компании, то с учетом введенного размера штрафов для них ситуация не сильно изменилась, и значительный вклад в рост рынка ИБ они вряд ли внесут.
Во-вторых, оборотные штрафы вводятся только при повторной утечке, в то время как при первом инциденте штрафы хотя и заметно выросли, но все же остались фиксированными. Будем реалистами: большинство компаний, ставших жертвами атак, подвергались им только один раз, а оборотные штрафы в таких случаях не накладываются.
Но действительно беспокоит то, что из-за новых штрафов стоимость услуг по восстановлению данных после атак шифровальщиков, вероятно, значительно возрастет. Если раньше расчет стоимости расшифровки основывался на оценке затрат на защиту и восстановление инфраструктуры, то теперь он будет включать и возможные штрафы. Стоит ожидать, что средний выкуп за расшифровку данных значительно вырастет.
Тем не менее шаги, предпринимаемые для защиты ПДн, в целом правильные. Не раз поднимался вопрос о том, что старые штрафы были слишком малы и не способствовали реальному улучшению уровня информационной безопасности.
Рис. Экосистема RuSIEM
Заключение
Нововведения в законодательство о персональных данных довольно активно смещает акцент с “бумажных” аспектов и комплаенса на реальную защиту.
Нет сомнений в том, что в ближайшем будущем использование SIEM как ядра системы информационной безопасности станет более широким, выходящим за пределы требований 21-го приказа ФСТЭК России и норм о защите критической информационной инфраструктуры.
Однако как бы ни была продвинута система ИБ, идеальной защиты не существует, особенно в условиях нехватки квалифицированных специалистов.
К сожалению, я встречал немало примеров, когда организация покупала SIEM-систему, устанавливала и забывала о ней. В других случаях SIEM внедряли, но никто за ней не следил, не обновлял и не адаптировал под изменяющийся ландшафт угроз. Бывает, что настройка системы выполняется на высоком уровне, создаются десятки правил корреляции, но со временем это приводит к перегрузке системы, и она становится неэффективной. Все это лишний раз подтверждает, что не все проекты завершаются успешным внедрением и полноценной эксплуатацией системы. Поэтому стоит полагаться не только на интуицию, но и более внимательно прислушиваться к советам вендоров.
Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_6_2024/
ITSec_articles