icon__time_white.png Часы работы: пн.-пт. с 9:00 до 18:00
icon__mes_white.png sales@gst-it.ru Оставить заявку

Инструкция: разбираем инциденты в информационой безопасности

Печальная статистика

Большая компания или государственная организация — желанная добыча для мошенников. В 2020 году было много инцидентов, связанных со взломами или утечками данных.

У косметического гиганта Estee Lauder похитили 440 миллионов записей, среди которых была и внутренняя переписка. Особую опасность представляют записи о внутреннем программном обеспечении. То есть злоумышленники получили возможность лучше узнать IT-инфраструктуру компании и подготовиться к атаке.

Компания Nintendo подверглась атаке и было скомпрометировано около 300 000 учетных записей пользователей их игрового сервиса. В итоге со счетов геймеров начали списывать деньги, суммы доходили до 300 долларов.

Самая опасная ситуация сложилась у компании Garmin, которая производит навигационное оборудование и предоставляет соответствующие сервисы. Из-за вируса-шифровалщика на четыре дня вышли из строя приложения flyGarmin и Garmin Pilot, что заметно затруднило полёты.

В России утекали данные пользователей сайта по поиску работы, данные о клиентах микрозаймовых организаций, алкомаркета, крупного сетевого ритейлера.

По данным из отчета InfoWatch:

По предварительным данным, в глобальном масштабе за год утекло около 11 млрд записей персональных данных и платежной информации, из них в России — порядка 100 млн..

В России в 2020 г. чаще всего обнаруживали утечки информации в хайтек-индустрии, сфере финансов и госсекторе...

В 80% случаев причиной утечек в России были действия сотрудников компаний и финансовых организаций… Аналитики отметили, что общая доля утечек в стране, связанных с действиями персонала, за год возросла примерно на три четверти.

Помимо “слива” данных могут быть и откровенные диверсии со стороны сотрудников, которых чем-то кто-то обидел.

В любом случае произошёл инцидент, который может принести миллионные убытки. И каждый инцидент в сфере ИБ нужно расследовать.


lines-5475657_1920.jpeg


Юридический аспект

В российском законодательстве много статей, которые связаны с нарушением регламентов информационной безопасности:

Гражданская ответственность:

  • Возмещение убытков (ст. 15 ГК РФ)
  • Компенсация морального вреда
  • Защита деловой репутации

Дисциплинарная ответственность:

Статья 81, ч.1, п. 6 Трудового кодекса РФ говорит об увольнении сотрудника.

Дальше идут уголовные статьи:

  • Статья 272 УК РФ Неправомерный доступ к компьютерной информации
  • Статья 273 УК РФ Создание, использование и распространение вредоносных компьютерных программ
  • Статья 274 УК РФ Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
  • Статья 274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
  • Статья 138 УК РФ Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

Ещё применяется статья 183 УК РФ. При незаконном распространении информации важную роль играет оформление сведений, которые относят к тайне. Ответственность наступает при сборе сведений любым способом, который можно посчитать незаконным: хищение имущества, подкуп сотрудников, шантаж, угрозы.

Более серьезный вид ответственности предусмотрен второй частью статьи 183 — штраф до 1 миллиона рублей, либо ограничение свободы сроком до трех лет.

Последних случаев уже немало. В заключение отправились работники телеком-компаний, банков, производителей конфет. В последнем случае перед увольнением сотрудница слила базу клиентов. Бывший работодатель определил источник, и сотрудница получила полтора года исправительных работ, удержание 20% от зарплаты в счёт погашения штрафа.


computer-1591018_1920.jpeg


Определяем инцидент

В первую очередь в организации должны быть разработаны категории нарушений ИБ. От этого зависят дальнейшие действия при расследованиях. 

Можно привести следующий список категорий:

  • Несанкционированный доступ (НСД). Это может быть прямое хищение документов или же взлом корпоративной сети компании. Основные нарушения: поиск различных внутренних документов и файлов, их последующее извлечение из архивов или сетевых папок.  

  • Разглашение конфиденциальной или внутренней информации, либо угроза разглашения такой информации.
  • Превышение полномочий определенными лицами. Несанкционированный доступ работников к определенным ресурсам или офисным помещениям.
  • Вирусная атака, влекущая к угрозе безопасности. Если отмечается поражение вредоносным ПО большого количества ПК компании — это не простая случайность. Во время проведения расследования важно определить источники заражения, а также причины данного события в сети организации.

Выявили инцидент. Что дальше?

Зависит от самого инцидента. Если компания подверглась вирусной атаке, то необходимо максимально быстро остановить её распространение. Например, отключить внутреннюю сеть. Да, лишение работников средств работы может принести финансовые потери, но, как правило, вирусные атаки приносят ещё больше ущерба.

Любое реагирование должно быть адекватно инциденту. Именно поэтому необходимо иметь регламенты, о которых мы писали выше.

Следующий важный этап — журналирование. Нужно указывать точное время обнаружения утечки информации, личные данные сотрудника, который обнаружил атаку, категорию события, все затронутые активы, планируемое время устранения проблемы, а также действия и работы, для устранения инцидента и его последствий.

Расследование

Сложный и комплексный процесс, в котором должны принимать участие не только сотрудники отдела ИБ. В зависимости от инцидента нужно привлекать: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки…

Например, в случае утечки базы клиентов, HR смогут подсказать кто из сотрудников недавно уволился, а дальше начинаются оперативные мероприятия. Также можно проверить и новых сотрудников, но это уже вопрос к отделу безопасности. 

Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team — CSIRT). Комиссия должна включать экспертов и консультантов в юридической и технической сферах.

После расследования создается карточка по данному инциденту. Затем на её основе нужно готовить дополнение к регламенту по ИБ.


cyber-security-3374252_1920.jpeg


Инструменты

Понятно, что вручную отследить все инциденты невозможно. Для этого нужен набор специализированных программ:

  • Для определения аномалий поведения пользователей и сети
  • Мониторинга работы инфраструктуры
  • ПО для защиты от утечек (DLP)
  • Контроля привилегированного доступа (IDM, PIM, PAM)
  • Защиты от несанкционированного доступа и конечных точек (EPP, EDR), Криптографическая защита
  • Управление учетными записями и доступом (IDM/IAM)
  • Комплексы для защиты АСУ ТП (для промышленных предприятий)

Выбор программных и аппаратных средств зависит от размера компании и необходимого уровня защиты. 

Предупреждение инцидентов

Различные негативные события неизбежны. Но можно уменьшить их количество и предупредить некоторые атаки.

  1. Обучение, обучение, обучение.
    Постоянные тренинги по основам ИБ необходимы. Также полезно рассказывать сотрудникам, что их касаются уголовные статьи, про которые мы говорили выше.
  2. Физическая безопасность.
    Скорей всего в вашей компании это правило соблюдается, но лучше лишний раз проверить замки на серверной, заблокировать USB-порты некоторым сотрудникам. И обязательно сорвать с мониторов стикеры с паролями.
  3. Проводите учения и пентесты.

Кораблю спокойно в порту, но он создан для моря. Поэтому необходимо периодически проверять собственные регламенты на практике.

Количество угроз никогда не будет снижаться, а значит и продукты ИБ будут только развиваться. И нужно постоянно быть в тонусе.

Наши сотрудники готовы пройти с вами все этапы работы: дать консультации, провести независимый аудит, подготовить регламенты и выстроить надёжную систему для защиты информации. 

У нас много специалистов и нужных инструментов, в том числе в рамках импортозамещения. 

Ответим на ваши вопросы в течение одного дня!
sales@gst-it.ru
Время работы: с 9 до 18
С понедельника по пятницу
Оставить заявку