Айсберг проблем кибербезопасности –
заглянем ниже ватерлинии

Сергей Кузнецов
региональный директор подразделения Identity and Data Protection компании Gemalto
Новые регуляторные риски. Чем они могут грозить компаниям, работающим в РФ?
Основной объем и главную опасность представляет собой подводная часть «айсберга киберугроз»
О кибербезопасности и различных угрозах в цифровой экономике упоминается практически ежедневно, но мало кто осознает реальный объем проблем, который можно представить себе как классический айсберг. При этом информация о взломах, которая становится известной и публикуется в открытых или даже в специализированных источниках – лишь небольшая видимая его часть. Основной объем и главную опасность представляет собой подводная часть этого айсберга, о которой пострадавшие участники рынка, как правило, не рассказывают и не могут рассказать. Более того, очень часто они еще просто не догадываются о произошедшем взломе! По статистике, собираемой из открытых источников (Breach Level Index по состоянию на 29.03.2018 с сайта www.breachlevelindex.com), c марта 2017 года по март 2018 количество скомпрометированных данных возросло с 5,9 млрд записей до 9, 7 млрд, или на 65%. Получается, что ежедневно как минимум 5 миллионов записей становятся достоянием злоумышленников.
 
В феврале 2018 года на 10-м Уральском форуме «Информационная безопасность банковской сферы» задача обеспечения кибербезопасности и киберустойчивости была отмечена руководством Банка России как приоритет номер один в 2018 году. Тренд повышения значимости вопросов цифровой безопасности четко отвечает запросу рынка – как на территории Российской Федерации, так и международной арене. При этом, поскольку сфера регулирования Центрального Банка выходит далеко за пределы банковского и финансового сектора, есть надежда, что этому вопросу, наконец, будет уделяться достойное внимание и выделяться необходимые бюджеты.
Breach Level Index по состоянию на 04.04.2018
Новые регуляторные риски

Вступление в силу в мае 2018 года закона Евросоюза 2016/679, более известного под аббревиатурой GDPR (General Data Protection Rule), который регулирует защиту персональных данных (ПДн) жителей ЕС, не случайно совпадает по времени с ожидаемым принятием ряда российских федеральных законов, например о «Цифровых финансовых активах». За последние несколько лет в разных странах мира были приняты законодательные акты, направленные на защиту электронных транзакций, электронных идентификаций и др., что во многом стимулирует цифровизацию экономики и экономический рост. Характерно, что еще один важный документ – новая редакция PCI DSS 3.2 – вступил в действие в феврале 2018 года.
PCI DSS 3.2 – инсайд под прицелом?

Итак, давайте разберемся, почему безопасности все больше уделяют внимания, и чем могут быть важны для компаний, работающих на территории Российской Федерации, новые законодательные акты ЕС и экстратерриториальные стандарты. Начнем со стандарта безопасности индустрии платежных карт PCI DSS 3.2.
 
Соблюдение стандарта и прохождение аудита давно стало пропуском в «клуб платежных карт». Однако в связи в увеличивающимся количеством и постоянно растущей сложностью атак единожды достигнутого формального соответствия становится недостаточно. Требования проведения тестов на проникновение не реже чем раз в 6 месяцев (пункт 11.3.4.1) вместо одного раза в год, детектирование и журналирование критических сбоев систем контроля безопасности (пункты 10.8 и 10.8.1) призваны сократить риски и минимизировать потери при выявлении уязвимости или обнаружении инцидента.
 
Пункты 12.11 и 12.11.1 накладывают дополнительные обязательства на сервис-провайдеров по ежеквартальной проверке политик безопасности и их соблюдения. Более того, теперь сервис-провайдеры должны иметь описание полной криптографической архитектуры, что должно нивелировать риски утечек при участии третьих сторон. Пункт 12.4.1 требует от руководства компании соучастия и персональной ответственности, а также контроля эффективности выполнения стратегии безопасности и определении приоритетов.
 
Однако, одним из наиболее существенных изменений стало введение требования многофакторной аутентификации не только для удаленного доступа, но и для ИТ персонала компании, что отражает понимание рисков, связанных с инсайдерами и привилегированными пользователями (разделы 8.3, 8.3.1, 8.3.2). Согласно исследованиям компании Verizon, в 2013 году 88% инцидентов с неправильным обращением с корпоративными данными произошло именно из-за лиц, имеющих привилегированный доступ к этим данным. Несмотря на то, что по результатам исследования 2017 года (Verizon Data Breach Investigations Report) данный показатель сократился до 25%, это не означает уменьшение риска (или вероятного прямого ущерба). Наоборот, учитывая осознание рисков и принятие регуляторных актов, а также введение внутренних процедур и политик безопасности компаниями, в последнее время значимость похищенных данных, к которым не смогли ограничить доступ привилегированных пользователей, будет только возрастать.
GDPR: специфика экстерриториального принципа

Другим значимым законом стал уже упомянутый GDPR. Примечательно, что действие этого закона распространяется за пределы Европы и касается каждой компании, которая собирает или обрабатывает данные граждан Евросоюза (экстерриториальный принцип), а это значит, что очень многие компании даже не подозревают о новых требованиях и потенциальных угрозах несоответствия и штрафах... Последние могут доходить до 4% от годового оборота компании и исчисляться десятками миллионов евро.
 
Итак, начнем анализ ситуации с наихудшего сценария: пусть произошло что-то очень плохое, и персональные данные были потеряны или скомпрометированы. Сейчас, например, назревает скандал о взломе системы обработки платежных карт ритейлера, владеющего торговыми сетями Laks и Lord & Taylor – по оценке компании Gemini, похищена информация о 5 млн банковских карт.
 
GDPR. Многие компании и не подозревают о новых требованиях
и потенциальных угрозах несоответствия и штрафах
В соответствии с новым Европейским законодательством компания должна в течение периода, не превышающего 72 часа с момента, когда был обнаружен инцидент, оповестить Европейский совет по защите данных (European Data Protection Board, EDPB). В тех случаях, когда происходят особо опасные инциденты с компрометацией конфиденциальных данных, включающих в себя любую информацию о здоровье, расовой принадлежности, биометрические параметры, религиозные убеждения и др., требуется также немедленное прямое оповещение всех субъектов данных, что на практике может грозить компании огромными расходами и убытками. В рассматриваемом случае, также как и со взломом UBER, требуется прямое оповещение. Однако здесь есть и важное «но», которое касается вопроса, в каком виде хранились и передавались персональные данные. Если оператор или агрегатор ПДн может доказать, что реализовал комплексный подход к защите данных, отвечающий требованиям стандарта, включающий анонимизацию, сквозное шифрование данных на всех этапах – в состоянии покоя и в транзите, то закон позволяет не трактовать такой инцидент как наносящий урон взлом, а значит, и не требуется официальное оповещение об инциденте (Глава 4.34).
 
Это всего лишь пример, который иллюстрирует некоторые аспекты GDPR, но он еще раз привлекает внимание к существующим рискам, которые связаны с увеличивающимися атаками злоумышленников, а также новым регуляторным рискам. Как можно убедиться, последние при случившемся и неправильно отработанном инциденте безопасности могут стоить компании не только колоссальных убытков, но и потери репутации.
Что делать?

Итак, что предпринять, чтобы продолжать развивать бизнес и минимизировать риски, регуляторные и операционные?
Во-первых, необходимо максимально серьезно отнестись к вопросам безопасности и начать, наконец, защищать данные, а не периметр. Понятие периметра защиты размывается год от года из-за развития технологий, роста числа мобильных пользователей, облачных сервисов, доступности смартфонов и др. Это действительность, которую нужно принять, а для защиты данных нужно сначала понять, где они находятся. Во-вторых, нужно определить правила доступа и легитимных пользователей (Глава 2.5). Это практически один в один совпадает с требованиями PCI DSS 3.2, где уделяется внимание физическому и логическому контролю доступа, а от физического местоположения пользователя будет зависеть сложность и тип процедуры аутентификации.
 
В-третьих, необходимо использовать шифрование и анонимизацию данных, как требует GDPR (Глава 2.6).
 
В четвертых, нужно создать необходимые процедуры резервного копирования и восстановления. Причем вопрос об использовании средств шифрования архивов и управления ключами шифрования должен быть хорошо продуман. Использование шифрования полностью решает требование права на удаление личных данных (Глава 3.17). Удаление ключа шифрования решает эту задачу.
Наконец, важно понимать, что все упомянутые рекомендации – всего лишь частности, которые должны быть объединены в единую стратегию защиты данных, с прописанными процедурами, ответственными лицами и регулярным аудитом. Недаром вместо конкретных указаний, как должна быть осуществлена защита того или иного объекта, в GDRP используется формулировка : "Appropriate technical and organizational measures, appropriate to the risks… " («вы используете решения защиты, а мы будем решать, насколько они соответствовали модели угроз»).
 
Как показала практика последних лет, наибольшее доверие регуляторов и аудиторов вызывает многослойный подход к защите данных. Первый уровень, который по статистике может отсечь до 70% всех потенциальных инцидентов, связан с внедрением системы многофакторной аутентификации. Следующим слоем, непосредственно обеспечивающим защиту данных, является шифрование. А для эффективности последнего требуется система управления ключами шифрования, без которой вряд ли возмножна система безопасности корпоративного уровня.
Сергей Кузнецов
Gemalto
+7 495 933 0540
sergey.kuznetsov@gemalto.com
 
Задать вопрос компании
2378