Любая кибератака может привести к временной или полной потере доступа к IT-инфраструктуре и ключевым бизнес-системам. Из-за этого можно недополучить прибыль или столкнуться с дополнительными расходами на восстановление работы. А утечки данных грозят убытками, потерей клиентов и репутационными рисками. По данным исследования группы компаний «Гарда», 18% россиян готовы отказаться от услуг компаний, допустивших утечку данных, и перейти к конкурентам.
Защита данных становится все более актуальной и острой темой для бизнеса, учитывая растущие угрозы кибербезопасности и жесткие требования регулирующих органов и отраслевых стандартов.
Зачем компании данные
Данные — это источник цифровой трансформации. На их основе компании получают представления о бизнес-процессах, оптимизируют их, ищут новые направления для развития, разрабатывают продукты, привлекают клиентов, управляют рисками и многое другое.- Промышленные предприятия применяют инструменты big data, чтобы прогнозировать спрос, объемы производства, ресурсов. Это повышает эффективность работы в целом, а также позволяет получать информацию о состоянии оборудования, чтобы провести предиктивный ремонт, отследить показатели шума, концентрации вредных веществ и других параметров безопасности и т.п.
- На data-массивах строятся маркетинговая и рекламная стратегии в ритейле, e-commerce и других отраслях. Без данных невозможно говорить о персонализации предложений клиентам, прогнозировании спроса, управлении ассортиментом и логистикой. На аналитике данных ритейлеры строят сервисы товарного прогнозирования, которые обеспечивают оптимальный запас на складах, повышают качество планирования поставок, а также улучшают уровень сервиса для покупателей.
- Для финансовой сферы скорость и качество аналитики — одна из основных возможностей выстроить наилучший пользовательский опыт. А умение оперативно оценить риски и одобрить кредит может стать конкурентным преимуществом организации. .
Какие данные собирают
В зависимости от отраслевой принадлежности и используемых информационных систем наполнение баз данных в компаниях может сильно отличаться.Однако есть и типовые для всех:
- Персональные данные. Это могут быть данные не только клиентов, но и данные сотрудников компании: информация о зарплатах, семейном положении, личные контакты. В частности, контакты и другие данные директоров, акционеров, ключевых работников. Утечка этой информации может представлять интерес как для недобросовестных СМИ, так и для злоумышленников с целью шантажа, вербовки и т.д.
- Бизнес-информация. Сведения о ценах, поставках, состоянии складов, логистике и др. Утечка такой информации может быть использована как конкурентами, чтобы получить преимущества, так и криминальными структурами.
- Технологическая информация (особенно этот тип данных актуален для сегмента КИИ). Учетные данные от информационных систем, логи СКУД и АСУТП, показания датчиков АСУТП, информация о состоянии технологических каналов. Утечка таких данных и последующее их использование злоумышленниками может привести к техногенной катастрофе и другим разрушительным последствиям.
- Контент. Содержимое страниц сайтов, видео-, аудио-, фотоматериалы, публикации. Здесь утечки грозят недополучением прибыли контент-провайдерам или репутационными рисками публичным компаниям.
Какие требования предъявляют к защите данных
В ответ на растущие риски утечек производители систем 30 информационной безопасности постоянно совершенствуют продукты. И сейчас на рынке есть решения, которые позволяют компаниям предотвращать как внешние, так и внутренние угрозы. А отраслевые, федеральные и международные нормативные акты утверждают обязательные требования к безопасности данных.В начале 2024 года в России приняли поправки, которые установили приличные штрафы за утечку персональных данных — до 15 млн руб., а в отдельных случаях — до 3% от оборота компании. Для хранения, управления и обработки данных компании используют СУБД — системы управления базами данных. Это комплекс ПО, который тоже должен соответствовать определенным требованиям: нормативам ФСТЭК, международным стандартам и ГОСТам.
Что приводит к утечкам
К потенциальным угрозам для данных в СУБД относят:- действия пользователей с прямым доступом к СУБД (администраторы, подрядчики, разработчики);
- действия сотрудников, которые в работе используют приложения с доступом к СУБД (call-центр, бухгалтерия/кадры, техподдержка и прочие);
- внешние угрозы (хакеры, data-майнеры).
Если говорить простым языком, то вот что может случиться с данными:
- передача телефонным мошенникам личных данных клиентов;
- кража учетных данных и/или компрометация корпоративной информации в результате фишинговой атаки; слив чувствительных данных;
- несанкционированный доступ к данным клиентов и многое другое.
Как защитить данные
Есть несколько общепризнанных механизмов для защиты СУБД:- аутентификация: процессы проверки подлинности пользователя или системы перед предоставлением доступа к данным;
- шифрование данных: использование различных методов, таких как SSL/TLS для защищенных соединений и шифрование на уровне хранения данных;
- мониторинг: отслеживание активности пользователей, обнаружение подозрительных действий и предотвращение инцидентов безопасности (журналы также играют важную роль в аудите и расследовании инцидентов);
- обновления: исправление безопасности для устранения обнаруженных проблем в СУБД.
1. Аудит обращений к информации.
Важный момент – встроенных средств аудита запросов к СУБД недостаточно. Необходимо глубоко понимать структуру контролируемой базы данных, знать, в каких таблицах и полях хранится защищаемая информация, уметь разбирать логи и т.д.
Все это требует высокой квалификации специалиста по информационной безопасности и, как правило, ложится на плечи администратора СУБД (он и сам может быть источником угрозы). Как показывает практика, последний занимается решением этой задачи по остаточному принципу.
Внешние средства контроля обращений к СУБД позволяют произвести анализ не только самих запросов, но и содержимого пришедших на них ответов. По ним можно определить, например, выгрузку номеров телефонов и Ф.И.О. вне зависимости от того, из какой таблицы были взяты данные.
2. Аудит запросов на изменение/удаление данных.
Здесь стандартная практика — определить список данных, которые нельзя изменять никому, кроме обладателя специальной технологической учетной записи, и выявлять попытки таких действий.
При этом можно предварительно поставить на аудит все обращения к БД, а затем, проанализировав ответы, определить, какие таблицы/поля и какими учетными записями изменяются, и сформулировать параметры легитимных действий. Затем, исходя из этого, нужно настроить политику обнаружения нелегитимных.
3. Построение профилей и выявление отклонений от них.
Системы аудита запросов к базе данных позволяют выявлять нестандартное поведение пользователей.
Типовой сценарий — профилирование учетных записей веб-приложений, опубликованных в интернете. Такая учетная запись всегда выполняет типовые запросы. Но если веб-приложение взламывают, то она начинает выполнять запросы, которые ранее никогда не делала. Это поведение довольно трудно отследить вручную, а системы защиты баз данных выявляют подобные инциденты в автоматическом режиме.
4. Выявление аномалий.
Одна из главных проблем в деле выявления утечек критической информации — сложность отличить штатные обращения от утечки. Дело в том, что обращений к данным может быть очень много, и большая часть из них связана с обычными рабочими действиями сотрудников: обращения к данным клиента, сделке в CRM и т.п. Поэтому в таких случаях нужно применять инструменты профилирования, которые позволяют выявить статистические аномалии. Они позволяют определить среднее количество обращений от учетной записи или хоста и обнаруживать большие отклонения от среднего.
Рассмотрим на примере: некто через учетную запись в рабочем приложении просматривает счета клиентов по параметру «дата рождения». Если прослеживать только логи запросов, то эта активность останется незамеченной. Но если применить систему защиты, то она определит, что количество запросов от учетной записи в несколько раз превышает обычное (или же зафиксирует превышение объема скачанных данных), и отметит это как аномальное поведение. Такие выгрузки могут использовать злоумышленниками, чтобы, например, получить контакты пенсионеров для последующей продажи этих данных телефонным мошенникам.
Чтобы обеспечить безопасность данных, в мировой практике широко распространены технологические альянсы между вендорами СУБД и систем защиты информации. То есть продукты хранения и управления данными дополняют современными 31 специализированными IT-решениями комплексной защиты. К слову, в России сейчас ужесточают требования регуляторов как к защите самих данных, так и к системам их хранения. Например, к 2025 году российский бизнес для защиты СУБД внешними средствами должен полностью перейти на отечественные решения. Это должно способствовать распространению вышеназванного общемирового тренда в России и, как следствие, повысит степень эффективности российских систем информационной безопасности и усилит защищенность данных в целом.
Источник: РБК Pro
Время на прочтение статьи: 11 мин.