Кібербезпека у сучасній компанії. Роль інформаційних політик та DPO.

Роль інформаційних політик, DPO та кібербезпеки у сучасній компанії

Шкідливе програмне забезпечення, хакерські атаки, інсайдерська торгівля даними та інші подібні загрози в інформаційному просторі можливо об’єднати під назвою негативні події. В контексті цієї статті ми поговоримо про природу негативних подій, як їх попередити та які аспекти необхідно при цьому враховувати. 

Розглянемо такі питання:

• Що впливає на вірогідність кібератак?
• Чому технічна складова тільки половина інформаційної безпеки?
• Як відвернути кіберзагрози?
• Яка роль у DPO та спеціалістів з кібербезпеки?
  
  

Що впливає на вірогідність кібератак?

На практиці сформувались певні статистичні закономірності та рекомендації. Виходячи з таких даних, ми можемо вивести чисельні фактори ризику, що прямо чи опосередковано впливають на вірогідність негативної події. Розглянемо три фактори, що є спільними для кожної компанії, однак можуть бути по-різному виражені на конкретних прикладах. 

Перший фактор ризику – це вплив людини на інформаційні процеси. За даними великих телекомунікаційних компаній таких, як Verizon, значна частина успішних кібератак стали можливими через людську помилку та легковажне ставлення до інформаційної безпеки. З наведених даних виходить, що  фішингові атаки (eng – Phishing) займають майже 40% успішних атак. Друге місце та 12% – ураження систем шкідливим програмним забезпеченням. Тільки на третьому місці з 10%  знаходяться цілеспрямовані хакерські атаки. Тобто перші два види загроз здебільшого реалізуються завдяки активним діям користувача, а не зловмисником. Даний фактор ризику залежить від того наскільки автоматизовані процеси у компанії, який ступінь доступу мають працівники та наскільки система допускає помилки. 

Другий фактор – цінність даних. Будь-який захист має бути збалансованим. Тобто йдеться про пропорційність методів захисту та цінності даних. Надмірна безпека сповільнює обробку даних або не дозволяє реалізувати певні механіки. З іншого боку відсутність механізмів контролю та захисту значно збільшує вірогідність негативних подій. Цінність інформації виступає об’єктивним показником навколо якого і будується система захисту.
Наприклад для Вашої компанії головним джерелом доходу є інтелектуальна власність чи якщо Ви володієте критичною інформацією про ваших клієнтів (платіжна, біометрична тощо), то зацікавленість зловмисників буде вкрай високою. Викрадення платіжної інформації,  шантаж клієнтів чи продаж корпоративних секретів – типові цілі кіберзлочинців. Тож при побудові системи оцінюйте цінність даних за наслідками, які можуть настати для клієнтів та Вашої компанії через виток або знищення. 

Третій фактор – імідж компанії. Суть полягає у тому, що відомі ресурси та компанії потерпають від значно більшої кількості атак кіберзлочинців та негативних подій. Крупним компаніям важко приховати подробиці своєї діяльності, тип послуг автоматично надає приблизний перелік інформації, а велика кількість співробітників статистично означає більшу вірогідність негативної події. Також, в залежності від продукту, кількості користувачів, публічних заяв керівництва чи через позиціювання компанії на ринку, вона може притягувати нечемну конкуренцію, хактевістів та інші прицільні кіберзагрози. 

З метою попередження негативних подій та для використання інтересу третіх осіб на свою користь, компанії обіцяють винагороду або працевлаштування користувачам, що знайдуть критичні вразливості чи помилки у корпоративних ресурсах та нададуть рекомендації з їх усунення. 

Чому технічна складова тільки половина успіху системи інформаційної безпеки?

На жаль, на цей час неможливо створити систему, що за дизайном повністю виключатиме людську помилку. Тому єдиний вихід мінімізувати ризики та бути готовим до поширених негативних подій. Розглянемо це на прикладі фішингових атак, які знаходиться на перетині технологій та психології. 

Головна мета нападника – ввести ціль в оману та отримати необхідну інформацію безпосередньо від особи, отримати доступ до корпоративних ресурсів чи поширити таким чином  шкідливе програмне забезпечення. Інструментами фішингу можуть бути будь-які засоби комунікації (месенджери, електронна пошта, соціальні мережі тощо). Технології в даному випадку грають роль посередника, а не виконавця. 

За даного типу атак настання негативних наслідків залежить виключно від дій потенційної жертви та її навичок. В залежності від цілей нападника атака може бути цілеспрямованою або масовою. Цілеспрямована атака загострена на конкретну особу чи компанію, та оперує фактами, що мають безпосереднє відношення до цілі. Масові атаки мають максимальне охоплення, використовують мінімум конкретизованої інформації та сподіваються на так зване «вдале влучання». В обох випадках зловмисник не здатний самостійно отримати доступ до бажаної інформації чи системи.

Людська помилка може приймати й іншу форму. Наприклад легковажне ставлення до політик інформаційної безпеки може призвести до випадкового витоку важливої інформації. Відсутність контролю доступу до обладнання здатне призвести до знищення, крадіжки чи несанкціонованих маніпуляцій з обладнанням.

Як відвернути кіберзагрози?

Перейдемо до навичок з інформаційної безпеки. Хоча вони не стануть відкриттям до спеціалістів у ІТ, однак стануть у пригоді для спеціалістів за суміжними напрямками (маркетинг, продажі тощо).

Для початку поговоримо про властивості та принципи операційних систем. Практика демонструє, що досить поширеною є ситуація, коли спеціаліст володіє операційною системи та софтом виключно в межах свого профілю. Таким чином відкриваються додаткові можливості для помилок, на які і розраховує зловмисник. Наприклад, мова може йти про легковажне відкриття файлів, що можуть містити шкідливий код. Також поширеним є використання програмного забезпечення, яке має замаскований шкідливий код. Звісно знати всі тонкощі неможливо, однак вміти зчитувати потенційні загрози та підозрілі обставини необхідно.  

Уявіть ситуацію, до менеджера звертається клієнт, що вже робив невеличке замовлення та має певний кредит довіри. Протягом спілкування сторони дійшли до попередньої згоди. Клієнт сказав, що відправить технічне завдання разом з нотатками та додатковими матеріалами по завданню. Файли були надіслані у вигляді образу диска. Відкривши цей образ менеджер не загострював увагу на його специфіку та не побачив відмінностей від відкриття типового архіву. Натиснувши на файл з назвою «технічне_завдання.lnk» було активовано ярлик з прихованою командою, що відкрив текстовий документ, а також запустив шкідливе програмне забезпечення у фоновому режимі.

Наведеної ситуації можливо було б уникнути завдяки впровадженню додаткового етапу перевірки пересланих матеріалів, або в організації стандартизованого обміну даними (корпоративні месенджери, форми опитувальники, правила щодо механізмів одержання та використання матеріалів замовника). 

Попередньо ми вже торкались наступної навички. Здатність розпізнавати загрози інформаційної безпеки та ефективно на них реагувати виходить не тільки з усвідомлення базових принципів роботи операційних систем чи програмного забезпечення. Ключовим є розуміння своєї ролі в конкретній корпоративній системи. Протидія негативним подіям має комплексний характер та охоплює чисельні аспекти, однак в контексті одного окремого спеціаліста підготовка полягає у відпрацюванні своєї ролі за різних негативних подій та з конкретним обладнанням чи програмним забезпеченням.

Наприклад у разі ураження корпоративної мережі спеціаліст має чітко виконувати заходи з локалізації ураження та видалення шкідливого коду. При втраті даних – визначити об’єм та цінність інформації, визначити яка вірогідність їх відновлення. За витоку даних – визначити та ліквідувати джерело витоку.

Для досягнення належного рівня кваліфікації важливо проводити відповідні тренінги з інформаційної безпеки, залучати команди експертів для проведення тестів на проникнення та оцінки рівня кібербезпеки, заохочувати до підвищення навичок у галузі інформаційної безпеки. Також бажано передбачити у політиці інформаційної безпеки конкретизовані вимоги для окремих відділів чи спеціалістів.

Яка роль у DPO та спеціалістів з кібербезпеки? 

Досі мова йшла про корисні навички з інформаційної  безпеки. Однак далі поговоримо про профільних спеціалістів, що несуть основне навантаження в напрямку розробки та організації інформаційної безпеки.

Відповідальний за інформаційну безпеку – це спеціаліст, завдання якого обрати вектор розвитку інформаційної безпеки та узгоджувати його з напрямком розвитку компанії. Ключовими обов’язками є здійснення поточного контролю за інформаційними політиками та кваліфікацією команди, керувати заходами під час негативних подій та усуненням негативних наслідків. Ця особа має узгоджувати дії інших спеціалістів з інформаційної безпеки для досягнення необхідного результату.

Спеціаліст з кібербезпеки – слідкує за поточним станом корпоративної мережі, регулює групові політики, розробляє практичні рекомендації для команди підприємства, впроваджує та підтримує належний рівень захисту даних та обладнання.  Додатково такий спеціаліст може проводити тренінги, проводити тести на проникнення у систему та розробляти рекомендації чи  консультації для команди підприємства.

DPO (Data Protection Officer) – відповідає за правомірність обробки персональних даних працівників, аутсорс-спеціалістів, клієнтів, партнерів тощо.  До завдань DPO входить: інформування щодо прав, вимог та відповідальності в галузі обробки персональних даних (зокрема за GDPR), надання порад та рекомендацій з приводу обробки персональних даних, моніторинг процесів обробки персональних даних, реагування на повідомлення щодо порушення правил обробки персональних даних, взаємодія з контролюючими органами у цій галузі, робота з потенційними загрозами, розслідування негативних подій.

Висновки

• Інформаційна безпека – це процес, що потребує постійної уваги, як до правового, так і до технічного аспекту.
• Технічний аспект охоплює обладнання, технічні навички, програмне забезпечення, реалізацію проекту на практиці.
• Юридичний аспект – правові підстави обробки персональних даних, взаємодія з контролюючими органами, внутрішні та зовнішні політики, визначення шкоди в результаті негативних подій, реалізація заходів з мінімізації негативних наслідків.
• У компанії мають бути розроблені базові алгоритми дій на випадок типових негативних подій (виток даних, втрата даних тощо).
• Для високого рівня інформаційної безпеки  необхідно доведення політик інформаційної безпеки до кожного окремого працівника чи аутсорс-спеціаліста.
• Людської помилки повністю виключити неможливо, тому мають бути передбачені заходи чи автоматичні системи, що зможуть максимально зменшити вірогідність настання негативних подій, або, принаймні,  нівелювати негативні наслідки.
• Внутрішній та зовнішній обмін даними має бути стандартизований, таким чином підозріла активність або нетипові дані будуть одразу помічені.
• Від рівня кваліфікації кожного окремого члена команди залежить загальна стійкість компанії до негативних подій.
• Відповідальний за інформаційну безпеку – узгоджує діяльність інших спеціалістів у цій галузі, керує системою інформаційної безпеки компанії. 
• Спеціаліст з кібербезпеки – технічний спеціаліст, що відповідає за обладнання та програмне забезпечення у контексті інформаційної безпеки. 
• Data Protection Officer – займається правовими аспектами організації інформаційної безпеки у компанії.

ІТ адвокати для ІТ бізнесу

Владислав Тамашев

Cybersecurity lawyer