Продолжаем серию статей на тему отраслевой специфики и ответственности в области информационной безопасности. В первых материалах рассмотрели отрасли здравоохранения, промышленности и финансов. Эта часть посвящена отрасли связи.

Специфика ИБ в отрасли связи

Специфика отрасли связи — очень большое количество персданных абонентов и принадлежность к критической информационной инфраструктуре (КИИ). Операторы связи попадают под действие Указов Президента № 250 и № 166. Другие особенности отрасли:

  • Непрерывность оказания услуг. Сбои в работе операторов связи сразу заметны пользователям, что выливается в серьезные финансовые и репутационные издержки. В приоритете защита от DDoS и других атак, которые нарушают непрерывность оказания услуг.
  • Территориальная распределенность подразделений. Салоны и офисы операторов сотовой связи расположены по всей России. Обеспечение защиты информации в таких условиях — непростая задача. Много данных, много рабочих станций, много сотрудников, не всегда есть возможность личного присутствия.
  • Фокус на предотвращении утечек. Контроль действий пользователей — один из основных «столпов» ИБ в отрасли связи. Без детального логирования и ограничения возможных противоправных действий утечка — вопрос времени. Так, не заставили себя долго ждать уголовные дела по новой статье за неправомерный доступ к персданным. Скорое вступление в силу «оборотных» штрафов за утечки персданных утяжеляет последствия для нарушителей.
  • Антифрод и защита абонентов. Операторы связи, согласно Постановлению Правительства РФ № 1979 от 03.11.2022, должны быть подключены к системе «Антифрод» и противодействовать попаданию мошеннического трафика в свои сети.

Дальше рассмотрим типовые нарушения ИБ в отрасли связи и их типичных виновников.

Типовые ИБ-правонарушения в отрасли связи

Самые частые нарушители в отрасли связи — рядовые сотрудники салонов связи и офисов продаж сотовых операторов. Большинство нарушений — это «пробив» абонентов и неправомерная детализация звонков.

Большая часть нарушений квалифицируются как неправомерное воздействие на КИИ и неправомерный доступ к компьютерной информации. Также встречается незаконное получение и разглашение сведений, составляющих коммерческую или иную тайну; нарушение тайны переписки или иных сообщений. Квалифицирующий признак — использование служебного положения. Рассмотрим кейсы и составы преступлений.

Неправомерное воздействие на КИИ

Неправомерное воздействие на КИИ — широкое понятие, но в отрасли связи это, чаще всего, копирование или изменение информации из информационных систем (ИС) операторов связи. Намного реже встречается разработка и использование вредоносных программ. Санкция за нарушения отражена в статье 274.1 УК РФ. Наказание варьируется от состава преступления. Чаще всего от трех до восьми лет лишения свободы с лишением заниматься определенной деятельностью до трех лет. Приведу в пример несколько кейсов:

  1. Директор офиса продаж сотового оператора скопировал из служебной ИС данные об абонентах и их звонках для продажи третьему лицу. За это он был осужден на 3 года и 2 месяца по совокупности составов преступлений.
  2. Пятеро сотрудников офиса продаж оператора связи пользовались ИС «Единое окно». В системе были данные абонентов, которые злоумышленники фотографировали на личные устройства, а затем продавали третьим лицам. «Единое окно» относится к КИИ, копирование информации из него неправомерно. Каждый получил от 3 до 4,5 лет условного срока.
  3. Сотрудник офиса продаж сотового оператора сфотографировал персданные абонентов из «Единого окна» и передал в мессенджере третьему лицу. Нарушитель осужден к отбытию реального срока заключения, апелляционный суд оставил приговор в силе.
  4. Продавец-консультант салона связи меняла данные SIM-карт абонентов за вознаграждение. Благодаря этому злоумышленники имели доступ к чужим аккаунтам. Итог: условный срок — 4 года, лишение права занимать должности в сфере связи — 1 год.

Чтобы защитить информацию от «пробива», нужно:

  1. Выявить зоны риска. Смоделировать ситуацию «пробива» и определить, кто и как может неправомерно получить доступ к данным и передать их. Ужесточить регламенты доступа — донастроить средства защиты в соответствии с полученной информацией.
  2. Отслеживать все действия с важными файлами и выгрузку конфиденциальных данных из систем, в которых они обрабатываются.
  3. Использовать средства защиты информации, чтобы контролировать неправомерные действия сотрудников и их коммуникации с третьими лицами на рабочем месте.
  4. Настроить политики доступа к данным вне информационной системы, в которой должна происходить обработка конфиденциальной информации.
  5. Определить группы риска: потенциальных инсайдеров и нелояльных сотрудников. Обеспечить особо пристальный контроль за ними.
  6. Детектировать попытки слива информации через фотографирование экрана на телефон. Для этого используют возможности средств защиты: водяные знаки на мониторе и обнаружение поднесенной к экрану камеры при помощи ИИ. Водяные знаки покажут, кто из сотрудников и когда сфотографировал или сделал скриншот экрана. Интегрированный ИИ-функционал распознает смартфон через веб-камеру на ПК сотрудника. И оповестит ИБ-специалиста. Это ускорит реагирование на инцидент и предоставит больше данных для его расследования.

Неправомерный доступ к компьютерной информации

Неправомерный доступ к компьютерной информации в отрасли связи — получение или передача информации без соответствующих прав на это. Ответственность за нарушение зависит от состава преступления:

  • Ч. 2 ст. 183 УК РФ. Незаконное разглашение или использование сведений, составляющих коммерческую, налоговую, банковскую тайну лицом, знакомым с ними по службе или работе. Штраф до 1 млн. рублей с лишением права работать на определенных должностях на срок до трех лет, или лишение свободы на срок до четырех лет.
  • Ч. 3 ст. 272 УК РФ. Неправомерный доступ к компьютерной информации с использованием служебного положения. Штраф до 500 тыс. рублей с лишением права работы на определенных должностях до трех лет, либо лишение свободы на срок до пяти лет.
  • Ч. 3 ст. 272.1 УК РФ. Незаконные использование, передача, сбор, хранение компьютерной информации, содержащей персональные данные. Новая норма предусматривает штраф до 1 млн. рублей, лишение свободы на срок до шести лет, лишение права на занятие определенных должностей до трех лет.

Несколько примеров нарушений:

  1. Ранее судимый сотрудник оператора связи фотографировал персданные абонентов и геолокацию их звонков из ИС. Фото злоумышленник продавал третьим лицам. Также он оформлял заведомо ложные заявки от имени абонентов. Итог по совокупности нарушений: 6 лет 9 месяцев лишения свободы, штраф — 30 тыс. рублей.
  2. Руководитель офиса продаж сотового оператора использовал ИС оператора связи для неправомерной детализации звонков за вознаграждение. Итог: ограничение свободы — 1 год, лишение права занимать должности с доступом к охраняемой законом тайне — 8 месяцев.
  3. Сотрудник салона связи за вознаграждение передал несколько десятков записей персданных третьему лицу в мессенджере. Возбуждено уголовное дело по новой статье 272.1 УК РФ, нарушителю грозит до 6 лет лишения свободы.

Чтобы не допустить подобных нарушений, нужно:

  1. Провести аудит инфраструктуры и файловых хранилищ. Узнать, где и какие данные хранятся в системах.
  2. Определить, какие данные являются конфиденциальными и в каких хранилищах они находятся и могут появиться в будущем.
  3. Создать регламенты и сценарии безопасной работы с данными, провести контентное разграничение прав доступа.
  4. Контролировать действия сотрудников на рабочем месте, используя специализированные средства защиты информации. Также рекомендуется выделить группы риска среди персонала.
  5. Настроить средства защиты на блокировку для предотвращения утечки при пересылке или перемещении документов на внешние носители, а также при фотографировании на телефон.

Заключение

По последним данным Минцифры в России около 260 млн. абонентов сотовой связи. Все они предоставляют данные сотовым операторам, которые должны безопасно хранить, обрабатывать и в случае необходимости передавать их в разные филиалы и офисы по всей России. Уровень ИБ при таком количестве данных и распределенных офисов имеет ограничения. Из-за этого основными нарушителями в отрасли связи становятся рядовые сотрудники офисов продаж, которые выходят за пределы корпоративного ИБ-периметра.

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”