Известный специалист в области кибербезопасности рассказал о своей разработке, которая предотвращает несанкционированный «вынос» информации за пределы организации.
Число утечек данных в России выросло в полтора раза. Только за первые четыре месяца 2023 года зафиксировано 75 случаев попадания третьим лицам конфиденциальной информации коммерческих компаний и госорганизаций. За аналогичный период прошлого года — 49. Похищенные данные киберпреступники нередко продают или используют для компрометации и шантажа руководства, а иногда — для разорения предприятия.
Обеспечивать защиту материалов призваны службы информационной безопасности. Их сотрудники обнаруживают каналы утечки, разрабатывают способы защиты от кибератак, а также методики обработки и надежного хранения данных. Один из самых авторитетных специалистов в этой области — Дмитрий Быков, начальник отдела по информационной безопасности ООО «Дубликат». Он реализовал ряд успешных проектов по пресечению киберугроз для иностранных мобильных операторов, а также солидных российских предприятий, в числе которых крупнейший сибирский грузоперевозчик, осваивающий районы Крайнего Севера. Уникальная система управления отношений с клиентами, разработанная для этой компании, прекратила потерю клиентов и убытки, с которыми столкнулось предприятие из-за серии утечек данных. О стратегиях кибербезопасности и о том, почему нельзя пренебрегать обучением сотрудников — в интервью с Дмитрием Быковым.
Дмитрий, по просьбе крупного грузоперевозчика вы с нуля разработали уникальную CRM-систему, которая прекратила серию серьезных финансовых потерь компании, связанных с утечками данных. Расскажите, с какой ситуацией столкнулось предприятие и как вы решили проблему.
У этого предприятия были большие проблемы с информационной безопасностью. За последние два года было выявлено восемь инцидентов, которые имели серьезные последствия для компании. Они привели к убыткам, связанным с потерей клиентов, а также к неудачам на конкурсных закупках из-за утечки инсайдерской информации конкуренту, в связи с чем ежемесячная выручка сократилась более чем на два миллиона рублей. Вот тогда руководство и обратилось ко мне за разработкой системы защиты.
Во-первых, я интегрировал механизм аутентификации, который обеспечивает доступ к системе и, соответственно, к чувствительным данным только авторизованным пользователям.
Во-вторых, реализовал управление доступом, чтобы каждый пользователь имел доступ только к той информации, которая необходима для выполнения его рабочих обязанностей. Это снижает риск несанкционированного проникновения к конфиденциальным данным.
CRM-система эффективно предотвращает «вынос» информации за пределы организации, поэтому нет необходимости придумывать какую-либо защиту от подключения внешних USB-устройств.
В результате использования в вашей системе механизмов защиты данных достигается их практически стопроцентная защита от компрометации. Что именно вы применили?
В первую очередь — механизмы шифрования. Это означает, что доступ ко всем чувствительным данным, которые хранятся в базе данных и на файловом сервере, не удастся прочитать вне CRM-системы. Даже если злоумышленник получит доступ к информации, он не сможет ее прочитать без специального ключа.
Также я предусмотрел систему мониторинга, используя которую администратор следит за активностью пользователей и программы в целом и в случае обнаружения подозрительных действий предпринимает меры.
Для осуществления сохранности данных было реализовано автоматическое резервное копирование и таким образом удовлетворена одна из технических мер, предусмотренных регулятором, по сохранности персональных данных. Вследствие того, что данные в системе хранятся в зашифрованном виде, в бэкапе они также зашифрованы. Плюсом является то, что нет необходимости придумывать решение для того, чтобы обезопасить данные в бэкапах.
Создав для предприятия индивидуальную CRM-систему — программу управления отношений с клиентами компании, в которой работает большой штат сотрудников, вы занялись обучением персонала работе с ней. Насколько сложно это было и с какими другими трудностями столкнулись в процессе внедрения системы?
Действительно, система разрабатывалась индивидуально под конкретного заказчика, чтобы он был уверен в отсутствии недекларированных возможностей и в то же время в полной информационной безопасности. Как правило, другие CRM-продукты не ставят такую задачу и не подразумевают шифрование данных.
А сложности, да, были. Процесс обучения оказался более длительным, чем я ожидал. Пришлось уделять дополнительное время на обучение сотрудников новым функциям и интерфейсу CRM-системы. Несмотря на то, что система разрабатывалась под существующие бизнес-процессы, деловые операции требовали серьезной переорганизации. Я столкнулся с непростым выбором между изменением существующих процессов и модификацией системы. Это вызвало определенное сопротивление со стороны некоторых сотрудников, которые привыкли к старому порядку вещей.
Также внедрение системы столкнулось с техническими вызовами. Интеграция с существующими программами и перенос данных требовали дополнительных усилий и решения некоторых сложных технических задач. Несмотря на это, благодаря усилиям моей команды и готовности компании адаптироваться мы преодолели трудности и добились успешного внедрения CRM-системы.
Благодаря вашей работе компании удалось добиться статуса надежного партнера в глазах заказчиков и клиентов, ведь за пять лет случился всего один инцидент, связанный с нарушением информационной безопасности. Расскажите, насколько сильно изменилась ситуация на предприятии после внедрения CRM-системы?
Прежде доступ к ресурсам компании осуществлялся за счет развернутого сервиса удаленных рабочих столов, где каждый пользователь имел неконтролируемый доступ к материалам. Данные клиентов и бизнес-информация могли подвергаться риску утечки из-за несовершенной системы защиты. Отсутствие централизованной системы мониторинга и обнаружения угроз означало, что атаки могли проходить незамеченными. Управление доступом к данным и системам было малоорганизованным и осуществлялось вручную. Отсутствие единой точки для мониторинга, анализа и реагирования на инциденты затрудняло эффективное управление кибербезопасностью и увеличивало время реакции. Неконтролируемый доступ к данным и недостаточная осведомленность о политике безопасности создавали возможность для сотрудников провести несанкционированную передачу данных или информации третьим лицам.
Мы улучшили эффективную защиту данных, хорошо контролируем доступ, оперативно реагируем на угрозы и обеспечиваем более точный аудит происходящего. И, действительно, за пятилетний период был выявлен лишь один инцидент, причем случилось это во время моего отсутствия в России. Компания купила новое сетевое оборудование, и приходящий специалист должным образом не настроил права доступа. Злоумышленник, получив доступ в админ-панель, оставил backdoor на оборудовании, создав себе учетную запись. Выявить факты подключения по VPN со стороннего IP-адреса удалось не сразу.
В настоящее время все активы компании находятся за уровнем сетевой защиты, включая применение сетевых экранов и технологии Network Address Translation (NAT). Доступ внутрь внутренней сети реализован через виртуальные частные сети (VPN), что способствует обеспечению дополнительного уровня безопасности.
Насколько мне известно, ваши разработки по информационной безопасности CRM-системами не ограничиваются. На основе уже имеющихся наработок вы готовите особый проект для мобильных операторов США. В чем его суть?
Все мои проекты — по сути комплексные средства для достижения кибербезопасности. В каждом конкретном случае разрабатывается решение под потребности компании. У всех мобильных операторов мира общая проблема — утечки данных, мошенничество, не всегда прочная система защиты от киберугроз. Я намерен предложить сотовым компаниям США уникальную систему, которая будет выявлять «серые маршруты», рассылки от мошенников, спам, информировать абонентов о подозрительных SMS.
Сейчас в России и в мире появляется много быстро развивающихся компаний. Насколько серьезно они относятся к защите информации на первых этапах?
Конкуренция и давление рынка могут оказать значительное воздействие на подход стартапов к информационной безопасности. В поисках быстрого старта и оперативного внедрения своих продуктов или услуг, они могут временно пренебрегать аспектами кибербезопасности по разным причинам: из-за ограниченных ресурсов, отсутствия специалиста или элементарного непонимания последствий. Но все же стартапам важно найти баланс между быстрым запуском и обеспечением минимального уровня безопасности. Сознательное внедрение базовых мер безопасности и планирование для будущего развития могут снизить риски и защитить бизнес от негативных последствий.
И сразу — несколько рекомендаций по стратегии кибербезопасности начинающим бизнесменам от профессионала.
Из конкретных рекомендаций могу дать следующие. Обеспечьте адекватное хеширование и шифрование конфиденциальных данных при их хранении и передаче. Постоянно отслеживайте и обновляйте используемые библиотеки и фреймворки для закрытия известных уязвимостей. Проверяйте и фильтруйте входные данные от пользователей, чтобы предотвратить атаки типа SQL-инъекций и XSS. Реализуйте принцип наименьших привилегий, чтобы сотрудники и системы имели только необходимый доступ. Разрабатывайте архитектуру с учетом возможных сценариев атак и реализуйте контрмеры. Внедряйте систему логирования и мониторинга, чтобы оперативно обнаруживать аномальную активность. Регулярно проводите тесты на проникновение и аудит кода для выявления уязвимостей. Постоянно создавайте резервные копии данных, чтобы минимизировать потери в случае инцидента.
Не стоит забывать, что безопасность — непрерывный процесс. Изучайте новые угрозы и методы защиты, следите за изменениями в области информационной безопасности и постоянно совершенствуйте свои навыки.
