2012/12/19 14:29:59

Что делать, если утечка уже случилась?

С середины ХХ века выражение `всё в мире относительно` плотно вошло в обиход благодаря одному весьма известному немецкому учёному. Действительно, справедливость этого высказывания сложно оспорить. Многие ценят золото. Но сколько золота человек готов отдать за глоток воды, если он на грани смерти в пустыне? В материальном мире прослеживается любопытная аналогия: ценным становится ресурс, запасы которого ограниченны. Вот почему на заре великих географических открытий `чужаки` легко обменивали стеклянные бусы и зеркала на ценные шкуры, меха и золото.

Каталог DLP-решений и проектов смотрите на TAdviser.

Содержание

Однако с информацией случился парадокс: из года в год растут и её объёмы, и ценность. По мнению экспертов из Ponemon Institute, в шести случаях из десяти для банкротства компании достаточно утечки всего лишь пятой части ее коммерческих секретов. В этой связи вопрос защиты информации становится всё более злободневным. Но если об организации защиты собственных `тайн` компании имеют хоть какое-то представление, случаи утечки данных, как правило, порождают экспромт мер, редко приводящих к успеху. Тем не менее даже если утечка уже произошла, это не повод для паники и нерациональных поступков. Спокойный анализ ситуации вкупе с пониманием последствий принимаемых мер в некоторых ситуациях способны не просто минимизировать последствия инцидента, но даже обратить его себе на пользу. Об этом и пойдёт речь ниже.[1]

Когда оба пути верны: внешний путь

Проблема выбора правильного пути большинству из нас впервые открывалась в сказке с витязем на распутье. В случае с утечкой информации есть свои нюансы выбора: универсального решения здесь нет. Для отработки инцидента необходимо проводить как внутреннюю работу по установлению виновных, так и внешнюю, направленную на взаимодействие с общественностью и регуляторами. Рассмотрим каждый путь подробнее.

Для начала разберёмся с `внешним`. Для лучшего понимания ситуации посмотрим, какие последствия грозят компании, допустившей утечку. И раз уж скоро Новый год, подберём тематический пример. Компания `Пиф-паф-вах-вах-вах`, признанный лидер в производстве фейерверков, планирует выпустить новый вид своей продукции, который больше, громче, красочнее и красивее, а главное, дешевле, чем аналоги от конкурентов. Для разработки прототипа компания потратила немало средств: были привлечены лучшие баллистики, разработаны новые сорта пороха, улучшено внутреннее строение снаряда, проводилось компьютерное моделирование, полевые испытания и т. д. А теперь представьте, что после того как гигантский подготовительный этап завершён и всё, что остаётся, это запустить новый фейерверк в серийное производство, кто-то организовывает утечку и вся информация оказывается у конкурента. И проблема не только в том, что компания понесла прямые убытки (это время и деньги, затраченные на разработку). Конкурент, имея в распоряжении `сэкономленные` средства может мобилизовать ресурсы и `застолбить место под солнцем`, выпустив аналогичный фейерверк на рынок раньше.

К сожалению, это не единственная неприятность, которая может возникнуть на пути тех, кто допустил утечку информации. Возможны:

  • ухудшение имиджа компании, что способно привести к снижению числа новых клиентов и уходу существующих;
  • утрата технологических секретов `тянет` за собой ослабление позиций на рынке;
  • административные тяжбы: судебные иски от клиентов и санкции надзирающих органов;
  • увольнение сотрудников;
  • необходимость затрат на устранение последствий, перечисленных выше.

Разуумеется, вряд ли сложится ситуация, когда в рамках одного инцидента придётся столкнуться со всеми перечисленными пунктами. К примеру, в описанной выше ситуации вряд ли будут судебные иски от клиентов и ухудшение имиджа компании. В общем случае существует зависимость между грядущими неприятностями и тем, какая именно информация ушла за пределы `родных пенатов`. Конечно, у каждого есть свои `скелеты в шкафу`, но это не помешает составить приблизительный список того, что не стоит демонстрировать широкой публике:

  • документы, раскрывающие финансовое состояние и планы организации (отчеты, бухгалтерская документация, бизнес-планы, договора, сметы и т. д.);
  • технические сведения, необходимые для доступа к сети и корпоративным ресурсам компании (логины и пароли, данные об используемых средствах защиты и т. п.);
  • собственные разработки, ноу-хау компании и т. п.;
  • внутренние документы (служебные записки, аудиозаписи совещаний, презентации `только для сотрудников` и т. д.);
  • персональные данные клиентов и сотрудников организации.

Действия

Таким образом, можно подвести промежуточные итоги следования `внешним` путём. Его главная цель — снизить последствия утечки информации, которые могут прийти извне: санкции регуляторов, проверки, штрафы, иски и т. д. Для этого компании, возможно, придётся организовать целый комплекс мер.

Прежде всего, желательно уведомить об инциденте регуляторов. Пока что в силу законодательства это именно желательно, а не обязательно. В Великобритании, к примеру, наоборот, там за несвоевременное информирование контролирующих органов предусмотрены внушительные штрафы.

Вторыми (но иногда и первыми) на очереди уведомлений следуют клиенты. Далее события могут развиваться по-разному, поэтому разберём максимальное количество действий. Компания может выпустить официальный пресс-релиз, поясняющий суть инцидента и рассказывающий о принятых мерах. К слову, в публичном признании вины кроется и психологический подтекст: есть вероятность, что сработает принцип `не бей лежачего`. Мол, компании и так досталось, вину свою признали, так зачем ещё больше неприятностей им устраивать.

Также не исключены действия со стороны регуляторов, которые будут `настоятельно рекомендовать` усиление защиты: введение обязательного шифрования, разграничение доступа по смарт-картам или внедрение более продвинутых средств защиты от утечек, наподобие DLP-систем.

Наконец, финальным аккордом, является активное взаимодействие компании с пострадавшими клиентами. К примеру, если была утечка данных о кредитных картах, их необходимо как можно быстрее перевыпустить, заблокировав старые. Также положительно на имидже скажется организация некой программы лояльности к пострадавшим. По такому пути пошёл `Мегафон`, когда в открытом доступе оказались 8000 SMS-сообщений абонентов оператора. Компания не только признала факт утечки (при этом определив в качестве главного виновного технический сбой оборудования), но и предложила всем пострадавшим материальную компенсацию. Однако для её получения требовалось лично явиться в отделение оператора и написать письменное заявление. Примечательно, что сумма компенсаций публично не объявлялась. Всё это позволило снизить число `недовольных` более чем в 10 раз. Элегантный пример того, как компания сумела не только минимизировать последствия инцидента, но и обратить его себе на пользу.

Когда оба пути верны: внутренний путь

Второй путь тоже правильный и в случае утечки компания должна следовать по нему параллельно с первым. Суть `внутреннего` пути отражает выражение `болезнь легче предупредить, чем лечить`. Правда, предупреждать уже нечего, однако найти источник утечки, а также определить виновных необходимо, чтобы инцидент не повторялся в будущем.

Первым делом нужно получить ответы на несколько, казалось бы, простых вопросов:

  • Кто допустил утечку? То есть с какого компьютера она произошла, под чьей учётной записью?
  • Кому стала доступна похищенная информация. Конечно, если данные просто скопировали на съёмный носитель или распечатали на принтере, с установлением `пункта назначения` могут возникнуть серьёзные проблемы. Другое дело, если информацию отправили с помощью интернет-мессенджера или почты.
  • По какому каналу информация была передана?
  • Что было передано? Ответ на этот вопрос поможет сузить круг подозреваемых, а также понять, какую ещё информацию, возможно, хотели заполучить злоумышленники.

Главная проблема при поиске ответов на обозначенные вопросы кроется в том, что порой получить их затруднительно. Очевидным подходом является анализ логов. Однако для начала они должны вестись. В противном случае дальше догадок и `гадания на костях` дело не пойдёт. Также поиск по логам `в лоб` потребует много времени. Особенно, если не знать точную дату и `виновника`. Поэтому мы рассмотрим вариант отработки инцидента на примере использования DLP-системы. Основное предназначение этого класса продуктов скрыто в самой аббревиатуре. DLP — Data Leak Prevention — системы для предотвращения утечек информации, чаще применяются по смежному назначению в качестве систем определения утечек информации (Data Leak Detection) и являются очень мощным инструментом при проведении расследований.

Некоторые DLP-системы способны фиксировать и хранить всю информацию, проходящую по взятым под наблюдение каналам связи. Главным же `оружием` является возможность создания поисковых критериев, при соответствии которым формируется инцидент, о котором тут же уведомляется офицер безопасности. К примеру, если задать в качестве поискового критерия перечень логинов и паролей, то при их пересылке, офицер получит уведомление о нарушении политики. Анализируя инцидент, при правильной настройке DLP-системы можно будет установить учётную запись, из-под которой была отправлена информация, имя машины в сети, её IP- и MAC-адрес, а также время, дату и адресата.

Таким образом, при следовании по `внутреннему` пути также необходим комплекс мер:

  • во-первых, получить ответы на четыре `простых` вопроса. Как и чем это делать — решать вам. Главное, чем быстрее, тем лучше. Однако стоит помнить, что нельзя поступаться достоверностью полученной информации в угоду скорости;
  • во-вторых, чем быстрее украденная информация потеряет свою актуальность, тем лучше. К примеру, если дело касается данных по кредитным картам, `засвеченные` кредитки в первую очередь нужно заблокировать, а только потом звонить владельцам, выпускать новые карты и т. д.;
  • в-третьих, приступить к тщательному расследованию инцидента. Первичный анализ получают из информации по `четырём вопросам`. Сейчас же самое время на основе этой информации определить, куда копать дальше;
  • в-четвёртых, при установлении виновного, обязательно прорабатываются те ресурсы, к которым он имел доступ, а также его связи (как с коллегами, так и с внешним миром). Некоторые DLP-системы имеют в арсенале и такой функционал;
  • в-пятых, надо предотвратить повторение сценария утечки в будущем. После анализа инцидента принеобходимости должностные инструкции дополняются соответствующими пунктами, с персоналом проводится профилактическая и разъяснительная работа, а средства защиты донастраиваются.

Финиш

Если утечка информации всё же произошла, главное — усвоить урок и не допускать подобных инцидентов в будущем. Обучаться на собственных ошибках не стыдно. Тем более, что при должном умении можно научиться использовать силу противника против него самого. В целом, как можно было убедиться, утечка данных — не повод для паники и спонтанных мер.

Примечания