2022 год показал не только рост утечек персональных данных, такие инциденты происходили и ранее, но и частые обсуждения ужесточения санкций за такие нарушения со стороны регуляторов. Функциональность DCAP-системы «Спектр» позволяет предотвращать утечки конфиденциальной информации и обеспечивать выполнение требований 152 ФЗ. Расскажем, как DCAP помогает избежать штрафов и позволяет контролировать данные компании и все действия, выполняемые с ними.

 

Введение

В октябре 2022 года Минцифры России доработало законопроект об оборотных штрафах и предусмотрело в нем ответственность для должностных лиц компании, допустившей утечку информации. В новом варианте документа появились штрафы для руководителей компаний. Так, главу компании оштрафуют на 200-400 тыс. руб в случае, если в широком доступе оказалось от 10-100 тыс. строчек. Сейчас в КоАП прописаны штрафы за утечку данных только для юридических лиц, и они довольно скромные. 60-100 тыс. руб. компания должна уплатить при первой утечке, при повторной — до 500 тыс. руб. Что касается более крупных инцидентов — например, если в сети оказалась выгрузка ПДН, содержащая больше 100 тыс. записей, к компании применят жесткие штрафы в размере 1% годовой выручки и до 3%, если она попыталась скрыть проблему от Роскомнадзора.

Такие изменения уже давно обсуждаются и являются довольно логичными, учитывая уже давно введенные меры в части стандарта GDPR, где оборотный штраф может доходить до 4%. По мнению экспертов, измененное законодательство должно способствовать трансформации подходов компаний в части защиты информации, содержащей персональные данные.

Вопрос введения штрафов за утечку персданных обсуждается на правительственном уровне. К 1 июля 2023 года Правительство РФ по поручению президента должно «рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных».

В свете роста внимания с стороны российских законодателей к информационным утечкам и роста числа утечек персональных данных появляется потребность в укреплении и расширении внутренних систем безопасности.

Системы классов DCAP/DAG всегда являлись неотъемлемой составляющей ИБ ландшафта, которые не просто могут оперативно выявить факты утечек информации, но и автоматизировано выстроить процессы, которые этого не будут допускать. Система «Спектр» от компании «СайберПик» применяет различные технологии и аналитику в части безопасности данных и действий по отношению к ним.

Рассмотрим, как данный процесс выстраивается в организациях и как на практике «Спектр» может снизить риски утечки данных и попадания компании под штрафные санкции со стороны регулятора.

Обнаружение мест хранения критичной информации

Обнаружение и классификация данных, подпадающих под действие 152 ФЗ, может быть затруднено, именно поэтому в системе «Спектр» разработаны предустановленные шаблоны для Модуля классификации. «Спектр» анализирует каждый документ на хранилищах данных, чтобы можно было отслеживать данные, подпадающие под действие 152 ФЗ. Эта информация содержит файлы, папки и разрешения для всех разделов хранилищ, где могут находиться конфиденциальные данные, проводя анализ хранилищ под управлением OC Windows Server, Linux, порталов SharePoint, NAS систем, репозиториев исходного кода, облачных хранилищ и ряда других систем, предназначенных или используемых для хранения различных файлов компаний.

Для оперативного определения всех мест хранения критичной информации важны 3 фактора:

• полнота перечня анализируемых документов, 
• скорость классификации,
• качество этих проверок.

Система «Спектр» способна анализировать более 100 различных форматов данных, включая их вложенность друг в друга. Адаптированные категории классификации включают в себя опыт внедрений и эксплуатации продукта в крупнейших организациях страны. Скорость обработки данных превышает схожие метрики ранее присутствующих на рынке зарубежных решений, при этом, масштабируя виртуальные или аппаратные ресурсы, можно гибко адаптироваться под объемы данных любых масштабов в сотни терабайт. Все эти факторы позволяют провести первичную инвентаризацию файловых хранилищ и определить все места хранения критичной информации.

Контроль прав доступа сотрудников и наведение «порядка» в них

Ответив на вопрос — «Где расположены конфиденциальные данные?», даже в случае их нахождения в легитимных каталогах, важным этап выполнения требований регулятора является определение актуальной матрицы доступа к ним. Для этого необходимо иметь ответы на вопросы:

• Кто, к каким ресурсам, какими правами обладает.
• Каким образом выданы эти права: через членство в группах безопасности, или напрямую. 
• Присутствует ли в текущей картине прав глобальные, но не видимые на первый взгляд риски: выключенные наследования прав на каталогах, сломанные ACL, общедоступные папки, файлы.

Все эти моменты важно держать под контролем, ведь именно не оптимально настроенные права в большинстве случаев способствуют возникновению и развитию разного рода инцидентов по отношению к документам.

Аудит действий пользователей и расследование инцидентов

Анализ того, кто и как взаимодействует с конфиденциальными данными, подпадающими под требования 152 ФЗ является необходимым минимумом для выявления и расследования связанных с этими данными инцидентов на раннем этапе. Система «Спектр» ведет полное журналирование всех операций с документами, а также с помощью Модуля поведенческой аналитики и встроенной инцидентной модели позволяет выявить ряд важных последовательностей событий с точки зрения защиты данных, вот некоторые из них.

• Доступ к аномальному количеству файлов 152 ФЗ, к которым ранее не обращался сотрудник.

Как это работает: Модуль поведенческой аналитики оповещает сотрудника безопасности, когда пользователь получает доступ к статически значимому количеству файлов 152 ФЗ, к которым он ранее не обращался (т. е. не создавал, не модифицировал и не совершал других операций).

Что это означает:  Учетная запись пользователя ищет документы, содержащие данные 152 ФЗ, к которым она ранее не имела доступа. Эта может являться атакой, свидетельствующей о попытки проникновения, скомпрометированной учетной записи или следствием другого нарушения политик безопасности.

• Большое количество удаленных или измененных файлов 152 ФЗ.

Как это работает: Модуль поведенческой аналитики определяет, когда учетная запись пользователя удаляет или изменяет нетипичное количество файлов, содержащих данные 152 ФЗ, по сравнению с обычным поведением этого пользователя.

Что это означает: Когда пользователи удаляют или изменяют множество файлов, это может быть попыткой «замести следы», украсть данные или изменить информацию. Такие события часто указывают на то, что злоумышленник пытается повредить или уничтожить важные данные в рамках атаки типа «отказ в обслуживании».

• Большое количество неуспешных операций к файлам, содержащим данные 152 ФЗ.

Как это работает: Модуль инцидентов системы «Спектр» автоматически обнаруживает большое количество операций доступа к документам, попадающим под 152 ФЗ, к которым пользователь не смог получить доступ.
Что это означает: Когда пользователь получает такое количество отказов доступа за определенное время, он ищет или пытается получить доступ к документам, действия с которыми для него ограничены . Скорее всего, он не должен искать такого рода данные, и кто-то пытается использовать эту учетную запись для доступа к документам 152 ФЗ с целью эксфильтрации данных.

Модуль поведенческой аналитики и инцидентов системы «Спектр» выявляет подозрительную активность и нетипичное поведение в отношении данных 152 ФЗ, а также помогает оптимизировать расследование и проводить криминалистическую экспертизу потенциальных угроз. Также система предоставляет всю важную информацию, необходимую для того, чтобы оперативно сообщить об обнаружении утечки данных. При внедрении «Спектра» инженеры рекомендуют и помогают разработать план реагирования на оповещения, который соответствует практикам и политикам безопасности вашей организации для наиболее оперативного и качественного реагирования на подобные инциденты.

Автоматизация управлением местами хранения критичных данных

Чтобы ежедневно соответствовать требованиям 152 ФЗ, необходимо постоянно обнаруживать новые незащищенные документы, содержащие критичные данные и в максимально короткие сроки обеспечивать их защиту.

Поскольку пользователи создают новые файлы, существует вероятность того, что данные 152 ФЗ останутся незащищенными.  Модуль классификации данных системы «Спектр» работает в автоматическом режиме и постоянно обнаруживает новые данные 152 ФЗ среди общих ресурсов. Также он может передавать эту информацию Модулю автоматического переноса/удаления данных, который переместит недавно обнаруженные файлы, содержащие данные 152 ФЗ, в «карантинную» папку в автоматическом режиме во время следующего запланированного запуска. Как только данные 152 ФЗ будут помещены в карантин и защищены, сотрудник безопасности получит соответствующие оповещение и сможет исследовать файл и определить, кто должен иметь к нему доступ, где он должен храниться, а также оперировать любыми дополнительными условиями для соблюдения требований 152 ФЗ.

Комплексный контроль и защита данных, подпадающих под 152 ФЗ

Крайне важно иметь целостную картину состояния безопасности данных в соответствии с 152 ФЗ. «Спектр» предоставляет перечень отчетов, которые позволяют отслеживать данные 152 ФЗ, которые могут автоматически отправляться на email ответственному сотруднику или сохраняться в общую архивную папку на файловом сервере. Например, отчет «Общедоступные данные определенных категорий» покажет все совпадения категорий классификации, описывающие данные 152 ФЗ, которые находятся на защищаемых файловых хранилищах в широком доступе. В случае использования Модуля переноса/удаления данных для помещения в карантин новых документов, этот отчет можно использовать в качестве отправной точки для файлов, которые нужно защитить. В остальных случаях необходимо оперативно обеспечить блокировку или ограничение на права доступа к этим данным, которую также предоставляет система «Спектр».

Выводы

Как мы видим 152 Федеральный закон «О персональных данных» представляет общий подход в направлении того, как страна в целом подходит к требованиям конфиденциальности и безопасности данных. Конечно же подобная информация может располагаться и в других местах хранения информации, но учитывая, что неструктурированные данные составляют около 80% всех активов компании, использование систем класса DCAP/DAG является неотъемлемым инструментов отдела информационной безопасности для соблюдения требований безопасности данных.

Автор: Сергей Добрушский, директор по развитию продуктов компании «Сайберпик»