8.3 ДЕСЯТЬ ШАГОВ К ПОВЫШЕНИЮ БЕЗОПАСНОСТИ
ИБ не сводится к разовым мерам или техническим инструментам, она подразумевает процесс, который следует организовать и поддерживать. Если организация предоставляет гражданам цифровой сервис, то лучшее решение — привлечь квалифицированного специалиста по ИБ не на этапе эксплуатации, а в момент проектирования архитектуры сервиса, чтобы планово ставить и решать задачи, провести верхнеуровневый аудит архитектуры, сформировать карту функциональных ролей и на ее основе создать пакет конкретных средств и мер защиты.
Вот десять шагов в этом направлении, сформулированных в виде вопросов. Ответить на них владельцу сервиса стоит как можно раньше.
1. Что является критичным событием?
Прежде чем определять критичные события, можно на уровне анализа системы задать уточняющие вопросы: где расположены компоненты (объекты), с которыми работает система, и данные, которые она обрабатывает, кто является пользователем системы (субъектом)? Из ответов можно строить модель ИС, а также модель ее угроз и нарушителей. Когда модель сформирована и получен реестр недопустимых событий, можно оперировать уже более конкретными понятиями, думать о техниках и тактиках, которые используют злоумышленники, обращаться к базам угроз и уязвимостей Федеральной службы по техническому и экспортному контролю России (ФТЭК) или MITRE. Следующим этапом будет согласование и утверждение модели угроз у регулятора.
MITRE ATT&CK® — база данных техник и тактик, привязанных к этапам реализации направленных атак, разработанная американской некоммерческой организацией MITRE. C 1999 года MITRE ведет также базу уязвимостей в программном обеспечении Common Vulnerabilities and Exposures.
Предположим, перед командой стоит задача запустить цифровой сервис записи в поликлинику. Руководитель хочет сделать его безопасным. С чего начать? Есть законодательство о защите ПДн, требования в области объектов критичной информационной инфраструктуры (КИИ), но что именно необходимо делать — поставить межсетевой экран, установить безопасную операционную систему, избавляться от уязвимостей? И то, и другое, и третье приведет к повышению безопасности, но прежде всего следует разобраться, что руководитель считает критичным событием, которое никогда не должно произойти. Допустим, для сервиса записи в поликлинику важно, чтобы он работал 24/7, а данные пациентов не были искажены, удалены или украдены. Значит, критичным будет нарушение любого из этих сценариев. Из технических мер, кроме шифрования, нужны надежная аутентификация и разграничение доступа.
Предположим, перед командой стоит задача запустить цифровой сервис записи в поликлинику. Руководитель хочет сделать его безопасным. С чего начать? Есть законодательство о защите ПДн, требования в области объектов критичной информационной инфраструктуры (КИИ), но что именно необходимо делать — поставить межсетевой экран, установить безопасную операционную систему, избавляться от уязвимостей? И то, и другое, и третье приведет к повышению безопасности, но прежде всего следует разобраться, что руководитель считает критичным событием, которое никогда не должно произойти. Допустим, для сервиса записи в поликлинику важно, чтобы он работал 24/7, а данные пациентов не были искажены, удалены или украдены. Значит, критичным будет нарушение любого из этих сценариев. Из технических мер, кроме шифрования, нужны надежная аутентификация и разграничение доступа.
2. Сформирована ли команда специалистов по безопасности?
«Аутентификация», «авторизация», «шифрование», «обнаружение вторжений» — знакомые многим термины, но только специалисты знают, как применять соответствующие средства защиты и выстраивать вокруг них процессы управления. ИБ не может быть гарантирована: завтра кто-то придумает новую атаку или найдет новую уязвимость. Защиту нельзя полностью автоматизировать, поэтому критически важные сервисы защищают живые команды в режиме 24/7.
В бизнесе верхнеуровневый специалист по безопасности обозначается аббревиатурой CISO — Сhief Information Security Officer
Для совершенствования работы команды ИБ и отработки реакции на инциденты проводятся киберучения. В крупных компаниях они обычно проходят по следующему сценарию. Участники договариваются о тех угрозах, которые должны быть реализованы командой атакующих («красными», red team). Команда безопасности компании («синие», blue team) должна их обнаружить. Противостояние развертывается в режиме реального времени. «Атакующие» должны незаметно пройти по инфраструктуре и «нажать красную кнопку». А «синие» — увидеть эти события и далее или заблокировать «красных», или — если атаке дают возможность развиться — отследить ее на каждом шаге.
Для совершенствования работы команды ИБ и отработки реакции на инциденты проводятся киберучения. В крупных компаниях они обычно проходят по следующему сценарию. Участники договариваются о тех угрозах, которые должны быть реализованы командой атакующих («красными», red team). Команда безопасности компании («синие», blue team) должна их обнаружить. Противостояние развертывается в режиме реального времени. «Атакующие» должны незаметно пройти по инфраструктуре и «нажать красную кнопку». А «синие» — увидеть эти события и далее или заблокировать «красных», или — если атаке дают возможность развиться — отследить ее на каждом шаге.
Команда ИБ работает хорошо, если, несмотря на срабатывания средств защиты, дело не доходит до инцидента безопасности (тем более до реализации рисков или нежелательных событий). Это означает, что:
- корректно выбраны, установлены и настроены средства защиты;
- написаны и исполнены регламенты выявления инцидентов безопасности и реагирования на них;
- контроль безопасности настроен так, чтобы не допускать реализации рисков и пресекать вредоносную активность до ее приближения к критичному ресурсу.
Нельзя полагаться на то, что появление в команде архитектора по безопасности решит все проблемы. Предложенную модель угроз надо будет применить: установить и настроить средства защиты, создать систему управления информационной безопасностью (СУИБ). Для этого нужна команда из разных специалистов.
3. Внедрены ли средства защиты?
Огромное количество современных цифровых сервисов работает через веб-канал, поэтому необходимо обеспечивать безопасность соединения пользователя с сервисом с помощью шифрования канала. Это также дает возможность аутентификации по сертификату на стороне сервера.
По криптографическому протоколу, который подразумевает более безопасную связь. Сертификат безопасности SSL (Secure Sockets Layer) — это стандарт передачи данных с использованием цифровых подписей. Цифровая подпись сайта/системы/сервиса необходима для работы протокола защищенной передачи данных в Сети, поскольку именно она обеспечивает зашифрованное соединение между пользователем и сайтом.
На этапе выбора средств защиты команда специалистов проверяет:
- Используются ли специальные межсетевые экраны уровня приложений — актуальна ли угроза взлома сервиса?
- Используются ли подходы на основе безопасной разработки ПО?
- Как реализована защита от DDoS-атак?
- Как организован доступ к информации и работа с сервисом — через браузер или специально подготовленное клиентское приложение?
Если применены стандартные и проверенные протоколы, в них обнаружены и исправлены все основные уязвимости, то и сам сервис будет работать быстрее и стабильнее, чем полностью самостоятельная разработка. В выборе средств можно опираться на фреймворки некоммерческой организации The Center for Internet Security (CIS) — CIS Top Security Control.
4. Отделена ли открытая информация от конфиденциальной? Выполнена ли сегментация данных на уровне архитектуры сервиса?
Данные, файлы, базы данных, а также программная часть пользовательского интерфейса не должны находиться на одном сервере. Необходима сегментация и разнесение информации разных уровней конфиденциальности по разным объектам хранения и обработки. Объект из категории среднего уровня значимости не должен попадать сразу в категорию более высокого уровня значимости. Идентификаторы учетных записей пользователей, конкретные ФИО или паспортные данные или, тем более, номера медицинских карт — информация разных категорий. Соответственно, им требуется разный уровень защиты.
Лучшая практика — разносить данные разных категорий значимости по отдельным сегментам инфраструктуры и контролировать доступ субъектов (пользователей) из сегмента с одним уровнем значимости в сегмент с другим уровнем значимости. Разделение объектов с разным уровнем конфиденциальности позволяет не только упростить архитектуру, но и сделать ее более безопасной без нагромождения средств защиты.
В ВТБ создана математическая модель, которую можно использовать для привлечения клиентов, оценки рисков и персональных рекомендаций. С помощью методов машинного обучения последовательность действий клиента может быть представлена в виде обезличенных векторов (эмбеддингов), которые используются для предсказания поведения клиента. Векторная технология может применяться и для проактивного предоставления госуслуг. При этом она обеспечивает безопасность обработки данных: в ней нет ПДн.
В ВТБ создана математическая модель, которую можно использовать для привлечения клиентов, оценки рисков и персональных рекомендаций. С помощью методов машинного обучения последовательность действий клиента может быть представлена в виде обезличенных векторов (эмбеддингов), которые используются для предсказания поведения клиента. Векторная технология может применяться и для проактивного предоставления госуслуг. При этом она обеспечивает безопасность обработки данных: в ней нет ПДн.
Эмбеддинги (от англ. embedding — вложение) — термин, который пришел в машинное обучение из технологий автоматической обработки естественного языка, где он обозначает процесс или, чаще, результат процесса преобразования по определенным правилам языковой сущности (слова, предложения или целого текста) в набор чисел — числовой вектор.
Когда данные должны быть доступны широкому кругу лиц, выше риск по недосмотру обнародовать то, что не предназначено для публикации. Комбинация данных также повышает уровень риска: при объединении нескольких наборов данных, не несущих конфиденциальной информации, можно вычленить новые, неявные характеристики.
5. Обеспечен ли контроль доступа к данным?
Кроме сегментации данных, для разграничения доступа пользователей к разным сегментам используется такой базовый метод защиты данных, как аутентификация пользователя. Как она происходит?
1
Пароль
Для надежной защиты привычная пара «логин + пароль» не подходит, поэтому применяют методы двухфакторной аутентификации: в этом случае у пользователя есть второй фактор — программный или аппаратный токен, механизм синхронизации и оповещения.
2
Биометрическая аутентификация
Отпечатки, голос, визуальные методы на основе анализа черт лица, микромоторики. Биометрические системы активно внедряются в банках. На уровне государства разработана Единая биометрическая система (ЕБС), которая использует комбинацию изображения и голоса. Обсуждая применение таких систем, эксперты указывают на сверхчувствительность биометрических данных: это «неизменные данные, которые достаточно украсть один раз навсегда».
См.: Единая биометрическая система (ЕБС) // TAdviser.
Наталья Касперская: никаких особых способов защиты биометрии нет // РИА Новости.
Для работы с документами разработаны методы аутентификации их источников и содержимого — электронно-цифровая подпись (ЭЦП). Раньше для ее использования был нужен физический носитель — карта памяти. Сейчас облачная ЭЦП может находиться в доверенном хранилище, и для доступа к ней достаточно смартфона и дополнительного фактора аутентификации при подписании документа (ОТР/Push-уведомления и СМС, которые приходят на доверенное устройство, или просто пароля).
6. Выделены ли разные категории пользователей?
С базами данных работают две категории пользователей: внутренние и внешние. У внутренних пользователей в целом больше прав по сравнению с внешними, но при этом у администратора полномочий значительно больше, чем у рядового пользователя системы (например, администратор может сразу скачать все записи из базы). Для разных категорий пользователей создаются разные «песочницы», или «капсулы», безопасности. Для внешнего пользователя достаточно входа по паролю и второму фактору аутентификации. Для внутреннего иногда создается особая программная среда, в которой у него в принципе нет возможности сохранить или выгрузить данные; в такой среде действует система контроля доступа, которая анализирует все виды активности пользователя.
7. Ведется ли мониторинг безопасности и управление системой защиты?
ИБ — не статический набор средств защиты и мер, а состояние, которое необходимо поддерживать. Регулярно появляются новые тактики атак, новые уязвимости. Приходят новые команды безопасности, беспечные сотрудники забывают сменить пароль. Причин для мониторинга много, вопрос в том, как его проводить. Иногда организации идут по формальному пути и начинают строить систему менеджмента ИБ по серии стандартов ГОСТ Р ИСО/МЭК 2700х. Это правильный путь, но долгий, он касается комплексного управления безопасностью в компании. Если же рассматривать мониторинг как возможность в любой момент времени ответить на вопрос «Что сейчас происходит с системой (сервисом)?», то такую задачу можно решать на разных уровнях, описанных в табл. 5.
Таблица 5
Уровни мониторинга безопасности данных
Национальный стандарт Российской Федерации «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» // Электронный фонд правовых и нормативно-технических документов.
Настроить процессы безопасности — значит отнестись к данным как к активу и наладить управление средствами защиты, аудита, реагирования на инциденты в соответствии с уровнем развития инфраструктуры. Необходимо настроить аналитику для понимания состояния защищенности системы. Средства безопасности должны акцентировать внимание специалиста по безопасности на проблемах. Метрика, позволяющая однозначно утверждать, что команда безопасности и созданная ею система работают хорошо, для каждой организации формируется индивидуально.
Можно опереться на стандарты серии ГОСТ Р ИСО/МЭК 2700х
Аудит уже работающего сервиса можно провести в виде тестирования на проникновение внутрь системы (англ. рenetration test, «пентест»). Почти все пентесты заканчиваются проникновением, но у руководителя появляется понимание общей картины и проблем, которые стоит устранить в первую очередь (например, закрыть уязвимости или переписать веб-приложение).
В ходе международного аудита Организации Объединенных Наций по промышленному развитию (ЮНИДО) в начале 2021 года аудиторы Счетной палаты РФ провели тестирование на проникновение в ИТ-системы организации и сравнительный анализ готовности к кибератакам. Системы имели продвинутую «многослойную» защиту, но в некоторых случаях аудиторам удалось получить доступ к конфиденциальной информации: ПДн сотрудников, записям совещаний руководства организаций, к данным, хранящимся в ИТ-системах. Такой доступ дает возможность, к примеру, подменить банковские реквизиты, что в момент оплаты позволяет перевести деньги не поставщику, а злоумышленнику. Аудиторы также смогли получить доступ к отдельным файлам и целым папкам, где хранились ссылки на все файлы организации, которыми сотрудники когда-либо «делились». Многие организации системы ООН по результатам проведенных аудитов приняли стратегическое решение пересмотреть подходы и выделили в ИТ-службе сотрудника, который будет отвечать за локализацию политик ООН, а также выполнять мониторинг инцидентов и анализировать возникающие риски нарушения кибербезопасности.
В ходе международного аудита Организации Объединенных Наций по промышленному развитию (ЮНИДО) в начале 2021 года аудиторы Счетной палаты РФ провели тестирование на проникновение в ИТ-системы организации и сравнительный анализ готовности к кибератакам. Системы имели продвинутую «многослойную» защиту, но в некоторых случаях аудиторам удалось получить доступ к конфиденциальной информации: ПДн сотрудников, записям совещаний руководства организаций, к данным, хранящимся в ИТ-системах. Такой доступ дает возможность, к примеру, подменить банковские реквизиты, что в момент оплаты позволяет перевести деньги не поставщику, а злоумышленнику. Аудиторы также смогли получить доступ к отдельным файлам и целым папкам, где хранились ссылки на все файлы организации, которыми сотрудники когда-либо «делились». Многие организации системы ООН по результатам проведенных аудитов приняли стратегическое решение пересмотреть подходы и выделили в ИТ-службе сотрудника, который будет отвечать за локализацию политик ООН, а также выполнять мониторинг инцидентов и анализировать возникающие риски нарушения кибербезопасности.
8. Обучены ли сотрудники основам безопасной работы с данными?
Человеческий фактор — один из наиболее существенных источников угроз. Как бы хорошо сервис ни был защищен, уровень цифровой грамотности пользователей, которые работают с сервисом, часто невысок, и тогда они становятся «точкой» проникновения внутрь системы, жертвами социальной инженерии. Еще более опасен низкий уровень цифровой грамотности внутренних привилегированных пользователей, которые имеют право, например, обслуживать базу данных.
9. Проработана ли отказоустойчивость сервисов, введена ли практика резервного копирования данных? Если да, то минимизированы ли риски при обеспечении отказоустойчивости и резервном копировании?
Под отказоустойчивостью обычно понимают свойство сервиса сохранять работоспособность и продолжать выполнение задач, даже если отдельные компоненты ИТ-инфраструктуры выходят из строя. Предотвратить угрозу безвозвратной потери данных, сделать инфраструктуру более надежной позволяет практика резервного копирования (создания бэкапов).
10. Обеспечена ли безопасность процессов разработки (в случае, если организация располагает собственными разработчиками)?
Для надежной и безопасной разработки необходимо использовать классический ИТ-ландшафт: среду разработки, среду тестирования и продуктивную среду. Все три среды должны быть независимы друг от друга — данные между ними не должны передаваться. В процессе разработки сервиса для разработчика важно иметь наборы тестовых данных в тестовой среде, не несущие чувствительной информации.