Последние три года серьезно изменили модель угроз для российских компаний. Атаки, инциденты и утечки, регулярно выплескивающиеся на первые полосы, показали всем, что строить цифровые системы, финансируя их безопасность по остаточному принципу, основываясь на вере в то, что «мы никому не интересны, что у нас воровать» — недальновидно. Сегодня цель политически мотивированных киберпреступников не украсть денег, хотя и этот мотив никуда не делся, а скорее доставить неудобство гражданам страны, скомпрометировать популярные цифровые сервисы (госуслуги, банки, телеком-компании, логистические сервисы и компании цифровой торговли), а также добавить персональных данных в копилку мошенникам.
Не только хакеры
Реже говорят об инцидентах, устроенных инсайдерами — сотрудниками и привилегированными пользователями самих цифровых сервисов. Среди них часто бывали политически мотивированные — выражающие своими действиями политическую позицию, но таких инцидентов было много в 2022 году, потом те, кто их организовывал, скорее всего, выражали свою позицию уже из-за рубежа. Несмотря на громкие инциденты вроде «Яндекс Еды» и «Ленты», большинство компаний свою модель внутренних угроз под новую реальность не адаптировало. Далее в статье мы рассмотрим инциденты и адаптированную под них модель угроз.
Сотрудники под ударом
Начнем с истории, рассказанной CIO крупной компании. Однажды к нему пришел системный администратор и показал переписку со злоумышленниками. Они предлагали администратору критичной для бизнеса системы крупную сумму в биткойнах за предоставление доступа к определенным данным. Когда айтишник написал собеседнику, что за такое можно и в тюрьму угодить, тот ответил, что если данные окажутся ценными, то можно вести речь о выезде и натурализации в одной из европейских стран. Схема, довольно часто сегодня используемая иностранными спецслужбами, мы слышали из новостей и об угоне военной техники, и о терактах, по ней организованных, — потому сотрудник и поспешил доложить руководству. Были вызваны сотрудники компетентных органов, дальнейшее общение было уже за пределами компетенции CIO, и только одна мысль его беспокоила: из двухсот сисадминов, находящихся в его подчинении, пришел только один. Это означает, что остальные похожих переписок не вели? Или вели, но не пришли?
Кибербезопасность — это неудобно, неблагодарно, но обязательно
Платить и обещать эмиграцию (хотя тут будет больше уместно слово «эксфильтрация») довольно дорого, хотя, как мы знаем, «обещать — не значит жениться». Более дешевый способ — найти родственников за рубежом и угрожать им. Или не за рубежом — благодаря утечке из «Яндекс Еды» сегодня многие адреса и коды от подъездов можно получить достаточно легко. Выбор между безопасностью родных и выполнением служебных обязанностей для гражданского человека очевиден, к тому же цифровое преступление до сих пор ментально воспринимается как менее опасное, чем офлайновое, например, поджог или вандализм. К тому же многие цифровые нарушения можно легендировать как ошибку или халатность при выполнении служебных обязанностей.
Мониторинг не спасает
Два упомянутых выше вида нарушителей в корне меняют модель угроз цифровой системе. Не секрет, что большинство средств защиты от внутренних угроз работают в режиме мониторинга — то есть инциденты становятся известными операторам уже после того, как они произошли. Включать системы контроля рядовых внутренних и привилегированных пользователей в режиме блокирования довольно накладно. Во-первых, для минимизации ложноположительных срабатываний надо глубоко изучать бизнес-процессы, реализованные в цифровой системе, — зачастую сотрудники безопасности не видят процесс целиком, как цепочку событий, а настраивают правила систем внутренней безопасности только на конкретное событие. Во-вторых, чтобы иметь возможность блокировать события, надо менять архитектуру подключения средств защиты информации, включать их «в разрыв» — а это дополнительная точка отказа, а значит, ее надо резервировать, кластеризовать и балансировать, что тоже стоит денег. Вот и работают системы защиты с копией трафика — те, кто так планируют внутреннюю информационную безопасность, исходят из того, что таким образом «защита» подменяется «неотвратимостью наказания», ведь информация о действиях пользователя остается в журнале мониторинга (а многие средства защиты еще и пишут видео экрана пользователя или администратора).
Мы знаем нарушителя, но ему плевать
Неотвратимость наказания — мощный фактор безопасности, но на некоторые типы нарушителей он не действует. Это касается не только ИТ, сегодня недели не проходит, чтобы в прессе не появилось сообщение, что вот еще один человек оказался завербован иностранными спецслужбами и схвачен за руку. Эти люди осознают риски, но продолжают делать свое черное дело, либо ведомые внутренними убеждениями, либо из корыстных побуждений, либо под страхом жизни своей или близких. Это означает, что сотрудник совершит задуманное, не боясь не только быть уволенным, но и быть обвиненным по тяжким статьям. Сольет, уничтожит или зашифрует данные, откроет доступ извне, запустит зловредное программное обеспечение, отключит важные сервисы и т. п. Да, вы об этом узнаете, сможете его обвинить, но сотрудник не планирует работать дальше у вас, тем более не планирует попадаться в руки правосудия. Вряд ли человеку, ответственному за информационную безопасность, станет легче от того, что он знает, кто и когда это сделал — по закону за сохранность данных на предприятии отвечает именно он, в том числе и по уголовным статьям.
Что делать?
Нет никакой волшебной галочки, при включении которой средство защиты информации от внутренних угроз станет активным. Перевод средств защиты информации в активный режим потребует перепроектирования, подразумевающего работу не с копией трафика, а «в разрыв», соответствующих инвестиций в инфраструктуру, а после этого — довольно много времени для тонкой настройки правил: вы же не хотите из-за ложноположительных срабатываний остановить критичные бизнес-процессы?
Десять стратегических трендов 2025 года и влияние на них кибербезопасности
Внутреннюю информационную безопасность можно эшелонировать, как мы это делаем и со внешней. Например, у вас есть система контроля привилегированных пользователей, и она реализует функцию выдачи доступа и логирования (вплоть до видеозаписи) всех действий администратора. Но если администратора не волнует, что кто-то узнает о его злонамеренных действиях (он или запуган, или уверен, что ему удастся уйти), то такая система защиты не спасет. Поэтому, несмотря на необходимо вводить запрет на определенные действия вне зависимости от прав администратора — уничтожение данных или их выгрузку, это можно обеспечить либо настройками СУБД, либо наложенными средствами.
То же касается настройки шлюзовой части DLP-системы при работе с трафиком. Не перестраивая привычный способ работать с копией трафика, например, можно запретить настройками почтового сервиса посылать файлы вложения, а чтобы не останавливать бизнес-процессы, разрешить класть эти файлы в защищенное корпоративное хранилище и посылать только ссылку на него, таким образом создавая дополнительный эшелон защиты контролем доступа к защищенному корпоративному хранилищу.
Заключение
Новые времена диктуют новые модели угроз. К сожалению, злоумышленники не чураются прибегать и к подкупу, и к шантажу, и к прямым угрозам, используя манипулируемых сотрудников явно или втемную. Дополнительный эшелон защиты или замена пассивного мониторинга на активное блокирование критичных операций с данными может уберечь вашу цифровую систему от большой беды, отвечать за которую придется вам.