У данных появится единый защитник

Новый смарт-сервис найдет источники утечки сведений в информационных госсистемах

К 2021 году в России разработают платформу для обнаружения мошеннических действий, связанных с государственными информсистемами (ГИС). Она включена в федеральный проект «Информационная безопасность». Эксперты считают, что необходимо усиление мер ответственности за обеспечение защиты данных, к которым появится доступ.


ОСТАНОВИТЬ РОСТ ХИЩЕНИЙ КОНФИДЕНЦИАЛЬНОГО

Предполагается, что подозрительные данные сведут в единую базу. Сервис сможет определить источник утечки и найти злоумышленников. При этом ресурсы со «слитой» персональной информацией автоматически заблокируют.

Необходимость создания госплатформы для мониторинга фишинговых сайтов и утечек персональных данных (ПД) обусловлена увеличением преступлений в digital-сфере, объяснил RSpectr директор по направлению «Информационная безопасность» АНО «Цифровая экономика» Николай Зубарев. По его словам, о росте свидетельствует статистика МВД РФ – за год число преступлений в цифровой среде выросло на 97 процентов.

При этом повышается сложность целевых атак на госсистемы, отмечает системный архитектор компании «Открытые технологии» Алексей Иванков.

В 2019 году ГК InfoWatch зафиксировала 395 случаев утечки информации из российских компаний и государственных органов, в результате было скомпрометировано более 172 млн записей ПД и платежной информации.

 

Число предложений в даркнете по «пробиву» информации о человеке зашкаливает. Информацию о счетах в банке, имуществе, перемещении по городу, звонках и даже переписку WhatsApp можно легко купить, констатирует независимый эксперт по информационной безопасности (ИБ) Денис Батранков.

Денис Батранков:

– Самый активно продаваемый товар сегодня – номера мобильных телефонов. Они нужны страховым компаниям, застройщикам, банкам и другим компаниям, которые хотят вам что-то продать.

Эксперты InfoWatch прогнозируют рост инцидентов, что связано со снижением доли бумажного документооборота и расширением практики дистанционного предоставления услуг


ЧАСТЬ ИНФРАСТРУКТУРЫ ГОСУСЛУГ

Методы социальной инженерии не устаревают, и жертвами фишинговых атак становятся простые граждане, согласен гендиректор Phishman Алексей Горелкин. В разговоре с RSpectr он назвал создание платформы и ее поддержку на государственном уровне благом.

Идея с госмониторингом здравая, потому что утечки бьют не только по ИБ, но и по доверию людей к власти, отметил в беседе с RSpectr председатель совета фонда «Цифровая долина Сочи» Антон Немкин.

Ранее с похожими инициативами о создании центров мониторинга за утечками и киберпреступлениями выступали такие компании, как Сбербанк, Group-IB, напомнил RSpectr технический директор Varonis в России Александр Коновалов.

МВД в свое время смогло справиться с морем нелицензионных дисков на рынках, так же ему удастся взять под контроль огромный рынок торговли ПД, считает Д. Батранков.
Создание платформы является логичным и целесообразным шагом, говорит А. Иванков. Это фактически означает, что контроль утечек ПД будет осуществляться на регулярной основе, рассказал RSpectr директор департамента ИБ компании Syssoft Яков Гродзенский. Он объяснил, что этот процесс станет частью инфраструктуры системы госуслуг, а не сервисом, оказываемым сторонней компанией, – который можно заказать, а можно нет.

Критично важные данные, к которым относятся и ПД, необходимо оперативно убирать из общего доступа, говорит А. Коновалов. Однако, по словам эксперта, следует помнить, что сделать это возможно только в контролируемом периметре.

Александр Коновалов, Varonis:

– Все, что уже оказалось за пределами организаций, обрабатывающих ПД, согласно действующему законодательству, не может быть быстро изъято. Требуются запросы к ресурсу, суды, судебные постановления. Это сильно затягивает сроки достижения цели. За это время доступ к данным, если они интересны кому-либо, не успеет получить только ленивый.

Эксперт отмечает, что 

кроме юридической стороны вопроса остается еще и техническая: нет средств, способных обнаружить утекшие ПД, которые не публикуются в открытом доступе

«Ведь для продажи этих данных вовсе не обязательно выкладывать их в интернет и тем более давать к ним публичный доступ, как в Wikileaks. Достаточно объявлений об их реализации, а далее метод доставки базы или ее части к покупателю будет согласовываться продавцом с учетом оправданности рисков, на которые он готов пойти», – объяснил А. Коновалов.

Контроль фишинговых сайтов и борьба с утечками ПД – это две разные темы, рассказал RSpectr старший программист «Яндекс» Алексей Чащегоров.

Алексей Чащегоров, «Яндекс»:

– Для полноценного мониторинга ресурсов, способствующих отъему денег или информации у пользователя, требуется просматривать либо весь интернет – как это делают IT-гиганты, либо работать с жалобами на конкретный сайт. Второе не эффективно, так как покрытие мошеннических онлайн-ресурсов будет лишь частичным, а число людей, занятых в работе по запросам, слишком велико.

Мониторинг утечки ПД помогает понять, почему произошел инцидент, и предотвратить его. Для чего вести борьбу с потерей личных данных тем, кто хранит или работает с ними? Только для того, чтоб не нести материальную ответственность за факт пропажи по их вине.


КРИТЕРИИ ЭФФЕКТИВНОСТИ СИСТЕМЫ

Д. Батранков указал, что создание платформы снизит число случайных утечек, но не остановит число намеренных. Руководитель направления информационной безопасности TEGRUS Кирилл Уголев рассказал RSpectr, что, действительно, создание еще одного ресурса, имеющего доступ к базам данных, может привести к тому, что собрать и «вынести» информацию будет намного проще.

Кирилл Уголев, TEGRUS:

– Это станет возможным, если не будет разработана соответствующая эффективная нормативная база по функционированию платформы. А также система ответственности за обеспечение безопасности информации, к которой появится доступ.

Без таких мер, по мнению эксперта, появление еще одного источника данных вряд ли сможет как-то кардинально изменить ситуацию в отрасли ИБ.

А. Чащегоров согласен, что 

лишь две меры: крупный штраф за компрометацию данных и неотвратимость исполнения судебного решения – способны создать рынок таких систем

К. Уголев также отмечает, что пока не до конца понятно, кто станет конечными пользователями этой платформы и какие полномочия они будут иметь.

Как будет осуществляться автоматическая блокировка ресурсов при утечке данных, задается вопросом А. Коновалов. По его словам, единственный относительно эффективный метод – через DNS и запрос на удаление кэша в поисковиках. Эксперт делает вывод, что технически вопросы реализации инициативы не проработаны.


ОТДЕЛЬНЫЕ КЕЙСЫ ПО ИБ ИЛИ ЕДИНАЯ ПЛАТФОРМА?

Услуги по комплексной защите информации предлагают многие компании отрасли. Но коммерческие сервисы (КС) направлены в первую очередь на защиту от фишинга корпоративных и государственных заказчиков, то есть сотрудников предприятий и служащих госструктур, говорит А. Горелкин.

Проблема КС в разрозненности, естественном желании монетизации и в ограниченности ресурсов, считает А. Немкин. Если платформа для мониторинга будет создана, то государство получит возможность оперативно блокировать мошеннические сайты и начинать расследование, чего коммерческие структуры сделать не могут из-за отсутствия административного ресурса, пояснил он.

К. Уголев отмечает, что сегодня крайне мало опубликованной информации о том, как именно будет функционировать госплатформа и чем она будет как-то принципиально отличаться от того, что есть уже сейчас у производителей средств защиты. В частности, указан очень ограниченный перечень объектов мониторинга, уточнил эксперт.

Очевидно, что создание платформы приведет к последствиям для рынка. Сократится спрос на подобные услуги со стороны госорганов, поскольку эта услуга будет предоставляться централизованно государством, пояснил Я. Гродзенский.

Вместе с тем А. Чащегоров сомневается в том, что с помощью единого решения получится надежно решить вопрос эффективного мониторинга.

Алексей Чащегоров, «Яндекс»:

– Каждый, кто работает с ПД, отчуждает их к себе, имеет особенности хранения информации и специфичные возможности для компрометации. Госплатформа не сделает работу с персональными данными более безопасной на стороне фактически ответственной за их обработку организации.


ЦЕНА ВОПРОСА

Эксперт «Яндекса» считает, что проект должен быть реализован за деньги заинтересованных в этом организаций, а не за государственный счет и средства рядовых граждан.
Известно, что на создание платформы уйдет 1,4 млрд рублей с 2021 по 2024 год, говорит А. Чащегоров. Однако польза от мониторинга фишинговых сайтов и утечек ПД не равнозначна для налогоплательщиков страны, отмечает собеседник.

Алексей Чащегоров, «Яндекс»:

– Успешная целевая хакерская атака на представителя крупной организации или банка дает гораздо больше прибыли злоумышленникам, нежели нападение на физических лиц. При этом корпоративный сектор оплачивает борьбу с фишингом и утечками ПД, в деталях понимая цену ущерба и разумную цену средств борьбы с ним. Рядовой гражданин обычно не имеет такой оценки.

Таким образом, бизнес осознает свои интересы и при этом уже имеет решения для защиты. А потребности произвольного налогоплательщика не выяснены.

Эксперт «Яндекса» к тому же замечает, что 1,4 млрд рублей недостаточно для анализа всех сайтов в интернете на причастность к фишингу. Явная целевая аудитория системы – корпоративные клиенты. Для частных лиц польза платформы пока не выявлена. Ее значимость будет зависеть от того, насколько открытыми и проверенными будут аналитические данные о потерях граждан от фишинговых схем.


ПОЖЕЛАНИЯ РАЗРАБОТЧИКАМ

У профильной рабочей группы платформа не вызывает нареканий, сообщил Н. Зубарев. Федпроект еще не сформирован окончательно, и работа над ним продолжается, говорит представитель АНО «Цифровая экономика». При этом его нужно создавать быстро из-за высокой скорости мимикрирования ИБ-угроз, отмечает А. Иванков.

А. Немкин считает, в свою очередь, что 

вместе с платформой государству нужен специальный центр принятия решений

Антон Немкин, «Цифровая долина Сочи»: 

– В случае если система найдет утечку данных клиентов банка, то необходимо удалять или блокировать эту страницу и искать виновника. А это уже поле деятельности специалистов. Платформу нужно выстроить так, чтобы автоматизированная система принимала только первичные решения. А конечные оставались за компетентным человеком или группой таких людей.

Продукты по контролю за утечками дороги, и при их настройке и эксплуатации нужна высокая квалификация экспертов, констатирует Д. Батранков.

Денис Батранков:

– Нельзя сделать такую госплатформу без серьезного исследовательского центра, национальной лаборатории. Значит, сначала надо ее создать, нанять туда специалистов, постоянно обучать их, как это сделали в «Лаборатории Касперского», Palo Alto Networks и других международных компаниях.

Идея платформы должна учесть, что скомпрометированные данные, согласно лучшим практикам ИБ, следовало бы менять в оперативном режиме, говорит А. Коновалов. Это касается паспорта, а также других идентификационных номеров и соответствующих им документов, утечка которых будет зафиксирована.

Александр Коновалов, Varonis:

– Это должно происходить за счет либо конкретных лиц, либо организаций, допустивших инцидент. А при отсутствии доказательной базы – за счет выгодоприобретателей базы данных, из которой потенциально произошла утечка.

Однако эксперт отмечает, что быстрое изменение скомпрометированных данных практически невозможно, особенно когда речь идет, например, об адресе постоянной регистрации.
Говорить о серьезной защите ПД граждан сложно, тем более в свете создания единого регистра сведений о населении, заключает А. Коновалов. Единственное, что изменит появление платформы, – это то, что продажа баз данных еще больше сместится в даркнет, то есть купить ПД станет чуть сложнее.

Кирилл Уголев, TEGRUS:

Если механизм на выходе окажется отлаженным и действительно эффективно работающим, то мы будем значительно реже слышать о мошеннических схемах, в ходе которых совершаются какие-либо сделки или обман людей при помощи поддельных документов. Будет меньше звонков «от службы безопасности банка», когда злоумышленник знает о вашем счете в конкретном банке, вашем имени, фамилии и иной информации.

Д. Батранков считает важным вопросы просвещения, а именно, процесс формирования у граждан понимания, что разглашать чужие ПД не просто плохо, а еще и наказуемо.

Изображения: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Агрегатор при власти
Как будут объединяться электронные госсервисы и частные маркетплейсы