Автор: Константин Чмиль, консультант по ИБ RTM Group
В ходе проведения аудитов прав доступа были выявлены две главные проблемы: ручное управление доступом и избыточный доступ к данным организаций. Обе они свидетельствуют о несоответствии мере УЗП.3 "Контроль отсутствия незаблокированных учетных записей уволенных сотрудников" (подпроцесс "Управление учетными записями и правами субъектов логического доступа").
Своевременно не заблокированные учетные записи сотрудников, ушедших из компании, нередко становятся причиной возникновения инцидентов информационной безопасности. Почему происходят такие ситуации? Есть несколько объяснений.
В вопросе накопления прав главными источниками рисков становятся бывшие работники финансовых организаций и те, кто перешел из одного подразделения в другое. Дело в том, что при изменении штатной позиции сотрудник, занявший новую должность, получает новые права в информационной системе, а старые права не удаляются – их попрежнему можно использовать.
Или бывает, что работнику дали временно расширенные права на период отсутствия руководителя (отпуск, больничный), а потом забыли их удалить.
В обоих случаях вовремя не удаленные права могут стать причиной ненамеренной или намеренной утечки конфиденциальных данных, что порой приводит к уголовной ответственности.
Известный случай. В 2014 г. бывший сотрудник "Альфа-Страхования" после увольнения воспользовался доступом к корпоративной системе: скачал базу данных заключенных договоров и передал ее посреднику для перепродажи. В результате – два года условно [1].
Речь идет об учетных записях, которые дают доступ к внутренним системам, службам и приложениям, но не имеют реального владельца (учетные записи уволенных работников, а также технические и тестовые). Во время аудитов количество таких учетных записей исчисляется десятками.
В чем опасность бесхозных "учеток"?
Еще одна закономерность, выявленная в ходе аудитов, – игнорирование меры РД.11 (подпроцесс "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа"), требующей блокировать на 30 минут учетную запись пользователя после выполнения ряда неуспешных попыток аутентификации. Организации редко включают данное правило в свою политику, давая злоумышленникам возможность после нескольких неудачных попыток все-таки войти в учетную запись сотрудника и осуществить действия, влекущие за собой похищение конфиденциальных данных.
Как показывает статистика [2], пароли – настоящая "головная боль" безопасников. По данным "Ростелеком-Солар" (дочерней структуры ПАО "Ростелеком"), 80% организаций не соблюдает базовых правил парольной защиты: специалисты по анализу защищенности смогли получить администраторские права практически в каждой из тестируемых организаций. Что уж говорить о киберпреступниках.
Распространенная ситуация: в организации сотрудники пользуются множеством приложений, для каждого из которых нужен свой пароль, что крайне неудобно. Поэтому люди пишут их на листочках, которые клеят на монитор, хранят под клавиатурой или придумывают один пароль для авторизации во всех системах. Последнее становится причиной уязвимости всех учетных данных сотрудника.
Еще одна проблема: примитивные пароли, на подбор которых у преступников уходит около минуты. Несмотря на то, что мера РД.21 и РД.22 (тот же подпроцесс) гласит о необходимости использования пользователем пароля не менее чем из восьми символов, а администратором – не менее чем из 16 символов, многие работники финансовых и банковских организаций ей пренебрегают.
Показателен случай, произошедший буквально несколько лет назад. В 2020 г. была взломана система крупнейшего создателя сейфов – шведской компании Gunnebo. Злоумышленники украли 19 ГБайт конфиденциальных данных, которые впоследствии были "слиты" в даркнет, а именно соглашения об обеспечении физической безопасности шведского парламента и нового офиса шведского министерства по налогам, схемы банковских хранилищ и систем наблюдения, за которые грабители банков охотно заплатят огромные деньги [3].
Генеральный директор утверждал, что всему виной промышленный шпионаж, но расследование инцидента показало, что взлом был произведен через банальное угадывание пароля высокопоставленного сотрудника компании.
В наши дни не то что в каждой банковской/финансовой организации, а даже у каждого владельца ПК есть ПО, защищающее от вирусов. Однако если говорить о серьезной защите устройств и всей корпоративной системы от вредоносного кода, то просто установить антивирус недостаточно. Конечно, по умолчанию такая программа раз в некий период проводит автоматическую проверку, но этого мало. Сотрудники компаний зачастую не понимают, зачем проверять систему на вредоносный код в ручном режиме, – а делать это необходимо постоянно, иначе может произойти заражение персональных устройств и потеря информации.
Несмотря на требования, указанные в процессе "Защита от вредоносного кода", не все организации выставляют в настройках регистрацию неконтролируемого использования технологии мобильного кода, так как не понимают ее сути.
В итоге страдает защита от вредоносного мобильного кода.
Важно: понятие "мобильный код" относится к любому коду, перемещаемому с одного компьютера на другой, даже если это делается вручную. Общее определение включает и программы по типу "троянских коней". В узком смысле мобильный код – это код, доставляемый на компьютер по сетевому соединению и затем выполняемый автоматически, без вмешательства пользователя. Автоматическое выполнение мобильного кода чрезвычайно опасно с точки зрения защиты.
Виртуализация обеспечивает огромную экономию средств организации благодаря существенному сокращению площадей и электрической мощности, необходимых для работы центров обработки данных, а также благодаря оптимизации управления постоянно растущим количеством серверов. Но зачастую внедрение виртуализации происходит очень быстро в целях экономии времени и сокращения расходов. Стремясь скорее начать использовать виртуализированные сети и центры обработки данных, некоторые организации откладывают или попросту игнорируют вопросы безопасности, не описывая в должной мере требования к организации защиты информации.
Для примера: сотрудники ИТ-отдела организации объединили несколько физических серверов в один, на котором расположено несколько виртуальных машин, что снизило эффективность средств защиты, которые функционировали до внедрения. Следовательно, они не смогли обеспечить защиту и контроль, требования к которым указаны в процессе 7 "Защита среды виртуализации".
С учетом того, какой ущерб могут нанести инциденты банковским и финансовым организациям, целесообразно организовывать процессы управления ими, включающие в себя:
Все же нередко мы сталкиваемся с несоответствиями требованиям процесса 6 "Управление инцидентами защиты информации", что весьма странно, ведь все меры, описанные в процессе, можно реализовать с помощью современных SIEM-систем. Но одно наличие такого решения не всегда позволяет полностью перекрыть требования, так как оно нуждается в правильной настройке и квалифицированных специалистах. Так, однажды в ходе аудита было выявлено, что SIEM-система хоть и была внедрена в организации, но не перекрывала два десятка мер ГОСТ 57580.1.
Внедрение систем управления инцидентами стоит проводить вкупе с подготовкой документации, определяющей правила и состав группы реагирования на инциденты защиты. Как правило, большинство организаций их не прописывают, не обращая внимания на требования меры РИ.9 (подпроцесс "Обнаружение инцидентов защиты информации и реагирование на них").
Еще одно распространенное несоответствие относится к процессу 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств". Очень часто в организациях нет документов, регламентирующих процесс, включая правила удаленного доступа, перечень ресурсов доступа и прочее. И в целом не организован процесс, позволяющий обеспечивать безопасное подключение "по удаленке".
Лучшим решением в рамках этого требования является использование MDM (Mobile Device Management). MDM – это системы, с помощью которых ИТ-службы организаций могут управлять устройствами (телефонами, планшетами, ноутбуками и другой техникой, используемой в рабочих целях), находящимися у сотрудников. Без MDM меры данного процесса компенсировать крайне сложно.
В заключение хотелось бы подчеркнуть, что, хотя ГОСТ 57580.1 существует с 2017 г., подавляющее большинство организаций так и не получили должного соответствия стандарту. Выполняя и реализуя требования ГОСТа, важно строго соблюдать все прописанные меры. Только четкое следование правилам защиты ИБ может минимизировать шанс возникновения инцидентов, ведущих к серьезным нарушениям в работе финансовых и банковских организаций, а также избежать ненужного внимания со стороны регулятора.