Главная / О компании / Новости / Как снизить угрозу оборотных штрафов за утечку ПД

Как снизить угрозу оборотных штрафов за утечку ПД

« Назад

Как снизить угрозу оборотных штрафов за утечку ПД  12.03.2025 16:26

 

Сохранить контроль над вашей ИТ-инфраструктурой и снизить угрозу оборотных штрафов за утечку ПД позволяют решения для управления привилегированным доступом.
 
685876 Андрей Акинин
Генеральный директор Web Control
Экспертиза в дистрибуции решений информационной и сетевой безопасности, DevSecOps-продуктов и разработки PAM-систем
 
Кража персональных данных, проникновение в ИТ-инфраструктуру компании и получение контроля над ИТ-ресурсами для злоумышленников является бизнесом. И этот способ заработка хакеров дорого обходится их жертвам.  С введением оборотных штрафов за несвоевременное уведомление о начале обработки данных, об утечке данных или результатах внутреннего расследования, а также за саму кражу данных успешная кибератака может стоить компании до 500 миллионов рублей. Но это относится не ко всем компаниям, для небольших операторов персональных данных масштаб ущерба может быть не таким значительным. И часть руководителей принимает этот риск. 
 
Штрафы и кража данных — это лишь одно из последствий атаки киберпреступников на компанию. Убыток из-за простоя в результате действий злоумышленников, затраты на восстановление контроля над ИТ-инфраструктурой, восстановление самой инфраструктуры влияют на конкурентоспособность бизнеса в целом. По этой причине в современном мире пренебрежение возможной кибератакой — не лучшая идея. 
 
Кибератака не всегда требует значительных усилий и ресурсов для злоумышленников. Хакеры идут по пути наименьшего сопротивления. Самым легким путем является социальный инжиниринг, но он становится все менее доступным, люди начинают понимать, когда на них выходят мошенники. На втором месте по простоте проникновения является использование скомпрометированных учетных данных — «ключей», которые дают доступ к ресурсам. Согласно данным компании Positive Technologies 90% проникновений в сеть начиналось с компрометации учетной записи, потому что вору гораздо проще украсть ключ из кармана, чем возиться со взломом. Если украден ключ, то даже самые надежные замки и крепкие стены, как и вложения в них, становятся бесполезными. 
 
Когда один ключ для входа в сеть используется и для доступа к критической инфраструктуре, то при его компрометации злоумышленник немедленно получает доступ к вашим ИТ-ресурсам. Поэтому хорошей практикой является разделение доступа к сети и к критической инфраструктуре. По этой причине современная стратегия информационной безопасности строится вокруг защиты идентификационных данных — Identity Security — и дополнительной защиты привилегированного доступа. В большинстве компаний системы защиты идентификационных данных уже внедрены: где-то для этого используются встроенные средства MS Windows, где-то специализированные решения с многофакторной аутентификацией. Но они не решают проблему, если для привилегированного доступа используются те же идентификаторы, что и для доступа к сети. Не бывает абсолютно защищенных систем, поэтому для защиты критических ИТ-систем целесообразно выстраивать дополнительную линию обороны. 
 
Что можно отнести к критическим системам
 
Работу современной цифровой компании обеспечивает множество ИТ-ресурсов: серверы, сетевое оборудование, различные устройства, базы данных, бизнес-приложений и многое другое. Критическими являются те ресурсы, без которых работа компании будет под угрозой. Для управления ими целесообразно использовать отдельные идентификаторы — учетные записи администратора — с дополнительной защитой. 
 
Если злоумышленник получает доступ в сеть, это может не оказать существенного влияния на работу компанию. А компрометация учетной записи администратора представляет реальную угрозу получить оборотный штраф или потерять контроль над ИТ-ресурсами. Такими учетными записями — привилегированными учетными записями или привилегиями — нужно управлять отдельно, для этого используют системы управления привилегированным доступом или PAM.
 
Что делает PAM
 
PAM-системы берут под контроль доступ к привилегированным учетным записям: «забирают» их у сотрудников, помещают в защищенное централизованное хранилище и организуют доступ к управлению ресурсами по принципу just in time или «строго в нужное время» под строгим контролем. Это похоже на доступ к банковской ячейке в сопровождении сотрудника банка, который открывает ячейку собственным ключом после тщательной идентификации клиента.  
 
Требования к управлению привилегированным доступом зависят от уровня безопасности организации и требований бизнеса. Финансовым учреждениям и объектам КИИ необходим более строгий контроль над привилегированными учетными записями. Компании с меньшими формализованными требованиями к безопасности могут использовать более либеральный подход, чтобы повысить гибкость бизнеса и эффективность работы сотрудников. При этом в любой компании нужно соблюдать несколько общих принципов.
  1. Строгий учет привилегированных учетных записей
    Компании должны выявить и вести учет всех существующих привилегированных учетных записей и способов авторизации на всех ИТ-ресурсах, от серверов до приложений и облачных ресурсов. 
  2. Применение принципа наименьших необходимых привилегий
    При выполнении своих функций по управлению критическими ИТ-системами администратор должен получать доступ только к тем ресурсам, которые необходимы для выполнения конкретной задачи, с минимально необходимыми для этого правами.  Это снижает уровень риска и ограничивает потенциальный ущерб от взлома привилегированными учетных записей.
  3.  Аудит привилегированного доступа 
    Все действия во время сеанса работы администратора должны централизованно записываться для возможности последующего анализа и проведения расследований. Причем запись этих действий должна ассоциироваться с конкретным пользователем, а не с использованной им привилегированной учетной записью.
  4. Динамическое управление правами доступа  
    Администраторы должны иметь возможность оперативно запрашивать и получать необходимый доступ к ИТ-ресурсам в соответствии с текущими задачами. Эти запросы должны быстро проходить через формальный процесс утверждения ответственными лицами или соответствующими автоматизированными системами контроля доступа.
  5. Управление жизненным циклом привилегий
    Все привилегии должны находиться в хорошо защищенном хранилище и выдаваться с применением строгой идентификации пользователей (администраторов). После использования они должны быть проверены на целостность и при необходимости обновлены, например должен быть изменен пароль или ключ данной привилегии. В этом случае даже при компрометации учетной записи во время сеанса злоумышленник не сможет ее использовать в дальнейшем, так как ее пароль будет уже недействительным.
Какие учетные записи являются привилегированными
 
Традиционно к привилегированным учетным записям относятся административные записи, предназначенные для управления ИТ-ресурсами. Однако для операторов персональных данных компрометация учетных данных бизнес-пользователя с доступом к массовым операциям с персональными данными может привести к утечке, а в последствии и к крупному штрафу. По этой причине некоторые компании предпочитают использовать системы управления привилегированным доступом для организации доступа не только к инфраструктуре, но и к критическим бизнес-приложениям. 
 
При выборе PAM-продукта, кроме надежности и безопасности, важным критерием является простота внедрения и удобство в использовании, не требующим от пользователя специальных навыков, а также хорошее масштабирование.