Привет! Я Андрей Ерин - директор департамента собственной безопасности лизинговой компании CARCADE. Я решил рассказать о том, как работаем с данными клиентов внутри компании и как охраняем их от хакеров, недобросовестных сотрудников и случайных утечек.
CARCADE занимается лизингом автотранспорта, у нас 53 представительства в разных городах, более 1000 сотрудников и 60 тыс. клиентов по всей России.
В этом году СМИ практически непрерывно сотрясают скандальные истории утери или хищения персональных данных и документов, составляющих различную тайну. На днях, например, утекли 700 тыс. записей персональных данных сотрудников РЖД, до этого 70 тыс. записей клиентов Бинбанка, еще раньше в июле - 900 тысяч клиентов «ОТП-банка», «Альфа-Банка» и «ХКФ-банка», и так происходит постоянно.
Открытые сервера, на которых буквально разбросаны списки заказов, услуги по незаконному «пробиву» данных у операторов связи и банков, атаки хакеров и продажа миллионных списков клиентов – все это пугает и заставляет 100 раз подумать прежде, чем не только заполнить анкету, но и просто назвать кому-то свою фамилию.
В своей отрасли мы одни из лидеров цифровой трансформации, к тому же имеем территориально распределенную структуру, активно используем ЭДО по существующим лизинговым договорам (более 30% клиентов), а также регистрацию и заключение договора через приложение. Как любой кредитор, мы работаем, чаще всего, с персональными данными (включая паспортные) клиентов, а также финансовыми данными компаний (отчетность).
Такие данные – лакомый кусок для мошенников, поэтому каждый день мы выдерживаем несколько десятков автоматизированных атак хакеров, причем как просто через сетевой периметр, так и с использованием фишинговых компаний и социальной инженерии.
Вот простой пример элементарного фишингового письма, детектированного обычным антивирусом, каких нашим сотрудникам «пишут» от нескольких десятков до пары сотен в день.
Применяют мошенники и социальную инженерию: могут написать письмо от имени технической поддержки и попросить поменять якобы неработающий пароль. Такое письмо не содержит вредоносных программ и его пропустят и антивирус, и «песочница». Но если пользователь поведется на обман, то передаст свой пароль мошеннику и без всяких троянов.
Главными средствами борьбы с такими атаками являются жесткая политика пропуска данных через брандмауэр, централизованная антивирусная защита входящей почты и, что важнее всего, обучение сотрудников, которым мы постоянно объясняем, что открывать непонятные аттачи нельзя, как бы страшно или убедительно они не выглядели, да и ходить по подозрительным сайтам с рабочего компьютера тоже не стоит.
Особенностью нашей компании является интенсивная переписка с клиентами, поэтому в месяц к нам приходят сотни тысяч разных писем и в них попадаются различные трояны и вирусы, начиная от тех, которые знают обычные антивирусы, заканчивая новейшими, которые антивирусы не видят, но они там есть.
Не секрет, что антивирусные программы «видят» только те вирусы, которые уже исследовали антивирусные роботы или специалисты. Для исследований странных, но пропущенных антивирусом вложений у нас есть специальные «песочницы», в которых автоматически открываются все входящие письма и контролируются действия вложенных в них файлов. В случае, если вложенный документ вдруг начинает закачивать из Интернета троян или связывается со своим удаленным центром администрирования, такое письмо блокируется.
Ниже приведен отчет одной из «песочниц» за месяц. А у нас их аж две, так как это требуется для поддержания непрерывности защиты в случае выхода из строя одной из них. Видно, что в июле 2019 года количество подозрительных писем снизилось почти вдвое – видимо, большая часть хакеров поехала к родителям на дачу.
Безусловно, мы не забываем и о том, что больше половины утечек сегодня – инсайдерские, и происходят даже не по вине, а скорее по инициативе сотрудников.
Ситуации за последние годы случались самые разные - от желания поработать дома до попыток целенаправленно получить документы, содержащие коммерческую тайну и потом их использовать. Все утечки, конечно, пресекались DLP-системой (DLP – Data Leak Prevetion), но в пользу моральных качеств нашего коллектива говорит то, что пока подавляющее большинство этих кейсов все же были случайностями и не содержали криминального мотива.
Но все утечки были зафиксированы и, что важнее всего, по всем были приняты меры – от воспитательных бесед с сотрудниками и дополнительного обучения до выговоров и даже увольнений по соответствующей статье ТК РФ в случае, когда умысел был доказан. При этом одна из самых важных вещей, которая позволяет нам эффективно охранять данные – это даже не DLP, а полноценный режим защиты конфиденциальной информации. Это не столько техническая, сколько именно организационная составляющая, включающая те самые «тонны бумаг» – регламентов, положений, правил, которые все так не любят, но которые позволяют четко и под роспись объяснить сотрудникам какую информацию нельзя распространять, а в последствии и наказывать за ее распространения вплоть до увольнения, а затем выигрывать связанные с этим суды.
Например, в конце прошлого года один из наших сотрудников, вопреки регламенту, отправил данные клиента и ряд конфиденциальных документов на личную почту и был за это уволен по статье Трудового кодекса. Он посчитал свое увольнение незаконным и обратился в суд, который, рассмотрев дело, отказал ему в удовлетворении требований о восстановлении в должности и выплате компенсации. В решении суда большую роль сыграли не только доказательства, собранные при помощи DLP-системы, но и наличие всех регламентирующих документов, доказывающих, что отправленные документы относились к конфиденциальным, и что сотрудник об этом знал.
Конечно, непробиваемой защиты не существует, появляются новые уязвимости и хакерские инструменты. Но мы ежегодно инвестируем в защиту данных несколько миллионов рублей и с каждым годом эта цифра растет, так как безопасность – это не устоявшееся состояние, а непрерывный процесс. Несмотря на то, что пока в борьбе за сохранность информации мы «ведем», я считаю, что со временем ситуация будет ухудшаться и от компаний (от нас, в том числе) для защиты клиентской информации будет требоваться все больше и больше усилий. Но мы, во всяком случае, будем стараться.
Общие слова, подробностей больше нужно
Получается, что вы читаете всю почту всех своих сотрудников?? А как же Закон о защите переписки или та же Конституция?