Павел Кузнецов, директор по ... Павел Кузнецов, ГК «Гарда»: Если ты знаешь, что о тебе знает злоумышленник, то ты уже вооружен
Павел Кузнецов, ГК «Гарда»: Если ты знаешь, что о тебе знает злоумышленник, то ты уже вооружен...
Павел Кузнецов, директор по продуктам группы компаний «Гарда», на конференции «Защита данных: сохранить все» рассказал порталу Cyber Media о проблемных точках в области утечек данных, о том, почему сложно определить ответственного за утечку персональных данных (ПДн), плюсах и минусах мегаопереторов ПДн и о том, почему один человек с развитой культурой ИБ делает все окружение подкованным в вопросе защиты личных данных.
Cyber Media: Закон об увеличении штрафов за допущение утечки данных обсуждается не один год. По каким причинам, на Ваш взгляд, решение по этому поводу так затягивается?
Павел Кузнецов: С точки зрения специалиста по информационной безопасности все достаточно просто – нужно установить систему, из которой произошла утечка и человека, который допустил уязвимость. Но погружаясь в тему глубже, мы обнаруживаем вопрос адресной ответственности. Цифровизацией многих компаний – операторов ПДн, занимаются не они сами, а сторонние специалисты, подрядчики. Системы вводятся в эксплуатацию в большом количестве и с высокой скоростью. Поэтому установить не только человека, а даже конкретную организацию виновную в той или иной утечке становится все сложнее.
Если крупная компания оператор ПДн, с большим количеством клиентов, не из ИТ-сектора, то и первоисточник утечки определить крайне сложно. Даже если есть собственная служба информационной безопасности, размер компании заставляет так или иначе использовать внешнего подрядчика. В этой конфигурации понять кто, конкретно, слабое звено, из-за которого утечка стала реальной – чаще всего затруднительно.
Поэтому принятие закона должно случиться, когда сам алгоритм определения конкретного ответственного станет прозрачен, понятен и справедлив. Я подозреваю что основные прения по поводу этого закона идут сейчас именно с точки зрения определения этого алгоритма.
Cyber Media: В контексте защиты ПДн высокую эффективность показывает такая процедура как маскирование. Почему нельзя применять ее повсеместно?
Павел Кузнецов: Повсеместно можно применять практически все что угодно – любые меры защиты, которые позволят повысить уровень защищенности данных. С технической точки зрения препятствий нет.
Но конкретно с точки зрения маскирования нужно понимать, что это мера, не относящаяся к построению стены, которая защищает от атакующих. Это инструмент, который организационно позволяет, с применением технических средств, отделить боевые реальные данные от похожего на них набора данных, но обезличенного. Чтобы этими данными смогли воспользоваться, например, разработчики или подрядчики.
В отличие от традиционных средств защиты, таких как антивирусы, межсетевые экраны и так далее, в регулировании маскирования существует некоторая «серая» зона. Во-первых, это не обязательное средство защиты, во-вторых, не все организации процессно и экспертно готовы к тому, чтобы применять такие решения. В нормативной базе вообще нет определения, что такое средства маскирования. Поэтому для защиты, например критической инфраструктуры, решения этого класса применить не получится.
Cyber Media: В некоторых государствах используется практика создания «мегаоператоров» ПДн, что-то похожее можно увидеть в России в контексте работы с биометрическими данными. Какие плюсы и минусы есть у подобного подхода?
Павел Кузнецов: Если мы кладем все яйца в одну корзину, то в случае нахождения злоумышленниками подхода именно к этой корзине, риск утечки становится критическим. С другой стороны, если данные собраны в архитектуру, которая уже на этапе своего планирования предусматривает, как организационные контрмеры, так и установку определенных средств защиты информации, то ее защищенность будет выше. Они будут безопаснее, чем сотни отдельных операторов, каждый из которых творит свою защиту самостоятельно.
Классическая палка о двух концах. С одной стороны, мы создаем лучшие условия для злоумышленника в случае взлома, нежели ему придется искать данные, взламывая разные источники. С другой стороны, если мы изначально грамотно подойдем к вопросу организации защиты в такой системе еще на этапе проектирования, фокусно защитим базу данных и иные хранилища, установим все необходимые эшелоны защиты, то тогда жизнь киберпреступнику мы усложним радикально.
Cyber Media: Многократные утечки привели к тому, что в сети есть огромное количество данных о людях. Например, в Китае средняя утечка – это сотни миллионов строк. На Ваш взгляд, чем такой объем «опубличенных» данных о многих людях может быть чреват сейчас и в будущем?
Павел Кузнецов: Основной риск, который я вижу, это расширение возможности для злоумышленников. Имея больше данных о жертвах либо о контактах жертв, преступники получают возможность более качественно подготовиться к атаке и, в первую очередь, основывать социотехнические методы на реальных фактах. Не пытаться атаковать человека формулой «Ваш сын попал в беду» наугад, когда на самом деле у жертвы вовсе нет детей, а точно узнать какие родственники у нее есть.
Киберкультура и осторожное обращение со своими данными становятся с каждым днем все важнее и важнее. Каждому из нас нужно четко понимать, какие данные и какому источник мы предоставляем, чтобы быть готовым к попытке злоумышленников эту информацию против нас использовать.
Cyber Media: Насколько вообще наличие данных о пользователе, который осведомлен о правилах кибергигиены и понимает, какие данные о нем есть в сети, критична для человека?
Павел Кузнецов: У меня есть любимая формула – если ты знаешь, что о тебе знает злоумышленник, то ты уже в достаточной степени вооружен для противодействия атакам. Поэтому для человека, который обладает высоким уровнем цифровой гигиены, риск того, что какая-то атака пройдет на него или его близких в значительной степени снижается.
Во-первых, человек сам следит за тем, какие данные он дает каким операторам. Как правило, он помнит все эти места. Более того, такие люди выступают евангелистами в своем ближайшем кругу и своих старших родственников стараются держать на своем уровне осознания проблематики кибербезопасности. Если данные такого человека куда-то утекают и он сам и его ближайшее окружение в ближайшей степени предупреждено о том, что злоумышленники могут попытаться этими данными воспользоваться.