Корпоративна та персональна цифрова безпека під час війни — поради і корисні посилання
Всім привіт! Я — Олексій Міков, відповідаю за безпеку і технічну інфраструктуру у британській фінтех-компанії Wirex. Питання корпоративної безпеки для нас завжди було пріоритетним напрямком. Фінансова галузь потребує глибоких і регулярних перевірок систем безпеки на надійність, тож можна сказати, що через імунітет до випробувань компанія була краще підготовлена до нових реалій.
Оскільки ми з 2020 року практикуємо режим гібридної віддаленої роботи, це дало змогу вже відбудувати надійність процесів у децентралізованому середовищі. Тож коли почалася повномасштабна війна, ми вже рухалися за планом з віртуалізації внутрішніх ресурсів і захисту функціонування бізнес-сервісів.
Матеріал нижче може стати у пригоді людям, які опинилися на тимчасово окупованих територіях або мають ризик зустрічей з окупантами. Його також можна вважати певним чек-лістом в процесі розробки певних засад безпеки для інших бізнесів.
Щоб допомогти підготуватися до будь-якого розвитку подій, у цій статті я врахував різноманітні ризики та доповнив план зокрема порадами для збереження життя і здоров’я тіммейтів. Адже життя та безпека членів команд — найвища цінність, забезпечення якої наразі потребує додаткових навичок і знань.
Як поводитись під час обшуку окупантами
- Все закінчиться швидше, якщо ви поводитиметеся спокійно та впевнено;
- не провокуйте ворожих вояків фотографуванням або фільмуванням — краще взагалі не показувати техніку, навіть мобільний телефон;
- не тримайте руки в кишенях і не робіть різких рухів, не сперечайтеся з озброєними людьми;
- усіма можливими способами та одягом демонструйте, що ви — цивільна людина;
- лишайтесь там, де наказали; рушайте з місця лише тоді, коли звелять щось відчинити, показати тощо;
- не нервуйтеся та зайвий раз не озирайтеся навколо;
- не відводьте очей, але й не витріщайтеся, не повертайтеся спиною;
- не розмовляйте надміру, але й не мовчіть, відповідайте тільки на те, що запитують — у такому становищі демонструвати зневагу не варто, краще без улесливості вдавати, що ви з розумінням ставитесь до непроханих гостей.
Ще чимало корисної інформації для різних ситуацій можна знайти тут, радимо зробити цю книгу «настільною», а краще — вивчити її зміст.
Памʼятайте, що техніка та все, що блищить — великий тригер для загарбників (Макбук вони лише по телику бачили). Уникайте класичних сумок для ноутбуків, ховайте їх якнайдалі у щось нетипове. Гаджети мають містити паролі, але у разі небезпеки краще зразу їх вимкнути, якщо не вдалося — спокійно все віддати.
Ми закликаємо членів команд не ризикувати своїм життям та у разі вимоги окупантів віддавати їм техніку. Якщо подібна ситуація все ж сталась, треба за першої ж нагоди повідомити про втрату техніки своїм тіммейтам з команди кібербезпеки. Ми цінуємо безпеку своєї команди передусім, і ніякі корпоративні дані чи техніка не можуть бути дорожчі за життя людини.
Окремим пунктом залишається питання знаходження людей та техніки в окупованих містах без звʼязку, коли неможливо повідомити команду, що ноутбук вкрадено. Для цього ідеальним варіантом був би трекінг переміщення техніки, цим питанням вже займаються наші спеціалісти.
Які ризики несе втрата корпоративної інформації
Ступінь критичності даних напряму підвищує ризики, пов’язані з доступом до таких даних. Починати краще з оцінки того, які саме дані та де зберігає компанія. Ми створили процеси, коли критичні дані жодним чином не можуть потрапити до рук окупантів, навіть якщо вони отримають повний доступ до всіх сервісів окремої людини.
З точки зору критичності, відповідно до міжнародної методики, інформація поділяється на декілька рівнів:
- публічна (наприклад, інструкції з налаштування або бест пректіс від вендорів);
- публічна внутрішня — проєктна: інформація для певної команди або департаменту, яка розповсюджується лише в межах визначеної групи або частково на велику кількість тіммейтів;
- критична інформація: для фінансової компанії критичні дані є повсюди, для прикладу — навіть об’єми транзакцій та їхній тип. Безумовно, це важлива внутрішня інформація, але для шантажу її буде недостатньо;
- суперкритична — дані клієнтів та їхніх облікових записів. Це останній та найбільш уразливий щабель, інформація з якого в теорії може використовуватись для шантажу або для зловмисних дій. Такі дані ні в якому разі не зберігаються у відкритому вигляді.
Над рівнями критичності та відповідним захистом інформації ми активно працюємо понад два роки. Для цього зокрема використовуємо підхід CIA, який допомагає максимально ефективно фокусувати свої зусилля та бюджети на захист різних за важливістю систем виходячи з даних, які вони зберігають.
Коли компанія має понад 130 бізнес-сервісів та багато партнерів, треба розуміти, як зберігати та взаємодіяти з інформацією безпечно. Наприклад, цінність безпеки частини вихідного коду та перекладу вашого сайту буде різною, тому варто зробити оцінку даних перед початком систематизації безпеки.
Найбільшого захисту потребує інформація, що стосується продукту та даних клієнтів. Зі зрозумілих причин, розкривати етапи її захищеності в нашій компанії ми не будемо.
Друга за критичністю — внутрішня інформація, що включає й особисту кореспонденцію. Заходи з безпеки для такої інформації та можливі способи її посилення ми й розглянемо нижче.
Як посилюємо внутрішню безпеку фінтех-продукту
У світі кібербезпеки людина вважається найбільш уразливим місцем в системі захисту через непередбачуваність її дій. Ми розробили власні стандарти комплаєнсу для всіх членів команд та техніки. Всі наші заходи були узгоджені в рамках міжнародного стандарту по інформаційній безпеці ISO27001.
Робота над продуктами Wirex передбачає користування виключно корпоративною та захищеною технікою, що дозволяє впроваджувати відповідні налаштування безпеки для кінцевого користувача.
Незалежно від ролі члена команди, параметри безпеки не знають виключень, а доступ до даних всіх гаджетів зашифровано. Тож навіть якщо людину змусять віддати лептоп, ризики будуть мінімальними.
Звісно, немає нічого неможливого і багато чого залежить від здібностей того, хто відбирає ноутбук. Адміністрування під управлінням хмарних сервісів дають можливість блокувати втрачений ПК різними методами. Можна спробувати розшифрувати жорсткий диск або перепаяти модуль шифрування, але на це піде незрівнянно багато часу та грошей, у порівнянні з цінністю інформації. В руках же звичайного мародера така техніка залишиться шматком заліза.
Додатковим фактором безпеки, що застосовуємо, є обмеження для членів команди на користування інтерфейсами, встановлення підозрілого ПЗ та VPN. Навіть якщо вдасться встановити софт попри заборону, відповідні системи здійснять віртуальну перевірку й не допустять його до жорсткого диску.
Ще один важливий процес — тимчасове блокування та двофакторна аутентифікація користувача. З певною періодичністю член команди підтверджує особистість і зменшує таким чином вікно можливостей для злодія. При цьому для системи безпеки завжди має значення місцеперебування тіммейта, техніка, з якої відбувається зʼєднання та
Відповідно до останніх рекомендацій з організації корпоративної безпеки, ми практикуємо обмеження доступу користувача до бізнес-сервісів під час відпочинку або тимчасової недоступності.
Для організації безпечного ремоуту у різних країнах ми створили зонування країн відповідно до статистики світових організацій та встановили певні обмеження щодо роботи з різних територій. З ненадійних країн члени команд не мають доступу до корпоративних сервісів. Блокування роботи з ризикових місць включає відсутність доступу в тому числі і для рашистів.
На що компаніям звертати увагу та звідки брати інформацію про безпеку
Не буду заглиблюватись у базові положення безпеки, а лише зупинюсь на найбільш актуальних і тих, які прийшли в Україну разом з війною. Нижче ви зможете ознайомитися зі світовими джерелами, яким довіряємо ми самі, та оцінити описані ризики аби запровадити потрібний захист у вашій організації.
Американська CISA (Cybersecurity&Infrastructure Security Agency) — департамент, який займається кібербезпекою уряду США. У задачі агентства також входить постійний моніторинг нових загроз та аналітика повʼязаних ризиків.
З моменту нападу на Україну агентство постійно публікує нові матеріали по кіберзагрозах з рекомендаціями зі зменшення впливу їхніх наслідків. У статтях CISA спирається на один або декілька джерел, які зазвичай також є світовими лідерами з кіберзахисту.
Наприклад:
Дата публікації — 26 лютого. Атака на українські організації з допомогою шкідливого ПЗ, яке не дає запустити ОС та блокує цим користувачам доступ та інформацію.
Google Project Zero — команда аналітиків з безпеки, яка займається не тільки безпекою рішень від компанії Google, а й веде аналіз інших продуктів та постійно оновлює дані щодо дірок у системах, які може використати хакер.
0dayfans — спеціалізований блог, який збирає в собі велику кількість новин та безпекових кейсів. Якщо ви хочете бути в тренді з кібербезпеки, вам сюди. Також в правій панелі ви знайдете інші топові тематичні блоги та подкасти.
SentinelOne — власний блог від однієї з топових компаній у сфері захисту інформації та аналізу ризиків.
Висновки
Логічно буде розділити всі висновки на загальнолюдські та інженерні. З загальнолюдських, першочергова задача під час війни — вижити. Робіть усе можливе задля цього. Життя вартує дорожче, ніж будь-яка техніка. У випадку з втратою робочого ПК, сповістіть про це команду.
З інженерних — памʼятайте про фізичну відповідальність за зберігання даних. Їх варто тримати на обʼєктах з довгою автономністю та завжди дбати про бекап. Робити прозору та надійну систему захисту, контролювати її.
Складності з імплементацією інфраструктури безпеки будуть, але важливо сфокусуватися на процесі, мати технічну підкованість та сталеві нерви. З рештою, саме такий комплекс мір дозволить не хапатися за голову, коли стається щось нештатне.
При постійному аналізі найсвіжішої інформації з довірених джерел, ви та ваші дані будете в безпеці. Базові компоненти захисту від надійних постачальників забезпечать половину успіху; інша половина буде залежати від цифрової обізнаності ваших членів команди.
Oleg Korol
Vic
2 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів