Todas as tendências mundiais, mais cedo ou mais tarde, se tornarão alvo de ataques de fraude ou uma fonte de novos riscos. Portanto, a digitalização comercial global tornou-se uma faca de dois gumes. O aumento no volume de dados das vítimas e ao mesmo tempo facilitar o acesso a eles levou a toda uma série de vazamentos de informações e ataques de hackers.
Estatística é uma coisa teimosa. E, de acordo com as análises dos últimos cinco anos, 65% dos casos de vazamento de informações nas empresas ocorreram devido a ações internas. Mais de 95% dos registros foram comprometidos por negligência - por desconhecimento das regras de manipulação de dados ou por mau funcionamento do sistema. A porcentagem de vazamento de dados pessoais do número total de incidentes nos cinco anos não caiu abaixo de 60%.
Os
líderes em vazamentos são empresas B2C com uma grande base de clientes: bancos de varejo, IMFs e operadoras de telecomunicações. Mais de meio bilhão de contas sofreram os maiores vazamentos nos últimos dois anos - deixe-me lembrá-lo de alguns deles, para não ser infundado.
- Em março de 2017, hackers colocaram à venda dados de 25 milhões de contas do Gmail e 5 milhões de contas do Yahoo.
- Em novembro de 2018, os hackers obtiveram informações pessoais sobre 120 milhões de usuários do Facebook, e algumas das informações estavam geralmente disponíveis gratuitamente.
- O caso mais ressonante em dezembro de 2018: o fechamento da rede social Google+ após o vazamento de dados pessoais de 52,5 milhões de proprietários de contas.
- Informações secretas foram roubadas em abril de 2018, mesmo da NASA, que ocultou o incidente até recentemente.
- Em abril, os dados do Banco Central vazaram pela primeira vez para acesso geral, ou seja, a “lista negra” de clientes aos quais o serviço foi negado.
- Outra punção doméstica: em maio de 2019, os arquivos públicos do portal dos Serviços de Estado foram descobertos em domínio público. Por exemplo, uma lista de pessoas responsáveis com dados pessoais, incluindo o chefe da unidade de cooperação interdepartamental do FSB.
Portanto, não é de surpreender que o último relatório do Allianz risk Barometer 2019 considere a violação de segurança cibernética como o segundo risco global nos negócios. A maioria dos ataques visa às fraquezas dos aplicativos mais usados: navegadores, software de escritório, programas da Adobe. Como chefe de uma empresa que desenvolve sistemas para operadoras de telecomunicações, quero abordar o tópico de segurança de software e falar sobre como evitar vazamentos devido à negligência dos funcionários que comprometeram seus dispositivos ou autorização.
BYOD e nuvens
As condições operacionais atuais do tipo BYOD ou o uso de nuvens não simplificam a tarefa de segurança cibernética nas empresas. O conceito BYOD, paralelamente à economia do orçamento, aumentando a eficiência dos funcionários e sua lealdade, aumenta o risco de vazamento ou roubo de informações de dispositivos pessoais. Temos que procurar um equilíbrio, já que os funcionários se tornam alvos ambulantes de hackers e os "solitários", como você sabe, são mais fáceis de atacar. E os funcionários geralmente não se preocupam em manter a segurança dos dados em dispositivos pessoais.
Os riscos de perda de dados junto com o gadget, infectando computadores através da rede de trabalho, usando software não licenciado e OCs quebrados, e ataques da classe Man-in-the-Middle vêm à tona. Geralmente, os problemas são resolvidos usando o VDI com autenticação multifator e monitoramento básico de dispositivo, mas aconselho você a não negligenciar instruções detalhadas sobre proteção de dados.
90% dos vazamentos de dados corporativos das nuvens também são desencadeados pelo fator humano. A engenharia social não tem culpa, nem os provedores de nuvem. A isca psicológica está se tornando sofisticada e atenciosa, portanto, no caso do trabalho nas "nuvens", deve ser dada atenção especial.
Sim sim aberto
A primeira coisa que você deve tomar cuidado para evitar vazamentos é evitar comprometer o acesso ao autenticar funcionários no nível da pilha de rede. Todas as ferramentas para esses fins estão essencialmente vinculadas à autenticação 2F.
Uma das opções mais atraentes parece ser a biometria, que os bancos russos já estão começando a implementar. Mas se não estamos falando de um smartphone pessoal com um proprietário, é melhor não usar tecnologias biométricas como a única proteção de acesso. Para garantir a segurança, as informações biométricas são confirmadas por um cartão inteligente, token ou senha. Na verdade, essas regras são ditadas pelo CentroBank com os padrões internacionais ISO / IEC 29003, FIPS Pub 201-2.
Os tokens mencionados, a propósito, são mais adequados para proteger a autenticação no caso de impossibilidade de introdução de sistemas biométricos. A geração de senhas únicas em tokens de hardware é mais confiável do que uma contrapartida de software ou SMS. O hacker e o antivírus não podem interceptar o sinal GSM, e a descarga banal do telefone não será mais um problema. Bem, os TOP são tokens de hardware sem contato laváveis, que, a propósito, também economizarão o orçamento.
Quem é avisado está armado
Não posso deixar de compartilhar a experiência da minha empresa Forward Telecom. Trabalhamos com operadores cujos sistemas processam conjuntos gigantescos de dados pessoais de assinantes, cuja fuga as empresas simplesmente não podem pagar. Portanto, ao desenvolver programas para operadoras de telecomunicações, seja de cobrança, PRM ou CRM, prestamos muita atenção às ferramentas para evitar vazamentos de informações devido a informações privilegiadas e corrigimos rapidamente a situação se o acesso for comprometido. E aqui estão nossos favoritos, comprovados ao longo dos anos.
1. Log.Registrar ações do usuário pela equipe do operador e um registro detalhado rastreia possíveis e reais ameaças de vazamento interno. A interceptação de operações descuidadas ou intencionais permite ao programa bloquear instantaneamente o lançamento e a instalação de aplicativos, digitar texto e trabalhar com arquivos perigosos. Como bônus, o registro diário pode ser usado como controle do tempo do funcionário.
2. Distribuição de direitos.
Muitos negligenciam a definição de direitos e restringem o acesso a informações confidenciais e importantes e depois pagam por isso com a migração de dados nas mãos erradas. Somente um círculo limitado de pessoas responsáveis deve exibir e editar arquivos que podem prejudicar livremente uma empresa, o que já é um axioma para mim.
3. Backup multinível.
Mais, mais backups. Este é o caso quando "demais" não acontece. Um SSD como um cache de leitura / gravação otimizado estende o histórico de backup. Acho que todos concordam que a versão antiga dos dados é melhor do que perdê-la sem a possibilidade de recuperação.
4. Caixas de areia.
Somos para desenvolvimento e experimentos - tanto nossos quanto nossos clientes. É necessário e possível experimentar, mas é melhor ter cuidado e ainda melhor - em caixas de areia. E geralmente sou silencioso sobre a abertura de arquivos suspeitos e não verificados. A sandbox no software é uma panacéia para o código "bruto" e vírus, como resultado - uma panacéia para vazamentos.
5. Verificação de arquivo.
A validação de documentos para autenticidade, especialmente após o backup, ajuda a evitar a falsificação de arquivos de vírus e garante sua limpeza técnica.
6. Acesso ao sistema através de canais seguros.
No auge da prática do trabalho remoto, é preciso prestar muita atenção à proteção dos canais utilizados pelos funcionários para trabalhar em casa.
7. Verificando as transmissões de hardware e software dos dispositivos dos quais a entrada é feita.
O programa cria uma conversão do sistema do dispositivo com informações sobre o ID da placa-mãe e o número de série do disco rígido. O arquivo C2V é armazenado no centro de licenciamento e durante a autenticação o compara com o atual. Se houver uma incompatibilidade, a chave está bloqueada.
8. Sistema de alerta quando o dispositivo está comprometido.
Se, no entanto, o acesso foi comprometido, é melhor descobrir isso no mesmo segundo. O sistema de alerta notifica os responsáveis para que tomem medidas para evitar vazamento de informações e dados pessoais.
Ao desenvolver software, em termos de segurança, meus colegas e eu somos guiados por um princípio: "É melhor ultrapassar do que não ultrapassar". Dadas as estatísticas globais e russas, justifica-se gastar até 30% do tempo na criação e teste de ferramentas de proteção multinível.
Compartilhe quais mecanismos em sua prática oferecem a melhor proteção contra vazamentos de informações e acesso comprometido.