Больше всего данных о клиентах — у банков. Они должны хранить информацию не менее пяти лет с момента закрытия счета. Но большинство банков вообще хранят эти данные бессрочно и для защиты информации выстраивают комплексную систему безопасности. Каждый сотрудник получает доступ только к тем данным, которые необходимы ему для работы. Например, если менеджер формирует выписку, естественно, он будет видеть операции клиента. Если же сотрудник отвечает только за привлечение новых клиентов, данные по переводам ему не предоставляются.
Данные защищают и программно от вредоносного кода и целенаправленных атак. Происходит это при помощи всевозможных антивирусных решений и межсетевых экранов следующего поколения (next generation firewall) или межсетевых экранов уровня приложений. Помогают и нейронные сети. Если злоумышленник попытается отправить вредоносную программу по почте от имени ФНС и она пройдет через сигнатурные фильтры, то прежде чем письмо дойдет до получателя, оно попадет в «песочницу», где вложение будет проанализировано на поведение, характерное для троянской программы. И если программа даст положительный ответ, вложение будет заблокировано.
Также важно просто говорить с сотрудниками о безопасности клиентских данных. Если они будут знать об актуальных угрозах и нести персональную ответственность за сохранность тех данных, с которыми работают, количество утечек снизится. Ведь в основном утечки происходят не по злому умыслу, а потому, что сотрудники не всегда знают, что данная информация представляет ценность.
Как и положено законом, наши данные хранятся хранятся в дата-центре в России. Защита от информационных атак похожа на гонку ядерных вооружений: что бы ты ни делал, на любого хитрого человека найдется еще более хитрый. За год мы предотвратили несколько взломов, и это время мы практически жили в офисе.
Долгое время мы занимались этим вопросом постольку-поскольку, но сейчас активно инвестируем в информационную безопасность. Когда становишься крупнее, увеличивается и число фродеров (мошенники в сфере информационных технологий — «Хайтек»), а с ними и количество фейковых аккаунтов. Важно отметить, что страховка не действует на происшествия с фейками, и все убытки ложатся на компанию. А в связи с тем что, помимо городских автомобилей эконом- и среднего класса, как KIA Rio и X-line, мы работаем и с премиальным сегментом BelkaBlack на автомобилях Mercedes, растет цена риска — когда фейковый аккаунт разбивает дорогую машину, компания сталкивается с более крупными убытками, чем если бы инцидент произошел с LADA Kalina, например. Вдобавок, чем известнее бренд, тем больше внимания получаешь со стороны сомнительных личностей.
Дефицит кадров действительно ощутим, сейчас тяжело найти любого IT-специалиста. В этом преимущество крупных корпораций перед стартапами — их HR-бренд более ценен на IT-рынке.
В соответствии с законом о персональных данных, мы храним их в России в современном дата-центре, полностью соответствующем стандарту TIERIII (Uptime Institute). Чтобы ликвидировать единую точку отказа (линия связи или объект системы доступности данных, отказ которого может вывести из строя всю систему или вызвать недоступность данных, — «Хайтек»), сейчас внедряем катастрофоустойчивое геораспределенное решение. Разумеется, дата-центр защищен и от физического нарушения безопасности за счет применения систем контроля доступа и видеонаблюдения.
Для предотвращения взломов мы используем эшелонированную систему защиты, первый уровень которой представлен программно-аппаратными решениями: межсетевыми экранами, NGFW (фаерволы, позволяющие проводить многоуровневую фильтрацию трафика), WAF (фаервол, проверяющий уровень доступа пользователей на уровне приложений), IDS/IPS (системы обнаружения и предотвращения вторжений), Sandbox (первый эшелон внутренней защиты сети, позволяющий проверить контент на наличие вредоносного ПО в изолированной среде) и решения по защите от DDoS , антивирусы и другие средства.
Второй уровень — аналитический. Центр мониторинга сетевых атак позволяет выявлять инциденты информационной безопасности и реагировать на них. Кроме того, мы получаем собственные данные киберразведки от глобальной службы аналитики Orange Cyberdefense. Дополнительно, для минимизации рисков потери конфиденциальности, целостности и доступности обрабатываемых данных в случае наступления инцидента ИБ, нами заранее разработан ряд принимаемых мер — здесь мы руководствуемся принятыми мировыми стандартами безопасности (ISO27001, NIST, CIS), а также нормативно—правовыми актами, регламентирующими нашу деятельность, как оператора связи и лицензиата ФСТЭК и ФСБ.
DOC+ хранит данные в России, на IaaS-платформе от Inoventica Services. Платформа включает в себя серверную, сетевую и программную инфраструктуру, обеспечивающую функционирование информационных систем компании. IaaS-платформа Inoventica Services позволяет Doc+ автономно управлять виртуальными машинами, в автоматическом режиме масштабировать потребляемые ресурсы, при этом гарантируя высокий уровень SLA.
Чтобы обезопасить себя от взломов, мы используем продукты «Код безопасности». Как физические решения, так и ПО. При этом изначально проект по информационной безопасности был разработан компанией «НПП Системные ресурсы». Но потом мы решили взять внутреннего сотрудника и сейчас специалист по ИБ у нас в штате.
Все конфиденциальные данные по клиентам мы храним на выделенных серверах. Они установлены не в России, так как для нас парсинг с точки зрения воровства менее опасен, чем парсинг со стороны правоохранительных органов. Мужчины в погонах могут просто прийти в офис, изъять всю технику и использовать информацию в своих целях. По той же причине мы стараемся все компьютеры держать на «тонких клиентах». В таком случае компьютер полностью грузится с сервера, находящегося за рубежом. При этом персональные данные и отчетность мы храним в РФ согласно нормам закона.
Защита пользовательских и корпоративных данных — сложная задача. Решение многоуровневое, оно включает как программно-аппаратные элементы (апгрейд программных платформ, установка нового оборудования), так и социальные (проведение тренингов и бесед с персоналом). Компаниям, которые желают защитить информацию от утечек, стоит изучить слабые места в своей системе «обороны» и составить список проблем, которые необходимо решить в первую очередь. Кроме того, необходимо защищаться не только от самих утечек, но и от их последствий. Для этого нужно разработать гибкий и надежный план ликвидации последствий утечки. План должен быть не для галочки, каждого сотрудника компании, задействованного в нем, необходимо оповестить о том, что нужно делать в определенных ситуациях, и чего ни в коем случае делать не следует.