Когато голяма корпоративна организация борави с огромен обем чувствителни данни, защитата на деликатната информация не търпи отлагания заради бюджетни или организационни въпроси. Затова в началото на 2019 година в ПОК „Доверие” се залавят да вдигнат нивото на информационната сигурност в компанията до възможния максимум, внедрявайки всички необходими технологии и похвати едновременно, а не – както често се случва – по една-две системи на година. Забележителен и уникален елемент в цялостната програма за сигурност е нововъведената система за защита от изтичане на информация – набор от технологии, проектирани да работят в синхрон така, че да предотвратят всяко волно или неволно изнасяне на чувствителни данни от фирмата.
„В ПОК „Доверие” осъзнаха и прецениха да внедрят наведнъж цялата съвкупност от технологии и решения за защита на личните данни, с които работят. Обичайно такива системи се внедряват постепенно – тази година едната, догодина – другата, и т.н. Но в „Доверие” знаеха, че искат 100% информационна сигурност сега, веднага, а не постепенно, след време”, разказва Вихрен Славчев, изпълнителен директор на компанията „Мнемоника”, реализирала системата за защита.
Уравнение с много сложности
Когато проектът започва – през януари 2019 година, предизвикателствата пред защитата на личните данни в ПОК „Доверие” са сложно уравнение от няколко фактора, всеки сам по себе си достатъчно труден. От една страна, вече е факт регулацията GDPR. От друга страна – ПОК „Доверие” управлява доста финансови средства: фондове за допълнително задължително и допълнително доброволно пенсионно осигуряване, като в края на 2018 година броят на осигурените в тези фондове лица възлиза на 1 212 795 души, а активните средства под управление са 3 378 369 000 лв. Трети фактор е въведеният стандарт за информационна сигурност ISO27001:2013. Към всичко това се прибавя фактът, че компанията има доста „разпределена” структура – 65 офиса с над 300 служители.
В тази ситуация трябва да е сигурно, че няма шанс компютърен вирус да източи личните данни на тези над 1,2 милиона човека, че няма как хакер да получи достъп до „досиетата” на всички тези хора. Трябва и да се гарантира, че няма вероятност някой служител случайно да изнесе данни от организацията – на флашка или чрез личната си поща.
„Целта на проекта бе да се подобри защитата на крайните устройства – в локалната мрежа и извън нея, така че да се гарантира защита от актуални вирусни тенденции, както и да се осигури защита на съхраняваните лични данни, като се забрани споделянето чрез външни устройства, уеб имейли, онлайн файлови хранилища, чат програми”, казва Кирил Георгиев, директор „Информационни технологии” в ПОК „Доверие”. Това включва и подобряване на работата с външни преносими носители на информация, които се криптират при запис с ключ от системата за защита.
Многоаспектна защита
Програмата, изпълнена в рамките на проекта, покрива няколко направления. Те включват:
1. Предприемане на мерки за автоматизирано ограничаване изтичането на лични данни чрез:
- пълен контрол на достъпа до мрежовите ресурси на външни устройства;
- сканиране на трафика и ограничаване на изтичането на данни (DLP система);
- филтриране на достъпа до определени категории сайтове с криптиран трафик HTTPS;
- ограничаване възможността немалък брой мобилни компютри да споделят нерегламентирано информация, когато са извън мрежата на компанията;
- ограничаване на достъпа до „cloud based file sharing” сървъри (особено от работните станции с достъп до лични данни);
- ограничаване на достъпа до неприемливи социални мрежи;
- ограничаване на достъпа до чат програми с възможност за споделяне на файлове.
2. Предприемане на мерки за ограничаване на файловия трансфер и за защита обмена на информация и документи, съдържащи лични данни, чрез ограничаване на:
- използването на Flash памети (особено на работните станции с достъп до лични данни);
- файлов трансфер при работа с чувствителни системи, обработващи лични данни;
- файлов трансфер при работа с чат програми.
Един от най-важните компоненти на системата за защита е модулът за агрегиране на логове, казва Вихрен Славчев. Във всяка организация като ПОК „Доверие” има много хардуер, много софтуер, огромен брой потребители. Невъзможно е за администраторите да следят отделните логове на всяка различна машина и система – това са милиони записи в секунда. Затова „Мнемоника” създава решение за агрегиране на всички записи и извеждане на важните „събития”. Така администраторите биват алармирани за всяко необичайно нещо, което се случва някъде из голямата информационна мрежа на компанията.
Администраторите могат да преценят за всяко от събитията дали представлява заплаха. Нещо повече – събитията могат да се сравняват с други събития, за да прецени администраторът дали има прилика с предишни инциденти, дали случващото се изглежда като част от систематични опити за пробив, дали е налице съмнителна аномалия.
Предизвикателства
„Най-трудната част за нас беше намирането на подходящ партньор и решение. След това нещата тръгнаха по своя път и на база специфицираните критерии изградихме системите до най-малките детайли”, разказа Кирил Георгиев. „Например спецификата на дейността ни е такава, че работим изцяло с лични данни във всякакви файлови формати, затова беше решено да се забрани качването на файлове във всички видове уеб приложения, с изключение на тези вътрешни домейни, които се ползват в компанията, или такива на държавни организации като НАП, КФН, НОИ, НСИ и други. Следователно системата трябва да разпознава в уеб браузъра кой е домейнът или поддомейнът и да забрани или разреши прикачването на файл или „копиране и поставяне” на текст”.
След една година търсене изборът пада върху „Мнемоника”, която се заема със задачата да покрие всички нужди – надеждност, гъвкавост, безпроблемна администрация и управление. От фирмата изграждат системата с особено внимание, защото трябва да решат няколко проблема наведнъж. „Това е организация, която работи с лични и финансови данни на повече от 1,2 милиона българи – тоест имат много данни за защитаване”, казва Вихрен Славчев. Трябва да бъдат спазени множество регулации, а освен това компанията има множество точки на работа с клиенти. Не съществува универсално решение за подобна сложна картина.
„Важни за взимането на крайно решение бяха два компонента – технологично решение с продукт, който работи, както очакваме, и партньор с обучени и опитни изпълнители, които имат решение за всеки специален казус”, казва Георгиев.
Без човешка преценка
Добре известно в средите на специалистите по информационна сигурност е, че колкото и добри да са технологичните решения, човешкият фактор винаги остава слабото, уязвимото звено в защитата. В ПОК „Доверие” работят над 300 служители. Някои са млади, други – възрастни, някои са по-наясно с компютрите, други – не толкова. От своите служители фирмата не може да изисква да са „на ти” с технологиите, по-важно е те да вършат същинската си работа качествено. Затова екипът по внедряване на системи за защита преценява да въведе технологии, с които се избягва вземането на решения от хора, защото дори и при най-добри намерения, всеки човек може да сгреши.
Това, разбира се, не значи, че служителите не са обучени или че нямат роля в проекта. Напротив – те помагат да се дефинират различните ситуации и сценарии на използване на технологиите в ежедневната работа. Така „Мнемоника” съумява да предвиди всички възможни потенциални пробиви отвътре навън.
„В крайна сметка зад всеки компютър и софтуер стои човек, който трябва да знае, че системите контролират работата му, но и той има крайната отговорност за обработваните лични данни”, споделя Кирил Георгиев.
Безценна инвестиция
Корпоративните организации традиционно избягват да коментират цената на продуктите и услугите, които купуват и внедряват, и проектът в ПОК „Доверие” не прави изключение. Във всеки случай „частните организации не харчат пари с лека ръка”, подчертава Вихрен Славчев. Като във всяка частна фирма и в „Доверие” бюджетите са ограничени и дори стотинка разход трябва да бъде добре обоснован.
Стойността на инвестицията обаче е несравнима със стойността на доверието на клиентите. Важността на въведените мерки за защита ще бъде разбрана по-късно, два месеца след края на проекта на ПОК „Доверие”, когато през юли 2019 година Националната система за приходи осъмва с хакнати информационни мрежи и източени лични данни на над 5 милиона българи. И ако гражданите на страната са задължени, по силата на закона, да продължат да предоставят своите данни на приходното ведомство, то една частна финансова организация в подобна ситуация би изгубила всичките си клиенти и би изчезнала от картата на бизнеса.
Но това е само основната полза. „От друга страна, с въвеждането на SIEM имаме обобщен и централизиран отчет за събитията, свързани със сигурност, и адекватни корелационни аларми и справки за различни видове събития. Получаваме седмични, месечни или предупредителни известия (alert reports) за сканиране на портове (port scanning), наличие на DDoS атаки, корелации между заключени акаунти и успешни логвания в системи, DLP активности, наличие на необичайни DNS активности, нетипичен трафик, нови неизвестни устройства, получили IP адрес във вътрешната мрежа, и т.н.”, поясни Кирил Георгиев.
За партньорите в проекта той казва, че разчита на техния професионализъм. „Екипът, реализирал проекта, беше изключително подготвен и от ден първи създаде впечатление за професионалисти с опит и умения в сферата на информационната сигурност и конкретните продукти. Във всяка ситуация и дори в случаите, в които срещаха затруднения, те знаеха как да подходят и да намерят решение в кратки срокове”.