Как плохо выстроенная политика доступа к данным навредить кибербезопасности

Политика доступа к данным начинает иметь серьёзное значение для любой компании, как только та накапливает сколько-нибудь значительный объем ценных и конфиденциальных данных. Но это не значит, что политика всегда присутствует

Политика доступа к данным начинает иметь серьёзное значение для любой компании, как только та накапливает сколько-нибудь значительный объем ценных и конфиденциальных данных. Но это не значит, что политика всегда присутствует там, где должна быть, или что она реализована нужным образом. Как следует организовать доступ к данным, чтобы не навредить безопасности и не повысить степень риска? Все просто: каждый сотрудник должен иметь доступ только к тем данным, которые связаны с его/ее работой. На практике же все оказывается немного сложнее.

В своей недавней статье Кирилл Круглов, эксперт «Лаборатории Касперского», пишет о защите критических систем от несанкционированных изменений и сокращении числа возможных атак на корпоративную сеть. В качестве надлежащего порядка действий он перечисляет следующие пункты:

  • определить какие объекты (оборудование, системы, бизнес-приложения, ценные документы и т.д.) в корпоративной сети требуют защиты;
  • описать бизнес процессы компании и, в соответствии с ними, определить уровни доступа к объектам защиты;
  • убедиться, что каждому субъекту (пользователю или корпоративному приложению) соответствует уникальная учетная запись;
  • максимально ограничить доступ субъектов к объектам, т.е. ограничить права субъектов в рамках бизнес-процессов;
  • убедиться, что все операции субъектов над объектам логируются, а логи — хранятся в надежном месте.

По крайней мере, три из этих пунктов напрямую связаны с правилами доступа к данным. Утверждение о том, что сотрудники должны иметь доступ только к тем данным, которые необходимы им для работы, означает, что в организациях, где руководители склонны множить ограничения любой пользователь имеет очень немного прав в системе, с которой работает. Никакое программное обеспечение не может быть установлено на рабочей станции пользователем, веб-доступ ограничен теми немногими ресурсами, которые сотрудники должны посетить в течение дня, а доступ к корпоративным документам и приложениям определяется ролью работника в компании. Сотрудники, как правило, не любят «лишних» ограничений, таких как, например, урезанный доступ в интернет; они предпочли бы также иметь возможность устанавливать программы, чтобы не звать системного администратора ради столь «приземленного» дела. Кроме того, может пройти какое-то время с момента отправки запроса и до получения помощи от админа, особенно если компания большая, а ИТ-специалистов мало. Круглов далее пишет, что на практике инструкциям следуют постольку-поскольку. В действительности, например, все корпоративные документы хранятся централизованно в общих папках на одном из серверов компании. Доступ к критически важным системам закрыт всем, кроме администраторов, при этом любой администратор может подключиться к системе удаленно, чтобы быстро устранить какой-нибудь сбой, а иногда администраторы используют «общий» аккаунт. Все корпоративные документы хранятся в общих папках только на одном сервере? Удобно, но небезопасно по целому ряду причин.

Если есть документы, которые лишь «нескольким избранным» позволено просматривать и редактировать, никто другой не должен их даже видеть. Если эти документы можно просматривать и изменять с любого корпоративного аккаунта, появляется возможность того, что работник, используя собственное устройство (например, Android-смартфон), войдет в корпоративную сеть и заразит систему вредоносной программой. Представьте, что на ваш файловый сервер пробралась программа-вымогатель наподобие Cryptolocker. Очень жаль, если такое уже вышло за пределы вашей фантазии: уже не один и не два ИТ-специалиста рассказали нам о таких примерах, и лишь в нескольких случаях проблемы были решены без огромных потерь. Cryptolocker, например, будет шифровать любые данные, до которых доберется, поэтому, если все документы хранятся вместе «в одной корзине», ущерб может быть невосполнимым. Общие учетные записи сисадминов — тоже большое «зло». Для преступников доступ к такому аккаунту равносилен универсальной отмычке: все системы компании-мишени к их услугам. А если к этой учетной записи действительно настроен коллективный доступ, то еще и огромной проблемой окажется выслеживание злоумышленника, чтоб предотвратить его повторное проникновение. Идеальный подход заключается в сегментировании всех корпоративных данных, чтобы предупредить возможный ущерб от хакерских атак и вредоносных программ. Следует разделить права доступа для всех пользователей в зависимости от их ролей в компании и избегать использования любых «отмычек» — никаких общих аккаунтов и минимум людей, имеющих доступ к критическим системам и/или данным. По сути, всё это способы уменьшить площадь атаки и, таким образом, сократить риски, которые сами по себе очень высоки.

Советы