...да-да еще до момента нажатия на кнопку отправить.
За последние 10 лет сложно назвать крупную компанию, которая не имела бы опыта масштабной утечки данных. Чтобы понять скорость утечек информации, достаточно просто принять тот факт, что любую свою информацию можно считать частично публичной уже в момент заполнения онлайн-формы на сайте или в мобильном приложении. Да, это не опечатка — именно в момент заполнения, ещё до отправки данных. Очень часто вводимые в форму данные уже обрабатываются. Ну и, конечно, от момента обработки запроса до его попадания в базы данных и системы журналирования — всё это потенциальные риски утечек.
Бороться с этим де-факто бессмысленно. Можно вводить тысячи разных законов — GDPR, NIS, CISA, ISSACA и другие стандарты. Однако ничего из этого работать не будет. Если проводить аналогию, то это всё равно что пытаться заставить военных воевать по правилам. Когда речь идёт о жизни и смерти — какие уж тут правила! По сути, это и есть ключевая проблема: законодатели и авторы инструкций, как всегда, далеки от реального положения дел и вряд ли сами когда-либо проводили атаки (ибо никто не возьмёт на работу по написанию законов и правил человека, который сам участвовал в атаках, что, кстати, логично).
Получается, остаётся только смириться и наблюдать, как информация из ваших баз данных перетекает к злоумышленникам? Конечно, можно, как это делает 99% компаний, уходить в ответы «это не на нашей стороне» и искренне надеяться, что удастся избежать коллективных исков, а ещё лучше — штрафов. В этом плане корпорации могут «поблагодарить» стремительный рост числа случаев несанкционированного доступа и утечек данных: это происходит так часто, что на очередную утечку уже никто не обращает внимания.
С другой стороны, было бы глупо и недальновидно не попытаться хоть что-то сделать с данной проблемой. Существует достаточно очевидное решение, которое, в том числе, используют спецслужбы для прикрытия своих сотрудников. Аналогичную методику применяют некоторые SERM-сервисы, но по какой-то причине крупные компании боятся так поступать.
Если мы знаем, что не можем гарантировать полную защиту информации, логично было бы взять инициативу в свои руки. По принципу «не можешь победить — возглавь». Если очевидно, что киберпреступники проявляют существенный интерес к вашим базам данных и компании в целом, не стоит ждать. Ведь кибератака, как и любое преднамеренное преступление, — если цель поставлена, хакеры рано или поздно её достигнут.
Если компания стала целью, не стоит сидеть сложа руки. Вы не можете спрогнозировать действия злоумышленников: возможно, утечка будет незначительной и её просто разместят в сервисах «платных пробивов», а возможно, с помощью украденных данных организуют инсайдерскую торговлю акциями компании на бирже. Это уже более серьёзный и прямой удар по её финансовому положению.
Я неоднократно рекомендовал компаниям, которые консультирую, в случае очевидной целевой атаки проводить превентивные меры и направлять злоумышленников по ложному следу:
- Отдайте им мутированные базы данных — пусть они тратят время на разбор бесполезной информации.
- Продайте собственные «утечки» — заранее превратите их в фейковые и бесполезные данные.
- Создайте вокруг компании такой массив информационного шума, чтобы атака потеряла смысл. Никто уже не сможет разобраться, где настоящая информация, а где ложные утечки. Поверьте, даже попытка очистить информационный дамп объёмом 100 ГБ — это почти месяц работы. В большинстве случаев злоумышленники выберут другую цель.
Эта методика предельно проста и очень эффективна. Она не требует десятков внутренних и внешних команд информационной безопасности (большая часть которых, откровенно говоря, занята лишь написанием бессмысленных отчётов об уязвимостях, которые невозможно ни исправить, ни эксплуатировать). Всё, что нужно, — это волевое решение руководства раз и навсегда защитить свою компанию от последствий утечек. Ведь утечки всё равно будут происходить!
Описанный подход — профилактический, конструктивный и, пусть даже грубый, но действенный.
И ещё раз: если у вас успешная и богатая компания, рано или поздно она станет целью киберпреступных группировок. Они умеют добиваться своих целей, и причин тому множество. Главная из них — разница в зарплатах тех, кто защищает, и тех, кто атакует. Атакующий редко работает за сумму меньше $50000 в месяц (и налоги его не волнуют), а защищающий редко получает больше $5000 после налогов. Вот и думайте, можно ли обойтись без хитростей...