Задержка уведомления об утечке: управленческий риск, который недооценивают
Компании узнают об утечках данных через месяцы после события. Разбираю, почему это проблема для руководителя, а не только для ИБ-команды.
По данным исследований последних лет, среднее время между проникновением в систему и обнаружением инцидента составляет несколько месяцев. В некоторых громких случаях - более года. Компания живёт, продолжает работать, не подозревая, что данные клиентов или внутренние документы уже доступны посторонним.
Это не только техническая проблема. Это управленческая.
Почему обнаружение запаздывает
Злоумышленники, получившие доступ, не всегда действуют шумно. Профессиональные атаки построены на том, чтобы оставаться внутри как можно дольше - собирать данные постепенно, изучать инфраструктуру, ждать подходящего момента.
Обнаружение запаздывает по нескольким причинам. Журналы событий либо не собираются в полном объёме, либо никто их регулярно не анализирует. Аномалии есть, но нет процесса, который их замечает. Внутренних ресурсов на мониторинг не хватает, а внешний мониторинг не настроен.
Иногда об утечке узнают от третьих сторон - от партнёра, который обнаружил свои данные на открытом ресурсе, или от исследователя безопасности.
Что это означает для руководителя
Задержка обнаружения - это не просто технический провал. Это означает, что решения принимались без знания реального положения дел. Переговоры с контрагентами, кадровые решения, финансовые операции - всё это могло происходить в период, когда доступ к информации был у посторонних.
Это также означает регуляторные последствия. Во многих юрисдикциях закон требует уведомить регулятора и пострадавших в течение определённого срока после того, как компания узнала об инциденте. Но если компания узнала поздно - доказать, что действовала своевременно, значительно сложнее.
И это репутационный риск другого порядка. Одно дело сообщить: "мы обнаружили атаку в течение суток и вот что сделали". Другое - объяснять, почему данные были доступны посторонним несколько месяцев.
Что снижает этот риск
Первое - видимость. Журналы авторизации, сетевые потоки, активность привилегированных аккаунтов должны собираться и храниться. Не для ручного просмотра, а для возможности расследования и автоматического выявления аномалий.
Второе - процесс реагирования. Если первый, кто заметил что-то подозрительное, не знает, кому сообщить и что произойдёт дальше - цепочка разрывается. Процесс нужен до инцидента, а не в момент него.
Третье - регулярная проверка гипотезы "нас уже взломали". Это не паранойя, это профессиональная позиция. Периодическое привлечение внешней команды для поиска следов компрометации - нормальная практика для организаций, которые работают с чувствительными данными.
Три вопроса для руководителя
- Если кто-то получил несанкционированный доступ к нашим системам три месяца назад - мы бы это знали сегодня? За счёт чего?
- Кто в нашей организации первым узнаёт об инциденте и что происходит дальше?
- Как давно кто-либо проверял, нет ли признаков того, что мы уже скомпрометированы?
Если ответы неопределённые - это не повод для паники. Это повод для разговора с ответственными людьми о том, как устроен процесс обнаружения.