Утечка Equifax: что это означает для компаний с персональными данными

В начале сентября 2017 года стало известно об одной из крупнейших утечек персональных данных в истории. Американское бюро кредитных историй Equifax сообщило, что злоумышленники получили доступ к данным примерно 143 миллионов человек - имена, номера социального страхования, даты рождения, адреса, в ряде случаев номера водительских удостоверений и кредитных карт. Вектор атаки - уязвимость в веб-приложении, патч для которой был доступен ещё в марте, за несколько месяцев до взлома.

Я пишу об этом не потому, что это американская история. Я пишу об этом потому, что паттерн полностью воспроизводим в любой компании, которая накапливает персональные данные и не выстроила базовые процессы управления уязвимостями.

Что произошло технически

Атака использовала уязвимость в Apache Struts - популярном фреймворке для веб-приложений на Java. Уязвимость была публично раскрыта и закрыта патчем в марте 2017 года. Equifax не применил патч. В мае атакующие воспользовались этой уязвимостью и получили доступ к системам. Утечка продолжалась около 76 дней до её обнаружения.

Три элемента, которые сделали это возможным: незакрытая уязвимость в известном компоненте, отсутствие обнаружения аномальной активности достаточно быстро, отсутствие должной сегментации данных, которая ограничила бы объём утечки.

Это не экзотическая атака нулевого дня против которой трудно защититься. Это эксплуатация известной уязвимости, для которой патч существовал несколько месяцев.

Почему это актуально для российских компаний

Российские компании накапливают всё больше персональных данных - это реальность работы любого бизнеса, работающего с физическими лицами. 152-ФЗ устанавливает ответственность за их защиту, но сама по себе формальная "сдача" ФСТЭК и Роскомнадзору не означает реальной защищённости.

Есть несколько типичных паттернов, которые я вижу повторяющимися:

Устаревший стек без регулярного обновления. Компоненты веб-приложений, библиотеки, фреймворки обновляются редко, потому что "всё работает". Это значит накопленный долг уязвимостей.

Отсутствие мониторинга аномальной активности. Системы журналирования настроены, но никто не смотрит на аномалии в режиме реального времени. Утечка обнаруживается постфактум.

Недостаточная сегментация. База с персональными данными клиентов доступна широкому кругу внутренних систем. Скомпрометировав одну точку, атакующий получает доступ ко всему.

Что это означает практически

Equifax не был компанией с маленьким ИТ-бюджетом и некомпетентными специалистами. Это большая компания с серьёзной инфраструктурой. И именно незакрытый патч за несколько месяцев стал причиной крупнейшей утечки в истории кредитных бюро.

Это значит, что дело не только в наличии ресурсов - дело в процессах. Конкретно: процессе управления уязвимостями, который включает отслеживание публичных CVE для используемых компонентов, приоритизацию и своевременное применение патчей, проверку применения патчей.

Проверочные вопросы для руководителя

Если ваша компания хранит персональные данные клиентов:

1. Есть ли у нас процесс отслеживания уязвимостей в используемых компонентах - не разовый аудит, а регулярный мониторинг?
2. Каков средний срок между публикацией критической уязвимости и её закрытием в наших системах?
3. Есть ли у нас мониторинг аномальной активности для систем, содержащих персональные данные?
4. Насколько хорошо сегментирован доступ - если скомпрометирован один сервис, что именно становится доступно?
5. Есть ли у нас план реагирования на инцидент утечки данных - включая обязательное уведомление субъектов и регулятора?

Утечка Equifax войдёт в учебники как кейс о цене процессной небрежности. Для любого руководителя, который отвечает за данные клиентов, это повод провести честный аудит собственных процессов.