НовостиОбзорыСобытияIT@WorkРеклама
Безопасность:
Почему разработчики выбирают Flutter: опыт Кирилла Адещенко
Руководитель мобильной разработки крупного банка о своих методиках на основе популярного кроссплатформенного …
Екатерина Мелентьева: «Дефицит человеческих ресурсов будет фундаментальной проблемой в ближайшие 10-15 лет»
Российская ИТ-отрасль продолжает оставаться одной из самых быстрорастущих в стране, чем обусловлена высокая …
BI Visiology для нефтегазового сектора и энергетики
Мониторинг KPI, контроль и планирование производства и продаж, всесторонняя аналитика данных, сводная …
Коммерческие киберуслуги компании UserGate
Востребованность киберуслуг российскими корпоративными клиентами продиктована сегодня ростом критичности ущербов …
Владимир Марков: Роботы открывают новые возможности в обучении
Российский разработчик в области робототехники, обладатель ряда патентов, победитель RoboCup Asia рассказал …
 

Дмитрий Быков: «CRM-система эффективно предотвращает утечки данных»

Юрий Николаев | 11.09.2023

Известный специалист в области кибербезопасности рассказал о своей разработке, которая предотвращает несанкционированный «вынос» информации за пределы организации.

Число утечек данных в России выросло в полтора раза. Только за первые четыре месяца 2023 года зафиксировано 75 случаев попадания третьим лицам конфиденциальной информации коммерческих компаний и госорганизаций. За аналогичный период прошлого года — 49. Похищенные данные киберпреступники нередко продают или используют для компрометации и шантажа руководства, а иногда — для разорения предприятия.

Обеспечивать защиту материалов призваны службы информационной безопасности. Их сотрудники обнаруживают каналы утечки, разрабатывают способы защиты от кибератак, а также методики обработки и надежного хранения данных. Один из самых авторитетных специалистов в этой области — Дмитрий Быков, начальник отдела по информационной безопасности ООО «Дубликат». Он реализовал ряд успешных проектов по пресечению киберугроз для иностранных мобильных операторов, а также солидных российских предприятий, в числе которых крупнейший сибирский грузоперевозчик, осваивающий районы Крайнего Севера. Уникальная система управления отношений с клиентами, разработанная для этой компании, прекратила потерю клиентов и убытки, с которыми столкнулось предприятие из-за серии утечек данных. О стратегиях кибербезопасности и о том, почему нельзя пренебрегать обучением сотрудников — в интервью с Дмитрием Быковым.

Дмитрий Быков

Дмитрий, по просьбе крупного грузоперевозчика вы с нуля разработали уникальную CRM-систему, которая прекратила серию серьезных финансовых потерь компании, связанных с утечками данных. Расскажите, с какой ситуацией столкнулось предприятие и как вы решили проблему.

У этого предприятия были большие проблемы с информационной безопасностью. За последние два года было выявлено восемь инцидентов, которые имели серьезные последствия для компании. Они привели к убыткам, связанным с потерей клиентов, а также к неудачам на конкурсных закупках из-за утечки инсайдерской информации конкуренту, в связи с чем ежемесячная выручка сократилась более чем на два миллиона рублей. Вот тогда руководство и обратилось ко мне за разработкой системы защиты.

Во-первых, я интегрировал механизм аутентификации, который обеспечивает доступ к системе и, соответственно, к чувствительным данным только авторизованным пользователям.

Во-вторых, реализовал управление доступом, чтобы каждый пользователь имел доступ только к той информации, которая необходима для выполнения его рабочих обязанностей. Это снижает риск несанкционированного проникновения к конфиденциальным данным.

CRM-система эффективно предотвращает «вынос» информации за пределы организации, поэтому нет необходимости придумывать какую-либо защиту от подключения внешних USB-устройств.

В результате использования в вашей системе механизмов защиты данных достигается их практически стопроцентная защита от компрометации. Что именно вы применили?

В первую очередь — механизмы шифрования. Это означает, что доступ ко всем чувствительным данным, которые хранятся в базе данных и на файловом сервере, не удастся прочитать вне CRM-системы. Даже если злоумышленник получит доступ к информации, он не сможет ее прочитать без специального ключа.

Также я предусмотрел систему мониторинга, используя которую администратор следит за активностью пользователей и программы в целом и в случае обнаружения подозрительных действий предпринимает меры.

Для осуществления сохранности данных было реализовано автоматическое резервное копирование и таким образом удовлетворена одна из технических мер, предусмотренных регулятором, по сохранности персональных данных. Вследствие того, что данные в системе хранятся в зашифрованном виде, в бэкапе они также зашифрованы. Плюсом является то, что нет необходимости придумывать решение для того, чтобы обезопасить данные в бэкапах.

Создав для предприятия индивидуальную CRM-систему — программу управления отношений с клиентами компании, в которой работает большой штат сотрудников, вы занялись обучением персонала работе с ней. Насколько сложно это было и с какими другими трудностями столкнулись в процессе внедрения системы?

Действительно, система разрабатывалась индивидуально под конкретного заказчика, чтобы он был уверен в отсутствии недекларированных возможностей и в то же время в полной информационной безопасности. Как правило, другие CRM-продукты не ставят такую задачу и не подразумевают шифрование данных.

А сложности, да, были. Процесс обучения оказался более длительным, чем я ожидал. Пришлось уделять дополнительное время на обучение сотрудников новым функциям и интерфейсу CRM-системы. Несмотря на то, что система разрабатывалась под существующие бизнес-процессы, деловые операции требовали серьезной переорганизации. Я столкнулся с непростым выбором между изменением существующих процессов и модификацией системы. Это вызвало определенное сопротивление со стороны некоторых сотрудников, которые привыкли к старому порядку вещей.

Также внедрение системы столкнулось с техническими вызовами. Интеграция с существующими программами и перенос данных требовали дополнительных усилий и решения некоторых сложных технических задач. Несмотря на это, благодаря усилиям моей команды и готовности компании адаптироваться мы преодолели трудности и добились успешного внедрения CRM-системы.

Благодаря вашей работе компании удалось добиться статуса надежного партнера в глазах заказчиков и клиентов, ведь за пять лет случился всего один инцидент, связанный с нарушением информационной безопасности. Расскажите, насколько сильно изменилась ситуация на предприятии после внедрения CRM-системы?

Прежде доступ к ресурсам компании осуществлялся за счет развернутого сервиса удаленных рабочих столов, где каждый пользователь имел неконтролируемый доступ к материалам. Данные клиентов и бизнес-информация могли подвергаться риску утечки из-за несовершенной системы защиты. Отсутствие централизованной системы мониторинга и обнаружения угроз означало, что атаки могли проходить незамеченными. Управление доступом к данным и системам было малоорганизованным и осуществлялось вручную. Отсутствие единой точки для мониторинга, анализа и реагирования на инциденты затрудняло эффективное управление кибербезопасностью и увеличивало время реакции. Неконтролируемый доступ к данным и недостаточная осведомленность о политике безопасности создавали возможность для сотрудников провести несанкционированную передачу данных или информации третьим лицам.

Мы улучшили эффективную защиту данных, хорошо контролируем доступ, оперативно реагируем на угрозы и обеспечиваем более точный аудит происходящего. И, действительно, за пятилетний период был выявлен лишь один инцидент, причем случилось это во время моего отсутствия в России. Компания купила новое сетевое оборудование, и приходящий специалист должным образом не настроил права доступа. Злоумышленник, получив доступ в админ-панель, оставил backdoor на оборудовании, создав себе учетную запись. Выявить факты подключения по VPN со стороннего IP-адреса удалось не сразу.

В настоящее время все активы компании находятся за уровнем сетевой защиты, включая применение сетевых экранов и технологии Network Address Translation (NAT). Доступ внутрь внутренней сети реализован через виртуальные частные сети (VPN), что способствует обеспечению дополнительного уровня безопасности.

Насколько мне известно, ваши разработки по информационной безопасности CRM-системами не ограничиваются. На основе уже имеющихся наработок вы готовите особый проект для мобильных операторов США. В чем его суть?

Все мои проекты — по сути комплексные средства для достижения кибербезопасности. В каждом конкретном случае разрабатывается решение под потребности компании. У всех мобильных операторов мира общая проблема — утечки данных, мошенничество, не всегда прочная система защиты от киберугроз. Я намерен предложить сотовым компаниям США уникальную систему, которая будет выявлять «серые маршруты», рассылки от мошенников, спам, информировать абонентов о подозрительных SMS.

Сейчас в России и в мире появляется много быстро развивающихся компаний. Насколько серьезно они относятся к защите информации на первых этапах?

Конкуренция и давление рынка могут оказать значительное воздействие на подход стартапов к информационной безопасности. В поисках быстрого старта и оперативного внедрения своих продуктов или услуг, они могут временно пренебрегать аспектами кибербезопасности по разным причинам: из-за ограниченных ресурсов, отсутствия специалиста или элементарного непонимания последствий. Но все же стартапам важно найти баланс между быстрым запуском и обеспечением минимального уровня безопасности. Сознательное внедрение базовых мер безопасности и планирование для будущего развития могут снизить риски и защитить бизнес от негативных последствий.

И сразу — несколько рекомендаций по стратегии кибербезопасности начинающим бизнесменам от профессионала.

Из конкретных рекомендаций могу дать следующие. Обеспечьте адекватное хеширование и шифрование конфиденциальных данных при их хранении и передаче. Постоянно отслеживайте и обновляйте используемые библиотеки и фреймворки для закрытия известных уязвимостей. Проверяйте и фильтруйте входные данные от пользователей, чтобы предотвратить атаки типа SQL-инъекций и XSS. Реализуйте принцип наименьших привилегий, чтобы сотрудники и системы имели только необходимый доступ. Разрабатывайте архитектуру с учетом возможных сценариев атак и реализуйте контрмеры. Внедряйте систему логирования и мониторинга, чтобы оперативно обнаруживать аномальную активность. Регулярно проводите тесты на проникновение и аудит кода для выявления уязвимостей. Постоянно создавайте резервные копии данных, чтобы минимизировать потери в случае инцидента.

Не стоит забывать, что безопасность — непрерывный процесс. Изучайте новые угрозы и методы защиты, следите за изменениями в области информационной безопасности и постоянно совершенствуйте свои навыки.

Другие спецпроекты
ПечатьПечать без изображений

Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

ПОДГОТОВЛЕНО ITWEEK EXPERT

 
Интересно
Целостность данных: скрытая проблема в гибридных ИТ-стратегиях
Проблемы целостности данных (data integrity) в гибридных ИТ-средах могут препятствовать производительности …
Docker: ландшафт разработки приложений стремительно меняется
Мир разработки приложений значительно меняется в последние годы, поскольку новые требования и тенденции …
Почему нынешний подход к ИИ чрезмерно опасен
Когда я смотрю на усилия по созданию искусственного интеллекта, предпринимаемые такими компаниями, как …
Прорывные технологии: как ИИ может повысить эффективность клиентского сервиса
В эпоху глобальной цифровизации ключевым фактором успеха компаний становится способность предоставлять …
Бэкапы: как компании защитить свои данные
В современном мире компании все больше полагаются на цифровые технологии для ведения бизнеса. Однако …