4. Due Care – мост между «бумажной»
и «реальной» безопасностью
• Incident Management*
• Detection
• Response
• Mitigation
• Reporting
• Recovery
• Remediation
• Lessons learned
• Vulnerability Management
• …
* Фазы взяты из CISSP CBK Reference (6th Edition)
Вы виноваты по умолчанию
(пока не предъявите документы
и реальные меры безопасности)
5. Важность баланса
Три направления регулирования
защиты данных в облаках
• Персональные данные
• Критическая инфраструктура
• Отраслевое регулирование
Три стороны регулирования
• Компания
• Государство
• Пользователи
Формальное соответствие
требованиям закона
Реальные обеспокоенности
представителей регуляторов
*
*
В Казахстане также регламентируется размещение программно-аппаратных комплексов
доменов зон .KZ и .ҚАЗ на территории Казахстана
6. При чем здесь персональные данные?
• Защита частной жизни (privacy) – одно из фундаментальных
человеческих прав
• ст. 8 Европейской конвенции по правам человека (47 стран)
• ст. 18 Конституции Республики Казахстан
• Наказания за нарушения правил защиты персональных данных
бывают очень жесткими (сотни миллионов евро)
• Доказывать нарушения правил защиты персональных данных
относительно просто
• Даже если нарушения допускает облачный провайдер,
за это в первую очередь отвечает сама компания
7. Ключевые понятия GDPR
• ‘Controller’ means the natural or legal person, public authority, agency
or other body which, alone or jointly with others, determines the purposes
and means of the processing of personal data; where the purposes and
means of such processing are determined by Union or Member State law,
the controller or the specific criteria for its nomination may be provided
for by Union or Member State law
• ‘Processor’ means a natural or legal person, public authority, agency
or other body which processes personal data on behalf of the controller
Это означает, что, в подавляющем большинстве случаев, за нарушения защиты
персональных данных отвечает перед государством и пользователями сама компания
как Data Controller, если не докажет, что облачный провайдер допустил нарушения,
выйдя за пределы поручений компании-клиента (то есть превратившись из Data
Processor в Data Controller)
8. При чем здесь критическая инфраструктура? *
• В ряде случаев национальные законы о защите критической
инфраструктуры могут оказаться применимы к веб-приложениям
• В сферу действия директивы EU 2022/2555 (NIS2) попадают
следующие организации (п. 6 Приложения II “Other Critical Sectors”):
• Providers of online marketplaces
• Providers of online search engines
• Providers of social networking services platforms
Малые и средние предприятия (до 250 человек персонала, годовой оборот
до 50M EUR, активы до 43M EUR) выведены из-под действия директивы NIS2
* В Казахстане государство определяет конкретный перечень КВОИКИ, в Европе – только
сектора экономики
9. Что беспокоит регуляторов?
• Нарушение прав и свобод граждан как «слабой стороны»
во взаимоотношениях с компаниями-поставщиками услуг
• Масштабная угроза жизни и здоровью граждан – например,
при успешной атаке злоумышленника на городскую систему
очистки воды
• Угроза для всей отрасли – например, всеобщая банковская
паника при масштабном киберинциденте в ведущем банке,
если информация получит огласку в прессе
Защита государством прав и свобод граждан – ключевой фактор доверия граждан
к государству и, соответственно, развития экономики! Чтобы дискуссии с регуляторами
были продуктивными, совершенно необходимо обсуждать не только те или иные
запреты, но и влияние этих запретов на отрасль и экономику страны в целом!
10. Что беспокоит регуляторов?
Типичные примеры ситуаций, когда регулятор должен вмешиваться:
• Незаконное разглашение персональных данных
• Незаконный сбор персональных данных
• Незаконная трансграничная передача персональных данных
• Недоступность критической информационной инфраструктуры
• Незаконное разглашение банковской тайны
• …
Регулятор вмешивается не только тогда, когда случился инцидент или поступила
жалоба! «Под микроскоп» попадают и доминирующие участники рынка, и компании,
риски деятельности которых, по мнению регулятора, чрезмерны
11. Персональные данные
(Люксембург, EU)
• Законодательство – GDPR (2016)
• (неочевидная) Область
применения – любая компания,
ведущая мониторинг поведения
субъектов на территории EU
(Anti-DDoS? Cookie?)
• Законные штрафы
– от €10M / 2% всемирного
годового оборота до €20M / 4%
годового оборота
• Максимальный фактический
штраф – Amazon, 2021 (€746M)
Ex-CEO @ Amazon
Jeff Bezos
12. Персональные
данные (UK)
• Законодательство – UK Data
Protection Act (1998)
• Прецедент: масштабная утечка
данных в американском
кредитном бюро Equifax (2017)
• Количество пострадавших
субъектов персональных данных –
146 миллионов, в том числе, 15.7
миллионов британцев
• Штраф £ 500’000 в UK
(в дополнение к $575M в США)
• Глава компании ушел в отставку
Ex-CEO @ Equifax
Richard Smith
13. Персональные
данные (Сингапур)
• Законодательство – Personal Data
Protection Act 2012
• (неочевидная) Область
применения – любая компания,
ведущая мониторинг поведения
субъектов на территории SG
(Anti-DDoS? Cookie?)
• Законные штрафы – до 10%
годового оборота в Сингапуре
• Возможность тюрьмы до 3 лет
для частных лиц
• Максимальный фактический
штраф – 250K SGD ($188K)
для SingHealth и 750K SGD
($564K) для IHiS
CEO @ IHiS
Bruce Liang
14. Персональные
данные (Казахстан)
• Законодательство – ЗРК от 21.05.13
№ 94-V «О персональных данных
и их защите»
• Область применения
– территория Казахстана
• Законные штрафы
– до 1000 МРП (примерно $7600)
• Максимальный фактический штраф
– 100 МРП, за неисполнение
предписания об устранении
нарушений 500 МРП
15. Критическая инфраструктура и отраслевое
регулирование
• Германия (EU) – German Federal Network Agency (Bundesnetzagentur)
наложило в 2018 году штраф в €10M на энергокомпанию Energieversorgung
Offenbach (EVO) за недостаточность мер кибербезопасности
• США – Federal Energy Regulatory Commission (FERC) наложила в 2018 году
штраф в $10M на энергокомпанию Duke Energy за недостаточность мер
кибербезопасности
• Казахстан (максимальный фактический штраф 100 МРП):
• за 2022 год – привлечено к ответственности 48 должностных лиц на сумму 1’172’475 KZT
и 17 юрлиц на сумму 3’492’535 KZT
• за 1 квартал 2023 – привлечено к ответственности 74 должностных лица на сумму 2’026’875
KZT и 8 юрлиц на сумму 672’750 KZT
17. Пять ключевых обязательств компании
• Обрабатывать информацию клиентов в соответствии
с заявленными целями
• Реагировать на законные требования клиентов
(например, предоставлении копии собранных ПДн)
• Своевременно уведомлять регулятора и клиентов
об инцидентах
• Обеспечивать локализацию персональных данных
• Иметь работоспособную СУИБ
• иногда регуляторы выставляют очень подробные
требования
+
18. Что дает миграция в облака?
• Возможность делегировать
многие функции безопасности
облачному провайдеру
• Возможность просто и дешево
автоматизировать многие
процессы безопасности
• Возможность просто и дешево
обеспечить резервирование
и масштабирование сервисов
• Необходимость делегировать
многие функции безопасности
облачному провайдеру
• Риск нарушения ряда
законодательных требований
(например, локализации ПДн)
• Риск неправомерного
использования данных
облачным провайдером
(особенно, SaaS)
19. Примеры - ISO 27001:2022, Annex A
• 5.2 “Information security roles and responsibilities
shall be defined and allocated according to the
organization needs”
• 5.13 “An appropriate set of procedures for
information labelling shall be developed and
implemented in accordance with the information
classification scheme adopted by the organization”
• 5.25 “The organization shall assess information
security events and decide if they are to be
categorized as information security incidents”
21. Инфраструктура разделена, но процессы
обеспечения безопасности сквозные!
Through 2025,
99% of cloud security failures
will be the customer’s fault
(https://www.gartner.com/smarterwithgartner/is-the-cloud-secure)
AWS Shared Responsibility Model
Для примера:
Incident Management – сквозной
процесс, и оркестрация компонентов
и инструментов (AWS GuardDuty, SNS,
Lambda Functions, …) всегда в зоне
ответственности компании!
22. Что можно сделать?
Разумно выбрать облачного провайдера
•Обратите внимание на сертификацию SOC2 или ISO 27017
Построить и сертифицировать сквозную СУИБ
•Постройте модель угроз и увяжите с нею СУИБ
Обеспечить формальное соответствие СУИБ требованиям регуляторов
•Помните – регуляторов немало, и зачастую их требования трудно совместить и одновременно исполнить
Неформально согласовать с регуляторами модель угроз и СУИБ на ее базе
•Ключевая задача – услышать обеспокоенности и убедительно ответить на них
Протестировать сквозные процессы в рамках СУИБ
•Результаты тестов, в том числе, и неудачных – убедительное свидетельство эффективности СУИБ
и для регуляторов, и для клиентов
Поэтапно перенести приложения и данные в облако
23. Пример
• Казахстанский банк хочет разместить часть
приложений в зарубежном публичном облаке
• Инвентаризация применимого законодательства
и регуляторов
• Составление short-листа подходящих облачных
провайдеров
• Разработка модели угроз (STRIDE) и планирования
контролей безопасности (Preventive, Detective, Reactive)
с привлечением архитекторов облачных провайдеров
• Согласование модели угроз и контролей безопасности
со своими юристами и с регуляторами
• Реализация контролей безопасности и поэтапная
миграция приложений и данных в облако
?
24. Пример: о чем мы должны беспокоиться
• Трансграничная передача персональных данных
(ЗРК № 94-V «О персональных данных и их защите»
ст. 16, GDPR Chapter V):
• Явное согласие клиента
(с возможностью отзыва в любое время)
• Возможность ограничить доступ к этим данным
(при отзыве согласия), если нельзя данные удалить
• Наличие страны, где размещается ЦОД выбранного региона
облачного провайдера, в списке одобренных стран
(European Commission Adequacy Decision -
https://commission.europa.eu/law/law-topic/data-
protection/international-dimension-data-protection/adequacy-
decisions_en)
• Явное объяснение, почему выбранная страна обеспечивает
должную защиту персональных данных (ст. 16.2 ЗРК № 94-V)
• Хранение локального бэкапа персональных данных
(ЗРК № 94-V ст. 12)
1
25. Пример: о чем мы должны беспокоиться
• Необходимость шифровать данные,
находящиеся в облаке, ключом на стороне банка
(ПП НБРК № 48, п. 60.2)
• Использование только облачных сервисов,
поддерживающих KMS (например, AWS DynamoDB
или Azure SQL)
• Использование KMS с ключами, генерируемыми
в On-Premise HSM (например, Azure Key Vault
Managed HSM или AWS KMS custom key store
это позволяет)
2
26. Краткое резюме:
факторы успеха
при миграции
в публичное облако
• Внятная причина, зачем это делать
(миссия, ценности, риски)
• Понимание применимого
законодательства
• Риск-ориентированная СМИБ
со сквозными процессами
• Уважительный разговор с регуляторами,
базирующийся на рисках
• Компетентная команда,
пользующаяся поддержкой руководства
27. Буду рад помочь,
чем смогу!
+7 777 726 4790
vshabad@vshabad.com
https://linkedin.com/in/vshabad