Теми

Формування культури
безпеки
Міцна основа: захист
захист облікових записів і
пристроїв
Безпечна комунікація і
зберігання даних
Безпека в
інтернеті
Захист фізичної
безпеки
Що робити, коли
все йде не так

Безпечна передача та зберігання даних

Безпечне зберігання даних

Для більшості парламентів одним із найважливіших рішень є те, де зберігати свої дані. Де «безпечніше» зберігати дані: на комп’ютерах співробітників, на локальному сервері, на зовнішніх пристроях зберігання чи в хмарному сховищі? У 99 % ситуацій найпростішим і найбезпечнішим варіантом є зберігання даних у надійних хмарних службах зберігання. Можливо, найпоширенішими прикладами є Microsoft 365 і Google Drive. Без комплексного плану хмарного сховища дані вашої організації, ймовірно, зберігаються в різних місцях, зокрема на комп’ютерах співробітників, на зовнішніх жорстких дисках і навіть на локальних серверах. Хоча можна захистити дані на всіх цих пристроях, дуже важко зробити це успішно, не витрачаючи багато грошей і не наймаючи значної кількості ІТ-персоналу.

Зберігання даних і парламенти

Two long banks of computers in a server room.

Поява доступного (іноді безкоштовного) хмарного сховища даних спростила (і захищала) життя багатьох парламентів та інших організацій. На жаль, багато хто все ще намагається розмістити власні сервери з відносно обмеженим ІТ-бюджетом, кадрами та підтримкою. У березні 2021 року загроза такій організаційній інфраструктурі стала реальністю для десятки тисяч організацій у всьому світі, коли пов’язаний із китайським урядом хакер на ім’я Гафніум ініціював глобальну кібербезпекову катастрофу за допомогою цілеспрямованої атаки на резидентні сервери Microsoft Exchange. Атака скомпрометувала локальні сервери, включно з сервером парламенту Норвегії, дозволивши хакерам отримати доступ до облікових записів електронної пошти парламенту, встановити додаткове шкідливе програмне забезпечення на серверах жертви та підключених системах і, зрештою, отримати конфіденційні дані.

Хоча корпорація Microsoft швидко опублікувала оновлення та інструкції щодо виявлення та видалення потенційних зловмисних програм після оприлюднення інформації про злом, багатьом організаціям не вистачило ІТ-потенціалу для швидкого застосування таких оновлень, через що вони залишалися незахищеними протягом тривалого часу. Масштаби та вплив цього глобального злому свідчать про те, наскільки небезпечним для громадських організацій є вибір резидентних серверів для розміщення електронної пошти та інших типів конфіденційних даних, особливо без значних інвестицій у спеціалізований персонал із кібербезпеки.

Переваги хмарного сховища

Навіть якщо ви вживаєте всіх належних заходів для захисту своїх комп’ютерів від шкідливих програм і фізичної крадіжки, рішучий зловмисник все одно може зламати ваш комп’ютер або локальний сервер. Набагато важче зламати захист безпеки від таких фірм, як Google або Microsoft. Компанії, що надають надійні хмарні сховища, мають неперевершені ресурси безпеки та сильну комерційну мотивацію надавати максимальну безпеку своїм користувачам. Отже, стратегію надійного хмарного зберігання буде набагато легше реалізувати та підтримувати з часом. Тож замість того, щоб намагатися визначити (і зберегти) кількість спеціального та висококваліфікованого персоналу з кібербезпеки, необхідного для захисту локальних серверів у вашому парламенті, зосередьте свою енергію на кількох простіших завданнях. До них належать вибір правильного варіанта хмарного сховища для ваших потреб у конфіденційності та локалізації даних, впровадження надійної безпеки облікового запису, навчання співробітників належному спільному (і не спільному) папкам і документам (загалом, ви повинні налаштувати папки на своєму хмарному накопичувачі, які обмежують доступ лише до тих співробітників, яким це потрібно для певних файлів), а також регулярний аудит вашої системи, щоб переконатися, що співробітники та учасники не надають надмірного доступу до будь-яких файлів (наприклад, увімкнувши універсальний спільний доступ за посиланнями для файлів, який замість цього слід обмежити лише кілька людей).

Зберігання основної частини вашої інформації в хмарному середовищі допоможе подолати низку поширених ризиків. Хтось залишив комп’ютер у ресторані чи телефон в автобусі? Дитина перекинула склянку соку на вашу клавіатуру, через що пристрій не працює? Чи потрібно вам відокремлювати дані, які належать самому депутату, від інформації, яку вона створює для самого парламенту? У співробітника виявилася шкідлива програма і йому потрібно стерти дані з комп’ютера та почати все заново? Якщо більшість документів і даних зберігаються в хмарі, їх легко повторно синхронізувати та почати заново на очищеному чи новому комп’ютері. Крім того, якщо шкідлива програма потрапляє на комп’ютер або якщо злодій сканує жорсткий диск, нема чого красти, якщо доступ до більшості документів здійснюється через вебоглядач.

Чи справді ми можемо довіряти хмарному сховищу?

Загалом, у хмарному сховищі немає нічого ненадійного. Як згадувалося вище, більшість великих постачальників хмарних сховищ мають команди найкращих у світі інженерів безпеки, які щодня працюють над захистом їхніх продуктів і пропонують своїм клієнтам підтримку безпеки, що перевищує те, що більшість малих ІТ-відділів можуть надати самостійно. Однак майте на увазі, що традиційні хмарні служби зберігання зазвичай вимагають надання доступу до конфіденційних даних сторонній компанії, яка надає послуги. Зважаючи на це, кожен окремий парламент матиме свої власні політичні міркування та юридичні вимоги (наприклад, повноваження щодо локалізації даних), які необхідно враховувати, коли вирішуватиме, чи можна йому довіряти певному постачальнику хмарних сховищ і використовувати його.

Якого постачальника хмарного сховища вибрати?

Якщо вашому парламенту не потрібно розглядати вимоги щодо локалізації даних і немає проблем із наданням доступу до даних надійною сторонньою компанією, двома найпопулярнішими варіантами хмарного сховища є Google Workspace (раніше відомий як GSuite) і Microsoft 365. Якщо ваш парламент уже використовує Gmail, зареєструватися в Google Workspace і зберігати дані на Google Drive за допомогою вбудованих програм Google Docs, Sheets і Slides для обробки текстів, електронних таблиць і презентацій має великий сенс. Так само, якщо ваш парламент покладається на Excel і Word, простим вибором буде зареєструватися в Microsoft 365, який надає доступ до Outlook для електронної пошти та ліцензованих версій Microsoft Word, Excel, PowerPoint і Teams.

Що робити, якщо нам потрібно контролювати власні дані або дотримуватися законів про локалізацію даних?

Для багатьох парламентів такий простий варіант може бути неможливим з огляду на вимоги локалізації даних або конкретні очікування, які вимагають виключного парламентського контролю над власними даними. Хороша новина полягає в тому, що нещодавно постачальники безпечних хмарних сховищ розробили варіанти, які дозволяють корпоративним клієнтам або вибирати розташування своїх даних (зауважте, що наразі це здебільшого обмежено європейськими клієнтами), або контролювати власні ключі шифрування. На практиці це означає, що ваш парламент має можливість контролювати власні дані, водночас користуючись перевагами інфраструктури та безпеки хмарного сховища.

Якщо ваш парламент наразі використовує або зацікавлений у Google Workspace для хмарного зберігання та обміну даними, Google представив функцію, яка вмикає шифрування на стороні клієнта для організацій Enterprise Plus. Хоча ця функція наразі перебуває на стадії тестування та доступна лише для найдорожчих тарифних планів Google Workspace, вона дає змогу скористатися всіма перевагами повного набору функцій зберігання та обміну даними Google Диска, а також вбудованих у них функцій безпеки, обмежуючи при цьому можливість Google отримати доступ до конфіденційної або приватної інформації вашого парламенту. За допомогою шифрування на стороні клієнта ви можете вибрати інтеграцію додаткової служби керування ключами, як-от Virtru, і дозволити користувачам керувати своїми власними ключами шифрування, не дозволяючи доступу до самої Google. Така послуга вимагає від усіх ретельного захисту цих ключів, щоб належним чином захистити доступ до будь-якої системи керування ключами, яку ви вирішите інтегрувати в Google Workspace. Адміністратори облікових записів можуть дізнатися більше про те, як увімкнути шифрування на стороні клієнта на сторінці підтримки в Google Workspace.

Якщо ваш парламент наразі використовує або зацікавлений у Microsoft 365 для хмарного зберігання та обміну даними, він пропонує трохи складніший, але добре відомий варіант керування вашими власними ключами шифрування, відомий як Microsoft 365 Double Key Encryption. Для цього параметра безпеки потрібен Microsoft 365 E5, але він дозволяє контролювати будь-які конфіденційні чи приватні парламентські дані та обмежити доступ навіть до самої Microsoft.

Tresorit — це ще один варіант, який простіше реалізувати, якщо ваш парламент стурбований тим, щоб сторонні особи мали доступ до вашої внутрішньої інформації. Tresorit забезпечує наскрізне шифрування для хмарного зберігання та обміну файлами, а також пропонує ряд параметри резидентності даних.
 

Підвищення безпеки облікових записів у хмарі парламенту

Якщо ваш парламент вирішить налаштувати домен у Google Workspace або Microsoft 365, майте на увазі, що обидві компанії пропонують вищий рівень безпеки для облікових записів, які знаходяться під загрозою. Програма розширеного захисту від Google і AccountGuard від Microsoft забезпечують ще більш надійний захист хмарних облікових записів відповідних організацій і допомагають значно зменшити ймовірність ефективного фішингу та зламу облікового запису. Якщо ви вважаєте, що ваша організація відповідає вимогам участі у програмі, і зацікавлені в реєстрації вашої організації в будь-якому з планів, відвідайте веб-сайти, посилання на які наведені вище, або зв’яжіться з [email protected] для отримання подальшої допомоги.

Що робити, якщо ми не можемо довіряти жодному хмарному сховищу?

Якщо ви все-таки вирішите діяти самостійно та покладатися на локальні сервери для зберігання даних вашого парламенту, надзвичайно важливо, щоб ви інвестували значний час і ресурси в посилення цифрового захисту пристроїв вашого парламенту та переконалися, що такі сервери належним чином налаштовані, зашифровані та і зберігався у фізичній безпеці. Як зазначалося вище, такий підхід вимагає визначення, найму та утримання певної кількості спеціального та висококваліфікованого персоналу з кібербезпеки для підтримки безпеки вашої локальної серверної інфраструктури.

Резервне копіювання даних

Незалежно від того, чи ваш парламент зберігає дані на фізичних пристроях і серверах чи в хмарі, важливо мати резервну копію. Майте на увазі, особливо якщо ви використовуєте фізичне сховище на пристрої, дуже легко втратити доступ до даних. Ви можете пролити каву на свій комп’ютер і знищити жорсткий диск. Комп’ютери співробітників можуть бути зламані, а локальні файли заблоковані за допомогою програми-вимагача. Співробітник може забути пристрій у поїзді або його можуть викрасти разом із портфелем. Як згадувалося вище, це ще одна перевага використання хмарного сховища: воно не прив’язане до певного пристрою, який можна заразити, втратити чи вкрасти. Комп’ютери Mac оснащені вбудованим програмним забезпеченням резервного копіювання під назвою Time Machine, який використовується разом із зовнішнім накопичувачем; у пристроях із Windows File History виконує аналогічні функції.Пристрої iPhone та Android можуть автоматично створювати резервні копії найважливішого вмісту в хмарі, якщо це ввімкнено в налаштуваннях телефону.

Якщо ваша організація використовує хмарне сховище (наприклад, Google Диск), ризик того, що Google буде виведено з ладу або ваші дані знищено в результаті аварії, досить низький, але залишається можливість помилки з боку людини (наприклад, випадкове видалення важливих файлів). Може бути корисним розглянути варіанти хмарного рішення для резервного копіювання даних, як-от Backupify або SpinOne Backup.

Якщо дані зберігаються на локальному сервері та/або локальних пристроях, безпечне резервне копіювання стає ще важливішим. Ви можете створити резервну копію даних свого парламенту на зовнішній жорсткий диск або серію дисків, але обов’язково зашифруйте такі диски надійним паролем. Time Machine може зашифрувати жорсткі диски для вас, або ви можете використовувати надійні засоби шифрування всього жорсткого диска, як-от VeraCrypt або BitLocker. Зберігайте пристрої для резервного копіювання окремо від інших пристроїв і файлів. Пам’ятайте, що пожежа, що знищить ваші комп’ютери та їхні резервні копії, означатиме, що у вас взагалі не залишиться резервних копій. Зберігайте копію в надійному місці, наприклад, у сейфі.

Безпечне зберігання даних

  • Зберігайте конфіденційні дані виключно в надійній службі хмарного зберігання.
    • Переконайтеся, що всі підключені облікові записи, що використовуються для доступу до такої служби, мають надійні паролі та 2FA.
  • Установіть і застосуйте політику обмеження спільного доступу до файлів у хмарному сховищі.
    • Навчіть усіх депутатів і співробітників тому, як правильно надавати спільний доступ (а не надсилати) документи.
  • Якщо ваш парламент вирішує зберігати дані локально, інвестуйте в кваліфікованого ІТ-персоналу.
  • Зберігайте резервні копії даних у безпеці — зашифруйте резервні копії жорстких дисків або інших резервних пристроїв.