Битва за данные: информационная безопасность в арбитраже трафика и аффилейт-сфере
Информационная безопасность (ИБ) касается всех сфер жизни человека. И арбитраж трафика — не исключение. Но аффилейт-сфера специфична, и стандартные правила в ней не работают. Рассказываем, как обстоят дела с ИБ и защитой данных в арбитраже сейчас, какую информацию защищают арбитражники, а также рассмотрим реальные кейсы по ИБ и порассуждаем о перспективах информационной безопасности в аффилейт-сфере.
Храним как зеницу ока: типы информации в аффилейт-сфере
Взаимодействие участников аффилейт-сферы аккумулирует много информации, чувствительной при утечке.
Кража, утечка или несанкционированный доступ к такой информации приводит к финансовым потерям, репутационному ущербу и другим негативным последствиям для рекламодателей и аффилиатов.
ИБ-арсенал арбитражника
В арбитраже информационная безопасность — более широкое понятие, чем в других сферах. Задача вебмастера, партнерской программы, арбитражного холдинга или команды — закрыться не только от злоумышленников, но и правопорядка, контролирующих, проверяющих органов и т. д. Поэтому инструменты ориентированы на сокрытие информации, чем на защиту от хакерских атак: антики, прокси-сервера, клоакинг.
От хакерских атак, утечек баз данных и проникновений аффилейтов защищают другие инструменты. Об этом нам рассказал технический специалист арбитражных команд.
«Хосты. Используйте авторитетный веб-хостинг, работающий по протоколу SSL и предоставляющий защиту от DDoS-атак и мониторинг сети.
Файрволы. Нужны для защиты компьютерных сетей от несанкционированного доступа или вредоносного программного кода.
Резервное копирование. Бекап для важных данных, например, операционных систем, виртуальных машин, сайтов, фотографий, видео и другого, нужно делать часто. Ходят слухи, что именно на этом погорел СДЭК, пострадавший от хакерской атаки и вируса-шифровальщика, а также собственных админов, делавших бекапирование раз в полгода.
Доступы. Ограничьте круг доступов к серверам, храните их надежно, зная, для кого и какие доступы были выданы.
Логирование действий пользователя. Используйте специальные программы, которые записываю логи и делают скриншоты во время работы пользователя со своей учетной записью.
Хранение данных. Используйте облачные хранилища, которые обеспечивают настройки прав доступа учетных записей, мониторинг, шифрование во время загрузки, чтения и хранения данных.
Учетные записи. Не забывайте выставлять ограничения учетных записей сотрудников на создание других учеток, удаление и установку программ.
Авторизация. Старайтесь использовать двухфакторную аутентификацию для ключевых сервисов. Это повысит безопасность при попытках несанкционированного доступа.
Корпоративный VPN. Нужен для создания зашифрованного подключения между вашим устройством и сервером. Такое подключение будет безопасным, даже если удаленный сотрудник подключается через публичный канал передачи данных».
В ИБ важно и поведение сотрудников компании. Они могут стать надежной преградой для киберзлоумышленников или же «троянским конем», открывшим доступ к критической инфраструктуре. Поэтому специалисты ИБ рекомендуют обучать персонал принципам кибербезопасности: распознаванию фишинговых писем, безопасному использованию паролей и другому.
Правовая сторона ИБ и защиты данных в аффилейт-сфере
Арбитражники обязаны соблюдать законодательство страны, на территории которой они находятся. Например:
- ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Закон определяет перечень запрещенной к распространению информации, а также обязанности по защите данных.
- GDPR (General Data Protection Regulation). Регламент по защите персональных данных, действующий в странах Евросоюза.
- Safeguards Rules FTC. Правила, обязывающие аффилейтов в США, сообщать об инцидентах по утечке данных.
Но в большинстве случаев стандартные законы по информационной безопасности не работают в аффилейте.
Кейсы по нарушениям ИБ и защиты данных в арбитраже
Посмотрим на реальных кейсах, какие инциденты случаются в сфере аффилейта и с какими последствиями сталкиваются пострадавшие компании.
Антик Dolphin и анти-багбаунти
В марте «этичный хакер» обнаружил в известном антике Dolphin уязвимость, которая позволяла получить доступ к любому аккаунту внутри командного профиля [email protected].
Стандартная практика предусматривает выплату вознаграждения пентестеру за выявленную уязвимость или слабость системы. Но что-то пошло не так. Больше месяца сервис функционировал с дырой в безопасности, а овнер снижал размер вознаграждения белому хакеру. При этом никаких действий по ИБ или защите данных не предприняли.
Но в итоге все закончилось неплохо — пенстестер получил заслуженную награду, а Dolphin — саму уязвимость и список ее «возможностей».
Ctrl+C и Ctrl+V = равно утечка базы данных
В марте прошлого года произошел фееричный слив партнерской базы онлайн-казино «KTO Affiliates». Причиной стала не атака хакеров, а банальный человеческий фактор. При рассылке менеджеры копировали все адреса из базы и вставляли их в поле «Кому» при отправке. В итоге вместе с новостями онлайн-казино партнеры получали всю базу данных казино.
DDoS-атаки и происки конкурентов
Недавно в своем Telegram-канале овнер 1win рассказал о спланированных DDoS-атаках на их ресурс.
Подобные атаки происходили несколько раз, сайт падал ненадолго, но команда чудом отбивалась. По плану злоумышленников, 1win должны были «лечь» надолго и понести огромные финансовые и репутационные потери.
Важно понимать, что уязвимость или успешная атака хакеров не делает продукт или сервис автоматически плохим. Проблемы начинаются, когда компании экономят на защите, а сотрудники не выполняют свои обязанности — запускают проверку на уязвимости реже, чем нужно, забывают про бекапы и прочее.
А признак хорошего аффилейт-продукта — оперативная работа с выявленной уязвимостью, атакой или взломом, а также забота о своих партнерах и пользователях. Если пользователи нашли уязвимость, ее нужно быстро исправлять, а нашедших — поощрять. Иначе в следующий раз они про уязвимость расскажут кому-то другому. Главное — не замалчивать проблему и не делать вид, что все хорошо.
Перспективы ИБ и защиты данных в арбитраже
Постепенно аффилейт-сфера перестраивается, понимая важность информационной безопасности. Сегодня в арбитражных компаниях и холдингах открывают собственные ИБ-отделы, которые создают, мониторят и анализируют систему защиты. А в небольших арбитражных командах все чаще появляются SOC-специалисты на аутсорсе.
Главная перспектива в области ИБ — участие популярных арбитражных сервисов и приложений в Bug Bounty. Это программа, в ходе которой сторонние специалисты по безопасности проводят тестирование на уязвимости за вознаграждение. Преимущества подобных проверок:
- обнаружение уязвимостей;
- улучшение безопасности;
- экономия ресурсов;
- позитивное взаимодействие с арбитражным сообществом;
- улучшение репутации и повышение доверия со стороны партнеров, клиентов и т. д.
Участие в программе багбаунти — взаимовыгодное соглашение как для владельцев продуктов, так и для исследователей для повышения общего уровня безопасности в цифровой среде.
Впрочем, для юридических лиц готовят есть бесплатная государственная поддержка. Планируется создать на базе ФСБ некую кибер «Скорую помощь» для экстренной локализации инцидентов. Но чтобы ФСБ-шники помогли отразить атаку и оценить уровень кибербезопасности, потребуется предоставить им логи, загрузки, почтовые домены и адреса. В общем, есть подозрение, что аффилиаты в очередь за помощью не выстроятся.
*статья для ZM media написана сторонним автором Евгенией