Cyber SOC: как мы работаем с данными клиентов

Важные вопросы для многих клиентов: а будут ли данные в безопасности после подключения SOC? Какой доступ к ним имеют сотрудники оператора? Рассказываем, как мы работаем с данными и почему они в безопасности.

Михаил Назаров,
директор по оперативному управлению клиентскими сетевыми решениями

Три правила работы SOC, которые гарантируют безопасность данных:

• Мы не получаем доступ на изменение.
• Мы не получаем доступ к самим данным.
• Информация о событиях прозрачна для клиента.
   

Для внедрения SOC нам не нужен доступ к данным клиента. Наша задача — реагировать на подозрительные события и оповещать о них. 

Мы смотрим только на события. Мы не можем ничего изменить, не можем сами просматривать файлы. К примеру, мы не можем изменить пароль и даже не знаем его — но видим, если он поменялся. Клиент видит, какую информацию видим мы.

Нас интересуют данные о событиях: например, кто-то начал что-то скачивать или сделал запрос к базе данных. Информация о таких событиях помогает выявлять инциденты. Например, кто-то начал передачу файла — абсолютно правомерное действие, ничего страшного. Но передача данных началась ночью — тоже ничего страшного, но подозрительно. И в это же время с другой системы получили информацию, что за полчаса до передачи данных кто-то пять раз пробовал ввести неправильный пароль и на шестой раз ввел правильный. Каждое событие само по себе не представляет угрозы, но все три вместе — повод начать предпринимать действия.

Доступ к оборудованию не обязателен

В случае с одним из наших клиентов мы даже не имели доступ к его оборудованию. Мы создали сервер, который собирает нужные данные с его инфраструктуры, а сами напрямую к ней не подключались.

Доверие и репутация

Но главное при работе с клиентом — доверие. Мы должны будем знать много деталей об инфраструктуре заказчика: что критично, а что нет. С нашей стороны гарантией выступает репутация международной компании, которая соблюдает договоренности со своими клиентами.