В стремлении улучшить прибыльность и масштаб бизнеса собственники и топ-менеджеры часто оставляют вне фокуса своего внимания информационную безопасность предприятия. Однако именно этот сегмент общей структуры компании является наиболее уязвимым и критическим для имиджа.
Так, в последнем отчете Cisco по кибербезопаности отмечается крайне негативное влияние кибератак на финансовое положение предприятий. Согласно данным отчета, у 22% атакованных организаций уменьшилось число заказчиков, при этом у 40% из них клиентская база сократилась более чем на 20%; кроме того, у 29% уменьшились доходы, из них у 38% доходы сократились более чем на 20%. Но иногда случаются и более драматические ситуации: в конце 2016 корпорация Yahoo признала, что в августе 2013 года произошел очень серьезный взлом в ее информационных системах, в результате которого были похищены данные более чем одного млрд пользователей. Из-за этого компании Verizon и Yahoo! отложили запланированную многомиллиардную сделку по слиянию на три месяца, притом существует риск, что эта сделка вообще не состоится.
Отсутствие интереса у большого босса к информационной безопасности — одна из наиболее критических проблем бизнеса. Ведь именно от твердой воли и предусмотрительности директора или собственника компании во многом зависит, насколько надежно информация предприятия будет защищена от посягательств, а имидж останется чистым и незапятнанным. Излишне говорить, что никто кроме владельца, инвестора или акционера не может быть более заинтересован в долгосрочной ценности своих активов. В этой статье мы детально разберем типичные ошибки и заблуждения топ-менеджеров или собственников бизнеса, которые хотят защитить свои активы, но при этом отодвигают вопросы информационной безопасности в конец списка важных и неотложных дел.
- У нас в компании все хорошо, мы никогда не теряли данные, по крайней мере мне об этом неизвестно
Если в ваших информационных системах на первый взгляд не происходит ничего подозрительного, это не значит, что все действительно хорошо. Особенность современных кибератак в том, что они протекают крайне скрытно.
Так, в феврале исследователи из CyberX раскрыли детали новой широкомасштабной кибератаки, охватившей множество объектов в Украине. Злоумышленники атаковали критически важные инфраструктурные предприятия, научные центры и медиаресурсы. В Украине хакеры нацелились на международные организации по контролю за правами человека, антитеррористические центры и объекты критической инфраструктуры. В результате атаки киберпреступникам удалось похитить большие объемы конфиденциальной информации, включая записи разговоров пользователей через встроенные микрофоны ноутбуков, скриншоты документов, различные файлы и пароли. Стоит отметить, что если камеру в смартфоне или ноутбуке достаточно легко деактивировать, просто заклеив ее непрозрачной лентой, то заблокировать работу микрофона практически невозможно, разве что разобрать устройство и физически его отключить. Поскольку хакеры использовали Dropbox для хранения похищенных данных, в CyberX назвали операцию — BugDrop.
Следует подчеркнуть, что вышеупомянутая серия атак — далеко не единственная. Так, эксперты одной из крупнейших антивирусных производителей недавно обнаружили, что порядка 140 организаций в 40 странах мира стали жертвами «незаметных» целевых атак: для проникновения в корпоративные сети злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках. Расследование инцидента позволило установить, что подобные атаки осуществлялись по всему миру, причем группировка до сих пор остается активной. Атака через легитимные программные приложения дает возможность атакующим избегать обнаружения и блокирования методом «белых списков» (когда в системе можно запускать только официальные программы проверенных производителей). Присутствие вредоносного кода лишь в оперативной памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование.
- Для решений задачи по информационной безопасности есть ИT-специалисты — они справятся
Конечно, квалифицированный персонал — это немаловажный фактор при построении системы информационной безопасности. Однако трудовые ресурсы — лишь одно звено системы, хотя и достаточно важное. Необходимо учитывать, что эксперты в области ИБ обычно обладают очень узкой специализацией. Поэтому при найме сотрудников надо понимать, какой сектор в сфере ИБ он сможет покрыть своими знаниями. Например, специалист по внедрению DLP-систем вряд ли будет компетентен при развертывании систем видеонаблюдения, а эксперт по защите сетевого периметра едва ли будет разбираться в технологиях виртуализации.
С другой стороны, содержать слишком большой штат ИТ-специалистов с узкой квалификацией, которые занимаются ИБ — слишком дорого и не оптимально. Намного выгоднее при внедрении новых решений обращаться к системным интеграторам, которые уже внедрили множество проектов и имеют богатый опыт по работе в компаниях разного масштаба.
Если вы планируете внедрить комплексную систему безопасности, то не избежать инвестирования в модернизацию сетевого и серверного оборудования, приобретение систем мониторинга, аналитики, средств пассивной и активной защиты информации. Именно здесь опыт и квалификация системного интегратора (или интеграторов) будет очень полезна.
- У меня есть межсетевой экран и антивирус — этого достаточно для защиты
Собственно, это утверждение является ошибочным лишь отчасти: действительно, построение базовой системы ИБ начинается с развертывания антивирусных средств на рабочих станциях и серверах, а также установки межсетевого экрана (файрвола) на границе периметра локальной сети для защиты внутренних хостов от атак извне. Однако таких средств сейчас совершенно недостаточно. Ведь если атака начнется с внутренних узлов, то в этом случае файрвол будет бессилен. К тому же, некоторые зловреды для проникновения могут использовать уязвимости нулевого дня и не будут детектироваться классическим антивирусом. Так, аналитики Trend Micro в своем отчете сообщают, что финансовые потери от мошенничества с использованием корпоративной электронной почты только в 2016 году глобально достигли 3 млрд долларов США, а число уязвимостей в различных продуктах составило около 500.
Стоит также отметить, что по причине массового использования мобильных устройств и облачных сервисов сетевой периметр в компаниях все больше размывается. Поэтому сегодня нужны совершенно другие системы защиты, более разноплановые и продвинутые.
- У меня нет критической информации, которую необходимо защищать
Возможно в вашей компании действительно нет информации, которая может представлять интерес для ваших конкурентов или других субъектов. Но, несомненно, ваши данные очень важны для вашего же бизнеса: учет по продажам, список контрагентов, контакты наиболее активных клиентов, бухгалтерский учет и т. д. Все это может быть в один момент уничтожено зловредами или зашифровано программами-вымогателями типа Ransomware. Следует заметить, что Ransomware является наиболее существенной киберугрозой на сегодняшний день: согласно данным Cisco, число разновидностей «шифровальщиков» увеличилось почти вдвое, притом их число продолжает расти. Отдельные разновидности программ-вымогателей способны атаковать все уровни сети. Чтобы не платить потом выкуп за расшифровку собственных данных, лучше заблаговременно побеспокоиться об их защите.
- У меня уже были проблемы в ИБ, мы их решили, больше ничего делать не будем
Необходимо понимать, что применяемые киберпреступниками технологии постоянно эволюционируют, злоумышленники придумывают все новые и новые способы проникновения и взлома информационных систем. Отдел ИБ, равно как и владелец бизнеса, должны постоянно «держать ухо востро», иначе атака может повториться. Непреложное правило, которого следует придерживаться, гласит, что «информационная безопасность — это не проект, а процесс». Согласно статистике, лишь каждая вторая компании расследует предупреждения о нарушении защиты, при этом необходимые упреждающие меры предпринимаются менее чем для 50% сигналов о реальных угрозах.
Для своевременного обнаружения и предотвращения последствий атак именно обеспечение ИБ должно стать одним из бизнес-приоритетов для топ-менеджеров компании. Притом для тестирование эффективности защиты следует задать четкие метрики, которые впоследствии регулярно использовать.
- Пользователей не нужно обучать — их задача работать, а не думать о безопасности
Это одно из самых распространенных и опасных заблуждений, ведь именно информированные и бдительные сотрудники являются первой линией обороны в борьбе с киберугрозами. Обучение сотрудников тому, как противостоять различным уловкам мошенников, социальной инженерии, как безопасно работать в любом месте и с любого устройства, является одним из залогов успеха.
И наоборот, неправильное и безграмотное поведение сотрудников может стать причиной нарушения информационной безопасности. Опыт многих компаний показывает, что конечные пользователи являются основным фактором, определяющим успех или провал проектов по кибербезопасности. Если сотрудники пренебрегают принятыми в компании правилами безопасности, пытаются получить доступ к корпоративным данным в любой месте и с любого устройства, то это подвергает угрозе информационные ресурсы любого уровня.
Необходимо учесть, что обучение пользователей требует особого подхода. Просто рассказ общими словами о передовых технологиях кибербезопасности вряд ли произведет нужный эффект. Гораздо лучше пояснить стандарты корпоративной защиты, используя жизненные примеры, которые актуально деятельности сотрудника. Тогда он сможет быстро понять требования компании в области ИБ и придерживаться их в своей работе.
- Политики безопасности будут мешать работе бизнес-подразделений. Можно обойтись и без них.
Отсутствие правил, которые определяются политиками безопасности, ведет к ослаблению уровня киберзащиты. С другой стороны, излишне суровые политики ИБ могут вызвать дискомфорт и недовольство пользователей. Здесь необходимо придерживаться следующей стратегии: любой набор правил в области информационной безопасности должен быть единым как для рядового сотрудника, так и для топ-менеджера, включая собственника бизнеса. Так, если в компании введен запрет на использование личных мобильных устройств, то это должно стать общим запретом для всех. Соответственно руководителю компании следует ограничивать себя в использовании информационных систем ровно столько, насколько он ограничивает своих сотрудников.
Политики безопасности могут утратить свою актуальность, если пользователи посчитают, что их нарушение не приведет к каким-либо проблемам в информационной защите, или если они будут полагать, что обход политик улучшит производительность работы. Потому корпоративные стандарты ИБ должны быть в актуальном состоянии и соответствовать требованиям бизнеса.
По материалам компании ITbiz Solutions
