Інформаційна безпека компанії. Сім основних помилок керівника

18.05.2021 1278

У прагненні поліпшити прибутковість і масштаб бізнесу власники і топ-менеджери часто залишають поза фокусом своєї уваги інформаційну безпеку підприємства. Однак саме цей сегмент загальної структури компанії є найбільш вразливим і критичним для іміджу. Так, в останньому звіті Cisco по кібербезопаності відзначається вкрай негативний вплив кібератак на фінансове становище підприємств. Згідно з даними звіту, у 22% атакованих організацій зменшилася кількість замовників, при цьому у 40% з них клієнтська база скоротилася більш ніж на 20%; крім того, у 29% зменшилися доходи, з них у 38% доходи скоротилися більш ніж на 20%. Але іноді трапляються і більш драматичні ситуації: в кінця 2016 корпорація Yahoo визнала, що в серпні 2013 року відбулося дуже серйозний злом в її інформаційних системах, в результаті якого були викрадені дані більш ніж одного млрд користувачів. Через це компанії Verizon і Yahoo! відклали заплановану багатомільярдну операцію зі злиття на три місяці, до того ж існує ризик, що ця угода взагалі не відбудеться.

Відсутність інтересу у великого боса до інформаційної безпеки – одна з найбільш критичних проблем бізнесу. Адже саме від твердої волі і передбачливості директора або власника компанії багато в чому залежить, наскільки надійно інформація підприємства буде захищена від посягань, а імідж залишиться чистим і незаплямованим. Зайве говорити, що ніхто крім власника, інвестора або акціонера не може бути більше зацікавлений в довгостроковій цінності своїх активів. У цій статті ми детально розберемо типові помилки і помилки топ-менеджерів або власників бізнесу, які хочуть захистити свої активи, але при цьому відсувають питання інформаційної безпеки в кінець списку важливих і невідкладних справ.

ДЛП

У нас в компанії все добре, ми ніколи не втрачали дані, принаймні мені про це невідомо 

Якщо в ваших інформаційних системах на перший погляд не відбувається нічого підозрілого, це не означає, що все дійсно добре. Особливість сучасних кібератак в тому, що вони протікають вкрай приховано.

Так, у лютому дослідники з CyberX розкрили деталі нової широкомасштабної кібератаки, що охопила безліч об’єктів в Україні. Зловмисники атакували критично важливі інфраструктурні підприємства, наукові центри і медіаресурси. В Україні хакери націлилися на міжнародні організації з контролю за правами людини, антитерористичні центри та об’єкти критичної інфраструктури. В результаті атаки кіберзлочинцям вдалося викрасти великі обсяги конфіденційної інформації, включаючи записи розмов користувачів через вбудовані мікрофони ноутбуків, скріншоти документів, різні файли і паролі. Варто відзначити, що якщо камеру в смартфоні або ноутбуці досить легко деактивувати, просто заклеївши її непрозорою стрічкою, то заблокувати роботу мікрофона практично неможливо, хіба що розібрати пристрій і фізично його відключити. Оскільки хакери використовували Dropbox для зберігання викрадених даних, в CyberX назвали операцію – BugDrop. Слід підкреслити, що вищезгадана серія атак – далеко не єдина. Так, експерти однієї з найбільших антивірусних виробників недавно виявили, що близько 140 організацій в 40 країнах світу стали жертвами «непомітних» цільових атак: для проникнення в корпоративні мережі зловмисники використовували виключно легітимне ПО, а будь-які шкідливі файли зберігали в пам’яті системи, не залишаючи ніяких слідів на жорстких дисках. Розслідування інциденту дозволило встановити, що подібні атаки здійснювалися по всьому світу, причому угруповання досі залишається активною. Атака через легітимні програмні додатки дає можливість атакуючим уникати виявлення і блокування методом «білих списків» (коли в системі можна запускати тільки офіційні програми перевірених виробників). Присутність шкідливого коду лише в оперативній пам’яті системи залишає дослідників без будь-яких доказів і артефактів, на основі яких можна провести розслідування.

Для рішень задачі з інформаційної безпеки є ІТ-фахівці  вони впораються 

Власник або директор компанії помиляється, якщо наймає в службу ІБ одного або двох високопрофесійних і високооплачуваних співробітників в надії, що цим він закриє всі питання по кіберзахисту.

Для рішень задачі з інформаційної безпеки є ІТ-фахівці  вони впораються 

Власник або директор компанії помиляється, якщо наймає в службу ІБ одного або двох високопрофесійних і високооплачуваних співробітників в надії, що цим він закриє всі питання по кіберзахисту.

Звичайно, кваліфікований персонал – це важливий фактор при побудові системи інформаційної безпеки. Однак трудові ресурси – лише одна ланка системи, хоча і досить важливе. Необхідно враховувати, що експерти в області ІБ зазвичай мають дуже вузькою спеціалізацією. Тому при наймі співробітників треба розуміти, який сектор в сфері ІБ він зможе покрити своїми знаннями. Наприклад, фахівець з впровадження DLP-систем навряд чи буде компетентний при розгортанні систем відеоспостереження, а експерт із захисту мережевого периметра чи буде розбиратися в технологіях віртуалізації.

З іншого боку, містити занадто великий штат ІТ-фахівців з вузькою кваліфікацією, які займаються ІБ – занадто дорого і не оптимально. Набагато вигідніше при впровадженні нових рішень звертатися до системних інтеграторів, які вже впровадили безліч проектів і мають багатий досвід по роботі в компаніях різного масштабу.

Якщо ви плануєте впровадити комплексну систему безпеки, то не уникнути інвестування в модернізацію мережевого і серверного устаткування, придбання систем моніторингу, аналітики, засобів пасивного та активного захисту інформації. Саме тут досвід і кваліфікація системного інтегратора (або інтеграторів) буде дуже корисна.

У мене є міжмережевий екран і антивірус  – цього достатньо для захисту 

Власне, це твердження є хибним лише частково: дійсно, побудова базової системи ІБ починається з розгортання антивірусних засобів на робочих станціях і серверах, а також установки брандмауера (файрвола) на кордоні периметра локальної мережі для захисту внутрішніх хостів від атак ззовні. Однак таких коштів зараз абсолютно недостатньо. Адже якщо атака почнеться з внутрішніх вузлів, то в цьому випадку файрвол буде безсилий. До того ж, деякі зловредів для проникнення можуть використовувати уразливості нульового дня і не будуть детектуватиметься класичним антивірусом. Так, аналітики Trend Micro в своєму звіті повідомляють, що фінансові втрати від шахрайства з використанням корпоративної електронної пошти тільки в 2016 році глобально досягли 3 млрд доларів США, а число вразливостей в різних продуктах склало близько 500.

Варто також відзначити, що через масового використання мобільних пристроїв і хмарних сервісів мережевий периметр в компаніях все більше розмивається. Тому сьогодні потрібні зовсім інші системи захисту, більш різнопланові і просунуті.

У мене немає критичної інформації, яку необхідно захищати 

Можливо у вашій компанії дійсно немає інформації, яка може представляти інтерес для ваших конкурентів або інших суб’єктів. Але, без сумніву, ваші дані дуже важливі для вашого ж бізнесу: облік з продажу, список контрагентів, контакти найбільш активних клієнтів, бухгалтерський облік і т. і. Все це може бути в один момент знищено зловредів або зашифровано програмами-вимагачами типу Ransomware. Слід зауважити, що Ransomware є найбільш суттєвою кіберзагроз на сьогоднішній день: згідно з даними Cisco, число різновидів «шифрувальників» збільшилася майже вдвічі, до того ж їх кількість продовжує зростати. Окремі різновиди програм-вимагачів здатні атакувати всі рівні мережі. Щоб не платити потім викуп за розшифровку власних даних, краще завчасно потурбуватися про їх захист.

У мене вже були проблеми в ІБ, ми їх вирішили, більше нічого робити не будемо 

Необхідно розуміти, що застосовуються кіберзлочинцями технології постійно еволюціонують, зловмисники вигадують все нові і нові способи проникнення і злому інформаційних систем. Відділ ІБ, так само як і власник бізнесу, повинні постійно «тримати вухо гостро», інакше атака може повторитися. Непорушне правило, якого слід дотримуватися, говорить, що «інформаційна безпека – це не проект, а процес». Згідно зі статистикою, лише кожна друга компанії розслідує попередження про порушення захисту, при цьому необхідні попереджувальні заходи вживаються менш ніж для 50% сигналів про реальні загрози.

Для своєчасного виявлення та запобігання наслідків атак саме забезпечення ІБ має стати одним з бізнес-пріоритетів для топ-менеджерів компанії. Притому для тестування ефективності захисту слід задати чіткі метрики, які згодом регулярно використовувати.

Користувачів не потрібно навчати їх завдання працювати, а не думати про безпеку 

Це одне з найбільш поширених і небезпечних помилок, адже саме поінформовані і пильні співробітники є першою лінією оборони в боротьбі з кіберзагрозами. Навчання співробітників того, як протистояти різних хитрощів шахраїв, соціальної інженерії, як безпечно працювати в будь-якому місці і з будь-якого пристрою, є одним із запорук успіху.

І навпаки, неправильне і безграмотне поведінку співробітників може стати причиною порушення інформаційної безпеки. Досвід багатьох компаній показує, що кінцеві користувачі є основним фактором, що визначає успіх або провал проектів з кібербезпеки. Якщо співробітники нехтують прийнятими в компанії правилами безпеки, намагаються отримати доступ до корпоративних даних в будь-який місці і з будь-якого пристрою, то це ставить під загрозу інформаційні ресурси будь-якого рівня.

Необхідно врахувати, що навчання користувачів вимагає особливого підходу. Просто розповідь загальними словами про передові технології кібербезпеки навряд чи справить потрібний ефект. Набагато краще пояснити стандарти корпоративного захисту, використовуючи життєві приклади, які актуально діяльності співробітника. Тоді він зможе швидко зрозуміти вимоги компанії в області ІБ і дотримуватися їх у своїй роботі.

Політики безпеки будуть заважати роботі бізнес-підрозділів. Можна обійтися і без них. 

Відсутність правил, які визначаються політиками безпеки, веде до ослаблення рівня кіберзахисту. З іншого боку, надмірно суворі політики ІБ можуть викликати дискомфорт і невдоволення користувачів. Тут необхідно дотримуватися такої стратегії: будь-який набір правил в області інформаційної безпеки повинен бути єдиним як для рядового співробітника, так і для топ-менеджера, включаючи власника бізнесу. Так, якщо в компанії введена заборона на використання особистих мобільних пристроїв, то це повинно стати загальним забороною для всіх. Відповідно керівникові компанії слід обмежувати себе у використанні інформаційних систем рівно стільки, наскільки він обмежує своїх співробітників.

Політики безпеки можуть втратити свою актуальність, якщо користувачі вважатимуть, що їх порушення не призведе до будь-яких проблем в інформаційному захисті, або якщо вони будуть думати, що обхід політик поліпшить продуктивність роботи . Тому корпоративні стандарти ІБ повинні бути в актуальному стані і відповідати вимогам бізнесу.

Компанія ITbiz Solutions пропонує рішення з інформаційної безпеки: Arbor (ЗАШИТА від DDoS-атак) , FireEye, Fortinet ( FORTINET FORTIGATE , FORTINET FORTIGUARD SECURITY SERVICES, FORTINET FORTIMAIL, FORTINET FORTIDDOS , FORTINET FORTIW), Gigamon , IBM , PaloAlto , Symantec , Imperva , Rapid 7