ЧЕМ перспективнее и прибыльнее предприятие, тем больше вероятность, что оно привлечет внимание желающих поживиться за его счет. В периоды экономической турбулентности и спада количество таких угроз возрастает.
За I полугодие 2017 года каждая пятая атака в мире одновременно коснулась таких стран, как США, Великобритания, Китай, Южная Корея, Япония и… Россия. Просто за счет массовой модификации вирусов каждый день появляется более 300000 нового вредоносного ПО. Общий ущерб от публичных кибератак за этот период превысил $2 миллиарда. По статистике данные о 80 процентах ущерба не становятся достоянием общественности. А поскольку еще 50 процентов случаев киберинцидентов скрывается, общая сумма ущерба может достигать $449 миллиардов.
Угроз много, они постоянно модернизируются. И это тот случай, когда «соломку» надо подстилать заранее. Например, провести аудит и модернизировать корпоративную систему информационной безопасности. Что нам скажут по этому поводу специалисты?
Риски ИБ касаются всех
По мнению заместителя директора Новосибирского филиала ФГУП «НТЦ «Атлас» Евгения Попантонопуло, какие-то несколько лет назад вопросы ИБ были уделом профессионального сообщества. Сегодня это головная боль всего бизнес-сообщества. Системы информационной безопасности стремительно развиваются за счет роста числа угроз.
Источником угрозы может быть как компьютер и мобильный телефон, так и любое «умное» устройство, используемое нами в быту. Зафиксированы неоднократные случаи, когда атаки на информационные системы и сервисы были осуществлены устройствами, относящимися к интернету вещей, — видеокамерами, холодильниками, термометрами, имеющими подключение к интернету.
В настоящее время многие бизнес-процессы предприятий существуют только в цифровом виде. Поэтому любое несанкционированное воздействие на них может привести не только к простою и, как следствие, к материальному ущербу, но и к прекращению деятельности организации. Крупные предприятия в штатной структуре имеют отделы по защите информации, а также ведут постоянную разъяснительную работу с сотрудниками для повышения их уровня компетенций в вопросах информационной безопасности. Действенным методом выявления внутренних и внешних угроз является аудит, который позволяет выявить существующие актуальные проблемы и сделать вывод о необходимых организационных и технических мероприятиях для их ликвидации.
Одним из распространенных способов кражи и получения доступа к корпоративной информации без использования взлома является социальная инженерия. Метод заключается в использовании недостаточной осведомленности сотрудников компании в вопросах безопасности. Нарушитель может выведать данные для доступа к ресурсам в телефонном разговоре, личной переписке и даже в ходе личного общения.
В 2018 году сохранятся тренды по целевым атакам на финансовые и промышленные учреждения, угроза будет подстерегать при работе с POS-терминалами, увеличится активность мошенников при использовании программ-шифровальщиков. Развитие IoT (интернета вещей) и мобильных устройств тоже увеличивает риски целевых атак.
В ближайшем будущем прогнозируется появление новых методов атак на корпоративные онлайн-ресурсы, расширение тактики онлайн-вымогательств, которые будут затрагивать все более широкий ассортимент устройств, а также применение методов киберпропаганды для манипуляции общественным мнением. Безусловно, будут выявлены новые уязвимости, которыми успеют воспользоваться мошенники до того, как их устранят разработчики.
В связи с большими финансовыми и временными издержками на поддержание работоспособности всех элементов ИБ на 100 процентов обеспечить защищенность информации в информационных системах, тем более в небольших компаниях, невозможно. Но если провести аудит системы защиты информации и определить приоритетные для компании риски, можно говорить об определенном уровне защищенности, который поможет избежать подавляющего количества неприятностей.
О важности лицензионных решений
Директор новосибирского ООО «ИТС» Елена Ильяшенко подчеркивает важность использования распространенных лицензионных решений: «Разработчики программного обеспечения, в том числе такого, как «1С:Предприятие 8», оперативно принимают меры по обеспечению безопасности компьютеров пользователей и устранению потенциальных рисков. Поэтому руководителям и ответственным за IT-подразделения предприятий в первую очередь мы рекомендуем использовать только лицензионные программы. Для них своевременно и оперативно выпускаются средства защиты компьютеров и серверов, инструкции и рекомендации для проверки и обновления средств защиты и связи с интернетом. Лицензионность используемого программного обеспечения позволяет обезопасить свои данные от несанкционированного доступа и угроз извне.
С другой стороны, собственникам и руководителям бизнеса для сохранения и развития своего предприятия критически важно знать реальное состояние дел у партнеров по бизнесу и клиентов. Для пользователей системы программ «1С:Предприятие 8» мы можем предложить сервис по оценке надежности контрагентов «1СПАРК Риски» на базе индексов авторитетной информационно-аналитической системы «СПАРК-Интерфакс». Использование данного сервиса позволяет предостеречь организацию от сотрудничества с фирмами-однодневками, недобросовестными поставщиками и покупателями. А также получить заверенную электронной подписью справку с развернутой информацией о существенных индикаторах деятельности контрагента, включая выявленные факторы риска, результаты их проверок государственными органами, финансовые показатели и т. п. Примечательно, что данную справку можно предъявить в суде как доказательство должной осмотрительности вашей компании».
Риски растут, а бизнес бездействует
Начальник отдела информационной безопасности (ИБ) новосибирского филиала АО «ЦентрИнформ» Виктор Михайлов сетует на небрежение бизнесменов к вопросам ИБ и растущие риски человеческого фактора: «Даже в небольших организациях используются самые разные информационные технологии, включающие проводные и беспроводные каналы связи, средства виртуализации и дистанционного доступа, большой перечень приложений и операционных систем, технических средств от разных производителей. Организовать единую систему защиты в таких условиях не так просто.
В результате приведение одного рабочего места в соответствие с требованиями текущего законодательства с возможностью масштабирования может занять до двух недель времени и стоить заказчику до 15 000 руб. Однако этот подход окупается возможностью формализации бизнес-процессов, связей, процессов обработки информации и технологий внутри компании. Не говоря о том, что он позволяет взглянуть на бизнес-процессы компании со стороны, оптимизировать работу персонала.
«ЦентрИнформ» предлагает местному бизнесу сертифицированные решения в области ИБ от таких надежных отечественных производителей, как «Код безопасности», «КРИПТО-ПРО», «Аладдин Р.Д.» и других.
Необходимый этап работы по оптимизации корпоративных систем ИБ — аудит, включая инвентаризацию СЗИ (системы защиты информации), анкетирование и интервьюирование IT-специалистов и сотрудников, обрабатывающих информацию. В своей работе мы ориентируемся на защиту ИС в соответствии с требованиями законодательных актов РФ. Однако поскольку в них (например, в ФЗ-98 «О коммерческой тайне») заложены только основы, в разработке системы защиты мы опираемся на нормативно-правовые акты регуляторов, включая требования ФСТЭК и ФСБ.
Однако бизнес, особенно небольшой, стремится экономить и решать вопросы ИБ собственными силами, возложив их на системного администратора. Руководство компаний в вопросы информационной безопасности детально не вникает, передоверяя их IT-специалистам. Такой подход ущербен. Поскольку требования к конфиденциальности и разграничению потоков информации мешают работе пользователей, IT-специалисты их зачастую игнорируют. Не говоря о том, что IT-специалисты не заинтересованы в доведении до руководства возникающих инцидентов, предпочитая решать их на местах своими силами. Таким образом, руководство не получает информации о реальной ситуации с безопасностью информации в организации.
При всем том часто упускается такой важный момент, как работа с сотрудниками. Без разъяснительной работы они воспринимают ограничения, связанные с политикой в области ИБ, негативно. Человеческий фактор в обеспечении информационной безопасности сложно переоценить. Обученные лояльные сотрудники могут снизить стоимость системы защиты информации на порядок. Чтобы достичь эффекта, вопросы ИБ должны решаться комплексно. Поскольку основной риск в ИБ — человеческий фактор, технические решения должны обязательно подкрепляться организационными мерами.
Что касается прецедентов атак «шифровальщиков» (Ransomware) или иного вредоносного программного обеспечения в новосибирских компаниях, то на данный момент я о случаях значительного ущерба не знаю. Инциденты с программами-шифровальщиками периодически случаются, но пока администраторы справляются за счет резервного копирования важной информации. В этом году известен случай с сайтом «Синар», который был взломан в результате атаки.
Мои рекомендации следующие — опираться на текущие риски и потребности бизнеса. Если в компании был реальный инцидент безопасности, лучше обратиться к лицензированным специалистам для предотвращения подобных случаев. Во всех случаях, чтобы оценить реальные риски, следует провести аудит информационных систем. Многие удивятся его результатам.
Ну а чтобы сэкономить на содержании соответствующей инфраструктуры, стоит подумать о переносе ее в облако. Тогда конфиденциальность, доступность, непрерывность сервиса, обслуживание и масштабирование ложатся на поставщика услуг. Недаром сейчас такие сервисы, как SaaS (ПО как услуга) и HaaS (оборудование как услуга), преобразуется в AaaS (Все как сервис). Вы получаете готовую инфраструктуру и снимаете с себя головную боль по поддержанию ее работоспособности и обслуживанию».
Выводы
Поскольку информационной безопасности много не бывает, специалист в данной области должен быть в здоровом смысле этого слова… параноиком. Да и не только он. Есть прецеденты атак с домашних компьютеров. Каждый день появляются новые киберугрозы. Каждую неделю — новые уязвимости в ПО. Де-факто 80 процентов пострадавших даже не подозревают, что их взламывали. Между тем «зловреды» сидят в их системе и ждут приказа снаружи.
Создан целый рынок киберпреступности. Кибермошенники подразделяются по специализациям. Большинство атак на корпоративные ресурсы представляют из себя сканирование на уязвимости. В результате чего одни киберпреступники создают базу уязвимостей и продают ее другим — хакерам.
Добросовестным пользователям есть чем ответить — рабочие инструменты, местные производители систем ИБ и масса справочных ресурсов в интернете есть, необходимая законодательная база тоже. Однако, чтобы разобраться со всем этим валом, проще обратиться к компаниям, специализирующимся на ИБ. Ведение ими для перспективного клиента пилотного проекта, передача «боевой системы» на тестирование, обучение и сертификация персонала стало де-факто отраслевым стандартом.
Дмитрий КАРАСЕВ, «Новая Сибирь»
