ИБ в компании: как защититься от злоумышленников
Андрей Слободчиков, директор по ИБ в ИТ-компании Proscom
Ошибку в конечном продукте проще и дешевле исправить во время проектирования. Такой подход не нов и уже давно применяется в промышленности. А в 1968 году аналогичный подход начали применять при разработке ПО.
Со временем этот подход совершенствовался и дополнялся методиками и практиками. Примерно в 2000-е годы в жизненный цикл разработки ПО начали внедрять принципы ИБ. Это привело к увеличению сроков разработки продукта, дополнительным сложностям и ограничениям:
-
моделирование угроз;
-
проектирование системы или продукта в защищенном исполнении (с учетом требований по ИБ);
-
тестирование работоспособности системы или продукта с учетом выбранных методов или инструментов по ИБ;
-
анализ уязвимостей, тестирование на проникновение;
-
разграничение прав доступа;
-
сегментирование внутренней сети;
-
мониторинг и реагирование на инциденты ИБ.
Это привнесло в процесс создания информационных систем и продуктов дополнительные сложности и ограничения. Они, с одной стороны, увеличили срок выхода продукта на рынок, с другой, — обеспечили преимущество продукта за счет высокого уровня безопасности информации.
Так этот подход открыл перспективы для распространения продукта. Руководители компаний быстро поняли: безопасность важна, но не в ущерб финансовым интересам. Это привело к поиску баланса между коммерческой выгодой и безопасностью продукта и инфраструктуры.
Этот подход стали называть риск-ориентированным — перед принятием решений риски и затраты взвешиваются.
Риск-ориентированная модель управления ИБ обеспечивает высокий уровень защищенности. При этом необходимо понимать, что полностью нейтрализовать угрозы, которые могут привести к серьезным проблемам, невозможно.
Смотрим на опыт других компаний
В конце 2020 – начале 2021 года злоумышленники нашли уязвимость в программе производителя ПО SolarWinds и внедрили вредоносное обновление. Эта атака затронула 18 тысяч компаний. В списки пострадавших попали и Microsoft, и FireEye (американская ИБ-компания), и государственный департамент США, и министерство финансов США. Злоумышленники закрепились в инфраструктуре компаний и получили доступ к корпоративным учетным записям и документам.
Это была невероятно сложная атака — ее трудно было спрогнозировать. И она многому научила ИТ-компании: оценивать поставщиков на соответствие требованиям безопасности, отдельно включать в договор пункт об обязательном выполнении требований по ИБ (если их нарушить, то можно оштрафовать подрядчика) и дополнительно анализировать безопасность цепочки поставок.
А в сентябре 2023 года KNP Logistics, одна из крупнейших логистических компаний Великобритании, объявила о банкротстве из-за очередной вымогательской атаки. Мошенники зашифровали данные, важные для выполнения критических процессов, из-за чего бизнес не смог обеспечить срочные инвестиции и продолжить работу.
Вымогательские атаки — один из самых распространенных и простых, но при этом эффективных инструментов. И поэтому важно изучать подобные угрозы — открытое расследование инцидента помогает другим компаниям учиться на ошибках и повышать уровень защиты. Так что умалчивание или отрицание, как обычно, приносит больше вреда.
В Европе и США уже давно существует практика уведомления регулятора об инциденте ИБ и публичного расследования инцидента. А вот в России такой подход появился только в 2022-м. До этого большинство российских компаний либо не говорили о произошедшей утечке, либо заявляли, что база скомпилирована из уже «слитых» данных.
Когда эти инциденты стало невозможно отрицать, российские компании переняли зарубежный опыт. Например, расследование утечки данных клиентов сервиса Туту.ру в 2022 году открыто освещалось в блоге компании. При этом причины утечки так и не были указаны.
А уже весной 2023 года ИБ-компании «Bi.Zone» и «Infotecs» во всеуслышанье проанализировали причины своих утечек и рассказали, что они сделали, чтобы не допустить повторения атаки.
Выявляем проблемы ИБ
Получается, что есть ряд типовых проблем информационной безопасности:
- компании стремятся быстро получить прибыль или выйти на рынок, не обращая внимание на безопасность;
- организации экономят на специалистах по информационной безопасности, перекладывают их обязанности на разработчиков или ИТ-отделы;
- бизнес подходит к ИБ формально:
- компании выполняют требования законодательства «на бумаге», без реального изменения бизнес-процессов;
- организации разово внедряют средства защиты, чтобы пройти проверку и выполнить минимальные требования законодательства или заказчиков;
- руководители бизнеса привлекают внешних подрядчиков без проверки соблюдения ими, этими подрядчиками, мер по ИБ;
- компании неэффективно реагируют на инциденты ИБ;
- сотрудники не знают об ИБ, культура ИБ не сформирована.
К нетиповым проблемам ИБ относятся следующие:
-
дефицит квалифицированных кадров в области ИБ;
-
вынужденное импортозамещение;
-
ужесточение требований по ИБ со стороны регуляторов;
-
использование новых технологий злоумышленниками, против которых еще нет способов защиты.
На самом деле, информационная безопасность всегда будет в тени новых технологий.
Но если рассматривать основную цель ИБ не как полное и безоговорочное исключение угроз, а как снижение вероятности их наступления, то ситуация не кажется такой пессимистичной и безнадежной.
Риск-ориентированный подход в этом случае позволяет определить наиболее критические системы и процессы, которые необходимо защищать в первую очередь.
Снижаем вероятность угроз
Если добросовестно выполнять базовые требования ИБ, компании смогут значительно снизить риски угроз:
- Защитить инфраструктуру компании. Это периметровая защита с помощью межсетевых экранов и средств обнаружения вторжений (они отслеживают сетевой трафик), защита оконечных устройств и регулярный аудит безопасности (управление уязвимостями, тестирование на проникновение). В этом вопросе важно не переусердствовать. Подход «чем больше ограничений, тем безопаснее» не работает. Чем больше ограничений вводит ИБ, тем хуже пользователи будут их соблюдать. А чем больше средств защиты, тем сложнее за ними следить.
- Повысить осведомленность работников компании. Важно найти подход, чтобы заинтересовать и мотивировать сотрудника следовать требованиям ИБ.
- Распределить зоны ответственности. Безусловно, в компании должен быть человек, курирующий вопросы ИБ. При этом совсем не обязательно заводить отдельный ИБ-департамент. Достаточно распределить роли между юристами, которые помогут с «бумажной» частью, руководителями ключевых процессов, техническими специалистами и системными администраторами. Или же можно привлечь сторонние организация и отдать им ряд функций в области ИБ.
- Выстроить процесс безопасной разработки ПО. Отправной точкой для этого может стать ГОСТ Р 56939-2016.
- Синхронизировать развитие бизнеса с развитием информационной безопасности в компании — с ростом бизнеса и изменениями в бизнес-процессах методы защиты информации должны усиливаться.
Важно помнить, что не все меры защиты нужно реализовывать в каждой бизнес-системе. Стоит выделить те информационные системы или объекты доступа, которые отвечают за критические процессы компании. Если работа таких систем будет нарушена, это может привести к недопустимым последствиям со стороны бизнеса.