Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

ИБ в компании: как защититься от злоумышленников

Андрей Слободчиков, директор по ИБ в ИТ-компании Proscom

Ошибку в конечном продукте проще и дешевле исправить во время проектирования. Такой подход не нов и уже давно применяется в промышленности. А в 1968 году аналогичный подход начали применять при разработке ПО.

Со временем этот подход совершенствовался и дополнялся методиками и практиками. Примерно в 2000-е годы в жизненный цикл разработки ПО начали внедрять принципы ИБ. Это привело к увеличению сроков разработки продукта, дополнительным сложностям и ограничениям:

  • моделирование угроз;

  • проектирование системы или продукта в защищенном исполнении (с учетом требований по ИБ); 

  • тестирование работоспособности системы или продукта с учетом выбранных методов или инструментов по ИБ;

  • анализ уязвимостей, тестирование на проникновение; 

  • разграничение прав доступа; 

  • сегментирование внутренней сети;

  • мониторинг и реагирование на инциденты ИБ.

Это привнесло в процесс создания информационных систем и продуктов дополнительные сложности и ограничения. Они, с одной стороны, увеличили срок выхода продукта на рынок,  с другой, — обеспечили преимущество продукта за счет высокого уровня безопасности информации.  

Так этот подход открыл перспективы для распространения продукта. Руководители компаний быстро поняли: безопасность важна, но не в ущерб финансовым интересам. Это привело к поиску баланса между коммерческой выгодой и безопасностью продукта и инфраструктуры. 

Этот подход стали называть риск-ориентированным — перед принятием решений риски и затраты взвешиваются.

Риск-ориентированная модель управления ИБ обеспечивает высокий уровень защищенности. При этом необходимо понимать, что полностью нейтрализовать угрозы, которые могут привести к серьезным проблемам, невозможно. 

Смотрим на опыт других компаний

В конце 2020 – начале 2021 года злоумышленники нашли уязвимость в программе  производителя ПО SolarWinds и внедрили вредоносное обновление. Эта атака затронула 18 тысяч компаний. В списки пострадавших попали и Microsoft, и FireEye (американская ИБ-компания), и государственный департамент США, и министерство финансов США. Злоумышленники закрепились в инфраструктуре компаний и получили доступ к корпоративным учетным записям и документам.

Это была невероятно сложная атака — ее трудно было спрогнозировать. И она многому научила ИТ-компании: оценивать поставщиков на соответствие требованиям безопасности, отдельно включать в договор пункт об обязательном выполнении требований по ИБ (если их нарушить, то можно оштрафовать подрядчика) и дополнительно анализировать безопасность цепочки поставок. 

А в сентябре 2023 года KNP Logistics, одна из крупнейших логистических компаний Великобритании, объявила о банкротстве из-за очередной  вымогательской атаки. Мошенники зашифровали данные, важные для выполнения критических процессов, из-за чего бизнес не смог обеспечить срочные инвестиции и продолжить работу.

Вымогательские атаки — один из самых распространенных и простых, но при этом эффективных инструментов. И поэтому важно изучать подобные угрозы — открытое расследование инцидента помогает другим компаниям учиться на ошибках и повышать уровень защиты. Так что умалчивание или отрицание, как обычно, приносит больше вреда. 

В Европе и США уже давно существует практика уведомления регулятора об инциденте ИБ и публичного расследования инцидента. А вот в России такой подход появился только в 2022-м. До этого большинство российских компаний либо не говорили о произошедшей утечке, либо заявляли, что база скомпилирована из уже «слитых» данных.

Когда эти инциденты стало невозможно отрицать, российские компании переняли зарубежный опыт. Например, расследование утечки данных клиентов сервиса Туту.ру в 2022 году открыто освещалось в блоге компании. При этом причины утечки так и не были указаны. 

А уже весной 2023 года ИБ-компании «Bi.Zone» и «Infotecs» во всеуслышанье проанализировали причины своих утечек и рассказали, что они сделали, чтобы не допустить повторения атаки. 

Выявляем проблемы ИБ

Получается, что есть ряд типовых проблем информационной безопасности:

  • компании стремятся быстро получить прибыль или выйти на рынок, не обращая внимание на безопасность; 
  • организации экономят на специалистах по информационной безопасности, перекладывают их обязанности на разработчиков или ИТ-отделы;
  • бизнес подходит к ИБ формально:
    • компании выполняют требования законодательства «на бумаге», без реального изменения бизнес-процессов; 
    • организации разово внедряют средства защиты, чтобы пройти проверку и выполнить минимальные требования законодательства или заказчиков;
  • руководители бизнеса привлекают внешних подрядчиков без проверки соблюдения ими, этими подрядчиками, мер по ИБ; 
  • компании неэффективно реагируют на инциденты ИБ;
  • сотрудники не знают об ИБ, культура ИБ не сформирована.

К нетиповым проблемам ИБ относятся следующие: 

  • дефицит квалифицированных кадров в области ИБ; 

  • вынужденное импортозамещение;

  • ужесточение требований по ИБ со стороны регуляторов;

  • использование новых технологий злоумышленниками, против которых еще нет способов защиты.

На самом деле, информационная безопасность всегда будет в тени новых технологий. 

Но если рассматривать основную цель ИБ не как полное и безоговорочное исключение угроз, а как снижение вероятности их наступления, то ситуация не кажется такой пессимистичной и безнадежной.

Риск-ориентированный подход в этом случае позволяет определить наиболее критические системы и процессы, которые необходимо защищать в первую очередь.

Снижаем вероятность угроз

Если добросовестно выполнять базовые требования ИБ, компании смогут значительно снизить риски угроз: 

  • Защитить инфраструктуру компании. Это периметровая защита с помощью межсетевых экранов и средств обнаружения вторжений (они отслеживают сетевой трафик), защита оконечных устройств и регулярный аудит безопасности (управление уязвимостями, тестирование на проникновение). В этом вопросе важно не переусердствовать. Подход «чем больше ограничений, тем безопаснее» не работает. Чем больше ограничений вводит ИБ, тем хуже пользователи будут их соблюдать. А чем больше средств защиты, тем сложнее за ними следить.
  • Повысить осведомленность работников компании. Важно найти подход, чтобы заинтересовать и мотивировать сотрудника следовать требованиям ИБ.
  • Распределить зоны ответственности. Безусловно, в компании должен быть человек, курирующий вопросы ИБ. При этом совсем не обязательно заводить отдельный ИБ-департамент. Достаточно распределить роли между юристами, которые помогут с «бумажной» частью, руководителями ключевых процессов, техническими специалистами и системными администраторами. Или же можно привлечь сторонние организация и отдать им ряд функций в области ИБ.
  • Выстроить процесс безопасной разработки ПО. Отправной точкой для этого может стать ГОСТ Р 56939-2016.
  • Синхронизировать развитие бизнеса с развитием информационной безопасности в компании — с ростом бизнеса и изменениями в бизнес-процессах методы защиты информации должны усиливаться. 

Важно помнить, что не все меры защиты нужно реализовывать в каждой бизнес-системе. Стоит выделить те информационные системы или объекты доступа, которые отвечают за критические процессы компании. Если работа таких систем будет нарушена, это может привести к недопустимым последствиям со стороны бизнеса.


3851

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.