Система защиты информации не должна стоить дороже, чем сама информация. То есть тратить десять рублей на каждый заработанный компанией рубль нерационально. Задача собственника — изучить список потенциальных объектов атаки, оценить риски и возможные потери, рассчитать стоимость покрытия этих рисков и уже после принять решение, каким образом их минимизировать.
3
Позаботьтесь о дополнительной защите данных на удалёнке
2020 год запомнится молниеносным переходом на удалённую работу. Специалисты многих компаний до их пор работают из дома. Взломать домашнюю интернет-сеть или личный ноутбук легче. А значит, подключаться к корпоративным ресурсам — системам CRM и ERP, почте, хранилищам файлов, внутренним мессенджерам — опаснее. Доступ к домашнему интернет-каналу открывает злоумышленнику доступ и к данным, которые через этот канал передаются.
Важно соблюдать базовые правила информационной безопасности:
- Установите надёжный пароль на домашнем Wi-Fi-роутере. Вариант «123» не подойдёт.
- Установите на домашний компьютер антивирус, либо последнюю версию операционной системы, в которую уже входит антивирус.
- Не игнорируйте сообщения с призывом обновить антивирус, эта программа должна быть актуальной.
- Используя личную электронную почту для работы, не открывайте вложения из писем с незнакомых адресов, не переходите по ссылкам из них: это может быть фишинг.
Фишинговые рассылки — это письма и СМС, которые выглядят как сообщения от надёжных источников. Например, банков, интернет-провайдеров, платёжных систем, известных компаний. Чаще всего в них содержатся две вещи: просьба обновить или прислать какие-то личные данные (номер карты, пароль) и завуалированная угроза («Если данные о карте не поступят в течение недели, ваш счёт будет заблокирован»).
Современный подход к информационной безопасности Вашего бизнеса.
4
Формируйте культуру информационной безопасности
Для малого бизнеса наиболее подходящее по затратам и эффективности решение — обучать сотрудников и владельцев. Предотвращать кибератаки и минимизировать их последствия учат офлайн — например, в Сибирской академии информационной безопасности, и онлайн — на площадках вроде «Нетологии» или «Инфобезопасности».
На таких курсах рассказывают, как правильно пользоваться программами антивирусной защиты, учат создавать и правильно обновлять пароли, объясняют особенности работы с корпоративной почтой, жёсткими дисками, флешками и другими носителями.
5
Используйте специальные облачные сервисы
Для малого бизнеса подойдут облачные сервисы вроде DataFort и McAfee Web Gateway Cloud Setvice. Они защищают информацию от сетевых угроз примерно на том же уровне, что и аппаратные устройства, которые обычно используют для этого в офисах, но тратиться на техобслуживание не придётся. В дополнение к таким сервисам можно подписаться на антивирусную защиту или систему контроля за утечкой информации.
6
Совет от СберБизнеса: выпустите цифровую подпись
Её можно использовать для регистрации или авторизации на интернет-сайтах, а также в качестве ключа доступа к файлам и базам данных, защищённым паролем. Квалифицированная электронная подпись (КЭП) наиболее совершенна в плане безопасности. Это ключ, сформированный с помощью криптографических средств, который записывается на USB-носитель.
Как строится система информационной безопасности крупных компаний
КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности владелец устанавливает сам. Данные будут защищены, даже когда срок действия ключа истечёт.
Простой способ оформить квалифицированную подпись — подать заявку через интернет-банк СберБизнес: потребуется минимум документов, а получить подпись можно курьерской доставкой.
Короче
—
Вредоносные коды, программы, фишинговые рассылки, утечка данных, взломы сайтов и программ — способы, при помощи которых киберпреступники крадут деньги и данные, а также просто портят настроение, деловую репутацию, отношения с клиентами и партнёрами.
—
Потенциальная угроза информационной безопасности — сотрудники. Открытое на рабочем компьютере фишинговое письмо, установка сомнительных программ и приложений, заражённая вирусами флешка — самые частые ошибки.
—
Игнорирование принципов информационной безопасности может привести к серьёзным финансовым и репутационным потерям.
—
Если у вас небольшая компания и ограниченный бюджет, начните с обучения сотрудников основам информационной безопасности.
—
Изучите популярные схемы кибермошенничества и действуйте по инструкции, чтобы ваш бизнес не пострадал.
Статья обновлена 11 ноября 2022
Источник: www.sberbank.ru
Примеры информационной безопасности бизнеса
Суммы, выплаченные жертвами атак, увеличились за 2020 год более чем на 300%. Как и человеческий вирус, компьютерный тоже мутирует. Но речь уже не только о зловредном коде.
Теперь у хакеров есть международная иерархия, стратегический подход к нападениям и даже собственные биржи, на которых заказывают атаку на конкурента, покупают или арендуют инструменты для взлома и даже нанимают команды квалифицированных хакеров для атаки.
Изменился и состав требований злоумышленников. Как правило, вымогают деньги, но это конечная цель. Пути воздействия дополнились шантажом, причем не обязательно прямым. Например, хакерская группировка может действовать через клиентов жертвы. Наиболее уязвимы отделы продаж, потому что они располагают одновременно финансовой информацией и контактами клиентов.
Почему это важно и касается предпринимателей
Немного тревожной статистики:
- По данным Check Point Research (CPR), за первые четыре месяца 2021 года с вирусами-вымогателями столкнулось на 102% больше компаний, чем в первом полугодии 2020 года.
- Количество кибератак в мире на финансовые компании выросло в 400 раз, с менее 5000 за неделю в феврале 2020 года до более 200 000 за неделю в конце апреля 2021 года.
- По данным Hiscox Ltd, в 2020 году от кибератак пострадало на 38% больше компаний, чем годом раньше, причем суммы ущерба возросли до миллионов, иногда десятков миллионов долларов.
Может показаться, что хакеры атакуют только крупные корпорации. Но это не так, малый бизнес тоже сталкивается с онлайн-вымогательством.
Почти половина информационных атак нацелена на небольшие компании. Случаев много, потому что мелкий бизнес не может позволить себе сильные отделы безопасности. Медийная мощность тоже ниже, информация о «мелких» кражах редко облетает СМИ и соцсети.
Поэтому не стоит ожидать, что вы в безопасности, если оборот вашей компании невелик.
Как защититься от кибератак
Одна из важных причин готовиться к нападениям заранее — возможность быстро реагировать на информацию о новых «дырах в софте». Когда публикуют такие сведения, счет идет на часы. Теперь все хакеры мира пробуют использовать новую уязвимость, и риск подвергнуться атаке возрастает многократно. Это могут сделать даже из любопытства, просто потому что опубликовали новый способ.
Для таких случаев нужен заранее подготовленный план действий, а также все необходимые программные, иногда даже аппаратные средства защиты. И, разумеется, компетентные специалисты, которые могут противодействовать хакерам — то есть очень квалифицированным программистам, у которых к тому же почти неограниченные технические ресурсы (например, за счет ботнетов).
Несколько примеров мер по защите информационной системы компании от угрозы хакерских атак:
- Антивирусные программы, их непрерывное обновление.
- Частые резервные копии ценной информации (включая облачные серверы, которые тоже могут быть атакованы, и тогда вы потеряете свои базы данных).
- Защищенные каналы общения, начиная с осознания их необходимости, потом методичная отладка контроля и методов защиты.
- Административные меры, обучение сотрудников цифровой гигиене. Например, ни в коем случае нельзя открывать файлы, полученные из неизвестных источников или переходить по ссылкам из спама.
- Контроль времени и локаций доступов, конкретных устройств, браузеров. Другие методы распознавания «Свой/Чужой», помимо ввода паролей.
- Двух- и более факторная аутентификация на всех важных ресурсах. Частая смена паролей, и немедленная — для всех уволенных сотрудников.
- Аккуратный подход к внешним IT-решениям, например к бесплатным VPN, почтовым сервисам, мессенджерам, соцсетям и даже к браузерам.
- Обновления ПО, мониторинг новостей про новые уязвимости и немедленная реакция на такие новости.
- Должен неукоснительно действовать протокол немедленного и полного прекращения всякого доступа сотрудников после увольнения или смены уровня полномочий. В западных компаниях часто забирают симку в течение минуты после принятия решения, а все пароли, аккаунты и доступы удаляются еще до разговора.
Отдельное внимание стоит уделить политике безопасности по установке и использованию «чужого» программного обеспечения. Здесь приходится применять кавычки, потому что даже IT-гиганты используют готовые утилиты, «коробочные» решения, а также доступ к облачным сервисам.
Это может создавать уязвимости, причем контролировать процесс сложно — код регулярно обновляется сторонними разработчиками, причем не всегда есть возможность проверить, что и как они изменили.
Обращаясь к подрядчикам в IT-сфере, компании приходится предоставлять пароли, доступы, права администратора в своей информационной системе, а зачастую и к аккаунтам облачных решений. Даже без злого умысла недостаточно компетентные партнеры могут создать «дыру» в безопасности.
Кроме того, если не компания-подрядчик, то отдельные ее сотрудники могут иметь свои планы.
Поэтому нужно не только соблюдать меры кибербезопасности, но и тщательно выбирать партнеров, которые помогают в ее обеспечении. Например:
- Убедитесь в том, что юридическое лицо «чистое» и не имеет судебных дел и исков.
- Почитайте подтвержденные отзывы о подрядчике, запросите референсы.
- Проверьте сколько лет компания работает. По крайней мере несколько лет опыта важно как с точки зрения набора необходимых компетенций, так и чтобы отсечь фирмы-однодневки, мимикрирующие под серьезный бизнес из криминальных соображений.
- Проверьте наличие сертификатов, допусков, лицензий. У официальных представителей IT-вендоров не возникает затруднений с доказательствами своей легитимности.
- Оцените уровень коммуникаций. Скорость, точность и полезность ответов. Есть ли ощущение, что вы общаетесь с профессионалами, которые понимают что и когда уместно спрашивать, ведут себя уверенно и адекватно.
- Составьте дорожную карту, обсудите пилотный проект, этапы и точки контроля. Причем квалифицированный подрядчик сам предложит полный пакет документов.
- Отдельно спросите, получится ли сохранить все уже используемые информационные системы, как будет выглядеть интеграция с ними, какие меры безопасности планируется предпринять.
Контролируйте своих сотрудников, ПО, каналы связи, протоколы безопасности. Защита может быть только комплексной, иначе в ней почти нет смысла. Злоумышленники владеют полной информацией по уязвимостям. Бизнесу нужна профессиональная служба для противодействия атакам.
Постоянно появляются новые экзотические виды атак. Например, атаки на дронов, IoT, нейросети. Но это все еще довольно редкие события, а главное — они не касаются обычных компаний. Есть много менее зрелищных, зато более вероятных и опасных видов нападений. Перечислим основные из них вместе с дополнительными мерами защиты.
Десять IT-угроз для бизнеса
Вредоносное ПО
В большей степени это и есть компьютерные вирусы. В информационную систему предприятия проникает зловредная программа, которая специально разработана для причинения ущерба.
Например, такого как промышленный шпионаж; кража баз данных, как правило клиентских; хантинг ведущих сотрудников; шифрование или удаление данных, иногда их подмена; рассылка сообщений от имени владельца системы; использование технических ресурсов для майнинга криптовалюты; блокировка программного обеспечения, чтобы компания не могла работать и другие.
Методы защиты:
- Самое эффективное — полностью запретить пользователям самостоятельно устанавливать программы и менять конфигурацию рабочих станций. Пусть этим занимается собственные администратор компании или специализированный подрядчик.
- Есть смысл также ограничить доступ к сетевым ресурсам, в том числе соцсетям, мессенджерам.
Программы-вымогатели
Особый вид зловредов, которые специализируются на прямом требовании денег — сейчас, как правило, в криптовалюте, чтобы сложнее было отследить получателя.
Атаки программами-вымогателями WannaCry, Petya, Cerber, Cryptolocker, Locky становились настоящими пандемиями. Многие готовы заплатить выкуп, потому что вынужденный простой обойдется в 23 раза дороже (при среднем выкупе около $6 тысяч).
Методы защиты:
- Пользователи должны понимать, что любое нестандартное поведение программ — повод немедленно обратиться к администратору. Никаких самостоятельных действий предпринимать не нужно.
- Как правило, программы-вымогатели угрожают либо испортить данные, либо опубликовать их. Первая проблема решается с помощью регулярных резервных копий, вторая — хранением настолько чувствительных данных отдельно, на компьютерах без доступа к интернету.
Фишинг
Один из самых распространенных способов, которым вредоносной ПО проникает и активируется на компьютерах жертв. Как правило, это рассылка — по электронной почте, в мессенджерах, чатах. Поддельные сообщения искусно маскируются под обращения клиентов, коллег, техподдержки, друзей и других.
Методы защиты:
- Очень сложно противодействовать, потому что в реальной деловой жизни нереально с подозрением относиться ко всем входящим, в том числе от известных адресатов. Тем не менее, можно договориться о кодах в теме письма, тегах в мессенджерах. Их отсутствие привлечет внимание.
- Кроме того, нужно административно разделить запуск платежей, подписание договоров, любые важные действия. Как в сейфах, где открытие двери происходит только когда повернули два ключа, по одному у разных ответственных сотрудников.
Социальная инженерия
Общее название методов воздействия, часто взаимосвязанного с фишингом. Например, продавцы получают выгодное долгожданное предложение о сделке, и не задумываясь открывают приложенные файлы, могут даже установить ПО якобы для доступа на тендерную площадку (как они думают, а на самом деле это вирус).
Или сотрудникам приходит «случайное» письмо из бухгалтерии, от гендира — кто удержится посмотреть. О чем говорить, если в 30% случаев фишинговые сообщения открывают даже сотрудники по информационной безопасности.
Методы защиты:
- Принцип действия социальной инженерии заключается в том, чтобы сделать любые технические меры защиты неэффективными. Нужно противодействовать тоже не софтверно, а психологически. Проводить тренинги с сотрудниками, объяснять как распознать подвох, что делать, если все-таки посмотрели, скачали, установили.
- И обязательно проводить учения по компьютерной безопасности. То есть методом «тайного покупателя» пытаться уговорить сотрудников поделиться паролем, сказать код по SMS. Потом разбирать эти кейсы. Можно использовать их в качестве командообразующей игры. Если сценарии хорошо проработаны и есть призы — это станет популярным, а главное очень полезным развлечением.
Взлом пароля
Старый, но по-прежнему работающий способ для проникновения в слабо защищенные информационные системы без двойной (например, по коду через SMS) авторизации, а также там где нет аппаратных токенов, мониторинга активности, геолокаций доступа. Пароли подбирают, «брутфорсят» (находят автоматическим перебором вариантов), узнают при помощи «кейлоггера» (программы-шпиона).
Методы защиты:
- Нужно использовать пароли максимально допустимой длины, потому что каждый следующий символ нелинейно удлиняет подбор.
- Обязательно включайте в пароли буквы разного регистра, цифры, специальные символы. Например, _ # — и т.п. Это тоже затрудняет взлом пароля.
- Поможет reCAPTCHA и ограничение числа попыток ввода пароля с ошибкой. Как в банкомате — три раза не тот ПИН-код, и взлома этой карты уже можно не опасаться.
Атака изнутри
К сожалению, угроза иногда исходит от собственных сотрудников, которые могут взломать или подсмотреть пароль коллеги, чтобы получить доступ к информации. Нужно понимать, что для этого не обязательно сидеть за соседним столом, достаточно располагать входом в систему — это возможно из другого здания или даже города.
Методы защиты:
- Внедрение систем IDM/IAM/IGA для управление доступом.
- Регулярный аудит используемых паролей, их частая замена новыми.
- Аудит логов доступа, чтобы проверить не бывает ли подозрительных обращений к информационным ресурсам компании.
Атака через посредника
Если злоумышленникам не удается попасть внутрь системы, они могут действовать снаружи. Например, перехватить или даже специально создать публичную бесплатную сеть Wi-Fi. В сериале «Кремниевая долина» показали такой метод, и это не выдумка для киносюжета, а вполне реальная уязвимость.
Методы защиты:
- Первым способом защиты от такой атаки является использование шифрования между клиентом и сервером.
- Можно также использовать специальные плагины для браузеров. Например, ForceTLS для установления защищенного соединения (но это возможно не всегда, зависит от оборудования).
- Самый жесткий вариант — полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными.
DDoS (Denial-of-Service)
То есть атака на отказ в обслуживании. Один из способов обрушить информационную систему, включая средства ее защиты, методом избыточных запросов. Часто для увеличения нагрузки задействуют тысячи, иногда сотни тысяч компьютеров, зараженных вирусами. Они объединяются в ботнеты и управляются хакерами снаружи.
Методы защиты:
- Есть целый ряд специализированных систем для защиты, коробочных и облачных. Например, Cloudflare, AKAMAI, Anti-DDoS Pro от Alibaba и многие другие.
- В случае частых и серьезных атак может потребоваться переработка публичных сервисов, чтобы «облегчить» их и позаботиться о сохранении критичной работоспособности даже под массированным ударом.
Внедрение SQL-кода
Относительно простой способ взлома, основанный на ошибках настройки web-сервера и сайта, а точнее, его базы данных. Иногда для того, чтобы получить доступ к информационной системе компании, достаточно ввести вредоносный код в поле поиска на сайте.
Методы защиты:
- Применяйте встроенные функции для очистки кода от вредоносных скриптов.
- Полезна также проверка форм на стороне сервера.
- Нужно проверить, что запрещено исполнение файлов, загружаемых пользователями сайтов и других ресурсов.
Устаревшие или незрелые системы управления доступом (IDM/IAM/IGA)
Низкая зрелость процесса управления доступом внутри организации в совокупности с отсутствующей или устаревшей системой IDM/IAM/IGA дает возможность любому пользователю, находящемуся внутри контура, получать практически любые данные и права доступа к информационным системам.
Методы защиты:
- Последнее время практически все финансовые организации усиливают данный процесс и системы.
- Необходимы системные регулярные меры. Впрочем, это касается противодействия всем видам кибератак.
Главный вывод, который должны сделать собственники бизнеса — опасно исходить из тезиса «кому мы нужны, зачем нас взламывать».
Не все хакеры охотятся за миллионами, многих устроит значительно более скромная добыча. Конкуренты могут вести дела нечисто. Есть большое количество начинающих вредителей, которые пытаются проникать во все компьютерные системы без разбора, просто в качестве тренировки.
Наконец, ваши компьютерные ресурсы могут стать частью каких-то ботнетов. Например, майнить криптовалюту для криминальных ботоводов или рассылать спам, возможно, противозаконный.
Уделите кибербезопасности самое пристальное внимание. В информационный век это может оказаться даже более важным, чем физическая охрана офиса.
Фото на обложке: Shutterstock / Yurchanka Siarhei
- Бизнес
- Кибербезопасность
- Как защититься от мошенников
Источник: rb.ru
Примеры информационной безопасности предприятия
С истему информационной безопасности на предприятии организовывают различными способами, приглашая компании-аутсорсеры или изучая чужой успешный опыт. Примеры информационной безопасности покажут, как именно решается задача в различных отраслях бизнеса.
Основные тенденции организации информационной безопасности на предприятии
Интересно проанализировать ряд кейсов, показывающих, как система информационной безопасности внедрялась в российских банках и компаниях.
Задача решается одним из двух способов:
- собственными силами;
- с привлечением подрядчиков.
В России существует тенденция по переманиванию ведущих специалистов по кибербезопасности из компаний, специализирующихся на борьбе с киберугрозами, в крупные российские корпорации с целью выстраивания собственной модели ИБ, избегая рисков утечки данных, ожидаемых при работе с подрядчиками. О существовании таких рисков информационной безопасности банки предупреждает ЦБ РФ, издав специальный стандарт по правилам работы с аутсорсерами, будут они актуальны и для предприятия.
С точки зрения выбора программных средств для защиты информационной безопасности государственная политика поддержки национального производителя побуждает российские корпорации с госучастием или активно работающих с госконтрактами переходить на российское ПО. Небольшой бизнес предпочитает его по причинам доступности в цене, более высокой надежности, обеспечения информационной безопасности в узких секторах ИС.
Минусом политики импортозамещения является отсутствие единой российской операционной системы. Более 20 существующих продуктов решают тактические, а не стратегические задачи, и компаниям приходится мириться с уязвимостями в Windows и Linux. О том, что они хорошо известны кибермошенникам, свидетельствует эпидемия вируса WannaCry, шифровальщика, остановившего заводы и больницы по всему миру и нанесшего ущерб, оцениваемый в десятки миллиардов долларов.
Проект «Цифровая экономика» предусматривает создание единой российской национальной ОС IoT к 2020 году, ее предполагается использовать для Интернета вещей и промышленного Интернета, она должна обеспечить информационную безопасность АСУ и «умных домов», исключить риски проникновения в сеть хакеров и использования домашних кофеварок в качестве ботов. В итоге на рынок должна выйти «отечественная свободная ОС для использования во всех видах киберфизических систем, превосходящая зарубежные ОС по ключевым параметрам быстродействия, безопасности и отказоустойчивости».
Построение модели угроз
Выбор системы ИБ зависит от уровня рисков. Модель угроз часто строится с опорой на бизнес. Так, утечки информации характерны для телекоммуникационных компаний, разработчиков ПО, медицины. Для банков опаснее попытки несанкционированных переводов средств со счетов клиентов. В даркнете начали появляться базы данных не только банков и мобильных операторов, но и учебных учреждений.
Новые вирусы создаются с участием военных структур. Так как в WannaCry увидели базовые решения, предоставленные группе хакеров американским военным ведомством. Иранский Stuxnet, также нацеленный на промышленные предприятия и остановивший тысячи производств, был создан израильской разведкой. Можно предполагать, что среднее предприятие, использующее общепользовательские операционные системы, не обеспечивающие высокой степени информационной безопасности, в любую минуту может стать жертвой нового вируса, поражающего отдельные страны или секторы экономики. По данным опроса 200 генеральных директоров крупнейших предприятий мира, проведенного компанией Ernst
Это решение позволяет расширить количество каналов, по которым блокируются утечки. В качестве примера информационной безопасности предприятия оно иллюстрирует повышенное внимание, которое уделяется компаниями общению сотрудников с возможными конкурентами, например, с целью передачи клиентской базы данных.
Кейсы внедрения системных решений по информационной безопасности
Рассмотрим примеры информационной безопасности предприятия из нескольких секторов экономики, чтобы понять, как тенденции отражаются при внедрении системы ИБ.
Сбербанк и тестирование киберзащиты
Среди российских банков на рынок киберугроз первым вышел Сбербанк, создав дочернюю компанию BI.Zone. В ее задачи входит тестирование степени защиты от киберугроз для банков, операторов связи, IT-клиентов. Одной из первых компаний, прошедших через такое тестирование, стала МГТС, московский оператор телефонной связи, входящий в группу предприятий АФК-Системы.
Компания, ставшая новичком на рынке информационной безопасности, предлагает услуги по тестированию каналов связи, решений по кибербезопасности и технической инфраструктуры. Нагрузочное тестирование предполагает выявление потенциальных уязвимостей и незадекларированных возможностей в программном обеспечении иностранных и российских производителей, что пока не принято на российском рынке.
Как замечает группа по оказанию услуг в области кибербезопасности и цифровой криминалистики одной из крупнейших в мире консалтинговых компаний КПМГ, большинство крупных провайдеров и операторов связи проводят тестирования систем самостоятельно. Услуги Сбербанка могут быть привлекательны для небольших банков и компаний как часть общего пакета услуг, оказываемых им. Создание этого сервиса стало одним из инструментов исследования рынка подобных услуг вообще с целью определения степени их востребованности.
Альфа-банк
Один из крупных российских частных банков в 2012-2013 году создал принципиально новую систему ИБ. Сейчас она не отвечает требованиям времени и рекомендациям регулятора, но интересна в качестве примера внедрения системы информационной безопасности на предприятии. Открытые источники показывают, что разработка системы шла по общим принципам, без внедрения уникальных технологий. Сложностью при реализации программы оказалась разветвленная сеть филиалов и точек продаж, создающая потенциальную уязвимость при атаке на каналы связи.
Также при аудите были выявлены общие болевые точки систем с разветвленной архитектурой:
- большинство случаев потерь информации связано со сбоем и отказом в работе программных и технических средств автоматизации;
- существенное количество внешних атак основывается на широко известных уязвимостях ПО и ОС.
Дополнительной проблемой для банка стало частое посещение сотрудниками сайтов конкурентов, которые при помощи программного обеспечения, схожего по принципу работы с CRM-системами, могут не только точно отслеживать и прогнозировать поведение посетителей, выстраивая свои стратегии, но и внедрять вредоносное ПО.
Для решения большинства задач информационной безопасности «Альфа-Банк» использовал следующие решения:
- внедрение продвинутой системы аутентификации пользователей системы мгновенных платежей Альфа-Клик (коммунальные услуги, телефония) на основе технологии, продвигаемой компанией А3. В комплекс включены средства аутентификации, авторизации и администрирования. Авторизация применяется при подтверждении действий пользователя сотрудником более высокого ранга;
- шифрование всего трафика при общении с клиентами с использованием новейших СКЗИ;
- применение протоколов VPN при передаче данных;
- разделение секторов сети, в которых запускаются различные процессы, межсетевыми экранами;
- средства контентной фильтрации, которые помогают снизить уровень утечек данных из сети вовне и проникновение в сеть посредством электронной почты спама, фишинговых писем и сообщений, содержащих вложения с вирусами;
- инструменты проверки целостности содержимого дисков;
- системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
В качестве основных аппаратных средств защиты информационной безопасности применены маршрутизаторы производства Cisco.
Встроенный файрвол позволил реализовать:
- контекстное управление доступом (CBAC);
- блокировку на основе языка Java;
- журнал учета действий пользователей;
- обнаружение и предотвращение атак;
- немедленное оповещение об инцидентах информационной безопасности.
Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей передачи данных, систему управления приоритетами, систему резервирования ресурсов и комбинируемые между собой методы управления маршрутизацией.
В качестве программного антивирусного средства защиты локальных сетей в 2012-2013 годах был применен Kaspersky Open Space Security, но он продолжает широко использоваться в банковской сфере для защиты информационной безопасности.
- защитить все типы узлов сети;
- реализовать механизмы защиты от большинства видов внешних атак.
Продукт совместим с программными решениями большинства производителей и лоялен к использованию сетевых ресурсов. Применяемые средства защиты информационной безопасности позволили защитить сеть на высоком уровне.
Реализация системы ИБ на примере АЭС
Задачи, отличные от задач банка, решают специалисты по ИБ, обеспечивающие информационную безопасность АЭС. Управление станциями осуществляет концерн «Росэнергоатом».
Цифровая трансформация «Росэнергоатома» началась в 2017 году, когда были поставлены две цели:
- Создание цифрового шаблона опыта эксплуатаций АЭС. Единый инструмент управления системами АЭС должен позволить решать задачи управления процессами и рисками не только на российских, но и на зарубежных проектах концерна, если их собственники будут готовы приобрести информационный продукт. Решение должно быть полностью готово и интегрировано с установленной на всех 16 энергетических объектах SAP ERP к концу 2021 года.
- Переход на модель управления в рамках интеллектуальной энергетической системы России (ИЭСР). С ее помощью будет происходить управление рисками кибербезопасности на всех энергетических объектах России – от АЭС до гидроэлектростанций. Решение будет реализовано на базе создаваемой в рамках проекта «Цифровая экономика» платформы IoT Energy.
Работа по построению единой системы кибербезопасности предприятий АЭС ведется в рамках решений по проекту «Цифровая экономика» и на основе системополагающих решений МАГАТЭ и Росэнергоатома. Основным требованием до последнего времени являлось полное исключение подключения АСУ ТП АЭС к Интернету, но реализация проекта ИЭСР внесет коррективы в эту политику.
В 2015 году было зафиксировано более десяти существенных инцидентов кибербезопасности, в основном в США, связанных с проникновением в сеть АЭС извне. Они не привели к авариям, только к массовым отключениям электроэнергии, что стало причиной существенного ущерба. С учетом подобных фактов требуется максимально обезопасить каналы связи АСУ ТП АЭС от внешних подключений.
С точки зрения изучения примеров построения системы информационной безопасности предприятия интересно, как в разных странах разрабатывается модель информационных угроз для АЭС:
- в США используется программа, предназначенная для расчета рисков и их вероятности, установленная на самом объекте;
- Нидерланды привлекают внешних консультантов, имеющих большой опыт аналитики и прогнозирования в сфере информационной безопасности;
- некоторые страны Африки (Зимбабве) применяют метод Дельфи для определения угроз атомной инфраструктуре.
Еще одной особенностью управления рисками кибербезопасности на предприятиях АЭС является то, что современные программные средства защиты считаются недостаточно безопасными для внедрения в программную среду АСУ ТП АЭС, поэтому решением становится ее изоляция от внешнего вмешательства, построение максимально возможной прочной системы внешней защиты. Но это не снимает риски инсайдерских инцидентов. Так, распространенным способом атак стали фишинговые письма, направляемые на электронные почтовые ящики сотрудников АЭС. Эту проблему в сфере информационной безопасности предполагается решать системным обучением персонала.
Построение модели ИБ от Group-IB
Илья Сачков – российский специалист по борьбе с киберугрозами, основатель компании Group-IB. Компания входит в экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью. Специалист создал собственную технологию по борьбе с DDoS-атаками, и ее успешная практика позволяет обратить внимание на ключевые моменты внедрения системы ИБ.
Решение опирается на три базовых фактора:
- предотвращение;
- разработка;
- расследование.
На уровне предотвращения решаются задачи построения актуальной модели угроз. На уровне расследования используются программы уровня кибернетической криминалистики, применяемые для расследования компьютерных преступлений в правоохранительных органах. Даже если штатные средства Windows не справились с задачей запрета на стирание информации о вмешательстве и приходится искать, кто и как похитил данные или заразил систему вредоносными программами, выявляется виновник инцидента и собираются доказательства, позволяющие привлечь нарушителя к уголовной ответственности.
Так, приводятся интересные примеры расследования DDoS-атак:
- в первом случае она была направлена на интернет-издания. Анализ IP-адресов, с которых шла атака, позволил выявить темы, затронувшие чьи-то интересы, и найти заказчика;
- во втором атака на рекламный ресурс оказалась связана с его участием в крупном тендере, и конкуренты постарались исключить его из списка конкурсантов.
По результатам расследования удается выявить уязвимости и дополнить или откорректировать модель угроз. Но далеко не все, даже увидев риск, готовы принимать решительные меры по борьбе с киберугрозами.
Общие проблемы построения системы информационной безопасности
Если крупные банки и владельцы объектов критической информационной инфраструктуры хорошо знают, как строить свою модель ИБ, то у 40 % российских компаний нет понимания стратегии в этом вопросе, считает крупнейшая мировая аудиторская компания PricewaterhouseCoopers (PwC).
Выявлены следующие проблемы:
- почти 50 % российских компаний не уделяют внимания обучению сотрудников основам информационной безопасности;
- 56 % компаний отказываются от внедрения системы реагирования на инциденты из-за ее экономической, на их взгляд, неэффективности;
- только 19 % компаний уверены в том, что их программно-аппаратные средства позволят идентифицировать виновника инцидента;
- 25 % компаний уверены в том, что основной риск несут мобильные устройства сотрудников, но не готовы внедрять программные решения по обезвреживанию угрозы.
Пока руководители компаний только приходят к мысли о необходимости тестирования уязвимости, даркнет пополняется предложениями по продаже данных, обеспечивающих доступ к уже взломанным системам защиты.
Эксперты предполагают, что ситуация с угрозами в 2020 году будет развиваться по следующим направлениям:
- понимание невозможности построения идеальной системы защиты приведет к росту рынка SIEM-систем, позволяющих наиболее быстро выявлять инциденты и реагировать на них;
- усилится охота за обученными кадрами, компании станут вкладывать больше средств в создание совместных с вузами программ обучения специалистов по кибербезопасности;
- усилится роль единых государственных систем управления инцидентами – ФинЦЕРТ, ГосСОПКА, ИЭСР;
- благодаря новым криминалистическим технологиям начнется выявление хакерских группировок, контролирующих незаметно сети компаний уже несколько лет;
- повысится роль ОС, не содержащих известные уязвимости;
- в связи с ростом защищенности крупных компаний повысится число атак, направленных на их поставщиков и подрядчиков.
Учитывая эти аспекты и уже проработанные примеры внедрения системы информационной безопасности предприятия, нужно выстраивать стратегию ИБ компании на ближайшие годы.
Источник: searchinform.ru