logo-image
Сучасні кіберзагрози і рекомендації з їх усунення
Автор: Олександр Макаревич
Джерело: Юрист і Закон, 14 червня 2018 року
Завантажити

В современном обществе компьютеры используются практически во всех областях деятельности. Довольно часто возникает необходимость защиты важной информации. Большие организации, как правило, уже имеют в своем составе специалистов по кибербезопасности. Компании небольшого или среднего размера до поры до времени оставляют вопросы безопасности информации на откуп ИТ, административным менеджерам или пускают все на самотек. До поры до времени…, пока созданный Вами программный код не начинает зарабатывать деньги на чужом сайте, пока Вы не теряете деньги с Ваших счетов, пока Вы не начинаете проигрывать в тендерах, пока Вы не вынуждены платить штрафные санкции за задержку услуг Вашим клиентам, пока Вы не теряете клиентов из-за утечки их информации, которая использовалась Вами. Перечислять риски, возникающие при нарушении конфиденциальности, целостности и доступности информационных активов можно очень долго. Главный вопрос, что может сделать организация для улучшения ситуации, какие шаги нужно предпринять, чтобы обезопасить себя хотя бы от наиболее вероятных рисков.

             К сожалению, не существует готовых рецептов на все случаи жизни и нет подходов, одинаково применимых для всех организаций. Тем не менее попытаемся выделить основные типы угроз кибербезопасности, на которые необходимо обратить особое внимание. Учитывая то, что защите от лобовых атак на сетевой периметр уделяется очень большое внимание и практически любое устройство, которое вы покупаете и устанавливаете у себя в офисе или дома, к примеру сетевой маршрутизатор или домашний WiFi роутер, уже прямо из коробки имеют базовые средства защиты, мы не будем их рассматривать.  В данной статье попытаемся обратить Ваше внимание на те угрозы и методы их устранения, которые выражены не так явно или их важность, как правило, недооценивается.

  • Социальная инженерия и фишинг
  • Вирусное программное обеспечение
  • Использование неактуальных версий программного обеспечения
  • Инсайдерские угрозы
  • Отсутствие политик и процедур по обращению с информационными ресурсами

 

Социальная инженерия и фишинг. Социальная инженерия базируется на эксплуатации человеческих слабостей. В результате успешного психологического подстраивания к жертве, опытный злоумышленник может выявить много базовых моментов в работе организации для планирования взлома, похищения информации. Это и работа системы контроля физического доступа, работа охраны, график работы уборщиц, местонахождение принтеров, мусорных корзин, наличие шредеров и т.д. Подготовка к проникновению в информационную систему организации начинается именно с такой работы. Фишинговые атаки являются продолжением социальной инженерии. Многими специалистами они признаются наиболее массовым и эффективным средством взлома и последующего доступа к ресурсам предприятий и организаций всех форм собственности. По различным оценкам, до 90 % всех успешных кибератак происходят с использованием этого метода. Метод, по сути, очень прост и представляет собой рассылку поддельных писем электронной почты, текст которых побуждает предполагаемую жертву запустить вирусную программу, замаскированную к примеру, под офисное приложение, или перейти по ссылке на поддельный сайт, на котором Вам предложат ввести свой логин и пароль к почте или другим ресурсам. Есть много категорий и подвидов фишинга, но сложности противодействия этому методу сводятся к тому, что 100% гарантии защиты техническими методами не существует. В конечном итоге все упирается в уровень осведомленности персонала и его бдительности. Решается в основном за счет обучения персонала, в форме бесед, презентаций, разбора случаев с реальными атаками, пояснения последствий от реализации атак. Позитивный показатель в развитии – регулярные обращения персонала в отдел ИТ безопасности с просьбой оценить, являются ли полученные подозрительные письма фишингом или нет. Когда персонал знает об угрозах и принимает непосредственное участие в противодействии им, это серьезное достижение, показывающее, что у организации есть хорошие шансы победить в киберборьбе и сберечь свои ресурсы.  

 

Вирусное программное обеспечение. Важнейшее оружие злоумышленников, для защиты от которого, необходимо иметь актуальную версию антивирусного программного обеспечения. Не существует антивирусного ПО, которое бы защищало от всех вирусов одинаково хорошо. Как показывает практика, очень полезен обмен информацией между специалистами о начале атак и появлении новых вирусов, а также использование служб по анализу подозрительных файлов и ссылок на предмет выявления червей, троянов и всевозможных вредоносных программ. К примеру, очень популярна служба Virus Total.

 

Неактуальные версии программного обеспечения. По сути, это уязвимость информационной системы, когда пользователь игнорирует установку необходимых обновлений ПО. Регулярное обновление ПО необходимо по многим причинам, одна из которых - повышение уровня безопасности и защита от вновь выявленных уязвимостей и угроз. Нужно работать с персоналом в этом направлении, делать регулярные рассылки и напоминания для сотрудников, показывать на примерах к чему может привести использование неактуальной версии ПО.

 

Инсайдерские угрозы. Большая группа угроз, источником которых являются собственные сотрудники. Распространена в организациях, где отсутствует контроль за предоставлением прав доступа высокого уровня, а также отсутствуют разграничения по правам доступа к информационным ресурсам. Очень хорошо, если регулярно проводится хотя бы минимальная оценка лояльности сотрудников при приеме на работу, в процессе работы и при увольнении. Персонал — это всегда самое слабое звено в системе безопасности и с ним нужно постоянно работать. Не зря британские и американские специалисты по безопасности строят свою работу именно с развития культуры безопасности. Американский опыт показывает, что культура безопасности начинает появляться примерно через 18 месяцев работы с персоналом. Не так быстро, как покупка нового файрволла, но это базовая составляющая успешной работы системы безопасности, которая создает условия для внедрения и выполнения политик и процедур.

 

Отсутствие политик и процедур по обращению с информационными активами.

Политики и процедуры – это установленные правила работы в информационной системе организации, а также распределение ролей и ответственности. Без них наступает хаос, возможны финансовые потери из-за неэффективного использования ресурсов, возникает повышенный риск ошибок персонала, непреднамеренная утечка и потеря информации. При их наличии, наоборот, пользователь может сам решать многие вопросы и работать в четко очерченном поле. При успешно работающей процедуре предоставления прав доступа выполняется одно из базовых правил информационной безопасности – доступ только к тому, что необходимо по работе.

При наличии правильно работающих политик безопасности, не возникает вопросов кто за что отвечает, какие ресурсы следует защищать в первую очередь, к кому обращаться в случае наступления инцидентов кибербезопасности и сколько времени организация может работать без серьезных потерь, в случае временной остановки тех или иных процессов. Все это можно рассчитать заранее, в ходе выполнения процедуры оценки рисков и анализа последствий инцидентов для бизнеса.

Вот на мой взгляд, тот короткий перечень угроз и рекомендаций по их устранению, на которые не всегда руководители и собственники бизнеса, руководители государственных организаций обращают должное внимание. Хотя важность этих угроз, от которых защищаются далеко не всегда техническими мерами, сложно переоценить. Многие пытаются спрятаться за технологии, игнорируя работу с людьми и процедуры. На мой взгляд нужно уделять достаточное внимание всей триаде безопасности: люди, процедуры, технологии. Кибергигиена, которая по сути является тем, что описано в рекомендациях выше, уже давно широко применяется в эффективно работающих компаниях всего мира. Знайте свои риски, работайте с людьми, внедряйте технологии и регулируйте правила работы политиками и процедурами. Результат не заставит себя ждать. Удачи!