Информационная безопасность (ИБ) начинается со стратегии: компания должна понимать, какие корпоративные данные являются для нее наиболее критичными, как осуществляются их хранение и защита в сети, каким образом ценная информация может быть похищена, уничтожена или модифицирована. После этого в зависимости от приоритетов по защите данных и финансовых возможностей бизнеса компания создает свою программу ИБ, рассказывает руководитель направления оптимизации и контроля сети «КРОК» Андрей Врублевский.
«Руководству нужно помнить, что ИБ работает на бизнес, а не наоборот. Поэтому в разработке стратегии информационной безопасности активное участие должен принимать топ-менеджмент, руководители всех подразделений, имеющих доступ к служебным данным, в том числе к важным бумажным документам. Бизнес определяет перечень угроз и цену, которую он готов заплатить за защиту от них», — говорит господин Врублевский.
Для коммерческих компаний задачи одинаковы: не допустить утечек финансовых данных, избежать репутационных потерь, сохранить в секрете внутреннюю «кухню», не потерять клиентскую базу, защитить персональные данные сотрудников и заказчиков, перечисляет председатель совета директоров «СерчИнформ» Лев Матвеев. «Технологические угрозы могут временно нарушить работу компании, коммуникации, связь с клиентами — но это все достаточно быстро решается. А вот обиженный топ-менеджер, имеющий доступ ко всем секретам, планам, финансовым и аналитическим документам, может нанести не только серьезный ущерб бизнесу, но полностью его разрушить», — подчеркивает господин Матвеев.
Преступные технологии
IT-угрозы делятся на две глобальных группы: технологические и человеческие. Вторые — самые распространенные. «Сейчас тех же вирусов крайне мало, основные вредоносные программы — трояны. Их особенность в том, что сами по себе они не распространяются: для их запуска нужна помощь пользователя — клик по ссылке, запуск программы. Именно пользователи бездумно открывают все подряд рассылки и посещают с рабочего места опасные сайты», — объясняет ведущий аналитик отдела развития компании «Доктор Веб» Вячеслав Медведев.
Появляются угрозы нового поколения, в которых приемы социальной инженерии становятся все более изощренными. «Сейчас в атаках используется предельно персонифицированная информация, которая убедит даже опытного пользователя, что сообщение отправлено ему лично. В результате, даже если используемая система защиты перенесет информацию в карантин, любой обнаруживший ее там будет уверен, что это ошибка и что данное сообщение нужно срочно отправить адресату», — делится технический директор Trend Micro в России Михаил Кондрашин.
Он рассказывает про новый вид атак — BEC (Business Email Compromise). Там вредоносный код вообще не используется: злоумышленники достигают своих целей, подделывая сообщения под распоряжения VIP-клиентов или руководства, например, с требованием срочного перевода денег по указанным реквизитам. «Несмотря на то, что такая атака кажется невероятно сложной, ущерб в мировом масштабе оценивается в миллиарды долларов. С учетом новых тенденций в любой организации необходимо внимательно рассмотреть каждый бизнес-процесс, приводящий к переводу денег наружу и проанализировать возможность его компрометации с использованием сообщений, выглядящих как несомненно подлинные, но не являющиеся таковыми», — призывает господин Кондрашин.
Генеральный директор компании «Атак Киллер» Рустэм Хайретдинов приводит такой пример: мотивированный на продажи клерк, чей профиль злоумышленники находят в соцсетях, получает письмо от потенциального покупателя, вкладчика или партнера. Письмо содержит, кроме безобидной и реально выглядящей информации о сотрудничестве, файл MS Office или PDF, зараженный вирусом. «Он атакует какую-нибудь безобидную систему, которую приходят чинить администраторы, при этом вводя свои пароли, которые перехватываются вирусом. Получив администраторский доступ к системе, вирус прописывает себя на платежном сервере и формирует платежи на заранее подготовленные компании», — описывает господин Хайретдинов.
Продвинутые способы краж обычно многоступенчатые, но сейчас все чаще применяются приемы социальной инженерии. В одной крупной компании службе безопасности на последнем этапе удалось пресечь перевод значительной суммы денег сотрудником, который имел право такие переводы осуществлять. «На сотрудника под видом одного из директоров С-уровня компании вышел злоумышленник, который стал писать ему письма, на протяжении продолжительного времени вел с ним переписку и, наконец, заручившись его полным доверием, попросил перевести на указанный счет крупную сумму денег, якобы для того, чтобы срочно закрыть большую сделку. Служба безопасности в последний момент распознала подозрительную активность и сумела предотвратить мошенничество», — поведал менеджер по продуктам Orange Business Services в России и СНГ Алексей Смирнов.
С помощью методов социальной инженерии современные хакеры вводят в заблуждение даже просвещенных сотрудников. «В нашей практике был случай, когда на электронную почту топ-менеджера компании пришло зловредное письмо, искусно замаскированное под резюме. Руководитель не просто скачал и открыл его, но и переслал в HR-отдел, запустив распространение вируса по сети компании. К счастью, именно в этот момент мы тестировали наши решения, и атака была предотвращена», — вспоминает технический директор Check Point Software Technologies Russia Никита Дуров.
Если вирус все-таки проникает в сеть, он может незаметно собирать необходимую информацию в течение месяцев. Действия хакеров могут развиваться по различным сценариям: они могут продать информацию конкурентам, заблокировать критически важные задачи и требовать выкуп, разместить на официальной странице компании компрометирующее сообщение.
«Еще более яркие примеры деструктивных последствий утечек мы наблюдаем в политике. Если коммерческая структура может обойтись штрафами, то репутационный ущерб для политика часто становится точкой невозврата. История с утечкой переписки Хилари Клинтон — яркое тому подтверждение», — замечает Лев Матвеев.
Атаки через мобильные устройства — это отдельное направление работы хакеров: исследователи Check Point почти каждый месяц находят новые уязвимости в операционных системах, приложениях и даже в чипах самих смартфонов. «Проблема в том, что современные мобильные устройства по сложности и функционалу сопоставимы, а иногда и превосходят обычные компьютеры, но люди до сих пор воспринимают их как обычные телефоны. Смартфоны открывают двери к банковским счетам пользователей, «умным» домам, наконец, корпоративным данным. Очень сложно отследить действия сотрудников, которые используют свои личные гаджеты в рабочих целях. В их телефонах могут прятаться зловреды или боты-шпионы, фиксирующие контент, логины и пароли и персональные данные, которые могут повлечь серьезную утечку и корпоративных, и личных данных», — предостерегает Никита Дуров.
Заместитель директора по развитию бизнеса в России Positive Technologies Алексей Качалин упоминает об информационных угрозах, связанных с интернетом вещей. Их будет становиться все больше из-за роста этого сегмента и относительно низкого уровня защищенности подобных устройств. «Пока нет оснований ожидать его существенного роста: никто из производителей IoT-устройств добровольно не тратит время и средства на дополнительное тестирование своей продукции на наличие уязвимостей. Потому что это может поставить под угрозу первенство вывода продукта на рынок», — аргументирует господин Качалин. По его наблюдению, на рынке представлена масса уязвимых устройств, с помощью которых злоумышленники могут осуществлять даже глобальные атаки.
Компании просто обязаны иметь отработанные механизмы по выявлению кибератак и противодействию им, уверен руководитель IT-отдела компании «Актив» Сергей Сошников. «В первую очередь это резервное копирование и регулярные процедуры восстановления данных, постоянное обновление программного обеспечения. Это бизнес-критикал на текущий момент. Антивирусы, естественно, давно стоят на всех компьютерах. Они необходимы, но не являются панацеей в современном быстро меняющемся мире вредоносного программного обеспечения. Антивирусные базы обновляются часто, но вирусы меняют свои сигнатуры еще быстрее. Только возможность восстановления данных наряду с обучением сотрудников борьбе с социальной инженерией является лучшим методом отражения кибератак. Да, можно корпоративными политиками и правилами запретить персоналу пользоваться социальными сетями и публиковать в них информацию о работе, но с ростом количества сотрудников это становится неэффективным. Можно тренировать спам-фильтры и использовать продвинутые системы обнаружения угроз, но даже самые продвинутые из них зачастую не на 100% гарантируют фильтрацию опасного письма с вредоносной ссылкой», — утверждает Сергей Сошников.
Беспечные люди
Глупых причин для IT-преступлений не бывает: все-таки это слишком серьезное нарушение, чтобы осознанно рисковать просто так. А вот случайных и нелепых утечек хватает, рассказывает Лев Матвеев. Согласно последнему исследованию его компании, в 2016 году на них пришлось 42% всех ИБ-инцидентов в российских компаниях. «Самая глупая утечка конфиденциальных данных случилась у одного из наших клиентов по вине сотрудника. Менеджер компании просто забыл ноутбук у клиента, оставил прямо на столе конференц-зала, где происходила встреча. В ноутбуке было много интересного: архив коммерческих предложений по отрасли заказчика, формулы формирования цены, архив договоров, планы. DLP-система зафиксировала попытку скачать документы на внешний носитель, и крупной утечки удалось избежать. Однако клиент все же увидел данные, к которым доступ не должен был иметь», — вспоминает председатель совета директоров «СерчИнформ».
Человеческая неосмотрительность и неаккуратность — главные причины бед, уверен Алексей Смирнов. «Иногда люди по ошибке или из лени могут сами отправлять всю важную секретную информацию. Например, прикрепить к письму документ, включающий в себя весь массив секретной информации, вместо того, чтобы проработать материал и выборочно отправить необходимые данные», — иллюстрирует он.
Вячеслав Медведев из компании «Доктор Веб» удивляется, что взломов и утечек происходит так мало: по его оценке, 96% компаний не имеют понятия о современных угрозах, более 80% сайтов уязвимо, все основные системные приложения имеют незакрытые прорехи. «Неквалифицированные системные администраторы, не соблюдающие базовые принципы безопасности; пользователи с административными правами, игнорирующие все правила безопасности; хакеры, действия которых принципиально не замечаются по полгода. И руководство, срезающее затраты на безопасность и обновление инфраструктуры и сокращающее квалифицированный персонал», — перечисляет он человеческие факторы.
Все проблемы в безопасности происходят из-за людей, категоричен технический директор LiveTex Сергей Ельцов. «Есть такой базовый принцип: безопасность обратно пропорциональна удобству, чем безопаснее — тем неудобнее. Поэтому важна взвешенная оценка рисков и грамотная работа с людьми. Они не любят жертвовать комфортом в работе, и если не разъяснить им причины ограничений, методика запретов будет плохо работать», — объясняет господин Ельцов.
Тренировка осмотрительности
Нередко причина утечки информации кроется в желании сотрудников поработать дома или в пути. Тут, по мнению Вячеслава Медведева, не обойтись без защиты личных устройств и обучения сотрудников основам компьютерной безопасности. «Есть еще один резон, по которому люди используют личные устройства: это неудобство сервисов компании, их излишняя закрытость. Например, когда чиновники различных уровней ведут служебную переписку с внешней почты — в итоге происходят громкие утечки информации. Незрелость корпоративного софта и неудобство его для сотрудников — во многом следствие низких зарплат исполнителей, создающих эти сервисы, и того, что заинтересованные лица организации не участвуют в процессе их разработки. В результате могут рождаться монстры ни для кого», — рассказывает господин Медведев.
По статистике Positive Technologies, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, при этом для успешной атаки достаточно открытия всего одного. «Снизить риски угроз информационной безопасности позволяет обучение персонала. Компании должны регулярно проводить для сотрудников профильные семинары, курсы, тренинги и тестирования, на которых персоналу передают специализированные знания по актуальным угрозам ИБ, объясняют последовательность действий при подозрениях на атаки», — настаивает Алексей Качалин.
Большая часть ошибок совершается по незнанию или из лени, поэтому задача компании — правильно мотивировать людей, описывать ИБ-проблемы понятным языком с живыми примерами, уверен Сергей Ельцов. В его компании принято устраивать небольшие обучающие провокации для коллег: «Мы расклеиваем в офисе QR-коды, ведущие на специально созданные фишинговые ресурсы, оставляем флешки «с сюрпризом», а затем исследуем реакцию сотрудников», — рассказывает технический директор LiveTex.
В просвещении сотрудников по вопросам информационной безопасности большую роль играет HR-отдел: обычно он берет на себя проведение тренингов и контроль прохождения всеми сотрудниками необходимой учебы. Служба безопасности привлекается только при дознании по конкретным инцидентам, а также входит в состав группы аудиторов, когда требуется осмотр рабочих мест сотрудников.
Исторически сложилось, что курировать службу безопасности в российских компаниях приходят бывшие работники силовых структур. Их бесспорным преимуществом директор регионального представительства компании Falcongaze в Санкт-Петербурге Валентин Калаша называет опыт оперативно-разыскной работы и связи. «Но для решения вопросов информационной безопасности они порой не так компетентны, как хотелось бы. К счастью, ситуация сейчас выправляется, а организации начинают все большее внимание уделять технологическим аспектам защиты конфиденциальных данных», — наблюдает эксперт.
Старший менеджер группы по оказанию услуг в области управления информационными рисками КПМГ в России и СНГ Илья Шаленков рекомендует HR-отделам и службам безопасности совместно вырабатывать подходящую для конкретной компании систему поощрений и ответственности: без нее обучающие программы просто не будут работать, поскольку у сотрудника не будет мотивации запоминать материал, который якобы не касается напрямую его рабочих процессов.
Укрепляющие средства
Поскольку риски ИБ не до конца понятны для бизнеса, чаще всего инвестиции в эту область начинаются после инцидента и представляют собой латание дыр, признает руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин. «В итоге системы безопасности многих компаний — как лоскутное одеяло с множеством прорех. Система ИБ в компании похожа на иммунную систему организма, которая должна непрерывно перестраиваться, чтобы давать отпор новым атакам. Поэтому технологии тут обновляются за три-пять лет более чем наполовину», — говорит господин Янкин.
Сергей Ельцов называет хорошей практикой тратить определенный процент IT-бюджета на информационную безопасность. В среднем, по его оценке, это 15-20%. Эти деньги идут на закупку и обновления средств защиты информации; на развитие специалистов службы ИБ; на проведение внешних аудитов; на тестирование на возможность проникновения зловредов.
Акцент при распределении ресурсов зависит от отрасли: ритейл вкладывается в первую очередь в защиту интернет-коммерции, производственные предприятия защищают АСУ ТП, банки — АБС и другие системы, обслуживающие платежные процессы. Государственный сектор сосредоточен на выполнении требований регуляторов.
Алексей Смирнов из Orange Business Services рекомендует раз в полгода проводить пен-тесты (penetration-test). «Постоянно появляются новые методы нападения, нужно всегда понимать, насколько ты уязвим. Стоимость такой услуги зависит от длительности и активности совершаемой атаки. Специалисту по кибербезопасности указывают мишени, уязвимость которых необходимо проверить, и он последовательно атакует их, выявляя бреши. На основании этого теста составляется отчет с рекомендациями по укреплению систем безопасности», — делится господин Смирнов.
На тот случай, если компания выдает своим сотрудникам телефоны, планшеты, ноутбуки для работы вне офиса, эксперт советует применять меры Enterprise Mobility Management — системы, которые позволяют удаленно настраивать и отслеживать соблюдение политики безопасности на мобильных устройствах.
Специалисты КПМГ призывают с осторожностью относиться к новым веяниям в области информационной безопасности. «По нашему опыту, гораздо эффективнее и дешевле начинать налаживать внутренние процессы безопасности в организации по международным стандартам, «написанным кровью» множества компаний, чем внедрять средства, обещающие комплексную защиту от хакеров», — заключает Илья Шаленков.