Адаптивные стратегии информационной безопасности

Бурное развитие информационных технологий и связанного с ними процесса цифровизации открывает для общества, а также для коммерческих и некоммерческих организаций большие возможности. Речь идет об оптимизации бизнеса, повышении эффективности и скорости принятия правильных решений. Однако есть и вторая сторона медали, когда с новыми возможностями появляются и новые, пока еще не полностью изученные риски, связанные с информационной безопасностью. Обеспокоенность генеральных директоров компаний киберрисками выросла с 24 до 40% в 2018 г. по сравнению с 2017 г.¹ Оценить риск хакерской атаки с финансовой точки зрения сложно: могут быть украдены деньги или остановлено производство на несколько дней. Такие риски все чаще попадают под сферу действия и финансовых директоров. Для них ИТ-безопасность не является приоритетом, но они становятся ответственными за ИТ и риск-менеджмент и принимают решение об инвестициях в кибербезопасность — лучше инвестировать, чем нести потом большие убытки. В чем причина таких рисков и как выработать стратегии информационной безопасности с учетом новых угроз?

В настоящее время все больше компаний начинают инвестировать в информационную безопасность (ИБ) своей хозяйственной деятельности. Все крупные международные компании ежегодно увеличивают бюджеты на обеспечение ИБ². Если в 2016 г. на усиление ИБ было потрачено около 81 млрд, то в 2018 г. планируется потратить рекордные 101 млрд долл. США, согласно проведенному компанией Gartner Inc исследованию.

Для чего такие расходы? Не легче ли эти деньги инвестировать в развитие новых каналов продаж, маркетинговые активности и т.д.? Однако в последнее время все чаще встречаются новости о взломах информационных систем крупных площадок и компаний; воровстве персональных данных; продаже краденной коммерческой информации. И не всегда это происходит в целях обогащения. Иногда это делается просто потому, что кто-то может (и хочет) это сделать. Все это напоминает о необходимости искать новые подходы к корпоративной кибербезопасности.

Единственной и основной защитой являются сотрудники

Взломы информационных систем дорого обходятся репутации компании и ее финансовому положению. Например, неспособность компании TalkTalk Telecom Group PLC — одной из крупнейших телекоммуникационных компаний Великобритании — внедрить базовые контроли по ИБ и тем самым предотвратить кибератаку повлекла за собой прямой доступ взломщиков к персональным данным 150 000 клиентов. Это привело минимум к 400 000 фунтов стерлингов штрафа со стороны государственных органов, не считая потери клиентской базы и прочих издержек.

В чем же основная причина взломов и недочетов? Недостаточная квалификация кадров, которые отвечают за обеспечение безопасности? Халатность работников в организациях при выполнении должностных обязанностей? Слабая осведомленность в области защиты информации? Недостаточная вовлеченность и понимание тематики со стороны менеджмента?

Дело в том, что в настоящее время технологии и мышление потенциальных злоумышленников развиваются гораздо быстрее, чем законодательство стран в этой области, оно за ними не успевает. Меры защиты любого типа конфиденциальной информации, впрочем, как и умы, отвечающие за обеспечение информационной безопасности в компаниях (неважно, будь то государственные структуры, средний или малый бизнес), также не всегда успевают за ними.

Злоумышленники находят и эксплуатируют уязвимости программного обеспечения крайне быстро — это не останавливающийся процесс. Стоит производителям программного обеспечения исправить найденные недочеты, практически в это же время будут найдены новые. Например, производители программного обеспечения, такие как Apple, Microsoft, Sony и др., платят за найденные уязвимости, чтобы вовремя их исправить. Некоторые компании нанимают хакеров, чтобы в организациях были необходимые компетенции.

Фактор времени и понимание сотрудниками, что можно и чего нельзя делать в данной ситуации, являются крайне важными. На исправление обнаруженной уязвимости иногда уходят не дни и недели, а месяцы³, и все это время организация будет уязвимой. Единственной и основной защитой в данном случае являются сотрудники компании. Они должны не только обладать основными знаниями в области защиты информации, но и быть вовремя проинформированы о необходимости быть более бдительными.

Общий подход хакеров

Чтобы помочь компаниям предвидеть, что может сделать хакер, а затем предпринять действия по снижению этих рисков, было проведено исследование способа мышления и поведения хакеров. Что выявили эксперты?

На разных фазах кибератаки хакеры применяют исследовательское мышление (exploration mindset), то есть хакер никогда не будет атаковать новую систему. Наоборот, он будет изучать ее, экспериментировать и стараться найти слабые уязвимые места (вендор, новый сотрудник, брешь, которая не соответствует стандартам ИБ компании). Как только он получает доступ к уязвимости, и впоследствии к системе, он начинает использовать ее в своих целях в полной мере (exploitation mindset), например, выкачивать как можно больше необходимой информации.

Обычно данная стратегия exploration и exploitation включает в себя четыре этапа:

1. Поиск уязвимостей. Хакеры очень терпеливы и умны. Они готовы долго изучать компанию, если она им приглянулась по определенным параметрам, ее системы, ИТ-структуру и сеть, организационную информацию, политики по ИБ и т.д., не ограничиваясь этим, они могут изучать ваших поставщиков, корпоративных клиентов, дочерние компании, потенциальных инсайдеров в вашем штате и т.д.

2. Сканирование и тестирование. Как только хакеры получили доступ к информационным ресурсам компании, они начинают быстро сканировать ИТ-ландшафт компании. Все приложения, системы, чтобы для себя классифицировать маленькие и крупные уязвимости.

3. Получение неограниченного доступа. На этом этапе они получают доступ к нужным им системам в своих целях, также могут установить свое приложение в корпоративной сети malware (вирусное приложение/программа).

4. Удерживание контроля над уязвимостью. Часто хакеры стараются удержать контроль над системой и оставаться незаметными от персонала ИБ и даже от других хакеров, с помощью использования эксклюзивных прав доступа или с помощью внедрения части так называемого backdoor кода.

Как только хакеры овладевают системой, они начинают ее использовать в качестве плацдарма в вашей же сети для совершения новых кибератак. Система, которая перешла под контроль хакеров, часто называется зомби-системой. Если же после получения информации хакеры больше не видят смысла продолжать свою атаку, они выходят из сети компании очень осторожно, стараясь оставаться незамеченными для ИТ-персонала, чтобы избежать расследования и дальнейших судебных тяжб, при этом затирая все следы своего присутствия. Схема хакерской атаки приведена на рис. 1.

Выработать иммунитет компании к актуальным угрозам цифровой эпохи

Если организации хотят предотвратить или уменьшить риск внешнего проникновения во внутренние системы, а также утечки информации, они должны действовать по двум направлениям:

• усиливать внутренние контроли и при этом

• хорошо изучать, и понимать психологию взломщиков (хакеров), а также использовать (в идеале) их экспертизу.

Например, такие компании, как Facebook и Microsoft, наняли в свой штат успешных хакеров для усиления своей ИБ⁴. Однако, надо также понимать, что в последнее время хакеры все больше действуют не в одиночку, а работают в командах, группах, что немного усложняет задачу понимания их индивидуального поведения.

Применяя подход к изучению поведения хакеров, необходимо начинать с понимания того, как мыслит хакер. Конечно же, не существует 100-процентной гарантии того, что организацию можно полностью защитить от проникновений. Если мы хотим это сделать на 100%, то нам нужно отключить все компьютеры. Однако, если научиться думать как хакер, это может помочь выстроить определенные превентивные меры.

При построении сильной системы ИБ необходимо заручится поддержкой высшего руководства, чтобы в дальнейшем внедрение соответствующих инициатив в компании шло плавно.

Затем необходимо проработать стратегию ИБ, так как на ИБ необходимо смотреть с разных точек зрения, не только технологической, но и человеческой, поскольку человек обычно в любой системе безопасности является наиболее уязвимым звеном.

Далее нужно определить перечень конфиденциальной информации, которая составляет основную ценность в компании: она может быть абсолютно разной и зависит от деятельности компании. Для кадрового агентства это может быть база данных кандидатов, для ретейла — коммерческий календарь, для производителя — рецепт продукта.

Следующий шаг состоит в том, чтобы понять и определить список лиц, которым будет доступна данная информация и вести постоянный контроль этого доступа. Необходимо придерживаться золотого правила: чем меньше список таких лиц, тем лучше и безопаснее для компании.

Как только определились с тем, что нужно защищать и кто имеет к этому доступ, необходимо:

• установить возможные риски нарушения информационной безопасности и

• обнаружить потенциальные уязвимости в деятельности компании, процессах, программном обеспечении, оборудовании и т.д.

Поскольку одним из основных рисков был и остается человеческий фактор, необходимо понять, знают ли ответственные лица о мерах защиты информации? Нужно ли повышать уровень осведомленности сотрудников в области защиты информации?

Компания может использовать самые защищенные и дорогие межсетевые экраны, антивирусное программное обеспечение, системы предотвращения и анализа вторжения, но все меры будут бесполезными, если работники не понимают даже основных принципов защиты информации или, понимая, относятся к ним с халатностью.

Еще один полезный шаг — это создание союзников. Компании будет полезно делиться опытом, а также уязвимостями, которые обнаружили хакеры, с другими компаниями из данной отрасли, чтобы вместе содействовать усилению информационных контролей по компаниям определенного сектора экономики.

Все перечисленные меры должны осуществляться в результате постоянного обучения и привлечения внимания к данной проблематике любым удобным и доступным способом. Это могут быть электронные курсы, раздаточный материал, проведение конференций и круглых столов, использование постеров и буклетов, рассылка электронных писем на постоянной основе, ведение блога во внутренний сети компании. В этой области действует принцип: чем больше — тем лучше.

Вместе с тем нужно помнить, что затраты на защиту или контроли не должны превышать стоимости защищаемого объекта.

Риск-ориентированный подход в компании

Для любого зрелого бизнеса риск-ориентированный подход в деятельности компании стоит на первом месте: мы не можем предотвратить того, чего не можем предсказать.

Одним из рисков подавляющего большинства компаний в наше время является риск нарушения информационной безопасности, поэтому работа над улучшением данной области ведется постоянно:

• регулярно собираются высшее руководство компании и эксперты по данному направлению в рамках Risk management Workshop;

• просматривается карта рисков страны, в особенности риски, связанные с ИБ (риск 1 на рис. 2);

• отслеживаются превентивные корректирующие меры, новости из этой области и что еще можно улучшить, чтобы минимизировать наступление или масштаб ущерба определенного риска.

Результат обсуждения, включая то, что было сделано для уменьшения риска и чего еще не хватает, со сроками и ответственными лицами записывается в паспорт риска и в дальнейшем регулярно отслеживается.

Обучение сотрудников помогает им лучше понимать ценность, важность информации, а также, что не менее важно, свою ответственность, и осторожно относиться к подозрительным письмам, сайтам, звонкам и запросам. Но пока мы занимаемся процессом обучения, нельзя забывать об улучшении мер защиты информации:

• контроль цифрового периметра;

• возможное выделение защищаемой информации в отдельную подсеть;

• использование отдельных помещений для обработки информации;

• увеличение периодичности обновления программного обеспечения и прошивок оборудования и многое-многое другое.

Не менее важным фактором в области защиты данных, равно, как и в любой другой деятельности организации, является поддержка высшего руководства: без нее заниматься улучшениями бессмысленно. Внедряя культуру ИБ, необходимо помнить, что это постоянный процесс, в котором поддержка главы компании необходима. Если в настоящее время поддержки нет — в момент взлома и потерь (будь то репутационные, финансовые, иные) она обязательно появится. Ведь, как известно, с точки зрения злоумышленников (а мы уже стараемся думать, как они) компании делятся на два типа: которых уже взломали, и которые еще не знают, что их взломали.

Ну что ж, наши сотрудники обучены и бдительны, менеджмент переживает за зрелость информационной безопасности и выделяет все доступные ресурсы, техники и правила внедрены, бизнес-процессы идеально отлажены, оборудование и программное обеспечение куплено и настроено. Настало время расслабиться и заняться другими насущными вопросами? Но ответ, как вы уже догадались, — нет: процесс нахождения уязвимостей и взлома, как и процесс защиты, — постоянный.

Задача компаний — работать на опережение, быть впереди в этой постоянной гонке и не давать хакерам и злоумышленникам шансов использовать недостатки против себя. Фактор времени зачастую здесь выходит на первый план, и необходимо всегда быть первыми. В противном случае, как показывает история, даже одного проигрыша достаточно, чтобы потерять доверие клиентов, а иногда и потерять компанию.