Как бизнесу обеспечить безопасность данных
Совсем немного украинских компаний после разрушительных и серьезных киберинцидентов в 2015 и 2017 годах задумались о своей -IT- безопасности, приняли меры и протестировали свои системы. Напомним, что атака вируса Black Energy на инфраструктуру электростанций в Ивано-Франковске оставила без света 600 тыс. жителей региона. А от последствий вирусов Petya и Not Petya компании восстанавливались в среднем шесть недель. С тех пор прошло два года, но большая часть украинского бизнеса уверена, что следующая гроза обойдет их стороной, и продолжает утверждать, что на решения по безопасности у них не хватает средств.
По данным Allianz risk Barometer 2019, киберинциденты занимают первое место среди всех глобальных рисков для бизнеса. Существует большая вероятность снова "заразиться", если не соблюдать элементарные правила "гигиены". Например, не обновлять Adobe (Flash и Reader), интернет-браузеры (Firefox, Chrome, Internet Explorer) или MS Office. А ведь именно эти приложения наиболее уязвимы для нападения. Что уж говорить, если в мире задумываются о безопасности использования устройств интернета вещей. Уже сейчас в ЕС крупные организации стараются стандартизировать механизмы использования устройств интернета вещей и внедрить требования к ним, чтобы обезопасить свои системы.
Киберугрозы сегодня можно разделить на:
- Внутренние, когда работники компании совершают или замешаны в киберпреступлениях против своих работодателей. Эти нападения самые эффективные, поскольку позволяют обойти защиту периметра, в которую обычно предприятия инвестируют до 80% от всего бюджета ИТ-безопасности.
- Индивидуальные хакерские атаки (любительские) — нападения, в которых задействован один хакер, не связанный с жертвой и осуществляющий нападение из-за финансовых соображений, чтобы полученную информацию продать руководству компании или на "хакерских биржах", где их могут приобрести те предприятия, которые в этом заинтересованы.
- Организованные хакерские группировки — это группировки, которых нанимают конкуренты или другие третьи стороны, чтобы навредить конкретному предприятию или заполучить его конфиденциальные данные для использования их в конкурентной борьбе или для дискредитации компании.
- "Государственные" хакерские группировки — обычно представляют интересы крупных стран и финансируются из госбюджета. ТОП-5 хакерских группировок представляют США, Россию, Китай, Северную Корею и Израиль.
- Хактивисты — хакеры, которые совершают кибернападения из убеждений, идеологических соображений или ради благородных целей, например "Anonymous".
Каждая кибератака имеет свою цель. Например, главный вред Украине причиняют именно "государственные" хакерские группировки. Такие нападения обычно технически сложны и имеют цель причинить существенный вред или даже отрицательно повлиять на физическую инфраструктуру. Как, например, нападения на электроинфраструктуру (в 2015 и 2016 годах). Однако статически в мире 50% всех хакерских атак совершают именно организованные хакерские группировки.
Один из главных трендов в Европе — соответствие GDPR (Общий регламент по защите данных). Компании пересматривают политику конфиденциальности и порядок внутренней обработки данных.
Если вы до сих пор считаете, что инвестировать в решения по IТ-безопасности дорого, можно вынести эту функцию на аутсорс. Но перед этим несколько простых шагов вы все же можете сделать сами. Начните обучать сотрудников "кибергигиене". Например, проводить тесты на симуляцию кибернападений. Хороший способ проверить уровень осведомленности работников — провести симуляции социальной инженерии. Сотрудникам высылают вводящие в заблуждение email, которые выглядят аутентичными (похожими на шаблоны Microsoft, Dropbox и т. д.), но на самом деле являются ложными. С помощью рассылки таких фишинговых писем руководство компании может идентифицировать работников, которые открыли сайт и заполнили формы. Если бы такую рассылку делали хакеры, то легко получили бы доступ к ІТ-системам, эквивалентный доступу работника.
Если углубляться в безопасность, то второй уровень защиты включает:
- классификацию данных;
- защиту данных через псевдонимизацию и шифрование;
- диагностику уязвимости;
- обеспечение функции поиска структурированных и неструктурированных данных;
- способность эффективно идентифицировать киберинциденты и в течение 72 часов информировать о них соответствующие учреждения.
Все эти функции способны сделать ІТ-операторы удаленно. Автоматическая диагностика уязвимости мониторит систему 24/7 на всех устройствах: маршрутизаторах, массивах дисков, устройствах WiFi, у которых есть IP/MAC адреса. Система ищет уязвимости, зарегистрированные в публично доступных базах данных, и ошибки конфигурации. Каждая организация решает, насколько существенные уязвимости нужно предотвратить.
Следующий уровень— перейти от защиты периметра к zero trust, когда ІТ-безопасность обеспечивается не снаружи периметра, а внутри. Если говорим о безопасности, то ранее инвестиции вкладывались в защиту периметра. Если же злоумышленнику этот периметр удается обойти и нет средств, которые анализируют происходящее внутри, то преступник может работать внутри инфраструктуры годами, собирая информацию. Для того чтобы предотвратить риски, предприятию следует внедрить решения SIEM, которые бесперебойно анализируют поток данных компании. Когда аномалии идентифицированы, работники SOC (security operations center) обрабатывают этот инцидент для его решения и рекомендуют действия для предотвращения подобного в дальнейшем.
SIEM — это инструмент, который обобщает информацию о происходящем в IТ-инфраструктуре организации, анализирует логи и идентифицирует наилучший способ, как предвидеть внешние и внутренние попытки нападений.
Ответственность за IТ-безопасность всегда лежит на CEO, поэтому еще одна рекомендация, которая усилит вашу безопасность, — ввести должность CISO. Он всегда подчиняется только главе компании и 24/7 управляет ІТ-безопасностью.
Защита от кибернападений — это ключевая задача CISO, CIO, а также руководителя IТ-отдела. Бюджет, выделяемый на IТ-безопасность, зависит от специфики бизнеса и общей прибыли компании. А как показывает статистика, нынешние расходы на IТ-безопасность у предприятий G2000 составляют всего 2,8% от общей годовой прибыли компании. Поэтому можно легко сопоставить возможные потери с расходами, опираясь на эту цифру.