Как избежать кибератаки

Просмотров: 4999

Автор: Андрей Ковалев
Выпуск:

ИТ-безопасность для малого и среднего бизнеса

Лаборатория Касперского совместно с международным агентством B2B International провела исследование угроз и последствий инцидентов информационной безопасности для российских предприятий среднего и малого бизнеса. Итоги оказались настораживающими: в случае успешной кибератаки компания теряла в среднем 780 тыс. рублей за счет вынужденного простоя, упущенной прибыли и расходов на дополнительные услуги специалистов. По сравнению с прошлым годом сумма потерь выросла на 64%. Как свести к минимуму ИТ-угрозы, «Портфелю» рассказали смоленские эксперты в области информационной безопасности.

Согласно вышеназванному исследованию, высокая стоимость одного ЧП в области ИТ-безопасности объясняется, в частности, тем, что злоумышленники в результате успешной кибератаки получили доступ к внутренней рабочей информации в 42% компаний - это включает в себя детали бизнес-процессов, электронную почту и прочие данные. А у 34% были похищены персональные данные клиентов.

Пока гром не грянет…
«ИТ-безопасность сегодня касается всех компаний, – говорит  Алексей Андросов, начальник отдела web-разработок ООО «Айти грэйд». – Конечно, размер инфраструктуры пропорционален уровню угрозы, но малый и средний бизнес также должны подходить к вопросам безопасности грамотно. Ваши личные активы, данные ваших клиентов, история операций, оказанных услуг, документов, договоров  – все это и многое другое может быть уничтожено или похищено целенаправленно, через конкурентов и недоброжелателей. Или «случайно» – это всевозможные вирусы: «трояны», «бэкдоры»... Если вы хотите быть уверенным в надежности и стабильности вашего бизнеса, а также избежать утечек данных и других неприятных ситуаций, об ИT-безопасности необходимо позаботиться».
Но, к сожалению, по принципу «Пока гром не грянет – мужик не перекрестится» работают сегодня многие смоленские бизнесмены. «Если в жизни о безопасности мы задумываемся, скажем, тогда, когда идем по темному переулку, то в ИT-сфере каждый момент времени - это темный переулок, в котором нельзя терять бдительность, –  считает технический директор компании Prudnikoff-lab Максим Новиков. – Связано это в большинстве случаев с желанием на всем экономить, так как затраты на тот же антивирус 1-2 тыс. рублей в год, по мнению ряда руководителей, являются излишеством. И вопрос о защите встает только тогда, когда доступ к почте утерян или важные отчеты каким-то «невиданным» образом стерты. Что говорить, если даже фирма, содержащая парк из 15 стационарных компьютеров и сервера 1С, умудряется поймать вирус при наличии установленной антивирусной программы на каждой станции».
При этом коммерсанты забывают про юридическую составляющую обеспечения ИТ-безопасности. «Озаботиться вопросами защиты информации должны и обязаны все юридические лица на основании, в первую очередь, федеральных законов: № 152-ФЗ от 27.07.2006 г. «О персональных данных», N 149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»; № 98-ФЗ от 29.07.2004 г. «О коммерческой тайне», других федеральных законов и подзаконных актов в области защиты информации», – уточняет Геннадий Шаронов, генеральный директор ООО «Информзащита-Софт».

Что нуждается в защите?
Возможно, недостаточное внимание теме безопасности наши предприниматели уделяют и из-за того, что в смоленской бизнес-среде до сих пор преобладает мнение, что защищать нужно абсолютно все, без классификации информации и расчета эффективности средств защиты. При таком подходе совершенно очевидно, что, узнав суммы расходов на ИТ-безопасность компании, руководитель среднего и малого бизнеса машет рукой и надеется на авось. Какую информацию стоит защищать в первую очередь и каким образом?
По мнению Геннадия Шаронова, на современном этапе особенно актуальной проблемой становится обеспечение безопасности конфиденциальной информации, которую необходимо решать в таких направлениях, как защита персональных данных; служебной, коммерческой, профессиональной тайн, а также в области защиты сведений о сущности изобретения.
«В первую очередь стоит обратить внимание на почту и важные файлы. Отчеты, базы данных – тоже в зоне риска, - говорит М. Новиков. - Самый надежный способ - создание резервных копий. А базовый набор защиты можно собрать с небольшими финансовыми затратами. Как минимум нужно пользоваться антивирусом. Есть неплохой бесплатный вариант в виде Avira Antivirus. Если нет доверия к бесплатным антивирусам, можно воспользоваться недорогими программами, например, Nod32 на 3 РС будет стоить около 1 800 рублей на год».
Как считает Алексей Андросов, в вопросе ИТ-безопасности от всего и на все случаи жизни, конечно, не защититься, и излишняя старательность в этом вопросе может создать негативный эффект для сотрудников и управляющего персонала. «Первостепенной является защита рабочих станций, - отмечает наш эксперт. – Должны использоваться антивирусы и firewall'ы, пароли от учетных записей должны быть сложными для подбора. Допуск посторонних лиц (клиенты, друзья, родственники, партнеры) к рабочим станциям должен быть строго запрещен. Не стоит также в открытом виде хранить реквизиты доступа к рабочим ресурсам на личных устройствах - смартфонах, планшетах, ноутбуках, домашнем компьютере. Это может стать неожиданной брешью в безопасности».

Сотрудник в роли хакера
«И помните, что самая большая причина проблем в сохранности информации – это человеческий фактор. Сотрудники должны осознавать свою ответственность за ИT-безопасность. Наверное, в 90% случаев затраты на информационную защиту обеспечиваются не материально, а именно ответственностью персонала», – отмечает А. Андросов.
Действительно, если рассмотреть средний ущерб от хакерских атак, то он будет близиться к нулю ввиду большого числа попыток взлома и весьма низкой их результативности. Порой единичный случай ошибки персонала может стоить предприятию огромных потерь. Как этого избежать? По мнению многих специалистов, стоит обратить внимание на гибкие модульные комплексы защиты информации от утечки, которые без проблем работают с другими средствами безопасности, как аппаратными, так и программными (например, с антивирусами). По мнению специалистов российской компании-разработчика систем информационной безопасности SafenSoft, оптимальным является сочетание элементов защиты от внешних угроз (например, HIPS для предотвращения вторжений, плюс антивирусный сканер) со средствами мониторинга и контроля доступа пользователей и приложений к отдельным секторам информации. При таком подходе вся сетевая структура вашей компании оказывается практически полностью защищенной от возможного взлома или инфицирования вирусами. Одновременно средства контроля и наблюдения за действиями сотрудников при работе с информацией позволяют эффективно препятствовать утечке информации.

Облако, таящее опасность
Сейчас очень многие смоленские компании хранят свою корпоративную информацию в облачных хранилищах. Насколько это безопасно? «Доверяя свои данные облаку, вы в любом случае рискуете, так как вы физически отправляете свои данные другой компании, которая может воспользоваться ими недобросовестно, – говорит Алексей Андросов. – Облако может подвергнуться атаке и взлому, ваши данные могут «уйти» или попросту быть проданы конкурентам, раскрыты спецслужбам и т.д. Большая часть облачных сервисов вообще находится за пределами нашей страны и не регулируется российским законодательством. Решать какие-либо вопросы с зарубежным поставщиком услуг бывает крайне сложно.
Кроме того, ваши данные не сразу оказываются в облачном хранилище, они проходят множество узлов, дата-центров и линий связи. Потенциально они могут быть похищены на любом этапе».
«Большинство поставщиков таких услуг сами витают где-то в облаках и не считают, что требования к защите информации, определенные в нашем законодательстве, на них распространяются, отсюда и низкие требования к защите информации в облачных хранилищах, – отмечает Геннадий Шаронов. – Пример: поставщики этих услуг не обращают внимания на защиту инфраструктуры самого облака (не все сервисы шифруются внутри облачных решений) и безопасную работу пользователя с инфраструктурой провайдера. По статистике, до 90% организаций передают в облако свои данные без защиты». Таким образом, по мнению Геннадия Петровича, к явным минусам облачных хранилищ можно, во-первых, отнести то, что конфиденциальность хранимой личной информации оставляет желать лучшего, во-вторых, если у вас не будет доступа в Интернет, то все наработки и документы, хранящиеся в облаках, станут недоступны. Увы, низкое качество связи существует даже в крупных региональных центрах.  Нельзя не учитывать и такой момент, что если хозяин облака введет ежемесячную плату за его использование, то при просрочке платежа все «нажитое непосильным трудом» может безвозвратно исчезнуть.
«Также существует опасность случайного блокирования IP-адресов облачного сервиса по решению Роскомнадзора, суда, прокурора и других уполномоченных лиц. Такие случайные блокировки нередки в последнее время, и сбрасывать со счетов этот риск нельзя», – отмечает эксперт.

Выбираем отечественное!
Почему же тогда облачные хранилища так популярны? «Дело в том, что облака фактически являются готовой ИT-инфраструктурой, которая снимает с компании почти всю головную боль. Хранилища  доступны из любой точки земного шара, и у них часто есть удобные инструменты для управления, – отмечает Алексей Андросов. – Если компания берет свои данные под личный контроль в корпоративных сетях, то вы должны самолично все настроить, содержать и поддерживать. Нужны грамотные системные администраторы, способные обеспечить работу всей инфраструктуры так, чтобы она оправдывала отказ от облаков и не была дырой в безопасности на локальном уровне. Таким образом, каждая фирма должна определить для себя, готова ли она нанять квалифицированных сотрудников и контролировать их работу или же это будет нерентабельно, а данные не настолько конфиденциальны, чтобы вносить такие сложности в работу. В этом случае выбирайте облако».
«С помощью облака можно пользоваться нужными нам приложениями (программами), не устанавливая их у себя на компьютере или ином устройстве, имеющем выход в Интернет, – говорит Геннадий Шаронов. – У пользователя есть возможность получения доступа к данным отовсюду, где есть Интернет, и вы можете поделиться информацией с любым человеком, даже если у вас выключен компьютер. При этом доступ к информации в облаке можно получить с многих устройств, включая смартфон и планшет, а к самому персональному компьютеру предъявляются низкие технические требования».
Если вы выбираете облака, то Алексей Андросов советует использовать отечественных поставщиков услуг. «Благо их много и их услуги высокого качества. С ними проще контактировать и решать вопросы, удобнее работать юридически и законодательно. Крайне важным фактором также является география. Пинг (скорость отклика) из-за океана или дальнего зарубежья будет существенно выше, чем где-то поблизости», – отмечает эксперт.
В поисках «золотого» стандарта
Впрочем, для руководства компании важно не столько правильно выбрать провайдера облачного сервиса, сколько не ошибиться при подборе специалистов, которые будут заниматься обеспечением вашей информационной безопасности, ведь качество программного обеспечения или охранного сервиса - это тот аспект, установить стандарты для которого ИТ-индустрии весьма сложно.
«Действительно, общего стандарта не существует, поэтому, подбирая сотрудника, компания должна четко понимать, для каких целей его нанимают и какие виды работ он будет выполнять, – отмечает Алексей Андросов. – К сожалению, современное образование не дает гарантии квалификации системного администратора, поэтому в первую очередь ориентироваться нужно на его опыт. Также понимание предметной области должно быть соответствующим, иначе велик риск нанять человека, который просто умеет грамотно себя подать, а как специалист себя переоценивает. Наличие сертификатов несомненно  является плюсом, но в России это не так распространено, как на Западе, при этом порог для получения зарубежной сертификации довольно высок».
По мнению Геннадия Шаронова, при выборе исполнителя для проведения работ по защите конфиденциальной информации необходимо обратить внимание на наличие у него лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации, опыт проведения аналогичных проектов (результаты проверок регуляторами), а также осведомленность в области нормативной документации по защите информации. Обязательно наличие четкого плана работ и желательно рекомендаций.
Итак, подведем итоги. Угрозы информационной безопасности предприятия малого и среднего бизнеса совершенно реальны, и их нельзя недооценивать. Кроме противодействия внешним угрозам, особое внимание следует уделить угрозам внутренним. Важно помнить, что утечки корпоративной информации случаются не только по злому умыслу – как правило, их причина в элементарной халатности или некомпетентности персонала фирмы. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы, на это просто не хватит денег и сил. Определите приоритетные направления в защите и не ошибитесь при выборе специалистов, которым хотите поручить обеспечение ИТ-безопасности вашего предприятия.

Мнение эксперта
Геннадий Шаронов, генеральный директор ООО «Информзащита-Софт»:
- В первую очередь организация обязана защищать персональные данные своих работников и другую конфиденциальную информацию (активы). Для этого необходимо:
провести аудит (инвентаризацию информационных систем) и классифицировать информацию;
оценить риски, которые могут наступить при нарушении обработки персональных данных и непринятии мер по защите информации, среди которой - гражданские иски со стороны клиентов или работников, приостановление или прекращение обработки персональных данных в компании, привлечение компании и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности и многое другое;
провести организационно-технические мероприятия по защите конфиденциальной информации (активов);
принять решение о начале защиты информации и назначить ответственных лиц;
сформировать перечень конфиденциальной информации и документально регламентировать работу с ней;
разработать организационно-распорядительные документы по защите информации в соответствии с локально нормативными актами регуляторов (более 30 документов);
определить актуальные угрозы безопасности информации и сформировать модель угроз;
установить необходимые средства защиты информации в зависимости от актуальных угроз и требований, предъявляемых к защите информации Правительством РФ и нашими регуляторами (ФСТЭК, ФСБ, Роскомнадзор);
обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
ознакомить работников, непосредственно осуществляющих обработку конфиденциальной информации, с положениями законодательства РФ в этой сфере;
оценить соответствие информационной системы требованиям безопасности информации;
организовать эксплуатацию, мониторинг и реагирование на угрозы информационной системы в соответствии с необходимыми требованиями.

Алексей АНДРОСОВ, начальник отдела web-разработок ООО «Айти грэйд»
Конечно, размер инфраструктуры пропорционален уровню угрозы, но малый и средний бизнес также должны подходить к вопросам безопасности грамотно. Ваши личные данные, данные ваших клиентов, история операций, оказанных услуг, документов, договоров  — все это и многое другое может быть уничтожено и похищено целенаправленно или случайно».