Вся работа по обеспечению информационной безопасности банка или финансовой компании состоит из двух задач: предотвращения взлома и ликвидации его последствий. При этом стопроцентной защиты не существует. Как обезопасить себя от информационного взлома и что делать, если он уже произошел?
Каталог киберпреступников: шалуны, ОПГ, шпионы
Всех злоумышленников в области информационной безопасности мы, как правило, делим на следующие типы:
— script kiddies — группа, в основном состоящая из студентов, школьников и тех, кто только пробует свои силы в киберпреступлениях. Их отличительная черта заключается в том, что они пользуются уже готовыми инструментами взлома, а не разрабатывают собственные. Основная цель — развлечение, а не намеренное преступление. Тем не менее, если компания не уделяет внимания кибербезопасности, эта категория злоумышленников в состоянии нанести значительный ущерб, возможно, даже ненамеренно;
— профессиональные взломщики, которых, в свою очередь, можно разделить еще на две категории: тех, кто совершает атаки в целях личного обогащения, и преступников, взламывающих системы по политическим заказам. Наглядный пример последнего варианта — Stuxnet, вирус, в свое время поразивший оборудование обогатительных урановых фабрик Ирана и поставивший всю ядерную индустрию страны под удар;
— организованная преступная группа и преступники, прибегающие к помощи взломщиков для самых разных целей, включая вывод средств;
— и наконец, кибершпионы. Люди, осуществляющие кражи технологий. В один прекрасный момент компания, владеющая ценной технологией, может внезапно ее лишиться — такие случаи, к сожалению, не редкость.
Способы защиты
При самой надежной программно-аппаратной защите внутри компании может найтись сотрудник, который осуществит неавторизованный доступ к информации и совершит противоправные действия
По мнению старшего менеджера департамента по управлению рисками компании Deloitte Анатолия Остроглазова, человек — всегда слабое звено любого производственного процесса. При самой надежной программно-аппаратной защите внутри компании может найтись сотрудник, который осуществит неавторизованный доступ к информации и совершит противоправные действия. Никто не отменял и социальный инжиниринг — ситуации, когда злоумышленник входит в доверие к сотруднику компании и добывает конфиденциальные данные. Чтобы снизить вероятность такой ситуации, компании проводят для персонала тренинги по повышению осведомленности в области информационной безопасности.
Не стоит забывать о категории межсетевых экранов, в которую входят не только брандмауэры, но и другие защитные системы, которые можно назвать вторым уровнем защиты. Все чаще предприятия в средствах защиты используют искусственный интеллект и машинное обучение, повышая уровень надежности периметра организации.
Оперативно реагировать на возникающие инциденты позволяют системы сбора и корреляции событий с выстроенными процессами обработки инцидентов информационной безопасности. Наличие Threat Intelligence позволяет организации определить, что может подвергнуться атаке в ближайшее время.
Важно помнить, что ликвидация последствий атаки всегда обходится дороже, чем своевременная защита от взлома. Мы общались с представителями достаточно известного финансового института, который отказался от повышения уровня информационной безопасности и всего через несколько месяцев был взломан хакерами. Инвестиции, направленные на создание защиты от взлома, составили бы всего 2—5% от суммы ущерба, причиненного компании.
Риски: игра на понижение
Снизить вероятность взлома помогает внедрение современных технических средств защиты. Это можно сделать как собственными силами, так и передав информационную безопасность на аутсорсинг. В последние годы заказчики все чаще выбирают второй вариант из-за возрастающей сложности технических решений и кадрового дефицита. Мы наблюдаем тенденцию некоторого увеличения спроса на услуги аутсорсинга в IT — если в 2016 году этот показатель составлял 10,6%, то в 2017-м вырос до 11,9%.
В любой организации должна быть проведена оценка рисков и потенциальных — прямых и косвенных — убытков компании от действий взломщиков в отношении каждого из активов. В соответствии с размером убытков определяются приоритеты и инвестиции для защиты активов.
В России на кибербезопасность в среднем на компанию уходит до 40 млн рублей в год. Усредненный мировой показатель немного выше — на уровне 1 млн долларов
Сумма затрат на предотвращение инцидентов напрямую связана со зрелостью самой компании и умением ее руководства критично оценивать риски. Организации, не до конца осознающие последствия взлома сети, как правило, выделяют IT-подразделениям минимальные суммы лишь на самые насущные нужды. Те, кто уже сталкивался с атаками и понимает, к чему это может привести, увеличивают вложения в информационную безопасность, выделяя средства на закупку решений по информационной безопасности (ИБ), обновление текущих решений, сервисов и аутсорсинг систем защиты. В России на кибербезопасность в среднем на компанию уходит до 40 млн рублей в год. Усредненный мировой показатель немного выше — на уровне 1 млн долларов. Общая сумма затрат на ИБ в мире составляет примерно 80 млрд долларов.
К сожалению, в сфере информационной безопасности весьма сильно ощутим дефицит кадров. По разным оценкам, к 2022 году компаниям может потребоваться около 1,8 млн экспертов в области ИБ.
В России информационной безопасностью предприятий и частных лиц озаботилось государство. 18 декабря 2017 года правительственная комиссия по использованию информационных технологий для улучшения жизни и условий ведения предпринимательской деятельности одобрила план мероприятий «Информационная безопасность» программы «Цифровая экономика Российской Федерации». Срок действия плана — 2018—2024 годы. В числе прочих мероприятий программа предусматривает выполнение мер, позволяющих препятствовать киберпреступлениям на высоком технологическом уровне. Часть этих мер — подготовка квалифицированных кадров в ИБ.
Если взлом уже произошел
Существует мнение, что взлом всегда очевиден и любой сотрудник должен моментально распознать атаку на сеть. Однако довольно часто факт компрометации взломанной корпоративной системы остается незамеченным в течение длительного времени, что максимально негативно сказывается на компании — чем больше времени проходит с момента взлома, тем больше денег и данных теряет предприятие. В мире ИБ говорят, что компании делятся на тех, кого взломали, и на тех, кого взломали, но они еще не знают об этом.
Для минимизации последствий взломов разрабатывается план обеспечения непрерывности и восстановления деятельности организации. В него следует включить описание действий сотрудников для восстановления последствий в случае взлома. Чем детальнее он будет составлен, тем больше вероятность, что в аварийной ситуации сотрудники будут действовать согласно описанному плану и организация сможет продолжить свою деятельность.
Считается, что обновлять план требуется не реже раза в год, однако на деле актуализировать информацию следует еще чаще. План необходимо разделить на несколько этапов и каждый этап тестировать в течение года. Стоит регулярно проверять корпоративную сеть на наличие зловредов. Например, крупнейшая транспортная компания Европы Maersk оказалась неготова к появлению компьютерного вируса Petya, что в результате вылилось в убытки в размере 200—300 млн долларов. Вирус проник в сеть и моментально нанес огромный ущерб, охватив значительную часть системы.
«Наследник» Petya — NoPetya — оказался еще более эффективным, чем его предшественник. Сеть одной международной компании была взломана, и последствия для бизнеса стали настоящей катастрофой: рабочий процесс остановился практически на 13 дней. Компания понесла убытки в 200 млн евро в качестве недополученной прибыли, еще 100 млн евро пришлось потратить на восстановление нарушенной инфраструктуры.
Резюмируя вышесказанное, еще раз рекомендуем следовать простому правилу: ежедневно уделять внимание и время вопросам информационной безопасности. У компании должны быть человеческие, технические и финансовые ресурсы как для предотвращения взлома, так и на ликвидацию его последствий. Как правило, затраты на защиту от атак значительно ниже суммы, необходимой на ликвидацию последствий.