Что такое информационная безопасность бизнеса

Технологии и ИТ-решения все глубже проникают в процессы компаний вне зависимости от их масштаба. Данные становятся ключевым активом предприятий, поэтому их защита, сохранение и грамотное применение — приоритетные задачи любого бизнеса.

Что такое «информационная безопасность бизнеса»

Традиционно начнем с терминологии.

Информационная безопасность бизнеса — это комплекс организационных и технических мер, которые направлены на защиту и сохранение информации, систем и оборудования, использующихся для взаимодействия, хранения и передачи этой информации.

Чем эффективнее обеспечивается информационная безопасность, тем лучше защищены данные компании от разнообразных воздействий. Они могут быть:

• внутренними или внешними;
• случайными или преднамеренными.

В глобальном смысле характер негативного воздействия не имеет значения. Важно, с какими последствиями компания может столкнуться из-за утечки, утраты, несанкционированного изменения или использования корпоративных данных. Именно поэтому ИБ — важнейший аспект защиты бизнеса, играющий ключевую роль в стратегии обеспечения его непрерывности.

Угрозы информационной безопасности

Любая компания может столкнуться с различными угрозами информационной безопасности. По происхождению их можно разделить на несколько типов:

• Естественные

К ним относятся стихийные бедствия, неблагоприятные погодные условия и различного рода катаклизмы — наводнения, ураганы, торнадо и тому подобное. От каких-то из них можно защититься. Например, избежать потенциально опасного удара молнии поможет молниеотвод. Однако серьезные природные катаклизмы с большой долей вероятности ущерб все-таки нанесут.

• Искусственные

Это угрозы, создаваемые человеком. Искусственные угрозы, в свою очередь, делятся на непреднамеренные и преднамеренные. К первому типу относят угрозы, возникающие из-за человеческой ошибки или случайности. Ко второму — атаки злоумышленников, «заказы» конкурентов, саботаж обиженных сотрудников.

• Внутренние

Угрозы, возникающие внутри информационной инфраструктуры компании.

• Внешние

Угрозы, пришедшие извне, зародившиеся за рамками информационной инфраструктуры.

Существует и другая классификация угроз — по характеру. Например, пассивные угрозы не смогут изменить содержание или структуру информации, а вот активные вполне на это способны. К таким угрозам относятся, например, всем известные вирусы-шифровальщики.

Наиболее опасными считаются именно преднамеренные угрозы. Подготовленный и вооруженный инструментами злоумышленник (будь то хакер или бывший сотрудник) порой может нанести больше вреда, нежели стихийное бедствие.

Утечки данных: кто виноват и как бороться

Как правило, из новостей мира ИТ и ИБ чаще всего можно услышать именно об утечках информации, то есть получения к ней несанкционированного доступа.

Кто может стать причиной утечки данных:

• Случайный инсайдер

Допустим, один из бывших сотрудников компании имел доступ к конфиденциальным данным и по неосторожности скачал на свой личный ПК документы или файлы, не предназначенные для посторонних глаз. Конечно, в этом случае утечка вряд ли нанесет ущерб компании, ведь сотрудник сделал это без злого умысла и не собирался использовать эту информацию в корыстных целях. Однако меры, которые позволят исключить подобные сценарии, все равно должны быть приняты, поскольку из-за вирусной активности эти данные могут попасть уже в руки злоумышленников.

• Злонамеренный инсайдер

Нередко бывшие сотрудники, обиженные на компанию и желающие причинить ей финансовый или репутационный ущерб, могут воспользоваться своими привилегиями (например, уровнем доступа к данным или доверием коллег) и использовать полученную конфиденциальную или секретную информацию по собственному усмотрению. В ход могут идти попытки шантажа под угрозой публикации данных или их перепродажа конкурентам.



• Злонамеренный деятель со стороны

Им может быть любой злоумышленник, который не имеет прямого отношения к компании-жертве, но планирует получить несанкционированный доступ к корпоративной информации. Это могут быть как хакеры, преследующие конкретную цель, или даже школьник, который решил пошутить или проверить свои способности.

Причины утечек

Повышать риск утечек информации могут разные факторы. Среди них наличие уязвимостей в информационных системах и уровень их критичности.

Нередко программные или программно-аппаратные решения становятся «слабым звеном», через которые злоумышленник может попасть внутрь периметра компании из-за уязвимостей в кодовой базе. Как правило, производители стараются максимально оперативно выпускать патчи безопасности и обновления, чтобы закрыть эти «дыры». Однако бывают ситуации, когда разработчики ПО об уязвимостях еще не знают, а хакеры уже успели написать на ее основе эксплойт.

Чаще всего причинами утечек становятся:

• Избыточные права доступа у сотрудников компании

Ранее мы уже говорили о том, что часть утечек связана с инсайдерской деятельностью. Чем больше сотрудников имеют доступ к конфиденциальной информации, тем выше риск того, что она попадет не в те руки, случайно или из корыстных побуждений.

• Вредоносная активность

Заражение корпоративной инфраструктуры вредоносным ПО может повлечь за собой серьезные финансовые и репутационные риски из-за кражи, порчи, утечки данных или нарушения работы ИТ-систем.

• Целенаправленные атаки

В некоторых случаях атаки злоумышленников не направлены на конкретный бизнес или систему — они просто ищут уязвимые места и проверяют защиту на прочность. Однако бывает так, что хакер или даже группировка целятся в определенную организацию. Тогда в ход могут пойти специфичные методы атак: например, письма от имени коллег или даже дипфейки с участием руководителей.

• Фишинг и спуфинг

Как правило, фишинг представляет собой рассылку e-mail’ов из якобы доверенных источников (например, с электронной почты руководителя) с целью ввести получателя в заблуждение и заставить его совершить какое-либо действие. Например, скачать вредонос из вложения, перейти по ссылке или отправить корпоративную информацию. Проще говоря, с помощью письма злоумышленник хочет поймать адресата «на крючок» и обманом заставить действовать по своему желанию.



• Скомпрометированные учетные записи

После удачной фишинговой кампании злоумышленник может получить в свое распоряжение данные для входа в рабочую учетную запись сотрудника. Как правило, для этого высылается электронное письмо со ссылкой якобы на корпоративный портал. При этом выглядит оно далеко не всегда подозрительно — в большинстве случаев в качестве адреса отправителя указан корпоративный e-mail. После клика по ссылке получатель попадает на страницу авторизации, которая требует ввести логин и пароль. После ввода сотрудник, естественно, ни на какую страницу не попадает, а credentials отправляются злоумышленнику.

• Слабые пароли или их повторное использование

Нередко сотрудники используют и для личных, и для рабочих учетных записей ненадежные пароли вроде qwerty12345. Достаточно утечки базы паролей какого-то форума или компрометации старой почты — и вот уже злоумышленники подбирают credentials для входа в вашу корпоративную учетную запись.

Инструменты организации информационной безопасности

Для обеспечения безопасности данных применяются различные инструменты. Это могут быть специализированные устройства, ПО или какие-то организационные мероприятия, направленные на защиту информации.

Все средства защиты делятся на 4 вида по способу реализации.

• Аппаратные

К этой категории относятся специальное оборудование или устройства, задача которых — предотвращать несанкционированный доступ к данным и проникновение в корпоративную ИТ-инфраструктуру.

• Программные

Особое программное обеспечение, с помощью которого можно защищать, безопасно хранить и контролировать данные.

• Программно-аппаратные

Специализированные устройства с ПО «на борту».

• Организационные

Набор организационно-правовых и организационно-технических средств и мер.

Организационные меры

Сегодня компаниям доступно множество мер, как технических, так и организационных, которые помогут существенно снизить риск утечки данных. Перечислим базовые — о них не стоит забывать даже малому бизнесу и небольшим компаниям, которые нередко думают, что красть у них нечего.

• Внедрение политик безопасности

Реализация политик информационной безопасности бизнеса должна затрагивать не только защиту самих данных, но и учетных записей, которые позволяют получить к ним доступ.

• Реализация принципа наименьших привилегий

У сотрудников должен быть доступ только к тем данным, которые нужны им на регулярной основе для выполнения рабочих задач. Это существенно снижает риск утечки данных из-за человеческого фактора или по невнимательности сотрудника.

• Корпоративная политика паролей

В обязательном порядке необходимо отключать или менять скомпрометированные credentials. Кроме того, можно реализовать общие корпоративные требования к паролям (например, определенная сложность/длина или внедрение многофакторной аутентификации) или принудительно менять их каждый фиксированный период — например, раз в 3 месяца.

• Обучение и тестирование сотрудников

Спасти от изощренных методов социальной инженерии и фишинга поможет методичная работа с сотрудниками и регулярная проверка их знаний. Только так вы сможете повысить шансы на то, что бухгалтер или менеджер не «клюнет» на приманку злоумышленника.

Разнообразие технических средств защиты информации

Последнее время наибольшую популярность приобрели разного рода программные решения. На это есть несколько причин:

• возможность быстрого и удобного обновления решений;
• не проигрывают по эффективности аппаратным средствам;
• их легко заменить или модернизировать.

Сегодня программные решения есть практически на все случаи жизни.

Антивирусы

Антивирусное программное обеспечение позволяет защищать данные от актуальных вирусных угроз и вредоносного кода. Компания может подобрать оптимальный антивирус, исходя из индивидуальных условий — тип используемой среды (традиционная или облачная), тип защищаемых устройств, доступный бюджет, наиболее удобная модель тарификации. Современные антивирусные средства позволяют не только проводить проверки по заранее заданному расписанию, но и работать «на горячую» — отслеживать подозрительную активность, блокировать попытки получения несанкционированного доступа к информации, восстанавливать поврежденные файлы, например, после вмешательств шифровальщика.

DLP (Data Leak Prevention)

Это инструменты, направленные конкретно на предотвращение утечек данных. Такие средства умеют:

• контролировать каналы коммуникации, сетевые протоколы, устройства, хранилища и даже активность сотрудников компании (делать скриншоты экранов, фиксировать ввод с клавиатуры, обеспечивать доступ к рабочему столу и записывать видео с экрана);
• работать с политиками безопасности;
• формировать отчеты и многое другое.

Криптографические средства (DES, AES)

Обеспечивают шифрование данных с целью предотвратить несанкционированный доступ к ним.

Межсетевые экраны (файрволы, брандмауэры)

Фильтруют и блокируют нежелательный трафик в рамках обеспечения контроля доступа к корпоративной сети. Бывают реализованы как в виде программно-аппаратных (физическое устройство с прошивкой), так и сугубо программных средств.

Virtual Private Network (VPN)

VPN-решения, как правило, используются для построения защищенных соединений при передаче данных через общедоступные сети (интернет). Наиболее распространенные сценарии использования VPN:

• обеспечение безопасного удаленного доступа к корпоративным данным, например, при подключении сотрудника, работающего дистанционно, к сервисам компании;
• организация защищенного подключения к ИТ-площадке, например, специализированной облачной инфраструктуре, где хранятся персональные данные.

SIEM

Системы мониторинга и управления ИБ компании. Проще говоря, это специальные программные решения, предназначенные для комплексного обеспечения безопасности данных. Решения SIEM собирают информацию обо всех событиях ИБ из источников, участвующих в процессе защиты данных — антивирусов, систем предотвращения вторжений, межсетевых экранов и других. После сбора все события информационной безопасности анализируются. Решения SIEM позволяют увидеть полную картину того, что происходит с данными компании, выявить потенциальные сбои, атаки злоумышленников и другие угрозы.

Что такое информационная безопасность организации

Безопасность информационной инфраструктуры компании подразумевает защиту от случайных
или умышленных действий, которые могут нанести вред владельцам данных или их пользователям.
Действия лиц, несущих ответственность за эту сферу, должны быть направлены на создание
защиты, препятствующей утечкам данных, а не борьбу с их последствиями. Но при этом
важно сохранять простой доступ к информации тем людям, которые на законных основаниях
пользуются базами данных.

Ущерб, причиняемый утечкой информации, невозможно спрогнозировать заранее. Он может
выражаться в незначительной сумме, но в некоторых случаях приводит к полной неспособности
компании заниматься хозяйственной деятельностью.

Проблема сохранности конфиденциальной информации и коммерческой тайны существовала
и ранее. Но по мере развития электронных средств обработки и хранения данных повышается
вероятность их утечки и незаконного копирования. Если ранее для кражи чертежей нового
продукта нужно было физически вынести их с завода, сейчас достаточно получить доступ
к серверу через электронные каналы связи или записать их на миниатюрную карту памяти.

Дополнительной сложностью является то, что кража информации может негативно отразиться
на компании не сразу после ее совершения, а по прошествии определенного времени.
Неважные на первый взгляд данные при их обнародовании могут нанести репутационный
вред компании и уменьшить ее рыночную стоимость.

Поэтому при разработке мер по обеспечению информационной безопасности нельзя делить
данные на виды. Все, что размещено в IT-инфраструктуре компании и храниться в архивах,
не должно выходить за ее пределы.

Сотрудники компании – угроза информационной безопасности

Источником утечки данных с компьютеров компании могут быть легальные пользователи.
Они имеют доступ к информации и используют ее не так, как это предусмотрено протоколами
безопасности.

Всех легальных пользователей можно разделить на несколько групп:

1. Мелкие нарушители. В этой
   категории находятся работники среднего звена и руководители подразделений, которые
   позволяют себе отступления от требований информационной безопасности. Они могут
   запускать сторонние приложения на компьютерах, посещать не связанные с работой сайты,
   обмениваться личной информацией по каналам связи. Часто такие действия приводят
   к проникновению вирусов и вредоносных программ, хотя прямого умысла у пользователей
   на эти действия нет.
2. Рецидивисты. В эту категорию
   входят руководители среднего и высшего звена, которые имеют доступ к важной коммерческой
   информации. Они злоупотребляют своими правами доступа и могут умышленно отсылать
   засекреченные данные другим адресатам за вознаграждение или по другим причинам.
3. Шпионы. Это сотрудники,
   которые специально нанимаются на работу в компанию с целью кражи информации за плату
   со стороны конкурента. Чаще всего в роли шпионов выступают опытные компьютерные
   специалисты, способные преодолеть некоторые ступени защиты данных. Кроме того, они
   могут ликвидировать следы несанкционированного доступа, что затрудняет раскрытие
   подобных утечек.
4. Обиженные. В эту категорию
   относят работников, которые были уволены по инициативе работодателя и при уходе
   с работы успели унести важную и/или конфиденциальную информацию. Позже они распространяют
   ее за плату или безвозмездно в отместку за нанесенную обиду.

Если вовремя не внедрить систему безопасности, можно столкнуться с тремя критическими последствиями: утечкой пользовательских данных, техногенной катастрофой или остановкой обеспечения услуг компании. После этого бизнес рискует столкнуться с куда более опасными проблемами, чем кибератаки.

Чтобы защитить себя в этой области, организациям уже сейчас стоит подумать, какие средства выбрать для защиты и каких атак стоит опасаться больше всего. Об этом рассказал Андрей Голов, генеральный директор «Кода Безопасности».

Содержание:

• Что такое «информационная безопасность предприятия»?
• Как осуществить контроль информационной безопасности?
• Виды угроз информационной безопасности
• Средства защиты информации
• Обеспечение информационной безопасности предприятий
• Этапы внедрения системы безопасности
• Организационные меры
• Режим коммерческой тайны
• Технические меры
• Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения. 
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери. 
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно. 

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует? 

Это могут быть: 

• малоквалифицированные студенты, 
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача. 

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности: 

• Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его. 
• Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
• Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми. 

Среди них можно выделить: 

• вредоносное ПО (шифровальщики, вирусы, троянцы);
• SQL-инъекции (фишинг, DoS, перехват данных). 

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов: 

• Какими ресурсами располагают злоумышленники?
• Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям. 

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры. 

Они относятся:

• к контролю доступа, 
• защите данных и приложений, 
• обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту. 

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур. 

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль. 

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны. 

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством. 

Затем анализ продолжается: 

• нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия, 
• понять, какие ИТ-системы их поддерживают. 

Финальный этап — определение возможных инструментов защиты. 

К недопустимым последствиям относятся: 

1. Утечка данных пользователей;
2. Техногенные катастрофы;
3. Остановка обеспечения услуг компании. 

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами. 

Скажем, инструкция по работе с интернетом и жесткое требование: 

• не кликать по ссылкам в почте и мессенджерах; 
• менять пароль каждые полгода; 
• не использовать один и тот же пароль для разных сервисов. 

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные. 

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют. 

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву. 

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему. 

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов. 

Компания должна понимать:

• Какие ИБ-события она не может допустить;
• Удар по каким бизнес-процессам станет критическим;
• Какие ИТ-системы поддерживают эти процессы. 

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов. 

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

Информационная безопасность бизнеса становится важнейшей составляющей его успешного ведения. Специалисты по кибербезопасности Cybersecurity Ventures сообщили, что в 2019 году хакерские атаки происходили каждые 14 секунд. Сбербанк спрогнозировал, что совокупные мировые убытки компаний от информационных рисков достигнут 2,5 триллионов долларов. Не меньший риск влекут за собой действия инсайдеров. При этом менеджмент компаний не всегда в полной мере может оценить риски и выстроить стратегию действий, способных минимизировать угрозы.

Информационные угрозы

Эксперты делают вывод, что угрозы информационной безопасности бизнеса становятся существеннее. Так, в 2019 году только количество случаев использования методов социальной инженерии выросло на 6 %. Кибермошенники атакуют российские компании в 1,6 чаще, чем в среднем компании по миру. Связано это может быть с тем, что отечественный бизнес меньше внимания уделяет оценке угроз и защите от них. В зоне риска находятся в большей степени организации финансового сектора. SAP CIS сообщает, что ежемесячно атаке подвергаются 1-2 банка и средняя стоимость ущерба от атаки составляет 2 миллиона долларов. Но так как персональные данные – наиболее ходовой товар на черном рынке информации, стоит задуматься о безопасности организаций, специализирующихся в сфере ритейла: операторов сотовой связи, транспортных и туристических компаний.

Крупные компании подвергаются атакам десятки раз в день, при этом кибермошенники постоянно сканируют периметр информационной безопасности, проводят мониторинг уязвимостей и тестируют новое вредоносное программное обеспечение. Если сама компания тратит существенные бюджеты на защиту от угроз информационной безопасности, то ее поставщики и подрядчики, небольшие фирмы, выполняющие отдельные заказы, оказываются более уязвимыми и вместе со своими данными теряют информацию заказчика. Инсайдерские риски не менее серьезны, если организация не использует систему ограниченного доступа и не выстраивает многоуровневую оборону.

Для обычной компании, чья информация не имеет существенной самостоятельной ценности для мошенников, наибольшими угрозами становятся:

• вредоносное ПО различных модификаций (вирусы-шифровальщики, сетевые черви). Наибольшую угрозу несут шифровальщики, за возврат данных, не только относящихся к коммерческой тайне, но и операционных, требуется выкуп;
• спам, затрудняющий обработку внешней корреспонденции и забивающий информационные потоки;
• действия инсайдеров, похищающих или изменяющих данные;
• фишинговые атаки, связанные с подменой адресов сайтов;
• бизнес-разведка, заказанная конкурентами;
• сетевые атаки;
• DDoS-атаки, вызывающие отказ в обслуживании;
• кража оборудования и мобильных устройств, содержащих конфиденциальную информацию;
• таргетированные атаки;
• саботаж сотрудников.

Инсайдерские угрозы, намеренные и непреднамеренные, могут также быть классифицированы:

• пропущенные из-за некомпетентности сотрудников уязвимости в ПО или в технической части системы;
• случайные утечки информации;
• намеренные утечки, вызванные подкупом конкурентов, посредников на рынке краденых данных или совершаемые из мести;
• утечки данных, связанные с обменом конфиденциальной информацией через мобильные устройства;
• потеря мобильных устройств или компьютеров;
• утечки информации у поставщиков услуг, иных контрагентов.

Чаще всего похищается информация следующих типов:

• общедоступная внутренняя операционная информация;
• персональные данные клиентов;
• базы данных клиентов компании;
• закрытая финансовая информация, управленческая отчетность;
• интеллектуальная собственность;
• маркетинговые исследования, исследования о конкурентах;
• платежная информация, данные о банковских трансакциях.

К отдельному риску относится среда виртуализации. Компании используют облачные технологии в целях экономии при хранении данных и при применении бизнес-приложений. Далеко не всегда поставщики услуг могут обеспечить необходимый уровень защиты информации, особенно если речь идет о персональных данных, где необходимо соблюсти требования регулятора.

Сложно подсчитать действительный ущерб бизнеса от угроз информационной безопасности. Его можно рассчитать, исходя из имеющихся цифр и аналитики скрытой части проблемы, большинство компаний стараются скрыть данные о происходящих инцидентах, стремясь избежать репутационных издержек. Эксперты считают, что за один год бизнес теряет от атак сумму, сравнимую со стоимостью реализации всего проекта «Цифровая экономика» за шесть лет (1,5 триллиона рублей только за 2019 год, по расчетным данным). 

Ущерб бывает:

• фактическим, в виде пропавших денег со счетов, сумм, выплаченных вымогателям, заразившим систему вирусами, ущерба от приостановки бизнес-процессов. Особой статьей расходов становятся штрафы, выплаченные в бюджет, и ущерб, компенсированный клиентам в результате выигранных процессов в связи с утратой компанией ценной информации;
• расчетным, когда суммы неполученной прибыли от утечки ценной информации можно рассчитать исходя из финансовых показателей деятельности компании и из сумм, потраченных на спешное обновление системы информационной безопасности;
• репутационным – компания теряет рынки, клиентов, стоимость ее акций падает в ситуации, когда становится известно о ее неосмотрительном поведении и недостаточной защите важных данных.

Ущерб может проявиться лишь спустя длительное время, например, когда ноу-хау было похищено инсайдером и появилось в распоряжении конкурентов через годы.

Позиция менеджмента

Руководство компаний придерживается двоякой позиции в вопросе об информационной безопасности бизнеса. Иногда угрозы переоцениваются, иногда недооцениваются. 

«Лаборатория Касперского» приводит такие цифры:

• 41 % компаний считает основным приоритетом защиту данных от целевых атак;
• 91 % недооценивает риски от применения вредоносного ПО;
• большинство предприятий считает единственной необходимой защитой только антивирусное ПО;
• внутренние угрозы, инсайдеры становятся причинами утечек в 87 % случаев.

Отсутствие четкого понимания собственной модели угроз становится причиной или перерасходования бюджетов на безопасность, когда тратятся суммы на новейшее программное обеспечение, или недооценки необходимого финансирования, и тогда ущерб становится причиной непрофессиональных действий менеджмента.

Избираемые способы обеспечения информационной безопасности бизнеса зависят от модели угроз. В банках и организациях финансового сектора наибольшему риску подвергается информация о вкладах и счетах клиентов. У операторов сотовой связи хакеров интересуют персональные данные клиентов или детализация звонков. Для промышленности целью хакеров может стать перехват управления информационной системой предприятия и остановка его работы.

Перечень способов защиты зависит от различных факторов:

• уровня защищаемой информации;
• рекомендаций регуляторов;
• имеющихся в наличии временных, финансовых, человеческих ресурсов.

Основой выстраивания стратегии обеспечения информационной безопасности бизнеса часто становятся не реально существующие модели угроз, а то, как руководители самостоятельно, на основе изучения прессы или аналитической информации или же под влиянием ИТ-персонала, представляют себе риски. 

Приоритетами становятся:

• защита данных от таргетированных атак на конфиденциальную информацию компании – 41 %;
• защита данных от утечек вне зависимости от их характеристик – 34 %;
• предотвращение DDoS-атак (вне зависимости от модели бизнеса) – 29 %;
• выстраивание системы защиты от компьютерных сбоев – 23 %;
• возврат инвестиций, вложенных в ИТ-инфраструктуру, – 20 %;
• принятие решения о дальнейшем финансировании ИТ-инфраструктуры.

Отдельным вопросом, не относящимся к приоритетам менеджмента именно с точки зрения бизнеса, но имеющим значение для принятия решения о системе мер защиты, становится выполнение требований регуляторов, связанных с охраной государственной или банковской тайны, персональных данных.

Меры и способы обеспечения информационной безопасности бизнеса

То, как российский бизнес выстраивает систему информационной безопасности, можно узнать из опросов. Редко кто считает необходимым использовать весь спектр программных, технических и организационных мер, даже если они предписаны регуляторами. Чаще всего используются заменяющие варианты аппаратных и программных средств с обещанием установить необходимые при первой возможности.

Большинство предприятий выстраивает систему приоритетов исходя из модели бизнеса и имеющихся финансовых ресурсов. Среди основных:

• антивирусная защита и иная защита от вредоносного ПО на компьютерах;
• контроль за обновлением ПО, устранением пробелов в защите, выявляемых в новых версиях, приобретение сертифицированного ПО;
• управление архитектурой сети, выделение и защита критически важных зон;
• контроль над использованием съемных носителей;
• обеспечение безопасного использования мобильных устройств;
• контроль за безопасностью облачных сервисов;
• внешний аудит безопасности;
• внедрение систем мониторинга работоспособности элементов ИТ-системы;
• контроль за утечками и установление DLP-систем;
• управление информацией и инцидентами, установка SIEM-систем;
• использование средств криптографической защиты;
• системы управления жизненным циклом ИТ (PC Lifecycle Management);
• системы управления мобильными устройствами (MDM).

Решения по защите чаще разрабатываются компаниями без опоры на требования регуляторов, рекомендующих меры по обеспечению безопасности персональных данных. Они обусловливаются потребностями бизнеса и бюджетом, и даже риск проверок не заставляет предприятия применять всю рекомендованную систему мер. Возможно, именно это становится причиной частых атак хакеров, понимающих уязвимости большинства систем информационной безопасности бизнеса. Для банков повышенная степень опасности от кибератак порождает необходимость разработки собственных систем безопасности в соответствии с международными стандартами и требованиями регулятора – Центробанка.

Отдельной задачей становится объединение интересов отдельных бизнес-субьектов в борьбе с глобальными угрозами, так как самостоятельная борьба с кибертерроризмом невозможна. Крупные корпорации создают объединения, в рамках которых организовывают обмен опытом и технологиями в сфере реагирования на кибератаки. Это же происходит в рамках государственного проекта ГосСОПКА, где на кибератаки совместно реагируют собственники объектов критической информационной инфраструктуры. Совместная работа еще больше снижает риск ущербов от действий хакеров.

16.01.2020

Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.

Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.

Однако цифровую информацию тоже нужно защищать не только виртуально, но и физически. Антивирус не поможет, если посторонний похитит сам сервер с важными данными. Поэтому их ставят в охраняемые помещения.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Например, возьмем интернет-магазин. Карточки товаров, статьи в блоге, контакты продавца — все это общедоступная информация, ее может просматривать любой. Но интернет-магазин все равно нужно защищать, чтобы никто не нарушил его работу, например, не изменил важную информацию в карточках товаров или не «уронил» его сайт.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.

Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Основные виды конфиденциальной информации

Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Если ваша компания хранит персональные данные, коммерческую или профессиональную тайну, то эти данные нужно защищать особым образом. Для этого необходимо ограничить доступ к ней посторонним лицам — установить уровни доступа и пароли, поставить защитное ПО, настроить шифрование.

Кратко об информационной безопасности и защите информации

1. Информационная безопасность отвечает за защиту данных и обеспечивает их конфиденциальность, целостность и доступность.
2. Конфиденциальность означает, что доступ к данным есть только у тех, кто имеет на это право.
3. Целостность означает, что данные хранятся в неизменном виде и остаются достоверными.
4. Доступность означает, что человек, у которого есть право на доступ к информации, может ее получить.
5. Информационная безопасность защищает и конфиденциальные, и общедоступные данные. Общедоступным она обеспечивает целостность и доступность, конфиденциальным — еще и нужный уровень секретности.
6. К конфиденциальной информации относятся персональные данные, коммерческая, профессиональная, служебная и государственная тайны.