Інформаційна безпека – чому не все так просто?

«Небезпеки інформаційної безпеки» – оригінальна назва статті. 

Як відомо, зловмисники використовують будь-які методи та способи для виявлення слабких місць у захисті інформаційної інфраструктури фірми для того, щоб «проникнути у систему» саме через них. Проблеми, на які часом керівники закривають очі, шкодують грошей чи зовсім про них не знають, можуть стати серйозними небезпеками для Вашої інформації, бізнесу в цілому та навіть коштів. Просто побудувати систему безпеки та знайти керівника служби безпеки (СБ) організації недостатньо. Якою б не була на перший погляд «бездоганною» система захисту, завжди є якісь нюанси та вразливості, які досить складно помітити керівнику та які, добре навчений зловмисник, може використовувати у своїх цілях.  Як само? Віталій Ісаков розповів, які небезпеки можуть «скриватися» у сфері інформаційної безпеки та привів приклади помилкових суджень про структуру захисту інформації в організаціях. Автор зазначив, що: «приклади організацій приведені з реальної практики, назви компаній – вигадані».

Далі словами автора:

Критичність проблеми

«Хто володіє інформацією – той володіє світом» – це банальна фраза, відома, напевно, навіть дітям. Її глибинний сенс при цьому часто залишається поза увагою керівників. Можна мати серйозну СБ компанії, яка здатна як захистити від рейдерського захоплення, так і «домовитися» з органами, але якщо є пролом у захисті інформаційної інфраструктури фірми, то «зловмисник з мізками» бити буде саме туди.

У ТОВ «Волга» була якраз така ситуація: спеціаліст з безпеки – колишній співробітник спецпідрозділу, директор фірми – людина, з яким в місті рахувалися. Ніхто навіть і подумати не міг наїхати на них. Принаймі так вважало керівництво «Волги». Захистом інформаційної інфраструктури займалися два IT-фахівця, які виконували весь функціонал від адміністрування мережі до заміни картриджів в принтерах. Всіх все влаштовувало, рівно до тих пір, поки бухгалтерія підприємства не стала жертвою банальних кібершахраїв, які вкрали близько 17 млн. рублів з рахунків організацій (зараження 1С-бухгалтерії шкідливим програмним забезпеченням, підміна реквізитів платіжних доручень, маскування свого функціонування в системі. Для доступу до системи дистанційного банківського обслуговування використовувалися USB-токени), а також, можливо, іншу чутливу інформацію. Чи було це «замовлення» або випадковий збіг встановити не вдалося, але скандал в компанії був грандіозний. Як так вийшло? Хто насмілився? … Директор рвав і метав, а спеціаліст з безпеки взагалі потрапив до лікарні з тиском через стрес.

Слабка ланка

Лиходії в наведеному прикладі діяли «по науці». Навіщо намагатися ломитися в важкі металеві двері захисту, якщо висота забору в деяких місцях невелика. Можна навіть вивести правило: «У загальному випадку, зловмисник для атаки буде вибирати найбільш ослаблену ланку». А найбільш ослабленим, як правило, є IT-сегмент. У випадку з «Волгою», питання IT-безпеки в загальній концепції безпеки стояли на останніх місцях, так як загрози з інформаційної сфери керівництво просто не бачило, звикло жити «старими» категоріями загроз, як то силове захоплення підприємства, тиск адміністративного ресурсу, і т.д.

У тих організаціях, в яких приділяється увага питанням інформаційної безпеки, як правило, їх рішення покладено або на IT-підрозділ фірми в цілому, або на окремого спеціаліста. Дійсно, хто ж ще повинен займатися подібними речами? Дії керівництва цілком зрозумілі, адже айтішники обслуговують всю інформаційну інфраструктуру і знають її досить непогано. Логічним висновком є те, що вони повинні і захищати її. Знову ж все начебто правильно і логічно, але є цілий ряд АЛЕ:

  • Перевантаження обов’язків. Часто забезпечення інформаційної безпеки – додаткові завдання, на які не завжди виділяється необхідний персонал або фінансування, таким чином, співробітники змушені ігнорувати велику частину завдань даного напрямку. Так і в прикладі з «Волгою», IT-персонал довго бився з нерозумінням проблеми захисту інформаційної інфраструктури з боку керівництва, просив виділити фінансування і ще одну штатну одиницю, на що постійно отримував відмову, не дивлячись на те, що фінансові можливості у компанії були…
  • Суперечні завдання. Найпоширеніша проблема, схожа з попередньою, яка полягає в тому, що питання IT-безпеки ставляться як додаткові до загальних питань обслуговування інформаційної інфраструктури компанії. При цьому, від фахівця вимагають іноді рішення протилежних завдань: захист і комфортна робота бухгалтерії, безпечний зв’язок і зручність віддаленої роботи топ-менеджерів, … У такій ситуації, бухгалтери «весь мозок» виїдять, якщо їм що-небудь не сподобається, топ-менеджери своїм впливом будуть тиснути на IT-фахівців, щоб останні зробили так, як треба керівникам, «нехай внесуть виключення, щоб можна було працювати з дому не по VPN, а то незручно, довго підключається», … І якщо ці вимоги на увазі, спробуй не виконай і залишишся без премії, то питання безпеки, які їм можуть суперечити – на другому плані, неявні. Результат невиконання вимог керівництва і обслуговуваних підрозділів повністю видно і він відразу буде повідомлений директору, а результат неповного вирішення завдань безпеки – неявний і його буде видно тільки в разі інциденту безпеки, а може і взагалі «пронесе». В результаті часто IT-фахівець може поступитися питаннями безпеки на користь негайних вимог.

  • Профільні компетенції. Ті ж граблі, що і при виборі спеціаліста з безпеки. Спеціальностей в сфері IT – безліч, так само як і в медицині. З одним з керівників відбулася наступна розмова:
    • Ось якщо Ви, не дай Бог, руку зламаєте, то куди підете? До терапевта або профільного лікаря хірурга-травматолога?
    • Звичайно до травматолога.
    • А якщо в око уламок скла потрапить, то куди направитеся? До терапевта дільничного або до окуліста відразу?
    • Що за дивні питання? Звичайно до окуліста, це і дитині зрозуміло.
    • Ну терапевт адже теж вам допомогти зможе. Адже він теж розбирається в цих сферах, може не так добре, як профільний фахівець.
    • Саме так, що не так добре. Звичайно, я піду відразу до професіонала. Знань терапевта може бути недостатньо і я не збираюся ризикувати своїм здоров’ям.
    • У Вашій компанії те ж саме. Ваш IT-фахівець, як терапевт. Він знає потроху з різних областей, і досить з тих, які від нього потрібні в компанії для її нормального функціонування. А Ви від нього хочете серйозних компетенцій в вузькопрофільних сферах, як, наприклад, в безпеці. Він зробить те, що Ви вимагаєте настільки, наскільки вистачить його пізнань. Можливо, цього буде достатньо, а може і ні. У загальному випадку і терапевт перелом зможе вилікувати. А якщо там непростий випадок? Ви готові йому довіритися? Адже завдання терапевта, як і в Вашому випадку корпоративного фахівця, вивчити проблему і, якщо вистачить його кваліфікації, то вирішити її самому, а якщо немає, то направити до відповідного фахівця.

Після цього діалогу директор підприємства погодився з суттю проблеми і вирішив (з урахуванням інших аргументів: перевантаженість співробітника, ряд інцидентів безпеки, що мали місце в компанії) розширити штатний розклад IT-підрозділу і найняти ще 2 фахівців, в тому числі одного профільного з інформаційної безпеки.

  • «Замилене око». Давайте розглянемо ситуацію: співробітникам IT-підрозділу, які свого часу будували інформаційну інфраструктуру ТОВ «Читара» і модернізували її в процесі росту компанії (фірма за роки виросла з невеликої зі штатом в 30 чоловік до серйозної, з кількістю користувачів – понад 500), керівництво, яке вирішило звернути пильну увагу на захист конфіденційної інформації (оскільки були підстави вважати, що її планують викрасти) доручили підвищити інформаційну захищеність організації. IT-персонал вчинив грамотно: дослідив інфраструктуру на вразливості, склав план їх усунення і реалізував його. Начебто все зробили правильно, але було допущено кілька поширених критичних допущень:

По-перше, фахівці вважали, що добре знають свою інфраструктуру і слабкі місця в її захисті, адже вони її обслуговують кожен день. При цьому вони вирішили не витрачати час на її детальне дослідження «з нуля». В результаті, що логічно, були упущені з виду уразливості, раніше невідомі. Крім того, як показало незалежне дослідження захищеності інформаційної інфраструктури, проведене в подальшому, що не виявленими виявилися і артефакти мережі, тобто не повністю вилучені з системи служби. Так через одну з них (старий web-сервер Apache, який давно вважався видаленим, але частково функціонував на одному з серверів) через кілька місяців була проведена успішна атака на мережу з використанням критичних вразливостей застарілої версії ПЗ, проникнення в систему і крадіжка клієнтської бази організації .

По-друге, співробітники IT-підрозділу раніше ніколи не займалися дослідженням вразливостей інформаційних систем, тому багато в чому «винаходили велосипед», причому не завжди якісний, що займало зайвий час.

По-третє, в підрозділі боялися, що якщо вони зможуть знайти критичні вразливості, то отримають не подяку від керівництва, а покарання, оскільки допустили їх появу свого часу. В результаті, до вирішення завдання ставилися досить халатно.

За підсумками зазначеного дослідження і поліпшення системи інформаційної безпеки компанії дійсно був виявлений і усунутий ряд вразливостей, але не всі, чим і скористалися зловмисники надалі.

  • «Безпека – це не стан, а процес». Нові вразливості обладнання та програмного забезпечення, як втім і інші загрози безпеки бізнесу, з’являються досить часто, і ті компанії, які вважають, що збудували периметр захисту раз і назавжди, ризикують так само, як і ті організації, які не займаються захистом своєї інфраструктури. Безумовно, вибудувана система захисту зможе стримати випадкового лиходія, але проти підготовленої атаки виявиться неспроможна.
  • «Ілюзія успіху». Дуже проста думка, яка полягає в тому, що будь-який фахівець з інформаційної безпеки або група фахівців, яка проводить дослідження захищеності складної системи, за підсумками роботи відображають не 100% об’єктивну картину, а лише картину, що відповідає рівню їх компетенцій. Результат може бути дуже близький до ідеалу, але немає абсолютно ніякої гарантії, що «злий геній», який звернув увагу на дану компанію, або лиходій середньої руки, який отримав доступ до засобів злому, експлойтів, розробленими просунутими хакерськими групами або спецслужбами (як то засоби АНБ США, що стали загальнодоступними), не знайде уразливості, недоступні перевіряючим.

Таким чином, для серйозної системи інформаційної безпеки компанії необхідно реалізовувати не тільки стратегію комплексного захисту, а й враховувати ризики успішного подолання захисту лиходіями, готуючи екстрені сценарії реагування і мінімізації збитку. Знову ж таки, всі наведені вище приклади і особливості, можуть і не бути характерні для кожної конкретної компанії повністю.

Які висновки можна зробити?

Для підвищення ефективності захисту інформаційної інфраструктури компанії необхідно врахувати ряд моментів:

  • Значимість IT-персоналу. Фахівці, які обслуговують IT-інфраструктуру компанії – це люди, які мають доступ не тільки до всієї циркулюючої в фірмі інформації, а й часто до особистих даних і гаджетів керівництва (ну кому ще доручити їх налаштовувати). Таким чином, зазначені співробітники є одними з найбільш важливих (вони підтримують працездатність компанії) і найбільш небезпечних (їх компрометація здатна завдати непоправної шкоди фірмі) для організації. Це необхідно враховувати при розробці та впровадженні систем безпеки, опрацьовувати та страхувати можливі ризики, пов’язані з IT-персоналом, розробляти заходи підвищення їх лояльності компанії і керівництва.
  • Необхідність перевірки. Проводити періодичні перевірки захищеності IT-інфраструктури від внутрішніх і зовнішніх порушників. Оптимально це робити із залученням сторонніх фахівців.
  • «Ілюзія захищеності». Навіть найсильніша і дорога система інформаційної безпеки компанії абсолютного захисту дати не зможе. Хороші рішення можуть істотно підвищити ефективність системи, але не дадуть 100% гарантії від проникнення зловмисника. Доцільно розробляти сценарії реагування на інциденти безпеки для зниження шкоди від подолання захисту компанії (що робити, якщо злодій подолав усі перепони і успішно атакував, завдав шкоди; як його мінімізувати і скоротити простої компанії; хто із співробітників і що повинен робити).
  • «Підвищення компетенцій». Проводити періодичні тренування (навчання) з персоналом компанії, для того, щоб вони були інформовані про те, як діють зловмисники в сучасному світі, що робити, якщо виникли підозри в компрометації свого робочого місця, на що звертати увагу при роботі на персональному комп’ютері.

Пам’ятайте: будь-яка система вразлива, і чим більше впевненість в її непохитності, тим більше охочих перевірити її на міцність.»

Оригінал: https://vc.ru/36620-opasnosti-informacionnoy-bezopasnosti-longrid.

Висловлюємо подяку Віталію Ісакову за такі чудові статті з питань інформаційної безпеки, які змушують замислитись «А чи достатньо захищена моя інформаційна інфраструктура?». Якщо Ви бажаєте перевірити стан захищеності інформаційної системи Вашого підприємства чи впровадити якесь рішення з захисту, то повідомляємо Вас, що компанія MO Group має висококваліфікованих та сертифікованих спеціалістів, які в змозі побудувати нову або перевірити існуючу систему захисту та оперативно вирішити проблеми, які будуть виявлятися по ходу, наприклад, аудиту чи тесту на проникнення. Якщо Ви вважаєте, що Ваша система бездоганна і їй нічого не загрожує, то, на жаль, це не так, оскільки чи не кожен день створюються нові загрози та методи несанкціонованого проникнення у систему.

Пишіть нам, і ми проконсультуємо Вас, проведемо у Вас пілотний проект та надамо Вам інформацію про всі ціни і терміни виконання робіт!

Замовити рішення

Якщо у Вас виникли питання, звертайтесь за номером: +380 50 705 82 24 та +380 67 589 42 70 або по електронній пошті: sales@mogroup.com.ua для отримання додаткової інформації.

Даний матеріал є перекладом статті спеціаліста з інформаційної безпеки – Віталія Ісакова.

Об авторе: Anastasia

оставьте ответ

Ваш электронный адрес не будет опубликован.