Технологии и ИТ-решения все глубже проникают в процессы компаний вне зависимости от их масштаба. Данные становятся ключевым активом предприятий, поэтому их защита, сохранение и грамотное применение — приоритетные задачи любого бизнеса.
Что такое «информационная безопасность бизнеса»
Традиционно начнем с терминологии.
Информационная безопасность бизнеса — это комплекс организационных и технических мер, которые направлены на защиту и сохранение информации, систем и оборудования, использующихся для взаимодействия, хранения и передачи этой информации.
Чем эффективнее обеспечивается информационная безопасность, тем лучше защищены данные компании от разнообразных воздействий. Они могут быть:
- внутренними или внешними;
- случайными или преднамеренными.
В глобальном смысле характер негативного воздействия не имеет значения. Важно, с какими последствиями компания может столкнуться из-за утечки, утраты, несанкционированного изменения или использования корпоративных данных. Именно поэтому ИБ — важнейший аспект защиты бизнеса, играющий ключевую роль в стратегии обеспечения его непрерывности.
Угрозы информационной безопасности
Любая компания может столкнуться с различными угрозами информационной безопасности. По происхождению их можно разделить на несколько типов:
- Естественные
- Искусственные
- Внутренние
- Внешние
К ним относятся стихийные бедствия, неблагоприятные погодные условия и различного рода катаклизмы — наводнения, ураганы, торнадо и тому подобное. От каких-то из них можно защититься. Например, избежать потенциально опасного удара молнии поможет молниеотвод. Однако серьезные природные катаклизмы с большой долей вероятности ущерб все-таки нанесут.
Это угрозы, создаваемые человеком. Искусственные угрозы, в свою очередь, делятся на непреднамеренные и преднамеренные. К первому типу относят угрозы, возникающие из-за человеческой ошибки или случайности. Ко второму — атаки злоумышленников, «заказы» конкурентов, саботаж обиженных сотрудников.
Угрозы, возникающие внутри информационной инфраструктуры компании.
Угрозы, пришедшие извне, зародившиеся за рамками информационной инфраструктуры.
Существует и другая классификация угроз — по характеру. Например, пассивные угрозы не смогут изменить содержание или структуру информации, а вот активные вполне на это способны. К таким угрозам относятся, например, всем известные вирусы-шифровальщики.
Наиболее опасными считаются именно преднамеренные угрозы. Подготовленный и вооруженный инструментами злоумышленник (будь то хакер или бывший сотрудник) порой может нанести больше вреда, нежели стихийное бедствие.
Утечки данных: кто виноват и как бороться
Как правило, из новостей мира ИТ и ИБ чаще всего можно услышать именно об утечках информации, то есть получения к ней несанкционированного доступа.
Кто может стать причиной утечки данных:
- Случайный инсайдер
- Злонамеренный инсайдер
- Злонамеренный деятель со стороны
Допустим, один из бывших сотрудников компании имел доступ к конфиденциальным данным и по неосторожности скачал на свой личный ПК документы или файлы, не предназначенные для посторонних глаз. Конечно, в этом случае утечка вряд ли нанесет ущерб компании, ведь сотрудник сделал это без злого умысла и не собирался использовать эту информацию в корыстных целях. Однако меры, которые позволят исключить подобные сценарии, все равно должны быть приняты, поскольку из-за вирусной активности эти данные могут попасть уже в руки злоумышленников.
Нередко бывшие сотрудники, обиженные на компанию и желающие причинить ей финансовый или репутационный ущерб, могут воспользоваться своими привилегиями (например, уровнем доступа к данным или доверием коллег) и использовать полученную конфиденциальную или секретную информацию по собственному усмотрению. В ход могут идти попытки шантажа под угрозой публикации данных или их перепродажа конкурентам.
Им может быть любой злоумышленник, который не имеет прямого отношения к компании-жертве, но планирует получить несанкционированный доступ к корпоративной информации. Это могут быть как хакеры, преследующие конкретную цель, или даже школьник, который решил пошутить или проверить свои способности.
Причины утечек
Повышать риск утечек информации могут разные факторы. Среди них наличие уязвимостей в информационных системах и уровень их критичности.Нередко программные или программно-аппаратные решения становятся «слабым звеном», через которые злоумышленник может попасть внутрь периметра компании из-за уязвимостей в кодовой базе. Как правило, производители стараются максимально оперативно выпускать патчи безопасности и обновления, чтобы закрыть эти «дыры». Однако бывают ситуации, когда разработчики ПО об уязвимостях еще не знают, а хакеры уже успели написать на ее основе эксплойт.
Чаще всего причинами утечек становятся:
- Избыточные права доступа у сотрудников компании
- Вредоносная активность
- Целенаправленные атаки
- Фишинг и спуфинг
- Скомпрометированные учетные записи
- Слабые пароли или их повторное использование
Ранее мы уже говорили о том, что часть утечек связана с инсайдерской деятельностью. Чем больше сотрудников имеют доступ к конфиденциальной информации, тем выше риск того, что она попадет не в те руки, случайно или из корыстных побуждений.
Заражение корпоративной инфраструктуры вредоносным ПО может повлечь за собой серьезные финансовые и репутационные риски из-за кражи, порчи, утечки данных или нарушения работы ИТ-систем.
В некоторых случаях атаки злоумышленников не направлены на конкретный бизнес или систему — они просто ищут уязвимые места и проверяют защиту на прочность. Однако бывает так, что хакер или даже группировка целятся в определенную организацию. Тогда в ход могут пойти специфичные методы атак: например, письма от имени коллег или даже дипфейки с участием руководителей.
Как правило, фишинг представляет собой рассылку e-mail'ов из якобы доверенных источников (например, с электронной почты руководителя) с целью ввести получателя в заблуждение и заставить его совершить какое-либо действие. Например, скачать вредонос из вложения, перейти по ссылке или отправить корпоративную информацию. Проще говоря, с помощью письма злоумышленник хочет поймать адресата «на крючок» и обманом заставить действовать по своему желанию.
После удачной фишинговой кампании злоумышленник может получить в свое распоряжение данные для входа в рабочую учетную запись сотрудника. Как правило, для этого высылается электронное письмо со ссылкой якобы на корпоративный портал. При этом выглядит оно далеко не всегда подозрительно — в большинстве случаев в качестве адреса отправителя указан корпоративный e-mail. После клика по ссылке получатель попадает на страницу авторизации, которая требует ввести логин и пароль. После ввода сотрудник, естественно, ни на какую страницу не попадает, а credentials отправляются злоумышленнику.
Нередко сотрудники используют и для личных, и для рабочих учетных записей ненадежные пароли вроде qwerty12345. Достаточно утечки базы паролей какого-то форума или компрометации старой почты — и вот уже злоумышленники подбирают credentials для входа в вашу корпоративную учетную запись.
Инструменты организации информационной безопасности
Для обеспечения безопасности данных применяются различные инструменты. Это могут быть специализированные устройства, ПО или какие-то организационные мероприятия, направленные на защиту информации.
Все средства защиты делятся на 4 вида по способу реализации.
- Аппаратные
- Программные
- Программно-аппаратные
- Организационные
К этой категории относятся специальное оборудование или устройства, задача которых — предотвращать несанкционированный доступ к данным и проникновение в корпоративную ИТ-инфраструктуру.
Особое программное обеспечение, с помощью которого можно защищать, безопасно хранить и контролировать данные.
Специализированные устройства с ПО «на борту».
Набор организационно-правовых и организационно-технических средств и мер.
Организационные меры
Сегодня компаниям доступно множество мер, как технических, так и организационных, которые помогут существенно снизить риск утечки данных. Перечислим базовые — о них не стоит забывать даже малому бизнесу и небольшим компаниям, которые нередко думают, что красть у них нечего.
- Внедрение политик безопасности
- Реализация принципа наименьших привилегий
- Корпоративная политика паролей
- Обучение и тестирование сотрудников
Реализация политик информационной безопасности бизнеса должна затрагивать не только защиту самих данных, но и учетных записей, которые позволяют получить к ним доступ.
У сотрудников должен быть доступ только к тем данным, которые нужны им на регулярной основе для выполнения рабочих задач. Это существенно снижает риск утечки данных из-за человеческого фактора или по невнимательности сотрудника.
В обязательном порядке необходимо отключать или менять скомпрометированные credentials. Кроме того, можно реализовать общие корпоративные требования к паролям (например, определенная сложность/длина или внедрение многофакторной аутентификации) или принудительно менять их каждый фиксированный период — например, раз в 3 месяца.
Спасти от изощренных методов социальной инженерии и фишинга поможет методичная работа с сотрудниками и регулярная проверка их знаний. Только так вы сможете повысить шансы на то, что бухгалтер или менеджер не «клюнет» на приманку злоумышленника.
Разнообразие технических средств защиты информации
Последнее время наибольшую популярность приобрели разного рода программные решения. На это есть несколько причин:
- возможность быстрого и удобного обновления решений;
- не проигрывают по эффективности аппаратным средствам;
- их легко заменить или модернизировать.
Сегодня программные решения есть практически на все случаи жизни.
Антивирусы
Антивирусное программное обеспечение позволяет защищать данные от актуальных вирусных угроз и вредоносного кода. Компания может подобрать оптимальный антивирус, исходя из индивидуальных условий — тип используемой среды (традиционная или облачная), тип защищаемых устройств, доступный бюджет, наиболее удобная модель тарификации. Современные антивирусные средства позволяют не только проводить проверки по заранее заданному расписанию, но и работать «на горячую» — отслеживать подозрительную активность, блокировать попытки получения несанкционированного доступа к информации, восстанавливать поврежденные файлы, например, после вмешательств шифровальщика.
DLP (Data Leak Prevention)
Это инструменты, направленные конкретно на предотвращение утечек данных. Такие средства умеют:
- контролировать каналы коммуникации, сетевые протоколы, устройства, хранилища и даже активность сотрудников компании (делать скриншоты экранов, фиксировать ввод с клавиатуры, обеспечивать доступ к рабочему столу и записывать видео с экрана);
- работать с политиками безопасности;
- формировать отчеты и многое другое.
Криптографические средства (DES, AES)
Обеспечивают шифрование данных с целью предотвратить несанкционированный доступ к ним.
Межсетевые экраны (файрволы, брандмауэры)
Фильтруют и блокируют нежелательный трафик в рамках обеспечения контроля доступа к корпоративной сети. Бывают реализованы как в виде программно-аппаратных (физическое устройство с прошивкой), так и сугубо программных средств.
Virtual Private Network (VPN)
VPN-решения, как правило, используются для построения защищенных соединений при передаче данных через общедоступные сети (интернет). Наиболее распространенные сценарии использования VPN:
- обеспечение безопасного удаленного доступа к корпоративным данным, например, при подключении сотрудника, работающего дистанционно, к сервисам компании;
- организация защищенного подключения к ИТ-площадке, например, специализированной облачной инфраструктуре, где хранятся персональные данные.
SIEM
Системы мониторинга и управления ИБ компании. Проще говоря, это специальные программные решения, предназначенные для комплексного обеспечения безопасности данных. Решения SIEM собирают информацию обо всех событиях ИБ из источников, участвующих в процессе защиты данных — антивирусов, систем предотвращения вторжений, межсетевых экранов и других. После сбора все события информационной безопасности анализируются. Решения SIEM позволяют увидеть полную картину того, что происходит с данными компании, выявить потенциальные сбои, атаки злоумышленников и другие угрозы.