Информационная гигиена для сотрудников
Мир вступил в цифровую эпоху. Это означает, что основным активом бизнеса сегодня являются не средства производства и оборудование, а данные и информация. Именно она — главная мишень преступников в XXI веке. Количество кибератак растет год от года, причем они становятся все более изощренными, хотя компании, выпускающие средства информационной безопасности, неустанно совершенствуют и развивают свои продукты. Почему так происходит? Потому что основным риском был и остается так называемый человеческий фактор. Люди не хотят или ленятся выполнять элементарные правила информационной безопасности. Это касается как рядовых сотрудников, так и топ-менеджеров, и даже самих ИТ-специалистов, которые, казалось бы, как никто другой должны осознавать возможные последствия от недостаточно четкого соблюдения правил и регламентов ИБ. Вы можете установить стальную дверь и врезать в нее самый сложный замок, однако если вы оставите ключи под ковриком, все усилия окажутся напрасными.
Как научить сотрудников соблюдать правила информационной безопасности? Ведь в обычной жизни никто не будет переходить дорогу на красный свет перед движущимся потоком машин, прыгать на рельсы перед идущим поездом, плавать в море, в котором обитают акулы и другие опасные хищники. Но в цифровом пространстве, к сожалению, до сих пор господствует нигилизм.
Искусство обмана
«За обеспечение безопасности своих устройств несут ответственность пользователи, а за безопасность корпоративных сетей должны отвечать сами компании, и это их задача просвещать персонал и создавать условия, при которых сотрудники будут знать, как вести себя в случае возникновения угроз ИБ», — считает Василий Дягилев, глава представительства Check Point Software в России и СНГ. Следовательно, основная задача по обеспечению соблюдения правил ложится на работодателя, то есть на компанию. Но для того чтобы разобраться в механизмах заражения, необходимо проанализировать, как оно чаще всего происходит. «Доставка вредоносного кода зачастую совершается через фишинг, — поясняет Андрей Заикин, руководитель направления информационной безопасности компании «Крок». — Каждая направленная атака включает методы социальной инженерии. Злоумышленники рассылают фишинговые письма якобы от платежных систем и прочих онлайн-сервисов, могут узнавать пароли по телефону у секретарей и служб поддержки.
=============================================================================
Василий Дягилев, глава представительства Check Point Software в России и СНГ:
«Для осуществления взломов с целью хищения данных чаще всего используются приемы социальной инженерии и техники, рассчитанные на халатность или неведение сотрудников».
Андрей Заикин, руководитель направления информационной безопасности компании «Крок»: «Нужно выбирать надежного облачного провайдера — уточнить, как у него выстроена система облачной защиты, есть ли международная сертификация, которая подтверждает квалификацию поставщика в области решения проблем облачной безопасности, а также можно запросить подтверждающие документы».
=============================================================================
В последнее время нередко компания инфицируется через своего партнера, у которого система защиты оказывается слабее. Злоумышленники отправляют письма от лица этой компании, и они не вызывает подозрений, адресат открывает вложения, после чего происходит инфицирование системы». Илья Четвертнев, заместитель технического директора компании «Информзащита», напоминает, что, несмотря на наличие практически на каждом компьютере антивируса и других средств защиты информации, окончательное решение о совершении той или иной операции принимает все-таки человек. «Большое количество заражений происходит по причине так называемой социалки — внедрения вредоносного кода через обычных пользователей. Обычно это ссылка, которая приходит через веб-браузер или почту, и выбор открывать ее или нет, остается за человеком, за нами. Во избежание подобных рисков существует простое решение — обучение персонала элементарным правилам соблюдения информационной безопасности», — резюмирует он.
В свою очередь, Михаил Салат, директор департамента исследований угроз компании Avast, говорит о все большей изощренности киберпреступников, промышляющих фишингом. По его словам, все большее распространение получает целевой фишинг, направленный на конкретных людей или организации. «Чтобы совершить такую атаку, киберпреступники предварительно должны хорошо изучить свою жертву, а их действия должны выглядеть максимально законно, — рассказывает он. — Так, в конце июля группа хакеров, чтобы не вызывать сомнений, использовала различные медиаканалы для создания фальшивой социальной сети, которую в дальнейшем использовала в своих интересах. В конечном итоге это дало возможность заставить пользователей загружать инструменты удаленного администрирования. Таким образом злоумышленники получили полный доступ к учетным записям своих жертв и даже к внутренней сети их организаций».
=============================================================================
Илья Четвертнев, заместитель технического директора компании «Информзащита»: «Злонамеренные действия чаще всего продуманы и грамотно спланированы, поэтому их заранее пресечь достаточно сложно. Халатность случается, как правило, когда человек действовал по незнанию и «от всей души», поэтому она опаснее, но средства ИБ здесь срабатывают лучше и эффективнее».
Михаил Салат, директор департамента исследований угроз компании Avast: «Важно информировать работников о том, какие существуют киберугрозы и какую тактику используют злоумышленники для распространения вредоносного ПО».
============================================================================
Григорий Васильев, эксперт по развитию продуктов ГК InfoWatch, полагает, что значительное увеличение риска, связанного с человеческим фактором, обусловлено распространением мобильных устройств и практики использования сотрудниками собственных устройств на рабочем месте (BYOD, Bring Your Own Device). «Украсть и вынести информацию стало проще, чем когда-либо ранее», — отмечает эксперт.
Защита на расстоянии
Действительно, облака и корпоративная мобильность выносят данные за пределы компании. Бороться с прогрессом и противостоять ему бессмысленно, иначе просто рискуешь остаться на обочине, а тебя обгонят более удачливые конкуренты. Но как в этом случае минимизировать возможные негативные последствия? Рустэм Хайретдинов, генеральный директор компании «Атак Киллер», говорит о нескольких уровнях безопасности при защите мобильных устройств и удаленного доступа. «Первый — защита от несанкционированного доступа вследствие потери устройства или компрометации учетной записи для удаленного доступа, решается достаточно просто централизованным администрированием с возможностью уничтожить данные на устройстве и заблокировать удаленный доступ. Хуже обстоят дела с несанкционированными действиями легитимных пользователей. Мобильные операционные системы в погоне за удобством предоставляют им слишком много прав и свобод. Для минимизации таких рисков есть разные пути. Одни компании запрещают доступ к корпоративной информации с личных устройств и раздают сотрудникам защищенные телефоны, на которых права значительно ограничены. Другие — ради экономии пытаются «навернуть» на личные устройства сложные системы ограничения доступа и защиты. Первый способ дороже, но надежнее, второй — менее надежен, но предоставляет большую свободу и позволяет экономить на мобильных устройствах. Каждая компания решает для себя, какой путь избрать, и может комбинировать оба — одни сотрудники лишаются доступа к корпоративным данным с личных телефонов, другие сохраняют доступ под контролем определенных приложений и агентов», — поясняет он.
Илья Кондратьев, заместитель директора департамента информационной безопасности АМТ-ГРУП, полагает, что использование технических мер защиты, например систем класса MDM, может быть недостаточно, поскольку данные уже фактически покинули контролируемую зону организации. «В таких условиях большое значение приобретают меры нетехнического характера, направленные на повышение осведомленности пользователей мобильных платформ о рисках информационной безопасности, возникающих при рботе современных и удобных технологий, — комментирует он. — Кроме того, не теряют актуальности и традиционные методы обеспечения сохранности информации и лояльности сотрудников, успешно применявшиеся и в докомпьютерную эпоху».
==============================================================================
Рустэм Хайретдинов, генеральный директор компании «Атак Киллер»: «Сотрудников уже обучают технике безопасности, правилам внутреннего распорядка и поведения в экстремальных ситуациях. В принципе, нет ничего нового, надо только добавить новый предмет».
Илья Кондратьев, заместитель директора департамента информационной безопасности АМТ-ГРУП: «Человек всегда был и еще долгое время будет самым слабым местом в системе безопасности, причем как осознанно, так и не имея какого-то умысла».
============================================================================
Дмитрий Кузнецов, директор по стандартизации компании Positive Technologies, напоминает, что в эпоху облаков и корпоративной мобильности к ошибкам, допущенным сотрудниками компаний-пользователей облачных сервисов, добавляются упущения персонала оператора облачной инфраструктуры. По мнению Дмитрия Кузнецова, если раньше компания допускала ошибки в защите, полностью контролируя свои информационные ресурсы и их окружение, то при переносе данных за пределы компании она контролирует их не полностью. И как бы поставщик услуг ни превозносил свою компетентность в вопросах ИБ, примеры недавних инцидентов показывают, что порой катастрофические просчеты бывают даже у лидеров.
============================================================================
Григорий Васильев, эксперт по развитию продуктов ГК InfoWatch: «Лучший мотиватор — юридическая ответственность. Она может быть как материальной (в рамках Трудового кодекса), так и административной или уголовной».
Дмитрий Кузнецов, директор по стандартизации компании Positive Technologies: «Наши исследования демонстрируют, что в среднем до 30% сотрудников компаний подвержены социальной инженерии. Этот показатель снижается в среднем до 10% сразу после тренинга и возвращается к прежним значениям уже спустя несколько месяцев».
=============================================================================
Обучение в игре и не только
Эксперты говорят о необходимости повышать осведомленность пользователей в вопросах информационной безопасности. Обучение, мотивация, метод кнута и пряника и многое другое — что из этих методов будет работать лучше, а что хуже? Александр Санин, коммерческий директор компании «Аванпост», уверен, что хорошо организованное обучение сотрудников вопросам ИБ является залогом успеха. По его мнению, правильно выстроенные курсы повышения осведомленности должны быть уже давно законодательно определены как нечто обязательное для любой компании. Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности говорит о том, что соблюдение правил ИБ является частью культуры, а соблюдать культуру нельзя, ее можно только пропустить через себя и путем долгого прививания правильных привычек добиться соблюдения корпоративных, да и домашних тоже, правил информационной безопасности. Поэтому необходимо экспериментировать с разными вариантами — хранители экрана, видеоролики, канцтовары с девизами ИБ. Хорошей практикой, по словам эксперта, является внедрение принципов геймификации и создание конкуренции между пользователями, которые будут, как в обычных играх, пытаться достичь лучших результатов и за счет этого стремления получать новые навыки, закрепляя их.
«Классический подход, предполагающий прочтение сотрудником регламентов ИБ при приеме на работу, может быть полезен для делегирования ответственности, но, разумеется, совершенно бесполезен с точки зрения реального повышения осведомленности в области ИБ, — дополняет Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет». — Наша практика показывает, что хороши очные презентации и интерактивные курсы с элементами игры и обязательным тестированием. ИБ воспринимается лучше, если курс выходит за пределы корпоративных систем и содержит рекомендации по защите аккаунтов в соцсетях детей и родителей обучаемого, его личной кредитки и так далее. Не обойтись и без контрольной и карающей функции. По результатам провала периодических «киберучений» и после реальных инцидентов наказания должны быть неотвратимы. Иначе ИБ будет восприниматься как пустая болтовня и чужая проблема».
============================================================================
Алексей Лукацкий, бизнес-консультант Cisco по вопросам информационной безопасности: «Надо признать, что ЛЮБЫЕ проблемы в информационной безопасности происходят по вине человека».
Александр Санин, коммерческий директор компании «Аванпост»: «Если мы имеем массовую эпидемию, а не сфокусированную атаку на компанию, то человеческий фактор является основной движущей силой».
=============================================================================
Противодействие инсайдерам
Риски информационной безопасности, связанные с человеческим фактором, включают не только промахи и халатность сотрудников, но и злонамеренные действия инсайдеров, то есть тех, кто сознательно готов причинить вред компании. Это могут быть недовольные работодателем по тем или иным причинам, а также те, кто наносит ущерб из корыстных побуждений, передавая конфиденциальную информацию конкурентам, журналистам или любым другим заинтересованным лицам. Мы не будем касаться технологических аспектов противостояния инсайдерским угрозам, но обсудим организационные методы выявления и противодействия им, пока они еще не успели нанести серьезного ущерба. Павел Петров, ведущий менеджер по продукту компании «Код безопасности», советует проанализировать алгоритм атаки: «До выполнения атаки, как правило, проводятся исследования и подготовительные действия, затем уже осуществляется сама атака. После чего заметаются ее следы. Инсайдер сначала проверяет, к каким важным данным у него есть доступ, потом оценивает, какими каналами утечки информации в компании он сможет воспользоваться.
============================================================================
Андрей Янкин, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»: «Обычно 20% усилий по любому направлению ИБ дают 80% результата, поэтому рационально циклически пересматривать различные виды контроля, не зацикливаясь на совершенствовании чего-то одного».
Павел Петров, ведущий менеджер по продукту компании «Код безопасности»: «Несмотря на то что злонамеренные действия могут отличаться изощренностью, халатность все-таки опаснее: ее сложнее предвидеть и, соответственно, сложнее защититься».
============================================================================
Современные системы предотвращения утечек, системы защиты от несанкционированного доступа уже на этом этапе могут сигнализировать о готовящейся атаке на данные. Важно анализировать риски утечек информации при приеме сотрудника на работу. Это ответственность службы безопасности компании». Как считает Чаба Краснаи, ИТ-евангелист компании Balabit, если сотрудник устраивается в компанию с изначально злым умыслом, то он начинает действовать незамедлительно. Риск можно уменьшить с помощью наблюдения и системы контроля доступа с непрерывным мониторингом. Иногда же сотрудник активизируется спустя годы. Это может стать серьезным ударом для компании, поскольку человек знает рабочее пространство и местонахождение ценной информации. Но в таком случае изменится поведение, поскольку сотрудник будет совершать действия ранее ему несвойственные. «Базовые модели поведения помогут идентифицировать отклонения и инструмент анализа поведения способен уведомить службу безопасности и даже HR-отдел о потенциальной угрозе», — говорит он.
Жесткое ограничение доступа персонала к информации также поможет в противодействии инсайдерским угрозам, как полагает Артем Гениев, архитектор бизнес-решений компании VMware. «Каждый сотрудник должен иметь доступ только к той информации, которая необходима для исполнения обязанностей. Злоумышленникам будет сложнее получить доступ, изменить привилегии или перехватить данные. Ограниченный доступ также решает проблему утечки конфиденциальных сведений, защищая компании от внутренних вторжений», — резюмирует он. Михаил Салат (Avast) советует обратить внимание и на юридический аспект данного вопроса. «Компании должны составлять трудовые договоры со своими сотрудниками таким образом, чтобы в них были тщательно прописаны те последствия, которые ожидают сотрудника, если он будет обмениваться конфиденциальной информацией с третьими лицами, — говорит он. — Только при подписании такого договора компания может предоставить сотруднику доступ к конфиденциальной информации». Алексей Лукацкий (Cisco) отмечает необходимость применения целого комплекса мер, причем не только со стороны службы информационной безопасности. «В некоторых компаниях используются полиграфы для выявления потенциальных нарушителей, отслеживаются их социальные сети, траты, круг знакомых, привычки, в том числе и азартные, и другое. Их анализ позволяет вычислить потенциальных нарушителей, готовых к краже информации или нанесению иных видов ущерба, — комментирует эксперт. — А вот ИБ способна отслеживать иные действия, контролируя такие события, как сканирование сети для идентификации уязвимостей, поиск и копирование документов, ненужных для работы, использование рабочей почты для общения с конкурентами и многое другое».
============================================================================
Чаба Краснаи, ИТ-евангелист компании Balabit: «ИТ-безопасность — не проблема инструментов, а вопрос правильных процессов, и эти процессы внедряются только при обеспечении руководством необходимого фона».
Артем Гениев, архитектор бизнес-решений компании VMware: «Обеспечение информационной безопасности на предприятии является комплексной задачей, которая решается одновременно на нескольких уровнях: организационном, процессном, технологическом и культурологическом».
==============================================================================
В целом не существует каких-то универсальных рецептов, заставляющих сотрудников соблюдать элементарные правила ИБ. Тем не менее компаниям не следует оставлять эту тему без внимания. Своевременная установка обновлений, внедрение современных средств защиты от утечек и контроля за сотрудниками, разумеется, необходимо, но и самих сотрудников нужно обучать, объясняя им, что халатность и ошибки могут нанести серьезный ущерб их работодателю, а соответственно, им тоже.
Опубликовано 14.11.2017