Практические советы и стратегии для обеспечения защиты от киберугроз
Какие компании должны заботиться о своей защите?
В свете последних событий важно задаться вопросом: насколько необходимо обеспечивать защиту данных для различных предприятий? Согласно аналитическим данным экспертов, за последние годы количество кибератак выросло от 4 до 20 раз, варьируясь в зависимости от отрасли и типа атак. Однако следует отметить, что никто не застрахован от подобной угрозы. Поэтому, безусловно, все предприятия должны придавать большое значение защите информации.
Конечно, безопасность данных на предприятии — это в первую очередь забота владельца. Именно команда владельца в лице руководителей и менеджеров предприятия привлекается для обеспечения безопасности.
Регуляторами в сфере информационной безопасности разработано значительное количество нормативных документов, включая требования по защите значимых объектов критической информационной инфраструктуры (187-ФЗ), персональных данных (152-ФЗ), государственных информационных систем (149-ФЗ) и другие. Бытует мнение, что требования вышеуказанных документов относятся только к (около)государственным предприятиям, что, конечно, далеко от реальности, поскольку ответственность за защиту не зависит от формы собственности или доли владения государством.
Когда и как внедрять системы защиты информации?
Когда же лучше беспокоиться о защите информации на предприятии? Ответ очень простой — чем раньше, тем лучше. Причем независимо от того, в какой стадии развития находится организация. Это может быть текущая деятельность без каких-либо изменений с точки зрения структуры. Или период внедрения новых ИT-сервисов на предприятии, таких как системы формирования отчетности, системы документооборота и другие различные проявления цифровизации.
При внедрении новых для предприятия цифровых сервисов часто возникает ситуация, когда на предприятии возникает конфликт между ИT-специалистами, которые обеспечивают внедрение новых сервисов, и лицами, ответственными за безопасность на этом же предприятии, которые стремятся защищать имеющуюся инфраструктуру и активы компании и неохотно позволяют вносить изменения в текущие процессы. В данном случае практика показала, что внешние специалисты могут обеспечить диалог между противоборствующими сторонами и выработку оптимальных решений, соответствующих требованиям по безопасности информации и осуществляющих необходимый новый функционал.
При проектировании и реализации механизмов защиты информации на предприятии рекомендуем применять отлично зарекомендовавшую себя стратегию — выработать систему, при которой меры информационной безопасности перестанут быть решением частных вопросов, а станут неотъемлемым элементом жизни предприятия.
Первый совет по стратегии — сделайте механизмы обеспечения безопасности информации на предприятии неотъемлемым элементом системы функционирования предприятия.
В качестве антипримеров, иллюстрирующих необходимость системного подхода, можно привести несколько ситуаций, с которыми наши эксперты сталкиваются при проведении аудита информационной безопасности различных предприятий.
Наиболее часто встречающаяся проблема бессистемного подхода — организация сформулировала потребность в применении в составе своей инфраструктуры межсетевых экранов, выбрала самые дорогие и передовые решения, представленные на рынке, закупила и установила их, но при этом сотрудники организации регулярно применяют USB-модемы на рабочих местах для выхода в Интернет в личных целях или для более удобного по их мнению решения рабочих задач. В этом случае применение дорогого и даже правильно настроенного межсетевого экрана теряет весь смысл.
Следующий ошибочный подход при внедрении — применение шаблонных организационно-распорядительных документов, отражающих вопросы защиты информации на предприятии. Необходимо, чтобы внутренние документы отражали конкретное состояние дел на вашем предприятии. Без серьезной переработки применительно к вашему предприятию шаблонные меры в большинстве случаев не работают.
Второй совет — при обеспечении безопасности данных необходимо всегда «приземлять» требования нормативных документов и типовых концепций к реалиям конкретного предприятия.
Шаги внедрения. Первые шаги — важная отправная точка
В чем же заключается системный подход? Вне зависимости от текущего состояния вопросов защиты информации в организации рекомендуется следующая последовательность действий.
Шаг 1. Необходимо провести аудит внутренними силами или с привлечением внешних специалистов. При этом зачастую слово «аудит» вызывает негативное отношение, так как предприятия уже имеют опыт проведенных аудитов без четких результатов. И вот именно тут кроется первая важная деталь — нужно изначально точно понимать цели, чтобы аудит не проводился ради самого аудита. Применительно к обеспечению безопасности информации можно выделить следующую цель: выявить активы предприятия, которые необходимо защищать. Как это ни парадоксально, наша практика работы на предприятиях показывает, что многие руководители зачастую не знают о существовании некоторых активов, которые следует защищать, хотя считают, что неплохо разбираются, в том как у них построена система защиты.
«Что же является активом?» — вопрос, на который подавляющее большинство руководителей или менеджеров организации затрудняются ответить. Например, котельная или система кондиционирования на первый взгляд не очень соотносится с «информационной» безопасностью, при этом вполне реализуем сценарий кибератаки, когда выведение из строя нарушителями системы кондиционирования в серверной приводит к перегревам оборудования и преждевременному выходу его из строя.
Еще один антипример: организация выполняла разработки, проверяла все технические решения на автономном выделенном стенде, не включенном в общий сегмент сети, причем на флешках из этого автономного стенда переносила все решения в производственную среду. Парадокс заключался в том, что на автономный стенд не распространялись регламенты и политики обеспечения безопасности, такие как антивирусная защита и другие. То есть из тестового сегмента сети во время технологического обновления на флешках могло переноситься зловредное программное обеспечение в производственную среду. Но сами владельцы стенда и разработчики на предприятии такую угрозу не рассматривали.
Бывают случаи, когда организация уверена, что документооборот является защищенным, потому что работает на внутренних серверах и письма с пометкой «ДСП», «Конфиденциально» обрабатываются в общем контуре без разграничения прав доступа. Это тоже пример, который требует исправления со стороны специалистов по информационной безопасности.
Здесь можно дать следующий совет: у сотрудников предприятия может быть замыленный взгляд, поэтому рекомендуем периодически приглашать для аудита именно внешних специалистов.
Шаг 2. Следующий шаг, который вам потребуется сделать, — выявить реальные угрозы для предприятия. Для этого проводят моделирование угроз безопасности. Существует множество методологий оценки угроз — некоторые из них ориентированы на возможные сценарии действий нарушителя (например, дерево атак). Также существуют риск-ориентированные методологии (в частности, DREAD), которые опираются не только на оценку вероятности события, но и на возможные последствия события, которые могут исчисляться и в денежном выражении. Для высококвалифицированного специалиста в области информационной безопасности эффективными являются методологии с применением экспертной оценки, поскольку он по опыту может определить наиболее вероятные угрозы.
В качестве помощи специалистам при определении угроз безопасности информации ФСТЭК России на своем сайте опубликовал и непрерывно обновляет банк данных угроз безопасности информации и методику оценки угроз безопасности информации. Для систем с предопределенными требованиями по защите информации рекомендуется применять именно ее.
Последующие шаги — выработка мер противодействия угрозам, проектирование системы защиты, закупка, установка и настройка — являются, как правило, более понятными ИТ- и ИБ-специалистам предприятия. Здесь я не буду подробно останавливаться и подчеркну важность правильного выполнения описанных выше первых шагов.
Практические советы
В последнее время кибератаки значительно видоизменились — с момента нарушения периметра до момента обнаружения нарушителя в системе в среднем проходит три-четыре месяца, и за это время нарушитель, как правило, уже нашел самые важные и незащищенные активы, например, скопировал базу данных пользователей предприятия, и дальше готов к реализации атаки, скажем, в виде внедрения вируса-шифровальщика с последующим требованием выкупа.
Сформулирую ряд практических советов, которые могут помочь в процессе внедрения системы защиты информации на предприятии.
В качестве применения системного подхода хорошим подспорьем будут стандарты ГОСТ Р ИСО/МЭК серии 27ххх. Пропишите ответственность каждого лица в той области, за которую он отвечает. Тенденции внедрения персональной ответственности подтверждаются ужесточением нормативной документации с внедрением «оборотных штрафов» за нарушение безопасности данных, а также персональной ответственности руководителя предприятия.
Следующий совет: не бойтесь переходить на сертифицированные отечественные операционные системы. Инфраструктуру почти всегда можно построить на таких отечественных решениях, а частные узкие места устраняются с помощью средств виртуализации. Данный способ в целом соответствует требованиям по переходу на импортозамещающие технологии и обеспечивает технологическую независимости в соответствии с Указом Президента Российской Федерации от 30.03.2022 г. № 166.
Третий совет: реализация базовых мер не обязательно требует выделения больших бюджетов. После проведения аудита и завершения проектирования системы защиты информации на предприятии можно определить поэтапный план реализации программы защиты информации. На первом этапе базовые меры можно свести к следующим:
- Сформулируйте и внедрите систему управления паролями на предприятии.
- Сформулируйте и внедрите политику антивирусной защиты на предприятии.
- Обеспечьте защиту периметра, при этом особое внимание уделяйте настройкам средств защиты информации, потому что само по себе наличие средств защиты информации без правильной настройки не является действенным механизмом.
- Проводите обучение пользователей для предотвращения возможных фишинговых атак.
- По возможности используйте сертифицированные средства защиты информации — хотя бы потому, что разработчики сертифицированных средств обязаны устранять уязвимости после того как они обнаружены в их продуктах.
- Грамотно разделяйте информационную инфраструктуру на сегменты сети и обеспечивайте меры безопасности на границе этих сегментов
- Знайте свои активы — не только системы, реализующие прямой функционал на предприятии, но и обеспечивающие системы. Обеспечивающими системами могут быть системы тепло- и энергообеспечения, каналообразующие элементы системы, системы кондиционирования, системы пожаротушения помещений и оборудования, системы контроля и управления доступом, системы видеонаблюдения и др.
- Применяйте системный подход — периодический аудит и контроль защищенности обойдутся дешевле, чем реагирование по факту реализованной атаки или срочное реагирование на требования регуляторов.
Реальная безопасность важна, и зачастую осознание приходит только после того, как эта безопасность уже серьезно нарушена. Здесь очень подходит поговорка «что имеем не храним, а потерявши плачем».
Обращайтесь к специалистам, которые могут обеспечить выполнение полного комплекса работ от аудита до проектирования, внедрения и периодического контроля защищенности вашего предприятия.
Опубликовано 01.12.2023