Информационная безопасность бизнеса

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Информационная безопасность бизнеса становится важнейшей составляющей его успешного ведения. Специалисты по кибербезопасности Cybersecurity Ventures сообщили, что в 2019 году хакерские атаки происходили каждые 14 секунд. Сбербанк спрогнозировал, что совокупные мировые убытки компаний от информационных рисков достигнут 2,5 триллионов долларов. Не меньший риск влекут за собой действия инсайдеров. При этом менеджмент компаний не всегда в полной мере может оценить риски и выстроить стратегию действий, способных минимизировать угрозы.

Информационные угрозы

Эксперты делают вывод, что угрозы информационной безопасности бизнеса становятся существеннее. Так, в 2019 году только количество случаев использования методов социальной инженерии выросло на 6 %. Кибермошенники атакуют российские компании в 1,6 чаще, чем в среднем компании по миру. Связано это может быть с тем, что отечественный бизнес меньше внимания уделяет оценке угроз и защите от них. В зоне риска находятся в большей степени организации финансового сектора. SAP CIS сообщает, что ежемесячно атаке подвергаются 1-2 банка и средняя стоимость ущерба от атаки составляет 2 миллиона долларов. Но так как персональные данные – наиболее ходовой товар на черном рынке информации, стоит задуматься о безопасности организаций, специализирующихся в сфере ритейла: операторов сотовой связи, транспортных и туристических компаний.

Крупные компании подвергаются атакам десятки раз в день, при этом кибермошенники постоянно сканируют периметр информационной безопасности, проводят мониторинг уязвимостей и тестируют новое вредоносное программное обеспечение. Если сама компания тратит существенные бюджеты на защиту от угроз информационной безопасности, то ее поставщики и подрядчики, небольшие фирмы, выполняющие отдельные заказы, оказываются более уязвимыми и вместе со своими данными теряют информацию заказчика. Инсайдерские риски не менее серьезны, если организация не использует систему ограниченного доступа и не выстраивает многоуровневую оборону.

Для обычной компании, чья информация не имеет существенной самостоятельной ценности для мошенников, наибольшими угрозами становятся:

  • вредоносное ПО различных модификаций (вирусы-шифровальщики, сетевые черви). Наибольшую угрозу несут шифровальщики, за возврат данных, не только относящихся к коммерческой тайне, но и операционных, требуется выкуп;
  • спам, затрудняющий обработку внешней корреспонденции и забивающий информационные потоки;
  • действия инсайдеров, похищающих или изменяющих данные;
  • фишинговые атаки, связанные с подменой адресов сайтов;
  • бизнес-разведка, заказанная конкурентами;
  • сетевые атаки;
  • DDoS-атаки, вызывающие отказ в обслуживании;
  • кража оборудования и мобильных устройств, содержащих конфиденциальную информацию;
  • таргетированные атаки;
  • саботаж сотрудников.

Инсайдерские угрозы, намеренные и непреднамеренные, могут также быть классифицированы:

  • пропущенные из-за некомпетентности сотрудников уязвимости в ПО или в технической части системы;
  • случайные утечки информации;
  • намеренные утечки, вызванные подкупом конкурентов, посредников на рынке краденых данных или совершаемые из мести;
  • утечки данных, связанные с обменом конфиденциальной информацией через мобильные устройства;
  • потеря мобильных устройств или компьютеров;
  • утечки информации у поставщиков услуг, иных контрагентов.

Чаще всего похищается информация следующих типов:

  • общедоступная внутренняя операционная информация;
  • персональные данные клиентов;
  • базы данных клиентов компании;
  • закрытая финансовая информация, управленческая отчетность;
  • интеллектуальная собственность;
  • маркетинговые исследования, исследования о конкурентах;
  • платежная информация, данные о банковских трансакциях.

К отдельному риску относится среда виртуализации. Компании используют облачные технологии в целях экономии при хранении данных и при применении бизнес-приложений. Далеко не всегда поставщики услуг могут обеспечить необходимый уровень защиты информации, особенно если речь идет о персональных данных, где необходимо соблюсти требования регулятора.

Сложно подсчитать действительный ущерб бизнеса от угроз информационной безопасности. Его можно рассчитать, исходя из имеющихся цифр и аналитики скрытой части проблемы, большинство компаний стараются скрыть данные о происходящих инцидентах, стремясь избежать репутационных издержек. Эксперты считают, что за один год бизнес теряет от атак сумму, сравнимую со стоимостью реализации всего проекта «Цифровая экономика» за шесть лет (1,5 триллиона рублей только за 2019 год, по расчетным данным). 

Ущерб бывает:

  • фактическим, в виде пропавших денег со счетов, сумм, выплаченных вымогателям, заразившим систему вирусами, ущерба от приостановки бизнес-процессов. Особой статьей расходов становятся штрафы, выплаченные в бюджет, и ущерб, компенсированный клиентам в результате выигранных процессов в связи с утратой компанией ценной информации;
  • расчетным, когда суммы неполученной прибыли от утечки ценной информации можно рассчитать исходя из финансовых показателей деятельности компании и из сумм, потраченных на спешное обновление системы информационной безопасности;
  • репутационным – компания теряет рынки, клиентов, стоимость ее акций падает в ситуации, когда становится известно о ее неосмотрительном поведении и недостаточной защите важных данных.

Ущерб может проявиться лишь спустя длительное время, например, когда ноу-хау было похищено инсайдером и появилось в распоряжении конкурентов через годы.

Позиция менеджмента

Руководство компаний придерживается двоякой позиции в вопросе об информационной безопасности бизнеса. Иногда угрозы переоцениваются, иногда недооцениваются. 

«Лаборатория Касперского» приводит такие цифры:

  • 41 % компаний считает основным приоритетом защиту данных от целевых атак;
  • 91 % недооценивает риски от применения вредоносного ПО;
  • большинство предприятий считает единственной необходимой защитой только антивирусное ПО;
  • внутренние угрозы, инсайдеры становятся причинами утечек в 87 % случаев.

Отсутствие четкого понимания собственной модели угроз становится причиной или перерасходования бюджетов на безопасность, когда тратятся суммы на новейшее программное обеспечение, или недооценки необходимого финансирования, и тогда ущерб становится причиной непрофессиональных действий менеджмента.

Избираемые способы обеспечения информационной безопасности бизнеса зависят от модели угроз. В банках и организациях финансового сектора наибольшему риску подвергается информация о вкладах и счетах клиентов. У операторов сотовой связи хакеров интересуют персональные данные клиентов или детализация звонков. Для промышленности целью хакеров может стать перехват управления информационной системой предприятия и остановка его работы.

Перечень способов защиты зависит от различных факторов:

  • уровня защищаемой информации;
  • рекомендаций регуляторов;
  • имеющихся в наличии временных, финансовых, человеческих ресурсов.

Основой выстраивания стратегии обеспечения информационной безопасности бизнеса часто становятся не реально существующие модели угроз, а то, как руководители самостоятельно, на основе изучения прессы или аналитической информации или же под влиянием ИТ-персонала, представляют себе риски. 

Приоритетами становятся:

  • защита данных от таргетированных атак на конфиденциальную информацию компании – 41 %;
  • защита данных от утечек вне зависимости от их характеристик – 34 %;
  • предотвращение DDoS-атак (вне зависимости от модели бизнеса) – 29 %;
  • выстраивание системы защиты от компьютерных сбоев – 23 %;
  • возврат инвестиций, вложенных в ИТ-инфраструктуру, – 20 %;
  • принятие решения о дальнейшем финансировании ИТ-инфраструктуры.

Отдельным вопросом, не относящимся к приоритетам менеджмента именно с точки зрения бизнеса, но имеющим значение для принятия решения о системе мер защиты, становится выполнение требований регуляторов, связанных с охраной государственной или банковской тайны, персональных данных.

Меры и способы обеспечения информационной безопасности бизнеса

То, как российский бизнес выстраивает систему информационной безопасности, можно узнать из опросов. Редко кто считает необходимым использовать весь спектр программных, технических и организационных мер, даже если они предписаны регуляторами. Чаще всего используются заменяющие варианты аппаратных и программных средств с обещанием установить необходимые при первой возможности.

Большинство предприятий выстраивает систему приоритетов исходя из модели бизнеса и имеющихся финансовых ресурсов. Среди основных:

  • антивирусная защита и иная защита от вредоносного ПО на компьютерах;
  • контроль за обновлением ПО, устранением пробелов в защите, выявляемых в новых версиях, приобретение сертифицированного ПО;
  • управление архитектурой сети, выделение и защита критически важных зон;
  • контроль над использованием съемных носителей;
  • обеспечение безопасного использования мобильных устройств;
  • контроль за безопасностью облачных сервисов;
  • внешний аудит безопасности;
  • внедрение систем мониторинга работоспособности элементов ИТ-системы;
  • контроль за утечками и установление DLP-систем;
  • управление информацией и инцидентами, установка SIEM-систем;
  • использование средств криптографической защиты;
  • системы управления жизненным циклом ИТ (PC Lifecycle Management);
  • системы управления мобильными устройствами (MDM).

Решения по защите чаще разрабатываются компаниями без опоры на требования регуляторов, рекомендующих меры по обеспечению безопасности персональных данных. Они обусловливаются потребностями бизнеса и бюджетом, и даже риск проверок не заставляет предприятия применять всю рекомендованную систему мер. Возможно, именно это становится причиной частых атак хакеров, понимающих уязвимости большинства систем информационной безопасности бизнеса. Для банков повышенная степень опасности от кибератак порождает необходимость разработки собственных систем безопасности в соответствии с международными стандартами и требованиями регулятора – Центробанка.

Отдельной задачей становится объединение интересов отдельных бизнес-субьектов в борьбе с глобальными угрозами, так как самостоятельная борьба с кибертерроризмом невозможна. Крупные корпорации создают объединения, в рамках которых организовывают обмен опытом и технологиями в сфере реагирования на кибератаки. Это же происходит в рамках государственного проекта ГосСОПКА, где на кибератаки совместно реагируют собственники объектов критической информационной инфраструктуры. Совместная работа еще больше снижает риск ущербов от действий хакеров.

16.01.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними