Информационные угрозы безопасности экономической деятельности становятся ощутимее с каждым годом. Из-за, упрощения технических решений атаку на информационную систему небольшой компании может провести даже школьник.

Угрозы информационной безопасности

Глобализация информационного пространства, разработка новых видов кибероружия привели к тому, что российские экономические субъекты превратились в цели для международных корпораций и иностранных государств. Некоторые кибератаки устраивают группировки хакеров, работающих на правительства и министерства обороны других стран. Особенно в этом отношении преуспел Китай, чьи профессионалы по кибератакам нападают на российские и зарубежные системы обеспечения, базы данных, облачные хранилища.

При анализе гипотетической или практической модели угроз, которые релевантны информационной системе конкретного предприятия, в качестве отдельных единиц защиты и оптимизации рассматриваются:

• входящие и исходящие информационные потоки;
• программные средства;
• методы управления безопасностью;
• элементы архитектуры информационной сети.

Традиционно угрозы делятся на внутренние и внешние. Внутренние, инсайдерские, часто связаны с активностью конкурентов компании. Внешние бывают случайными или таргетированными, связанными с местом, которое предприятие занимает в общей экономической и информационной инфраструктуре страны.

Компании должны понимать, что постоянное повышение уровня угроз создает необходимость защищаться по всем направлениям Фишкой последних лет стало использование в информационных атаках объектов Интернета вещей, когда каждая подключенная к Сети кофеварка или холодильник становятся потенциальным источником DDoS-атак.

Для реализации эффективной системы информационной безопасности экономической деятельности требуется создание единой базы данных, где необходимо сохранять все сведения о происходивших инцидентах информационной безопасности, методах и используемых методиках борьбы с ними, заключения специалистов, посвященные анализу угроз. Создавая базу знаний, нужно опираться на понятие информационной и экономической безопасности, подразумевающее под собой такое состояние коммерческой, финансовой, производственной и любой другой  бизнес-активности на предприятии, при котором ему невозможно или затруднительно нанести экономический ущерб. От вида бизнеса, сектора экономики, кадровой политики и используемых ресурсов зависит модель угроз.

Инсайдерские угрозы

Эту категорию рисков учитывают все компании, выстраивая систему информационной безопасности бизнеса. Кадровые службы и СБ предприятия выстраивают многоуровневую систему обороны, внедряя модели дифференцированного доступа, двухфакторную аутентификацию, технические средства. Но, как показывает практика, учитываются не все риски.

Потенциальными источниками угроз становятся:

• сотрудники низшего и среднего звена, организующие утечки и сбои непреднамеренно, из-за неосторожности или незнания базовых правил информационной безопасности;
• сотрудники, совершающие вторжение в периметр информационной безопасности с целью подмены информации и хищения ресурсов;
• сотрудники, поставляющие данные конкурентам или персональную информацию клиентов операторам на черном рынке информационных услуг;
• руководители высшего звена, заинтересованные в передаче конкурентам наиболее ценных информационных ресурсов;
• сотрудники ИТ-подразделений или служб безопасности, не только имеющие неограниченный доступ к данным, но и способные замаскировать результаты своей работы.

Составляя собственную стратегию реализации системы информационной безопасности организации, следует учитывать все особенности кадровой структуры предприятия и уделять внимание к превентивным действиям, обучению и подготовке работников.

Инсайдерские угрозы технического характера

Так как наиболее существенной угрозой, связанной с организацией хищения данных сотрудниками, становятся USB-накопители, требуется исключить их применение на предприятии, за исключением прямо регламентированных случаев, например, для съема информации с удаленных датчиков. Но эта деятельность должна быть строго регламентирована, накопители должны проверяться антивирусами, что позволит избежать инфицирования системы вредоносными программами.

Слабая информированность сотрудников в вопросах информационной безопасности приводит к тому, что риски для компании возникают и при использовании электронной почты.

Сотрудники:

• используют один аккаунт почты компании совместно, что исключает возможность контролировать отправку конфиденциальной информации третьим лицам и выяснить, кто именно осуществил утечку;
• используют личные ящики электронной почты для переговоров в корпоративных целях, увеличивая риски перехвата данных и снижая степень контроля;
• открывают вложения, которые могут содержать вредоносные программы;
• отвечают на фишинговые письма, подвергая угрозам пароли, логины и другую конфиденциальную информацию.

Программы фильтрации электронной почты помогут избежать большинства рисков заражения или распространения спама, а подключение к Интернету только части ПК сотрудников снизит риски утечки данных по каналам внешней электронной почты.

Внешние угрозы

Несмотря на то, что внешние угрозы информационной безопасности бизнеса реализуются на практике существенно реже, чем инсайдерские, руководители и менеджеры часто считают их более серьезными, тратя существенные ресурсы на защиту системы от внешних атак. Хакерские нападения, внешние вторжения, вирусные угрозы действительно оказываются опасными, но установка современных средств защиты снижает вероятность их реализации почти до нуля.

Классификация угроз по типу

Если отойти от классификации рисков информационной безопасности экономической деятельности по источнику возникновения и перейти к их типологии с технической точки зрения, можно выявить такие виды угроз:

• несанкционированный доступ к данным, приводящий к их утечке, подмене, блокировке, уничтожению;
• подмена информации (логов, записей в журналах мониторинга), приводящая к утрате сведений о реальных виновниках инцидентов информационной безопасности;
• введение в коды программных продуктов логических бомб, которые срабатывают при выполнении определенных условий или по истечении определенного периода времени и частично или полностью выводят из строя информационную инфраструктуру;
• разработка и внедрение в систему вредоносных программ – вирусов, шифровальщиков, троянов;
• небрежности в разработке программных продуктов, их своевременном обновлении или технической поддержке, которые приводят к программным и аппаратным сбоям, простоям, отказам в обслуживании;
• изменение пакетов данных и электронных документов, связанное с подделкой ЭЦП;
• хищение информации с маскировкой действий в системе, например, использование чужих идентификаторов;
• перехват данных путем подключения к каналам связи, иногда для этого необходима только антенна, находящаяся на удаленном расстоянии;
• отказ от предоставления услуги, вызванный DDoS-атаками или иными нарушениями доступности системы для внешних пользователей.

Ряд перечисленных рисков по действующему законодательству относится к административным правонарушениям и уголовным преступлениям и преследуется по закону.

Ответственность за нарушение информационной безопасности экономической деятельности

Большинство компаний старается применять только дисциплинарную ответственность в случае нарушения сотрудниками правил информационной безопасности, вне зависимости от того, были они умышленными или нет. Наиболее существенным вариантом реакции компании становится увольнение нарушителя. Это связано с тем, что предприятия стараются скрывать сведения об утечках информации и других инцидентах, опасаясь, что пострадает их деловая репутация. Обращения в правоохранительные органы или в суд крайне редки, даже если предприятию причинен существенный экономический ущерб.

Преследуемые мерами государственного принуждения нарушения делятся на три группы:

• связанные с обработкой персональных данных. Такие нарушения часто влекут административную ответственность, наиболее серьезным становится хранение ПД граждан России на серверах, находящихся в другом государстве;
• компьютерные преступления, совершаемые в сфере информационных технологий;
• мошенничество в сфере информационных технологий, например, хищение чужих денежных средств, совершаемое путем обмана или злоупотребления доверием.

Уголовная ответственность регулируется ст. 272-274 УК РФ, и под действие этих норм чаще всего попадают следующие нарушения:

• взлом интернет-сайтов (хакинг), иногда он сопровождается «дефейсом» (изменение содержания сайта, например, размещение на главной странице компрометирующей или порочащей компанию информации);
• похищение данных банковских карт (кардинг), применяемое для последующего обогащения. Пострадать могут и частные и корпоративные карты. Часто для хищения данных используется фишинг – рассылка писем с адресов, похожих на известные получателю;
• крекинг, или расшифровка систем защиты программного обеспечения для его последующего распространения без лицензии;
• незаконное получение и использование чужих учетных данных в Интернет-аккаунтах;
• нюкинг, или DoS-атаки (Denial of Service) – действия, вызывающие отказ в обслуживании удаленным компьютером, подключенным к Cети;
• спам – массовая несанкционированная рассылка электронных сообщений рекламного или иного характера либо «захламление» электронного почтового адреса (адресов) множеством сообщений;
• чтение чужой электронной почты.

Если угрозе подвергаются данные, относящиеся к государственной тайне, в отдельных ситуациях преступление квалифицируется как попытка государственной измены.

Часто компьютерные технологии используются для хищения конфиденциальной информации, и в этом случае уголовная ответственность может наступать за разглашение коммерческой тайны. Наиболее часто в судебной практике ст. 183 УК РФ применяется для привлечения к ответственности лиц, разгласивших банковскую тайну. Связано это с тем, что по закону банки не имеют права скрывать от регулятора – ЦБ РФ – информацию об инцидентах информационной безопасности финансовой организации, и сотрудников приходится привлекать к ответственности.

Меры по обеспечению информационной безопасности

Определив объекты и источники угроз, выбрав меры, которые предполагается реализовать для защиты данных и привлечения к ответственности виновных, нужно переходить к выработке и реализации стратегии информационной безопасности. Ее задачей становится наиболее эффективное использование ресурсов компании, минимизация потерь, простоев и утечек, соблюдение требований к защите деловой репутации. Большинство специалистов по информационной безопасности экономической деятельности осведомлены о комплексе административных, организационных, программных и технических мер, которые необходимо реализовать, привлечение внешнего подрядчика требуется только в сложных случаях.

При выборе программных средств защиты необходимо ориентироваться на рекомендации ФСТЭК, которые предлагают выбрать лучшие из имеющихся программных продуктов, предназначенных для защиты персональных данных. Необходимо исходить из принципов экономии ресурсов, защищая от рисков информационной безопасности экономической деятельности только критически важные бизнес-процессы.

Необходимый минимум включает:

• улучшение системы аутентификации пользователей;
• организация системы защиты движения данных внутри информационного периметра компании и вне его, установка DLP-систем;
• принятие комплекса организационных мер, минимизирующих все категории инсайдерских рисков.

Эти решения по борьбе с угрозами информационной безопасности не влекут за собой привлечения существенных финансовых ресурсов, но способны почти полностью устранить основные угрозы. Параллельно требуется унификация программных решений, действующих на отдельных компонентах архитектуры системы, на различных серверах и в разных секторах безопасности. На границах секторов ИС с разным уровнем защиты требуется установка межсетевых экранов. Аудит неструктурированных данных и удаление дублирующих и устаревших сведений помогут оптимизировать использование информационных ресурсов. Для ресурсов, содержащих конфиденциальную информацию, необходимо предусмотреть хранение на мощностях компании, а не в облаках.

Комбинация этих мер поможет обеспечить информационную безопасность в небольшой компании или торговом центре. Для компании финансового сектора дополнительные меры защиты разрабатываются Центробанком РФ. Все решения необходимо постоянно аудировать на применимость и эффективность, своевременно внося изменения в стратегию.

30.01.2020