Систему информационной безопасности на предприятии организовывают различными способами, приглашая компании-аутсорсеры или изучая чужой успешный опыт. Примеры информационной безопасности покажут, как именно решается задача в различных отраслях бизнеса.

Основные тенденции организации информационной безопасности на предприятии

Интересно проанализировать ряд кейсов, показывающих, как система информационной безопасности внедрялась в российских банках и компаниях. 

Задача решается одним из двух способов:

• собственными силами;
• с привлечением подрядчиков.

В России существует тенденция по переманиванию ведущих специалистов по кибербезопасности из компаний, специализирующихся на борьбе с киберугрозами, в крупные российские корпорации с целью выстраивания собственной модели ИБ, избегая рисков утечки данных, ожидаемых при работе с подрядчиками. О существовании таких рисков информационной безопасности банки предупреждает ЦБ РФ, издав специальный стандарт по правилам работы с аутсорсерами, будут они актуальны и для предприятия.

С точки зрения выбора программных средств для защиты информационной безопасности государственная политика поддержки национального производителя побуждает российские корпорации с госучастием или активно работающих с госконтрактами переходить на российское ПО. Небольшой бизнес предпочитает его по причинам доступности в цене, более высокой надежности, обеспечения информационной безопасности в узких секторах ИС.

Минусом политики импортозамещения является отсутствие единой российской операционной системы. Более 20 существующих продуктов решают тактические, а не стратегические задачи, и компаниям приходится мириться с уязвимостями в Windows и Linux. О том, что они хорошо известны кибермошенникам, свидетельствует эпидемия вируса WannaCry, шифровальщика, остановившего заводы и больницы по всему миру и нанесшего ущерб, оцениваемый в десятки миллиардов долларов.

Проект «Цифровая экономика» предусматривает создание единой российской национальной ОС IoT к 2020 году, ее предполагается использовать для Интернета вещей и промышленного Интернета, она должна обеспечить информационную безопасность АСУ и «умных домов», исключить риски проникновения в сеть хакеров и использования домашних кофеварок в качестве ботов. В итоге на рынок должна выйти «отечественная свободная ОС для использования во всех видах киберфизических систем, превосходящая зарубежные ОС по ключевым параметрам быстродействия, безопасности и отказоустойчивости».

Построение модели угроз

Выбор системы ИБ зависит от уровня рисков. Модель угроз часто строится с опорой на бизнес. Так, утечки информации характерны для телекоммуникационных компаний, разработчиков ПО, медицины. Для банков опаснее попытки несанкционированных переводов средств со счетов клиентов. В даркнете начали появляться базы данных не только банков и мобильных операторов, но и учебных учреждений.

Новые вирусы создаются с участием военных структур. Так как в WannaCry увидели базовые решения, предоставленные группе хакеров американским военным ведомством. Иранский Stuxnet, также нацеленный на промышленные предприятия и остановивший тысячи производств, был создан израильской разведкой. Можно предполагать, что среднее предприятие, использующее общепользовательские операционные системы, не обеспечивающие высокой степени информационной безопасности, в любую минуту может стать жертвой нового вируса, поражающего отдельные страны или секторы экономики. По данным опроса 200 генеральных директоров крупнейших предприятий мира, проведенного компанией Ernst & Young, в ближайшие пять-десять лет киберугрозы выйдут на первое место среди угроз информационной безопасности для мировой экономики.

Это свидетельствует о том, что при разработке систем защиты не стоит целиком полагаться на уже внедренные примеры информационной безопасности предприятия, необходимо на базовом этапе тестировать все уязвимости и устранять предполагаемые слабые места. Основной проблемой становится архитектура информационных систем, созданная на многих предприятиях РФ в 1970-х годах и по мере роста сложности ПО не решающая общие задачи безопасности, а закрывающая уязвимости временными и легко взламываемыми решениями. Большинство ИС защищены слабо, заразить их вредоносной программой или взломать несложно. При выстраивании собственной системы защиты необходимо опираться на принцип «стоимость взлома должна быть выше, чем стоимость теоретической выгоды», на нем настаивают эксперты рынка, продвигая свои решения.  

В 2019 году была зафиксирована 231 хакерская кампания, направленная на– компании и граждан. Лидерами среди используемых средств атаки стали вредоносное ПО и методы социальной инженерии, в 2018 году таких кампаний было 217, и они в основном были направлены на сбор паролей и средств идентификации. Но после того, как большинство предприятий и облачных сервисов перешли на двухфакторную модель аутентификации, обеспечивающей высокую степень информационной безопасности, направление угроз сменилось.

Новые решения

Помимо кейсов внедрения общей системы ИБ интересно рассмотреть новые технические решения, способные повысить степень защиты от утечек. На рынке есть программные средства для перехвата телефонных разговоров сотрудников. 

Этот программный модуль встраивается в систему IP-телефонии офиса и работает по следующим принципам:

• перехвату подлежат разговоры по номерам телефонов, заранее внесенным в базу работодателем;
• перехват осуществляется по признаку наличия ключевых слов, при их выявлении аудиоинформация целиком преобразовывается в текстовую и передается службе безопасности.

Это решение позволяет расширить количество каналов, по которым блокируются утечки. В качестве примера информационной безопасности предприятия оно иллюстрирует повышенное внимание, которое уделяется компаниями общению сотрудников с возможными конкурентами, например, с целью передачи клиентской базы данных.

Кейсы внедрения системных решений по информационной безопасности 

Рассмотрим примеры информационной безопасности предприятия из нескольких секторов экономики, чтобы понять, как тенденции отражаются при внедрении системы ИБ.

Сбербанк и тестирование киберзащиты

Среди российских банков на рынок киберугроз первым вышел Сбербанк, создав дочернюю компанию BI.Zone. В ее задачи входит тестирование степени защиты от киберугроз для банков, операторов связи, IT-клиентов. Одной из первых компаний, прошедших через такое тестирование, стала МГТС, московский оператор телефонной связи, входящий в группу предприятий АФК-Системы.

Компания, ставшая новичком на рынке информационной безопасности, предлагает услуги по тестированию каналов связи, решений по кибербезопасности и технической инфраструктуры. Нагрузочное тестирование предполагает выявление потенциальных уязвимостей и незадекларированных возможностей в программном обеспечении иностранных и российских производителей, что пока не принято на российском рынке.

Как замечает группа по оказанию услуг в области кибербезопасности и цифровой криминалистики одной из крупнейших в мире консалтинговых компаний КПМГ, большинство крупных провайдеров и операторов связи проводят тестирования систем самостоятельно. Услуги Сбербанка могут быть привлекательны для небольших банков и компаний как часть общего пакета услуг, оказываемых им. Создание этого сервиса стало одним из инструментов исследования рынка подобных услуг вообще с целью определения степени их востребованности.

Альфа-банк

Один из крупных российских частных банков в 2012-2013 году создал принципиально новую систему ИБ. Сейчас она не отвечает требованиям времени и рекомендациям регулятора, но интересна в качестве примера внедрения системы информационной безопасности на предприятии. Открытые источники показывают, что разработка системы шла по общим принципам, без внедрения уникальных технологий. Сложностью при реализации программы оказалась разветвленная сеть филиалов и точек продаж, создающая потенциальную уязвимость при атаке на каналы связи. 

Также при аудите были выявлены общие болевые точки систем с разветвленной архитектурой:

• большинство случаев потерь информации связано со сбоем и отказом в работе программных и технических средств автоматизации;
• существенное количество внешних атак основывается на широко известных уязвимостях ПО и ОС.

Дополнительной проблемой для банка стало частое посещение сотрудниками сайтов конкурентов, которые при помощи программного обеспечения, схожего по принципу работы с CRM-системами, могут не только точно отслеживать и прогнозировать поведение посетителей, выстраивая свои стратегии, но и внедрять вредоносное ПО. 

Для решения большинства задач информационной безопасности «Альфа-Банк» использовал следующие решения:

• внедрение продвинутой системы аутентификации пользователей системы мгновенных платежей Альфа-Клик (коммунальные услуги, телефония) на основе технологии, продвигаемой компанией А3. В комплекс включены средства аутентификации, авторизации и администрирования. Авторизация применяется при подтверждении действий пользователя сотрудником более высокого ранга;
• шифрование всего трафика при общении с клиентами с использованием новейших СКЗИ;
• применение протоколов VPN при передаче данных;
• разделение секторов сети, в которых запускаются различные процессы, межсетевыми экранами;
• средства контентной фильтрации, которые помогают снизить уровень утечек данных из сети вовне и проникновение в сеть посредством электронной почты спама, фишинговых писем и сообщений, содержащих вложения с вирусами;
• инструменты проверки целостности содержимого дисков;
• системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

В качестве основных аппаратных средств защиты информационной безопасности применены маршрутизаторы производства Cisco. 

Встроенный файрвол позволил реализовать:

• контекстное управление доступом (CBAC);
• блокировку на основе языка Java;
• журнал учета действий пользователей;
• обнаружение и предотвращение атак;
• немедленное оповещение об инцидентах информационной безопасности.

Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей передачи данных, систему управления приоритетами, систему резервирования ресурсов и комбинируемые между собой методы управления маршрутизацией. 

В качестве программного антивирусного средства защиты локальных сетей в 2012-2013 годах был применен Kaspersky Open Space Security, но он продолжает широко использоваться в банковской сфере для защиты информационной безопасности. 

Решение позволяет:

• защитить все типы узлов сети;
• реализовать механизмы защиты от большинства видов внешних атак.

Продукт совместим с программными решениями большинства производителей и лоялен к использованию сетевых ресурсов. Применяемые средства защиты информационной безопасности позволили защитить сеть на высоком уровне.

Реализация системы ИБ на примере АЭС

Задачи, отличные от задач банка, решают специалисты по ИБ, обеспечивающие информационную безопасность АЭС. Управление станциями осуществляет концерн «Росэнергоатом». 

Цифровая трансформация «Росэнергоатома» началась в 2017 году, когда были поставлены две цели:

1. Создание цифрового шаблона опыта эксплуатаций АЭС. Единый инструмент управления системами АЭС должен позволить решать задачи управления процессами и рисками не только на российских, но и на зарубежных проектах концерна, если их собственники будут готовы приобрести информационный продукт. Решение должно быть полностью готово и интегрировано с установленной на всех 16 энергетических объектах SAP ERP к концу 2021 года.
2. Переход на модель управления в рамках интеллектуальной энергетической системы России (ИЭСР). С ее помощью будет происходить управление рисками кибербезопасности на всех энергетических объектах России – от АЭС до гидроэлектростанций. Решение будет реализовано на базе создаваемой в рамках проекта «Цифровая экономика» платформы IoT Energy.

Работа по построению единой системы кибербезопасности предприятий АЭС ведется в рамках решений по проекту «Цифровая экономика» и на основе системополагающих решений МАГАТЭ и Росэнергоатома. Основным требованием до последнего времени являлось полное исключение подключения АСУ ТП АЭС к Интернету, но реализация проекта ИЭСР внесет коррективы в эту политику. 

В 2015 году было зафиксировано более десяти существенных инцидентов кибербезопасности, в основном в США, связанных с проникновением в сеть АЭС извне. Они не привели к авариям, только к массовым отключениям электроэнергии, что стало причиной существенного ущерба. С учетом подобных фактов требуется максимально обезопасить каналы связи АСУ ТП АЭС от внешних подключений.

С точки зрения изучения примеров построения системы информационной безопасности предприятия интересно, как в разных странах разрабатывается модель информационных угроз для АЭС:

• в США используется программа, предназначенная для расчета рисков и их вероятности, установленная на самом объекте;
• Нидерланды привлекают внешних консультантов, имеющих большой опыт аналитики и прогнозирования в сфере информационной безопасности;
• некоторые страны Африки (Зимбабве) применяют метод Дельфи для определения угроз атомной инфраструктуре.

Еще одной особенностью управления рисками кибербезопасности на предприятиях АЭС является то, что современные программные средства защиты считаются недостаточно безопасными для внедрения в программную среду АСУ ТП АЭС, поэтому решением становится ее изоляция от внешнего вмешательства, построение максимально возможной прочной системы внешней защиты. Но это не снимает риски инсайдерских инцидентов. Так, распространенным способом атак стали фишинговые письма, направляемые на электронные почтовые ящики сотрудников АЭС. Эту проблему в сфере информационной безопасности предполагается решать системным обучением персонала.

Построение модели ИБ от Group-IB

Илья Сачков – российский специалист по борьбе с киберугрозами, основатель компании Group-IB. Компания входит в экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью. Специалист создал собственную технологию по борьбе с DDoS-атаками, и ее успешная практика позволяет обратить внимание на ключевые моменты внедрения системы ИБ.  

Решение опирается на три базовых фактора:

• предотвращение;
• разработка;
• расследование.

На уровне предотвращения решаются задачи построения актуальной модели угроз. На уровне расследования используются программы уровня кибернетической криминалистики, применяемые для расследования компьютерных преступлений в правоохранительных органах. Даже если штатные средства Windows не справились с задачей запрета на стирание информации о вмешательстве и приходится искать, кто и как похитил данные или заразил систему вредоносными программами, выявляется виновник инцидента и собираются доказательства, позволяющие привлечь нарушителя к уголовной ответственности. 

Так, приводятся интересные примеры расследования DDoS-атак:

• в первом случае она была направлена на интернет-издания. Анализ IP-адресов, с которых шла атака, позволил выявить темы, затронувшие чьи-то интересы, и найти заказчика;
• во втором атака на рекламный ресурс оказалась связана с его участием в крупном тендере, и конкуренты постарались исключить его из списка конкурсантов.

По результатам расследования удается выявить уязвимости и дополнить или откорректировать модель угроз. Но далеко не все, даже увидев риск, готовы принимать решительные меры по борьбе с киберугрозами.

Общие проблемы построения системы информационной безопасности

Если крупные банки и владельцы объектов критической информационной инфраструктуры хорошо знают, как строить свою модель ИБ, то у 40 % российских компаний нет понимания стратегии в этом вопросе, считает крупнейшая мировая аудиторская компания PricewaterhouseCoopers (PwC). 

Выявлены следующие проблемы:

• почти 50 % российских компаний не уделяют внимания обучению сотрудников основам информационной безопасности;
• 56 % компаний отказываются от внедрения системы реагирования на инциденты из-за ее экономической, на их взгляд, неэффективности;
• только 19 % компаний уверены в том, что их программно-аппаратные средства позволят идентифицировать виновника инцидента;
• 25 % компаний уверены в том, что основной риск несут мобильные устройства сотрудников, но не готовы внедрять программные решения по обезвреживанию угрозы.

Пока руководители компаний только приходят к мысли о необходимости тестирования уязвимости, даркнет пополняется предложениями по продаже данных, обеспечивающих доступ к уже взломанным системам защиты. 

Эксперты предполагают, что ситуация с угрозами в 2020 году будет развиваться по следующим направлениям:

• понимание невозможности построения идеальной системы защиты приведет к росту рынка SIEM-систем, позволяющих наиболее быстро выявлять инциденты и реагировать на них;
• усилится охота за обученными кадрами, компании станут вкладывать больше средств в создание совместных с вузами программ обучения специалистов по кибербезопасности;
• усилится роль единых государственных систем управления инцидентами – ФинЦЕРТ, ГосСОПКА, ИЭСР;
• благодаря новым криминалистическим технологиям начнется выявление хакерских группировок, контролирующих незаметно сети компаний уже несколько лет;
• повысится роль ОС, не содержащих известные уязвимости;
• в связи с ростом защищенности крупных компаний повысится число атак, направленных на их поставщиков и подрядчиков.

Учитывая эти аспекты и уже проработанные примеры внедрения системы информационной безопасности предприятия, нужно выстраивать стратегию ИБ компании на ближайшие годы.

06.02.2020