Специфика борьбы с внешними угрозами информационной безопасности зависит от сферы деятельности организации. Для большинства компаний внутренние угрозы со стороны сотрудников существенно сильнее внешних, так как они реализуются с большей легкостью и меньшими финансовыми затратами. Для проведения внешней атаки на защищенный периметр требуются значительные ресурсы. Источниками таких угроз часто оказываются конкуренты, криминальные или хакерские группировки. 

Понятие угрозы

По итогам опроса PWC среди крупнейших российских компаний, 45% руководителей считают киберугрозы одной из основных проблем, мешающих развитию бизнеса. В этом же исследовании упоминается, что ущерб, причиняемый киберугрозами мировой экономике, превышает 575 млрд долларов в год. При этом многие киберинциденты остаются скрытыми, так как их разглашение подрывает деловую репутацию, а в США и Евросоюзе еще приводит к многомиллионным штрафам регуляторов, которые могут быть наложены и за утечку данных клиентов, и за отказ от публикации информации о такой утечке. Необходимость компенсировать клиентам моральный и материальный вред приводит к дополнительным издержкам. 

Преступления в сфере информации всегда нацелены на манипуляции с данными, их хищение, изменение, уничтожение, но их результаты могут быть различными:

• остановка производства;
• хищение средств со счетов;
• разглашение конфиденциальной информации;
• подрыв деловой репутации.

Защита от киберугроз всегда строится на защите информации различного уровня – персональных данных, коммерческой тайны, программного кода, журналов учета действий пользователей. 

Информация, обрабатываемая в ИС организаций, должна отвечать трем ключевым требованиям:

• конфиденциальность. Данные ограниченного доступа не должны стать достоянием третьих лиц;
• целостность. Данные не должны искажаться, это приводит к принятию некорректных управленческих решений;
• доступность. Все массивы данных на ПК, сайте, сервере должны быть в любое время доступны их владельцам.

Если какое-либо событие или явление может повлиять на эти характеристики, оно признается угрозой информационной безопасности. 

Угрозы всегда направлены на конкретный объект, им становятся:

• данные;
• программы и приложения;
• оборудование;
• каналы связи;
• система жизнеобеспечения;
• алгоритмы управления.

Внешние злоумышленники реализуют угрозы самостоятельно, используя для проникновения в систему аппаратные либо программные закладки, или через посредников. Последними часто оказываются:

• клиенты и поставщики;
• организации, оказывающие услуги бизнесу;
• проверяющие инстанции.

Криминальные группировки часто внедряют на предприятия «своих» людей, что позволяет атаковать систему изнутри и снаружи. 

Субъекты, реализующие внешние угрозы:

• хакеры, действующие в своих или чужих интересах;
• конкуренты;
• иностранные разведки;
• криминальные группировки.

По данным PWC, не менее 18% внешних угроз информационной безопасности связаны с действиями поставщиков и партнеров. Особенно актуален этот риск для компаний розничного сектора. По мнению их руководителей, доля внешних киберинцидентов, происходящих по этим причинам, составляет до 45% от общего числа. Если реализуется внешняя угроза, связанная с деятельностью иностранной технической разведки, и она инспирируется зарубежными государствами, цели меняются. Мишенями атаки часто становятся провайдеры и поставщики, чьи ноу-хау, создаваемые по заказу государства или в целях удовлетворения потребностей клиентов в повышении уровня ИБ, представляют интерес с экономической и политической точки зрения. 

По отраслям степень риска таких атак распределяется следующим образом:

• нефтегазовая промышленность (11%);
• аэрокосмическая и оборонная промышленность (9%);
• высокие технологии (9%);
• телекоммуникации (8%).

Помимо внешних угроз, реализуемых организациями или гражданами, иногда возникают опасности техногенного или стихийного характера, например, аварии на электроснабжающих организациях или стихийные бедствия. Организованные преступные группировки нацеливают атаки на компании финансового сектора, персональные данные, копии документов, медицинскую информацию.

С точки зрения возможности реализации внешних угроз ИБ в наибольшей зоне риска:

• государственные организации;
• СМИ;
• компании ТЭК;
• электроэнергетика и ЖКХ;
• металлургия;
• компании финансового сектора;
• организации, обрабатывающие персональные данные;
• телекоммуникации.

Классификация угроз

В нормативной документации можно встретить различные классификации угроз. Наиболее полный перечень источников их возникновения можно найти в ГОСТе, посвященном вопросам обеспечения информационной безопасности. Еще один перечень угроз с их описанием выложен на сайте ФСТЭК РФ, по мере появления новых рисков он пополняется. Каждые 14 секунд в мире создается одна новая программа, способная нанести ущерб информационным массивам, но на сайт ведомства попадают не конкретные вирусы или программы для взлома сайтов, а общие характеристики ущерба, который может быть нанесен информационной системе. Классификация угроз ФСТЭК носит утилитарный характер, на ее основе вырабатываются рекомендации по обеспечению защиты ИС различного уровня и осуществляется сертификация программного обеспечения.

Все угрозы, по мнению ведомства, делятся на группы, характеризующиеся разными возможностями злоумышленников. Угрозы низкого потенциала реализуются лицами, способными пользоваться для взлома систем защиты только программными и техническими решениями, полученными из открытого источника. При среднем потенциале злоумышленник способен сам написать программу-зловред или найти уязвимости в программах защиты и использовать их. Высокий потенциал ведомство находит только у иностранных технических разведок. 

Сейчас на сайте представлено 87 угроз, которые реализуются нарушителями с низким потенциалом. Это, например:

• нецелевое использование средств вычислительной техники. На практике информационные ресурсы компаний часто используются хакерами для майнинга криптовалют;
• использование уязвимых версий программного обеспечения. Например, взлом АСУ предприятий вирусом Stuxnet в 2010 году;
• внедрение вредоносного кода в дистрибутив программного обеспечения;
• несанкционированная модификация защищаемой информации, например, замена главной страницы сайта правительственной организации прокламацией;
• фишинг, спам, почтовые черви;
• скрытое включение вычислительного устройства в состав бот-сети;
• шифрование информации, находящейся на сервере;
• «кража» учетной записи для доступа к сетевым или облачным сервисам;
• подмена содержимого сетевых ресурсов;
• кража средств хранения, обработки и (или) ввода/вывода/передачи информации.

Перечисленные угрозы широко распространены, поэтому меры борьбы с ними расписаны в подробностях. Рекомендации ФСТЭК позволят выстроить исчерпывающую систему защиты. 

Нарушители со средним потенциалом могут оказаться виновниками 64 типов нападений, среди них:

• получение несанкционированного доступа к приложениям, установленным на Smart-картах;
• несанкционированное изменение значений параметров программируемых логических контроллеров;
• перехват управления мобильного устройства при использовании виртуальных голосовых ассистентов, что может привести к утечке информации;
• скрытая регистрация в ИС сторонних учетных записей с привилегиями администратора;
• перехват одноразовых паролей в режиме реального времени; 
• подмена субъекта сетевого доступа, благодаря чему к информационной системе получают доступ посторонние;
• передача данных по скрытым каналам, организация утечек, не выявляемых системами мониторинга;
• внешнее управление группой программ через совместно используемые данные;
• несанкционированный доступ к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети.

Внешних угроз информационной безопасности, которые могут создаваться злоумышленниками с высоким потенциалом, всего 12. 

Среди основных угроз со стороны иностранных технических разведок:

• контроль вредоносной программой списка приложений, запущенных на мобильном устройстве. Угроза актуальна при работе удаленных сотрудников и в распределенных сетях;
• удаленное использование привилегированных функций мобильного устройства;
• перехват управления автоматизированной системой контроля технологических процессов и отключение контрольных датчиков;
• перехват управления облачными ресурсами; 
• искажение информации, выводимой на периферийные устройства.

Некоторые типы угроз, указанных ведомством, могут генерироваться и внешними и внутренними источниками. Все более актуальной становится угроза перехвата контроля над смартфонами и другими устройствами, работающими с мобильным интернетом. 

Способы борьбы

Система борьбы с внешними угрозами информационной безопасности строится на совокупности программных и технических решений. Организационные меры в этом случае неэффективны. 

Обычно система защиты выстраивается одним из следующих способов:

• создание собственной многоуровневой системы защиты от киберрисков;
• поручение этой задачи экспертам на аутсорсинге.

Что такое ИБ-аутсорсинг и как он работает? Узнать. 

Часть компаний прибегает к страхованию от киберрисков. В России эта услуга пока не очень распространена, ее предлагают представительства иностранных страховых компаний. Есть мнение, что регулятору необходимо сделать такое страхование обязательной мерой для компаний из некоторых секторов экономики, например, для владельцев объектов критической информационной инфраструктуры. 

Среди комплексных программных решений для защиты от внешних угроз информационной безопасности распространены системы предотвращения вторжений на уровне хоста (HIPS). При их правильной настройке уровень защиты компьютерной системы приближается к 100%. 

Эксперты рекомендуют делить расходы на защиту данных от внешних угроз информационной безопасности на две части. Первая идет на профилактику киберинцидентов и защиту от них, вторая – на выявление и реагирование. 

Затраты на профилактику рекомендуется распределять так:

• защита учетных записей – до 20%;
• обучение персонала основным требованиям безопасности, обучение сотрудников ИТ-подразделений – до 20%;
• мониторинг инцидентов ИБ и поведения персонала – до 23%;
• создание дифференцированного доступа на основе ролевой модели – 19%;
• контроль за привилегиями пользователей – 18%.

Бюджет на обеспечение защиты расходуется так:

• создание системы шифрования для устройств сотрудников, работающих на удаленном доступе – 18%;
• средства борьбы с несанкционированным изменением программного обеспечения – 19%;
• средства блокировки несанкционированного доступа – 20%;
• инструменты предотвращения утечки данных (DLP-системы) – 25%;
• средства защиты от внедрения вредоносного кода – 18%.

Для реализации системы обнаружения внешних угроз информационной безопасности деньги предлагается расходовать следующим образом:

• средства обнаружения вредоносных программ на устройствах удаленных сотрудников – 22%;
• средства обнаружения попыток несанкционированного доступа – 20%;
• сканеры уязвимостей – 20%;
• средства мониторинга доступа к данным и их использования – 20%;
• средства обнаружения вредоносного кода – 18%.

Бюджет на реагирование рекомендуют расходовать так:

• SIEM-системы, выявляющие инциденты информационной безопасности – 17%;
• активный мониторинг внешней среды и анализ полученных данных – 22%;
• оценка угроз – 20%;
• системы корреляции событий безопасности – 21%;
• реагирование на инциденты информационной безопасности – 20%.

Опираясь на эту модель, можно избежать излишнего расходования бюджета, установив действительно необходимые программные решения. До 78% руководителей компаний считают инвестиции в ИБ не только обоснованными, но и создающими добавленную стоимость. Если компания является оператором персональных данных, предложенное соотношение может измениться исходя из пожеланий регулятора. Представленные цифры распределения бюджета являются рекомендательными и актуальными для корпоративных и офисных систем. Для промышленных производств соотношение будет другим изменится, так как возникнет необходимость дополнительной защиты АСУ.

Системная борьба с внешними угрозами информационной безопасности должна строиться на широком анализе внешней среды и построении ИС таким образом, чтобы ее компоненты могли обновляться или заменяться при изменении модели угроз без серьезных расходов и замедления бизнес-процессов организации.

01.06.2020