Цифровизация и автоматизация бизнес-процессов – не просто тренд, а необходимость, повышающая конкурентоспособность предприятия. Перенос обработки информации с бумажных носителей в электронные базы данных создал определенные риски для бизнеса, устранение которых стало самостоятельным бизнес-процессом. Внутренние угрозы информационной безопасности в большинстве случаев опаснее, чем внешние, так как они реализуются при помощи персонала, часто отвечающего за защиту данных. 

Стандарты определения факторов риска

Под угрозой информационной безопасности понимают фактор, явление, событие, вызванные объективными или субъективными причинами и способные повлиять на ключевые свойства информации:

• конфиденциальность,
• целостность,
• доступность.

Классификацию рисков можно найти в руководящих документах ФСТЭК РФ и в ГОСТе, посвященном вопросам информационной защиты. Под внешними угрозами традиционно понимаются хакерские атаки, деятельность иностранных разведок или криминальных группировок, направленная на хищение информации. Внутренние представляют собой совокупность технических и программных ошибок и неправомерных действий сотрудников предприятия – инсайдеров.

Классификация рисков

На сайте ФСТЭК РФ приведен справочник угроз информационной безопасности, сейчас в нем перечислено более 200 видов рисков. По каждому из них указываются описание, источник, объект воздействия и результат реализации угрозы. 

Фильтр поиска позволяет выявить риски, возникающие внутри информационного периметра компании. Они ранжируются по степеням:

• угрозы, создаваемые нарушителями с низким потенциалом. Этот уровень возможностей гипотетического нарушителя предполагает, что для доступа к данным или их уничтожения он способен использовать только технические или программные средства, полученные из общедоступных источников;
• угрозы, создаваемые нарушителями со средним потенциалом. Уровень возможностей нарушителя предполагает наличие опыта выявления ошибок в программном коде и использования уязвимостей;
• угрозы, создаваемые нарушителем с высоким потенциалом. Эти нарушители имеют возможность использовать специальную аппаратуру и делать программные закладки, к ним ведомство относит иностранные технические разведки.

В первой категории чуть более 90 угроз. Дополнительно можно провести фильтрацию по свойству информации, которое подвергается риску, – конфиденциальность, целостность, доступность.

Наиболее значимые угрозы:

• использование непроверенных пользовательских данных, затруднения с идентификацией;
• проблемы с аутентификацией, повторный ввод уже использованной для входа в сеть информации;
• утрата доступа внешнего пользователя к каналам связи;
• использование уязвимых версий программного обеспечения;
• внедрение вредоносного кода в дистрибутив ПО;
• физическое устаревание аппаратных компонентов;
• заражение компьютера при посещении опасных сайтов;
• несанкционированное повышение привилегий администратора;
• утрата носителей информации;
• утечка данных, обрабатываемых в облаке;
• подделка записей журнала регистрации событий;
• перехват информации на периферийных устройствах;
• несанкционированное изменение настроек систем защиты.

Как видим угроз неверной настройки программного обеспечения намного больше, чем угроз, генерируемых пользователями, желающими получить конфиденциальные сведения для передачи третьим лицам или для продажи. Как показывает судебная практика, инсайдеры обычно копируют незащищенные данные, используя собственные учетные записи или логины и пароли коллег. Часто это происходит по заказу операторов теневого рынка информации, использующих слабости кадрового потенциала организации.

«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных. 

ФСТЭК выделяет пять субъектов угроз информационной безопасности, генерируемых внутри организации, ее сотрудниками или контрагентами: 

• непрофессиональные системные администраторы, допускающие ошибки по незнанию или не решающие типовые задачи;
• системные администраторы-злоумышленники, намеренно использующие свои знания для причинения ущерба предприятию и защищаемым массивам информации;
• неопытные сотрудники, отвечающие за создание и настройку системы распределенных ресурсов сети (удаленные рабочие места, облачные хранилища, сервисы для коллективной работы над проектом);
• не обученные правилам информационной безопасности пользователи, способные по незнанию причинить ущерб информационной системе, например, заразить ее вирусами;
• инсайдеры-злоумышленники.

Интересно, что тенденции первого полугодия 2020 года показывают: наиболее уязвимым звеном в системе безопасности предприятия становятся неинформированные и плохо обученные сотрудники. 

Исследователи PricewaterhouseCoopers обращают внимание на существенный рост случаев:

• хищения данных компаний при помощи технологий социальной инженерии (фишинг, компрометация деловой электронной почты и др.);
• затруднения работы бизнеса из-за спама;
• использования хакерами недостатков и уязвимостей облачных технологий.

Подготовка персонала, организованная на постоянном и системном уровне, поможет серьезно снизить риск внутренних угроз информационной безопасности предприятия. Параллельно нужно актуализировать модель угроз и использовать технические и программные меры борьбы со злоумышленниками. 

При анализе угроз, носителями которых становятся злоумышленники со средним потенциалом, картина немного меняется. 

Ведомство выявило немногим более 50 типов угроз в этой категории. Среди основных:

• перехват управления информационной системой;
• утечка информации с рабочих станций, не подключенных к Интернету;
• агрегирование данных, обрабатываемых на мобильном устройстве;
• подмена программного обеспечения;
• включение в ИС компонентов, испытания которых были недостоверными;
• внешнее изменение файлов, вызывающее сбой в их обработке;
• перехват сведений, переданных по скрытым каналам;
• использование слабостей кодирования входных данных.

Многие угрозы, например, перехват управления информационной системой, носят комплексный характер. Они создаются путем использования уязвимостей программного кода или слабостей технологических протоколов передачи данных. Угрозы, реализуемые преступником со средним потенциалом, часто направлены на крупные компании, сведения о которых настолько ценны, что стоимость разработки комплексных программных продуктов, предназначенных для хищения данных, намного ниже, чем предполагаемая прибыль. 

Меры устранения рисков 

Работа по устранению основных групп рисков строится по алгоритмам, предусматривающим ограничение несанкционированного доступа. 

Основные принципы выстраивания системы защиты:

• если для компании предполагается только реализация внутренних угроз, создаваемых инсайдерами с низким потенциалом, стоимость создания систем защиты не должна быть выше, чем для предотвращения обычных бизнес-рисков;
• если существует вероятность реализации угроз среднего уровня, система защиты должна быть выстроена таким образом, чтобы стоимость взлома ИС была сравнима с ценой данных.

Выбор стратегии защиты должен строиться на анализе факторов, влияющих на формирование рисков. В условиях перевода бизнеса на дистанционную работу, когда общение сотрудников с офисом осуществляется по удаленной связи, возникает риск пересечения внешних и внутренних угроз. 

Новой серьезной задачей становится обеспечение безопасности облачных технологий, при работе с которыми ФСТЭК выявляет около 10 зон риска. Под облачными серверами следует понимать не только облачные хранилища данных, в которые компании переносят свои архивы, но и такие общеупотребимые сервисы, как:

• электронная почта;
• SRM-системы, где часть информации хранится на сервере поставщика услуг;
• бухгалтерские программы и офисные приложения, устроенные по тому же принципу.

Многие компании не думают о рисках хранения информации на внешних серверах, хотя иногда службы безопасности поднимают вопрос о запрете обработки конфиденциальных данных в облаке. Основным риском считается то, что к данным получает доступ провайдер услуг, который может воспользоваться ими в своих целях.  

Существуют и другие риски:

• периоды отказов в предоставлении услуг из-за технологических проблем провайдера или в моменты обновления программного обеспечения. Это временно приостанавливает бизнес-процессы компании, что приводит к падению прибыли;
• неанонсированное обновление ПО провайдера, которое замедляет или останавливает работу, перестраивает налаженные бизнес-процессы;
• несоответствие системы защиты облачных серверов требованиям регуляторов по защите определенных категорий конфиденциальной информации. Это грозит привлечением к ответственности за нарушение законодательства. Причем ответственность будет возложена на компанию, не проявившую должной осмотрительности при выборе поставщика услуг.

Перенос части активности компании в облачную среду необходимо контролировать по всем указанным параметрам. Это снизит уровень рисков для информационной безопасности компании.

Алгоритм защиты от них выглядит следующим образом:

• определение потенциала гипотетического нарушителя – низкий или средний;
• выявление среди персонала указанных групп потенциальных нарушителей, исключение одной или нескольких из них;
• выработка мер защиты от угроз, которые могут возникнуть в результате действий нарушителей, замена неквалифицированного ИТ-персонала, обучение пользователей;
• внедрение программных и технических мер защиты от квалифицированных нарушителей;
• усиление контроля за облачными технологиями.

Реализация этого алгоритма позволит снизить уровень большинства рисков без существенных затрат для бизнеса. Регулярный пересмотр модели угроз, переобучение сотрудников и переформатирование систем защиты необходимо для сохранения высокого уровня ИБ в организации.

01.06.2020