Системы комплексной защиты информации стали необходимыми не только для крупных трансконтинентальных корпораций. Они повсеместно внедряются и в небольших бизнес-структурах, и в государственных учреждениях. Иногда необходимость усиления мер безопасности связана с лицензионными требованиями или важностью защиты персональных данных. Чаще существующие угрозы конфиденциальности данных требуют осовременить подходы к системе корпоративной информационной безопасности.

Важность защиты информации в корпоративных системах

Корпоративные информационные системы редко разрабатываются с «нуля», с учетом всех современных методов и средств защиты данных, актуальных моделей угроз, потребностей корпорации на текущем этапе ее развития. Чаще они развиваются эволюционно, надстраивая свою инфраструктуру по мере возникновения производственной необходимости. Это приводит к появлению «слепых мест» в безопасности, уязвимостей отдельных секторов.

Корпоративные информационные системы делятся на две группы:

1. построенные по модульному принципу, все элементы которых связаны в высокой степени. Именно так строятся новейшие ERP-системы;

2. сборные, в которых различные модули автоматизации (бухгалтерия, кадры, управление производственными процессами) выполняются различными разработчиками ПО и не всегда эффективно взаимодействуют.

При том, что компании далеко не всегда своевременно модернизируют ПО, а методы нападения развиваются активно и поступательно, устаревшие модели информационной защиты становятся не в силах с ними справиться. 

У компании появляется необходимость в следующих действиях:

• описание актуальных моделей угроз, для отражения которых нужна система защиты информации;
• анализ текущего состояния системы;
• выработка и внедрение плана актуализации мер безопасности. 

Не стоит рассчитывать на то, что целостность и конфиденциальность информации в корпоративных системах страдает только от утечек, вызванных действиями хакеров или инсайдеров. Нарушение целостности защиты информационного периметра может привести и к более серьезным рискам. Так, все чаще встречаются атаки, связанные с вмешательством в работу систем управления и безопасности промышленных объектов или объектов критически важной инфраструктуры. Стоит вспомнить атаку АРТ-группы BlackEnergy на систему управления «Прикарпатьеоблэнерго» в 2015 году: несколько десятков тысяч жителей остались без света, а компания понесла серьезные убытки. В корпоративную систему попал троян, вредоносная программа, и система корпоративной защиты данных оказалась не в состоянии блокировать такое нападение. 

Значимые угрозы сегодня выглядят следующим образом:

• нарушение конфиденциальности информации. Под этим подразумевается утечка данных, вызванная различными причинами – от действий хакеров до размещения закладных устройств;
• нарушение целостности информации;
• отказ автоматики причинам неисправности аппаратуры или саботажа, затруднение доступа к ресурсам из-за преднамеренных или непреднамеренных действий пользователей.

Для каждой компании степень существенности ущерба, причиненного в результате реализации угроз информационной безопасности, будет различной. Соответственно, разрабатывая систему комплексной защиты информации и собственные политики безопасности, необходимо определить пирамиду ценностей, с учетом которых классифицировать угрозы по степени значимости, финансовой, и социальной.

Анализ защищенности корпоративных систем

Нормативные документы, издаваемые на уровне государства, например, Доктрина информационной безопасности, утверждают, что степень существенности угроз увеличивается из-за недостаточной подготовки специалистов ИТ-сферы и слабости многих продуктов ПО отечественной разработки, далеко не всегда успевающих учитывать вновь возникающие риски. 

Поэтому для каждой компании первыми шагами в построении собственной системы защиты становятся анализ ее готовности к работе в текущей ситуации и подготовка плана перестройки и модернизации. Иногда задачу облегчают уже существующие государственные стандарты защиты, предусмотренные документами ФСТЭК, но многие проблемы приходится решать самостоятельно. 

На этом уровне необходимо опираться на экспертное мнение, учитывающее релевантные современные угрозы и предлагающее наиболее адекватную конфигурацию корпоративной сети.

Уровни защиты от несанкционированного доступа

Выстраивая структуру защиты от несанкционированного доступа к корпоративным системам, нужно учитывать, что одни задачи решаются в ситуации, когда все данные хранятся в одной системе, совсем другие требуется решить в организации со множеством филиалов и обособленных отделений. Сложно обеспечить безопасность объектов информационной безопасности в ситуации, когда часть данных находится в облачных системах хранения, например, при размещении там архивов и бухгалтерских баз данных организаций. 

Выделяют следующие варианты несанкционированного доступа:

• целевые атаки на конкретные системы или информационные ресурсы. Их объектами становятся базы данных, передача сведений, системы управления. Такие атаки направлены на причинение вреда конкретной компании;
• киберинфекции, вредоносные программы, рассылаемые хаотически по множеству организаций и не имеющие строгого целевого характера по объекту покушения, но часто направленные на причинение финансового ущерба (например, списание денег со счетов);
• угрозы, вызванные человеческими ошибками или преднамеренными действиями сотрудников компании или ее контрагентов. Именно они наиболее часты, по данным исследования «СёрчИнформ», с ними связано 74 % всех ИБ-инцидентов в организациях. Но, так как инсайдеры не всегда обладают всей полнотой информации, они редко приносят существенный ущерб, за исключением намеренного хищения интеллектуальной собственности.

В американской практике защиты информации выделяют три группы лиц, заинтересованных в намеренном хищении данных компании:

• «большие парни» – конкуренты, имеющие прочное положение на рынке. Они редко пользуются незаконными способами хищения данных или привлекают хакеров, но с успехом могут переманить ключевого сотрудника, получив всю имеющуюся в его распоряжении информацию. Например, один из бывших сотрудников Google передал Uber несколько тысяч файлов, связанных с разработкой технологий беспилотных автомобилей;
• «спойлеры» – только выходящие на рынок компании-конкуренты. Их агрессивная политика допускает наем хакера, чтобы похитить базу данных клиентов или иную интеллектуальную собственность. Так, в той же компании Uber в 2016 году хакеры похитили сведения о 50 миллионах клиентов и 7 миллионах водителей. Фирма скрыла информацию об атаке от регулятора, выявила хакеров и заплатила им около 100 тысяч долларов за то, чтобы сведения были уничтожены;
• «пираты», для которых не существует никаких стандартов поведения. Если предполагается угроза хищения данных со стороны этой группы конкурентов, меры безопасности должны стать всеобъемлющими, охватывать не только рабочие станции компании, но и мобильные устройства сотрудников, вплоть до ограничения права использования некоторых приложений, если устройство применяется для корпоративных переговоров.

Большинство компаний начинает работу по построению системы защиты с организационных мер – создания политик информационной безопасности и разграничения уровня доступа сотрудников к базам данных. Но иногда решение задачи именно таким путем оказывается менее эффективным, чем оперативное техническое перевооружение. Межсетевые экраны, ограничение прав сотрудников, оперативная смена паролей внедрены практически везде, но количество инцидентов в сфере информационной безопасности продолжает увеличиваться. По данным «Ростелекома», в 2018 году оно удвоилось по сравнению с 2017-м. 

Актуальные меры безопасности

При разработке систем корпоративной информационной безопасности, особенно для промышленных предприятий и компаний финансового сектора, для которых стоимость утечек информации и иных инцидентов может оказаться наиболее высокой, нужно опираться на существующие стандарты, уже зарекомендовавшие себя в этой сфере работы с данными и борьбе с угрозами кибербезопасности. Одним из них является широко используемый стандарт ISO 17799 и его модификации, частично отраженные в российских ГОСТах. В более узком смысле успешным решением станет модель Adaptive Security Architecture (ASA), впервые вышедшая на рынок в 2014 году. В рамках этой модели на приоритетную позицию ставится защита от целевых атак, но в то же время она обеспечивает максимально возможную оборону от всех внутренних и внешних угроз, предусмотренных политиками безопасности конкретной организации. 

Модель ASA предполагает построение архитектуры безопасности на четырех уровнях:

• предсказание (прогнозирование);
• предупреждение (предотвращение);
• выявление (детектирование) угроз;
• реагирование.

Предсказание

Предсказание становится ключевой задачей служб IT-безопасности корпораций в части защиты информации. Необходимо понять, какие именно угрозы наиболее вероятны для данной компании, а также определить специфику ее человеческого фактора. Здесь потребуется целенаправленная работа с потоками больших данных об угрозах, в которых отдельное подразделение, ответственное за информационный мониторинг, сможет использовать SIEM-системы. Также такая информация может закупаться у определенных поставщиков. На ее основании команда сотрудников, отвечающих за защиту информации, разрабатывает и вносит предложения о доработке корпоративных информационных систем.

Помимо прочего, существуют доступные инструменты анализа систем и степени их защищенности от угроз проникновения, для промышленных предприятий это Shodan, Censys, Vulners. Они позволят регулярно проверять ресурсы, находить в них новые уязвимости и повышать степень безопасности.

В прогнозировании также используется:

• обмен информацией среди предприятий одной отрасли на конференциях или в рамках частного взаимодействия;
• работа с ресурсами государственных и общественных организаций, создаваемых в целях защиты от киберугроз. Так, в России реализована инициатива бизнеса по формированию системы автоматизированного обмена информацией об угрозах в цифровом пространстве.

Предупреждение

Наиболее важный практический шагом, включающий и организационные, и технические меры. В рамках внедрения стандартов выбор и доработка конкретных программных продуктов, обеспечивающих защиту информации, всегда за авторами стратегии. Но в большинстве случаев она будет строиться на использовании современных DLP-систем, которые могут быть доработаны под требования конкретной организации с учетом моделей угроз, актуальных именно для нее.

Для организаций с непрерывным циклом работы, промышленных компаний, предприятий, работающих в сфере финансов и ЖКХ, традиционная модель предотвращения, блокирующая угрозы, может оказаться неэффективной. Ложные срабатывания, останавливающие работу подразделения или элемента производственного цикла, могут причинить существенно больший ущерб, чем предполагаемая утечка.

Точное определение степени опасности угрозы, так, например, риски понести ущерб от действий инсайдеров для коммерческой компании выше, чем риски, связанные с атаками хакеров, от которых чаще страдают банки, должны сочетаться с контролем безопасности данных, содержащихся на личных мобильных устройствах сотрудников. Так, поступление некорректной информации на рабочий ноутбук инженера, обслуживающего энергетический объект или нефтяную вышку, может причинить существенный финансовый и социальный ущерб компании.

Обязательной задачей становится информирование сотрудников обо всех типах угроз безопасности. Это повышает безопасность при защите от инцидентов, основанных на человеческом факторе.

Выявление угроз

На этом этапе обеспечения комплексной защиты информации от авторов механизма контроля требуется организовать пассивный мониторинг движения информации внутри периметра защиты, который не создаст рисков остановки технологических процессов. Необходимо точно описать все протоколы передачи данных, особенно технологические, и разработать методику выявления несанкционированных подключений к корпоративной системе. Детектирование угроз должно проводиться в автоматическом режиме с использованием специального ПО.

Реагирование

Инцидентом можно считать нарушение целостности данных, например, ручное изменение температуры хранения горючего. Это позволит его похитить. Система должна не только выявить такое вмешательство и его организатора, но и оперативно отреагировать, послав сигнал службе безопасности или приняв заранее запрограммированные меры. Для этого все технологические процессы должны быть описаны и учтены в организации систем безопасности.

Построение комплексной системы корпоративной безопасности оказывается настолько сложной задачей, насколько сложны технологические процессы компании. Грамотный и своевременно составленный план защиты способен снизить степень большинства рисков.

25.10.2019