Совсем недавно компании разного уровня формировали у себя базы данных и использовали их по собственному усмотрению, не задумываясь об информационной безопасности. Времена изменились. В век мобильных технологий, когда даже смартфон может стать орудием кибератаки, на первое место выходит умение организации быстро пресекать несанкционированный доступ к критичным данным для обеспечения информационной безопасность компании. Главная цель – защитить корпоративные сети или базы данных от хакерских атак, паразитного трафика, спама, шантажа и вымогательства. 

Количество хакерских атак ежегодно растет. В 2018 году в России их число достигло 4,3 миллиарда, в два раза превысив показатель предыдущего года. Аналитический центр Сбербанка прогнозирует, что к 2021 году расходы компаний на кибербезопасность в мире увеличатся в 14 раз и достигнут объема в триллион долларов за год, что сравнимо с текущими потерями корпораций от кибератак. Однако многие специалисты скептически относятся к подобным предсказаниям, связывая фиксируемый рост статистических данных с расширением отрасли по предоставлению услуг информационной безопасности и совершенствованием систем обнаружения хакерских атак.  

Национальная и финансовая безопасность общества зависят от способности государства обеспечивать информационную безопасность. В связи с пониманием важности проблемы на государственном уровне принят ряд федеральных законов, формирующих нормативно-правовую базу для обоснования мер и способов защиты информации: 

• Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Государственные органы обеспечивают лицензирование деятельности организаций, работающих в сфере защиты информации, осуществляют сертификацию технических средств. 

Для защиты данных в компьютерных сетях закон выдвигает следующие требования: 

• использовать лицензионные технические средства и программное обеспечение (ПО);
• обеспечить установку и своевременное обновление антивирусных программ;
• регулярно проверять компьютерное оборудование, выявляя вредоносное ПО;
• составить список программных средств (ПС), допустимых к применению;
• наложить запрет на использование ПС, не входящих в список; 
• предусмотреть профилактические меры, пресекающие попадание вирусов в сеть;
• разработать меры по хранению и последующему восстановлению зараженного ПО.

Для предотвращения преступных действий в банковских структурах необходимо разграничивать доступ к данным для внутреннего контроля за сотрудниками и внедрять методы шифрования данных для безопасных электронных взаиморасчетов.

Регулирующую и надзирающую функцию в сфере информационной безопасности в России выполняют: ФСТЭК – Федеральная служба технического и экспортного контроля; ФСБ – Федеральная служба безопасности; ФСО – Федеральная служба охраны; Министерство обороны РФ; Служба внешней разведки РФ; Банк России и Министерство связи и массовых коммуникаций РФ.

Внешние и внутренние угрозы корпоративной сети

На фоне непрерывного развития технологий поводы для беспокойства все же остаются:

• российские компании переходят на тотальное сопровождение и обслуживание бизнес-процессов с помощью информационных технологий, следовательно, возрастает цена ошибки – сбоя в работе информационной системы;
• разрастание внешних и внутренних компьютерных сетей приводит к появлению ранее не известных уязвимостей в операционной среде, что становится причиной появления локальных брешей в системах защиты;
• непрерывное развитие и усложнение интернет-технологий повышает требования к обслуживающему персоналу, процедуре и методам защиты информации в корпоративном и частном бизнесе.

Для решения данных проблем необходимо уделять постоянное внимание совершенствованию информационной безопасности предприятия: выявлять, изучать и устранять уязвимости в ОС, привлекать к работе специалистов. В связи с этим руководители 70% организаций, связанных с использованием операционных технологий, планируют в следующем году разработать собственные стратегии кибербезопасности и увеличивают бюджет на ее осуществление.

Создание системы защиты необходимо в первую очередь в крупных организациях с многоуровневой структурой и подразделениями в других городах. Это банки, государственные органы, крупные промышленные компании. Часто корпоративные сети в таких организациях неоднородны: в отделах собрано компьютерное оборудование разных производителей, которое различается по году выпуска или времени обновления программного обеспечения. Пользователи имеют различный уровень компьютерной грамотности. Эти факторы сильно затрудняют процесс обеспечения безопасности и управления единой сетью.

Исследователи установили, что в 2018 году по всему миру большинство атак с использованием IT-сетей было направлено именно на промышленные сети с устаревшим ПО. Хакеры делали попытки перехватить управление оборудованием, работающим в системах водо- и электроснабжения городов, крупных промышленных предприятий, судоходных линий. Чтобы обеспечить общественную безопасность и минимизировать риски, на крупных предприятиях необходимо разрабатывать и внедрять пошаговые методики, направленные на стабилизацию операционных систем в нестандартных ситуациях.

Малый и средний бизнес также нуждается в защите частной информации. Почти три четверти компаний во всем мире в 2018 году из-за проникновения вредоносного кода столкнулись с сокращением продуктивности и доходов, утечкой интеллектуальной собственности, снижением доверия к бренду.

В настоящее время, многие бизнес-процессы, начиная с обмена корреспонденцией по электронной почте и заканчивая оплатой услуг или товаров через Интернет, проходят в информационно-телекоммуникационной сети. Компании любого масштаба вынуждены придерживаться политик безопасности, чтобы избежать утечки конфиденциальной информации или финансовых данных, отрицательно сказывающейся на доверии клиентов.

По мнению специалистов, источником опасности могут быть как люди со стороны, так и сотрудники компании. 

Основными угрозами для корпоративной сети остаются:

• компьютерные вирусы – «черви», «трояны»; 
• фишинг-атаки;
• шпионское ПО;
• программы-вымогатели;
• спам;
• неблагонадежные сотрудники (саботаж, внутренние утечки данных).

Внедрение вредоносных программ приводит к сбоям в работе сети, что приносит финансовый и имиджевый урон компаниям. 

Спам – мусорная корреспонденция, поступающая на электронную почту, один из главных каналов проникновения в компьютерные системы вирусов и программ-шпионов. Экономия на установке качественных спам-фильтров приводит к финансовым потерям в организации за счет расходования интернет-трафика и траты рабочего времени персонала на выискивание важных писем среди гор ненужной информации. 

Вредительские действия по отношению к компании, совершенные ее сотрудником под влиянием эмоциональной агрессии, получили название «корпоративный саботаж». Саботировать работу информационной инфраструктуры предприятия может любой сотрудник компании, обидевшись на коллег или руководство. Озлобленный человек не старается извлечь финансовую выгоду из своего поступка, им движет единственное желание – навредить: стереть информацию, разослать клиентам спам от имени начальника. Уничтожение важной информации чревато скандалом в коллективе или, в худшем случае, многомиллионными потерями. Поэтому необходимо учитывать человеческий фактор и принимать на работу проверенных людей.

Найти опасных сотрудников помогает правильно настроенная DLP. «СёрчИнформ КИБ» анализирует рабочую переписку и вовремя сообщает о подозрительном содержании сообщений ИБ-специалисту. Узнать больше.

Способы защиты информационных систем

Система информационной безопасности направлена на решение следующих задач:

• обеспечение свободного доступа к базам данных для авторизованных пользователей;
• обеспечение конфиденциальности информации для пользователей разного уровня доступа;
• защита информации от уничтожения, несанкционированного копирования или изменения.

Обеспечить целостность данных в информационной системе организации позволяет создание многоуровневого защитного барьера. 

Ограничение доступа к ресурсам обеспечивается следующими способами:

1. Физическая безопасность офиса. Для размещения рабочих станций и серверов компании должны быть выделены специальные помещения, запираемые на ключ, находящиеся под охраной и видеонаблюдением. Необходим контроль: за уничтожением корпоративных данных, сохранившихся на жестком диске, вышедшего из строя или морально устаревшего оборудования. Для посторонних лиц и неаттестованных сотрудников доступ к сетевым устройствам и оборудованию должен быть ограничен.

2. Межсетевой экран (файрвол или брандмауэр). Отвечает за фильтрацию сетевых пакетов в соответствии с заданным уровнем контроля доступа: разделяет сети, не позволяет пользователям нарушать установленные правила безопасности.

3. Виртуальные корпоративные сети (Virtual Private Network – VPN) благодаря использованию криптографических средств обеспечивают для пользователей безопасный канал доступа к информации компании из открытых сетей (Wi-Fi в местах общего пользования, домашние сети).

4. Системы обнаружения атак. Система обнаружения вторжений (Intrusion Detection System – IDS) – аппаратное или программное средство, выявляющее все случаи несанкционированного управления компьютерной сетью через Интернет или неавторизованного доступа к ней. Система предотвращения вторжений (Intrusion Prevention System – IPS) отслеживает и пресекает их в реальном времени.

5. Средства антивирусной защиты информации. Программное обеспечение, нацеленное на комплексную защиту от вредоносных программ компьютерных сетей и мобильных устройств. Параллельная установка нескольких антивирусных программ, использующих различные способы выявления вирусов, является наиболее эффективным решением.

6. Антиспам. Для фильтрации спама, присылаемого по электронной почте, используются специализированные сервисы и программное обеспечение, а также самописные решения специалистов информационно-технического отдела компании.

7. Создание «белых» и «черных» списков. Система безопасности руководствуется принципом допуска к работе только разрешенных программ из «белого» списка или по умолчанию осуществляет запуск любых приложений, если они не внесены в «черный» список.

8. Обновление ПО. Программы необходимо своевременно обновлять, чтобы поддерживать в актуальном состоянии. Как правило, разработчики в каждом обновлении устраняют уязвимости безопасности, выявленные в предыдущей версии. При наличии в компании квалифицированного системного администратора обновления ОС производятся централизованно в режиме удаленного доступа.

9. Независимый аудит корпоративной информационной безопасности. Осуществляется с привлечением специализированных организаций. Помогает выявить шпионское ПО, установленное дистанционно или локально. 

10. Обучение руководства и сотрудников организации методам информационной безопасности, внедрение систем защиты информации: SIEM (Security Information and Event Management), обеспечивающей сбор и анализ внутрисетевой информации; DLP (Data Leak Prevention) – системы контроля сотрудников, позволяющая предотвратить утечку коммерческих данных. 

11. Аутсорсинг информационной безопасности. Функции по обеспечению кибербезопасности компании выполняют на основании договора сотрудники другой организации, специализирующейся в области ИБ.

ИБ-аутсорсинг от «СёрчИнформ» – специалисты с опытом, надежная DLP и оперативные отчеты об инцидентах. Узнать подробнее.  

Применение перечисленных способов защиты сети по отдельности не станет панацеей, но в комплексе они способствуют обеспечению информационной безопасности и помогают выстроить надежную защиту предприятия от внешних информационных угроз. 

По расчетам специалистов, рынок движется в направлении экономии ресурсов: финансовых и «человекочасов». Поэтому у компаний будут востребованы разработчики ПО, способные обеспечить решение максимального количества задач одновременно. Программы будущего – это сложные междисциплинарные разработки, позволяющие не только регистрировать и отслеживать мошенничество, но и предотвращать его на основе понимания мотивов поведения человека. 

Еще один нарастающий тренд современности – это сокращение потребности в большом количестве персонала по кибербезопасности и рост требований к его квалификации. В информационной безопасности в целом растет необходимость выявления и воспитания «умных кадров».

Рекомендации по организации информационной безопасности в частном секторе

Самостоятельно создать полноценную защиту информационных ресурсов малому или среднему бизнесу сложно. По оценке специалистов IT-TEAM SERVICE, на долю частного сектора приходится около 8 % от общего объема услуг организаций, специализирующихся на информационной защите. Однако сейчас, когда даже малый бизнес немыслим без точек удаленного доступа, мобильных технологий и платежных систем, защита персональных данных индивидуального предпринимателя и клиентов становится жизненной необходимостью. 

Рекомендации для сокращения затрат на информационную безопасность:

1. При невозможности установить программное обеспечение высокого класса можно привлекать экспертов в области информационной безопасности для аудита имеющегося ПО и консультаций по созданию персональной защиты. 
2. Предпринимателю необходимо организовать регулярный мониторинг кибербезопасности на предприятии, научиться самостоятельно определять угрозы и уязвимости.
3. Планы по созданию или расширению бизнеса должны предусматривать обеспечение безопасности информационных ресурсов, чтобы еще на начальном этапе конкуренты не перехватили идею или не помешали развитию предприятия. 
4. Заниматься самообразованием: самостоятельно изучать нормативно-правовую базу в области информационной безопасности, проблемы, с которыми сталкивались индивидуальные предприниматели, по правовым вопросам консультироваться у юристов, специализирующихся в данной сфере.

Консультация эксперта, возможно, не защитит от проблем, уже возникших из-за долговременного пренебрежения защитой информационных ресурсов, но выявит проблему и поможет избежать подобных ситуаций в дальнейшем.

Многие компании разрабатывают собственную внутрикорпоративную политику в отношении кибербезопасности, которой должны придерживаться все сотрудники. Часто в нее включаются пункты, полностью регламентирующие поведение пользователя, например: 

1. Сотрудники не могут рассчитывать на конфиденциальность информации, отправляемой и получаемой с помощью компьютерного оборудования компании. Руководство имеет право проверять всю входящую и исходящую информацию.

2. Компьютеры являются собственностью компании и могут использоваться сотрудниками исключительно для работы. Запрещается копировать файлы без согласования с владельцем информации. 

3. Сотрудникам настоятельно рекомендуется соблюдать требования системного администратора по установке и обновлению программного обеспечения.

4. Вся информация, исходящая от имени сотрудников юридического отдела компании, должна содержать в нижнем колонтитуле на каждой странице пересылаемого документа заверительную надпись: «Защищено адвокатским правом. Без согласования не копировать и не пересылать».

5. Пользователь несет полную ответственность за сохранность своих паролей. Запрещается их распечатывать и хранить в доступном месте.

6. Запрещено пересылать по электронной почте и размещать в сети с компьютеров компании клеветническую, оскорбительную, угрожающую или противозаконную информацию.

Советы экспертов

Чтобы избежать уничтожения или кражи данных с жесткого диска, шантажа или вымогательства денег, сбоев в работе персонального компьютера, взлома почты или рассылки спама с рабочего ПК или ноутбука, помимо выше приведенных способов информационной защиты, необходимо придерживаться рекомендаций ведущих экспертов по интернет-безопасности:

• Не открывайте письма, не скачивайте вложения, не переходите по ссылкам, которые вам незнакомы или кажутся подозрительными. Высок риск заполучить компьютерный вирус или шпионское ПО.
• Не делитесь личной информацией в социальных сетях.
• Сохраняйте важную информацию не на ПК, а на внешних накопителях (флешки, CD, DVD, внешние жесткие диски).
• Используйте программы шифрования для важной информации и менеджеры паролей, предотвращающие попадание персональных данных к посторонним лицам.
• Соблюдайте правило: придумывайте сложные пароли и логины (сочетания букв в разных регистрах, цифр и спецсимволов). 
• Для снижения спам-нагрузки заведите два e-mail адреса: первый – для частной переписки, его нельзя публиковать в открытых источниках; второй – для публичной деятельности (соцсети, форумы, магазины, регистрация на сайтах).
• При необходимости сообщить приватный адрес прикрепляйте его к тексту в виде картинки. Это затруднит автоматическое прочтение роботом – сборщиком адресов.
• Никогда не отсылайте писем в ответ на спам, иначе поток рекламного мусора увеличится в разы, так как адрес будет помечен как «живой».

Всесторонняя защита информационных ресурсов в корпоративном и частном секторе должна быть основана на сочетании правовых, организационных, программно-аппаратных методов и социального подхода, учитывающего человеческий фактор. Необходимо соблюдать разумный баланс между издержками на обеспечение безопасности информации и реальной ценностью этих данных для предприятия.

14.10.2019