Главная / Бизнес / Эксперт по защите данных и бизнеса: «В безопасности нет разделения на корпоративное и личное»

Эксперт по защите данных и бизнеса: «В безопасности нет разделения на корпоративное и личное»

Эксперт по защите данных и бизнеса: «В безопасности нет разделения на корпоративное и личное»

Вопросы безопасности, в частности, информационной, являются наиболее чувствительными для бизнеса. Об этой стороне ведения дел, как правило, стараются не распространятся. Особенную осторожность в вопросах безопасности проявляют финансовые организации. «Деньги любят тишину», и любые лишние истории вокруг сохранности и безопасности финансовых организаций чреваты серьезными проблемами в бизнесе.

Наш сегодняшний собеседник – CEO Compliance Control Ukraine Михаил Магун. Он организовывал работу систем безопасности в нескольких крупных украинских банках и ИТ-компаниях, при содействии Еврокомиссии вел в Украине собственные проекты по защите данных. В виде исключения он рассказал Forbes об основных тенденциях в сфере безопасности бизнеса, в том числе – по защите от мошенничества, информационных утечек и «мобильных» рисков.

– В СМИ можно прочитать, что полная информационная безопасность – это иллюзия. А в условиях войны спецслужбы могут получить доступ к любой информации любого физического и юридического лица. И что лучший способ обезопасить свою информацию – не пользоваться современными средствами связи. Учитывая коррумпированность силовых структур в Украине, не исключено получение доступа к информации компании с использованием средств и полномочий разведки и силовиков.
Пожалуйста, объясните – существует ли в таких условиях возможность полной защиты для компании, ведущей активную деятельность?

– 100%-ной безопасности не существует. При самых лучших средствах защиты могут оставаться слабые места в ИТ-системах. Также нельзя исключать и человеческий фактор, ведь невозможно приставить часового к каждому сотруднику. В статистике серьезных инцидентов часто фигурируют компании с мировым именем или государственные структуры, инвестирующие в безопасность серьезные средства.

Один из последних громких взломов: взлом серверов Equation Group – одного из подразделений Агентства национальной безопасности США. Equation Group занималась кибер-шпионажем, в том числе разработкой эксплойтов – специальных программ, которые применяются с целью использования уязвимостей ИТ-систем для проведения атак.

Я бы рекомендовал начинать работу с общих организационных мероприятий, которые, как правило, не требуют инвестиций в безопасность. Например, систематизировать права доступа пользователей, определить, кому из сотрудников нужны какие системы, какие права при этом у кого есть

Топ-менеджеры, сотрудники, работающие с чувствительной информацией, ИТ-специалисты всегда будут в зоне риска. Они могут быть обмануты, они могут работать на конкурента, иметь какую-нибудь личную мотивацию или допустить ошибку. Вся информационная безопасность построена на том, чтобы управлять рисками и уменьшать вероятность возникновения тех или иных угроз.

Ответ на ваш вопрос – нужно определить существенные угрозы для бизнеса и максимально снизить вероятность реализации этих угроз.

– Какие первоочередные шаги по безопасности вы считаете необходимыми?

– Информационная безопасность (ИБ) – это не только защита конфиденциальной информации, а и обеспечение целостности, доступности на основе анализа рисков. Необходимо учитывать бизнес-процессы компании и строить информационную безопасность так, чтобы она не была сама по себе, а защищала бизнес.

Читайте также:  Продажа ОПЗ: на какие шаги готов пойти Кабмин

Начинать я бы рекомендовал с определения целей и постановки наиболее приоритетных задач. Например, цель – предотвращение мошенничества. При такой цели задачами будут мониторинг и расследования: анализ инцидентов в ИБ, связанных с мошенничеством; принятие превентивных мер, выполнение внутренних проверок и контроля.

Исходя из этих задач, следует определить, кто будет их выполнять. Хорошо, если есть возможность взять на работу специалиста/специалистов по безопасности. Но если такой возможности нет – можно совмещать задачи ИБ с другими, при условии, что не будет конфликта интересов. К примеру функция контроля ИТ не должна принадлежать ИТ-департаменту, мониторинг операций не должен проводить тот, кто их непосредственно выполняет.

Я бы рекомендовал начинать работу с общих организационных мероприятий, которые, как правило, не требуют инвестиций в безопасность. Например, систематизировать права доступа пользователей, определить, кому из сотрудников нужны какие системы, какие права при этом у кого есть. В первую очередь уделить внимание наиболее критическим для бизнеса системам.

Руководству предприятия следует обеспечить контроль ИТ-услуг в контексте выполнения требований информационной безопасности, особенно уделить внимание услугам, которые предоставляются в формате аутсорсинга.

– Какие топ-5 проблем в организации информационной безопасности вы могли бы выделить?

– Весь спектр этих проблем я делю на организационные и технические. Из организационных проблем – отсутствие функции информационной безопасности, когда этими вопросами по разным причинам не занимаются. Недостаточная информированность руководства об угрозах ИБ, как следствие – отсутствие понимания задач ИБ и поддержки. ИБ живет своей жизнью, без учета задач бизнеса и не обеспечивает нужную экспертизу. Недостаточно ресурсов, нет возможности привлечь экспертов/специалистов. Неправильное совмещение обязанностей, нет контролирующей функции.

С учетом специфики работы с Google Apps, я бы отметил, что сотрудники будут использовать как корпоративную, так и личную технику. При использовании личной техники для доступа к корпоративным ресурсам нужно учесть свои меры защиты

В части недостатков, связанных с техническими вопросами, отмечу следующее. Отсутствие стандартов конфигурации систем, что приводит к использованию небезопасных конфигураций «по умолчанию». Недостаточная сегментация сети: например, из пользовательской сети доступны сервисы, которые позволяют администрировать системы, нет разделения по группам пользователей, т.е. не выделены пользователи, которые обрабатывают критическую информацию в отдельную подсеть. Отсутствие правил приемлемого использования активов, пользователи не информированы об элементарных требованиях – например, что нельзя хранить пароль доступа в открытом виде.

– В Украине есть целые корпорации, которые в том же документообороте полностью используют сервисы Google. Расскажите об особенностях этих инструментов.

Читайте также:  Технологические гиганты отчитались за третий квартал 2015 года

– Сервисы Google Apps обеспечивают мобильность и удобство совместной работы. Риски такие же, как и при использовании других облачных сервисов: передача управления своими данными провайдеру; зависимость от сервисов, которые обеспечивают доступность – провайдеров каналов связи. Есть также риски, связанные с обеспечением требований законодательства или других нормативных требований.

С учетом специфики работы с Google Apps, я бы отметил, что сотрудники будут использовать как корпоративную, так и личную технику. При использовании личной техники для доступа к корпоративным ресурсам нужно учесть свои меры защиты.

– В чем выгода от переноса систем в отдельный центр обработки данных?

– Многие компании в Украине практикуют перенос всех информационных ресурсов в ЦОД, такие как Hetzner, Amazon и прочие. Это удобно – не нужно строить собственную инфраструктуру, а достаточно заплатить за сервис.

При этом мы получаем определенные гарантии от поставщика сервиса, так называемые Service Level Agreement, и не зависим от офисной инфраструктуры – в офисе, по сути, находятся только терминалы, которые нужны для подключения к облаку, где и размещается вся служебная информация. Доступ и управление можно организовать по защищенному соединению удаленно, неважно откуда.

При возникновении каких-либо рисков, можно просто заблокировать доступ к ресурсам. Понятно, что это снижает риски изъятия данных, нарушения работы, и создает стабильность. При этом ваш офис может находиться где угодно.

– Но есть риск того, что при переезде в Google или Amazon корпорации получат все данные нашей компании…

– Да, получат. Это уже на усмотрение конкретной компании. Предполагаю, что риски со стороны Google или Amazon для большинства компаний невелики.

Фото Александр Козаченко для Forbes Украина

– Однако, есть вредоносные программы, которые обеспечивают недоброжелателям считывание информации в реальном времени – при ее наборе, например.

– Это уже вопрос защиты рабочих компьютеров пользователей. Нужно обеспечивать, как минимум, базовую защиту: доступ к корпоративным ресурсам только с авторизованных систем; использовать ограничение прав и своевременно обновляемое ПО, в том числе – антивирусные системы. Также очень важно проводить обучение персонала, чтобы сотрудники не попадались на уловки социальной инженерии.

Кроме этого, есть возможность проверить защищенность – как минимум провести сканирование специальным ПО и найти слабые места.

– Расскажите подробнее про тестирование на проникновение: в чем практическая польза и можно ли выполнить такие работы самостоятельно?

– В отличие от материальных активов, уровень защищенности которых определяется мерами защиты физической среды, уровень защищенности обрабатываемой информации зависит еще и от различных высокотехнологичных факторов. В первую очередь, к таким факторам относится уровень защищенности ее окружения – информационных систем и сетевой инфраструктуры организации.

Читайте также:  Нефть торгуется в пределах 57 долларов за баррель

Используя слабые места, злоумышленники могут причинить значительный финансовый и репутационный ущерб. Персонал организаций, ответственный за функционирование и поддержание работы информационных систем, зачастую даже не подозревает о наличии слабых мест на протяжении многих лет – до возникновения инцидента.

Не нужно устанавливать на смартфон все подряд, а закачивать приложения следует от доверенных источников и проверять, какие разрешения требуются каждому конкретному приложению

Тест на проникновение – моделирование действий внешнего злоумышленника, который пытается нанести вред системам заказчика, к примеру, получить несанкционированный доступ к данным или остановить нормальное функционирование ИТ-систем.

По его результатам предоставляется детальный отчет по уязвимостям ИТ-инфраструктуры заказчика, с подтверждением возможности их эксплуатации и рекомендациями по устранению выявленных недостатков. При этом возможно и использование методов социальной инженерии. Конечно, при согласии заказчика.

Данные работы можно выполнить самостоятельно, но задачи довольно специфические. И для их качественного выполнения требуется соответствующая подготовка как персонала, так и программного и аппаратного обеспечения, а также своевременное обновления данных средств – ведь постоянно появляются новые уязвимости и способы их использования. Я бы рекомендовал менять периодически исполнителей данных работ.

– Какой ущерб может нанести компании утечка информации?

– Это может быть огромный ущерб, вплоть до прекращения бизнеса. Не всегда можно его оценить, ведь наносится и урон репутации, может произойти отток клиентов либо штрафные санкции со стороны контрагентов, регуляторов. Происходят, например, утечки о квартальной отчетности, которые приводят к падению акций, а суммы измеряются сотнями миллионов долларов

– В смартфоне могут быть установлены и электронные кошельки, и мобильный банкинг. Но авторизация в этих программах проходит через одноразовый пароль, который также приходит на этот же телефон. Какие есть решения для уменьшения риска, возникающего по причине повышенной мобилизации?

– У вас должен, как минимум, стоять пин-код на телефон и на мобильный банк. Если телефон пропал, нужно звонить в банк и блокировать ваш аккаунт. Не нужно устанавливать на смартфон все подряд, а закачивать приложения следует от доверенных источников и проверять, какие разрешения требуются каждому конкретному приложению.

– Есть ли другие новые угрозы, которые возникают в информационной безопасности из-за развития технологий?

– Новые угрозы будут возникать всегда по мере развития ИТ и внедрения новых технологий. Предполагаю, что будет увеличиваться количество угроз для облачных технологий. Также растет число угроз в сфере мобильных технологий. Причем сейчас в вопросах безопасности зачастую нет разделения на корпоративное и личное.

Добавить комментарий