August 2, 2019

Думать о защите от киберугроз нужно с самого начала работы компании – потом может быть поздно

Компании делятся на две категории: те, которые понимают, что им грозят кибератаки, и те, которые пока не знают об этом.

Анастасия Новикова, исполнительный директор ИТ-компании ONsec, рассказывает, как защитить свои данные от киберугроз и чем отличается процесс создания контура информационной безопасности в разных отраслях.

Виртуальное нападение: кто под прицелом?

Инновации принесли бизнесу не только пользу – они также увеличили киберриски.

С одной стороны, благодаря развитию каналов связи и систем хранения данных, использованию IoT, Big Data и искусственного интеллекта компании могут анализировать и передавать информацию в киберпространстве с огромной скоростью, а также совершенствовать свои процессы и увеличивать показатели.

С другой – цифровой бизнес имеет множество уязвимостей и более чувствителен к атакам киберпреступников.

Угроза кибербезопасности – это реальность, с которой сегодня сталкиваются компании из разных отраслей – от ритейла до банкинга.

Даже если организация не связана с информационными технологиями напрямую, это не значит, что она в безопасности и не представляет интереса для киберпреступников.

По факту практически любая компания может быть подвержена взлому внутренних систем, утечке данных, атаке вредоносных программ. И думать, что «с нами точно такого не произойдет» – большая ошибка.

Кибератака может привести к последствиям различной сложности:

  • отказ оборудования на предприятиях,
  • потеря критичных бизнес-данных,
  • раскрытие личной клиентской или относящейся к коммерческой тайне информации,
  • кража денежных средств.

По данным InfoWatch, в прошлом году в России было официально зарегистрировано 2263 случая утечки конфиденциальных сведений: в 86% атак злоумышленники получили доступ к платежной информации и пользовательским данным.

Есть отрасли, которые подвергаются атакам чаще других: ритейл, производство, банки.

У каждой из них – своя специфика процессов, набор критичных данных и уникальные потенциальные угрозы. Поэтому работа над обеспечением информационной безопасности ведется по-разному. Создаваемый контур должен учитывать характерные особенности той или иной бизнес-сферы.

Карты, деньги, ваш пароль

В письме к акционерам в 2019 году генеральный директор JPMorgan Chase Джейми Даймон написал: «Угроза кибербезопасности может быть самой большой угрозой для финансовой системы США».

Действительно, банки традиционно считаются одними из наиболее привлекательных объектов для нападения киберпреступников.

  • Во-первых, они ежедневно совершают множество онлайн-операций с деньгами.
  • Во-вторых, эти организации владеют множеством ценных сведений о своих клиентах: от финансовой информации до персональных данных.

Виды угроз, с которыми сталкиваются банки, можно разделить на внешние и внутренние. К последним можно отнести беспечность сотрудников или недобросовестное поведение с их стороны.

Во многих банках отсутствует корпоративная культура информационной безопасности, при которой все сотрудники, а не только CISO, берут на себя ответственность за снижение ИБ-рисков. В итоге, по данным аналитической компании Willis Towers Watson за 2017 год, халатность сотрудников и внутренние угрозы составили более двух третьих от числа общих угроз для безопасности банков, в то время как менее 20% – были напрямую связаны с внешней угрозой.

С внутренними рисками банк может бороться самостоятельно: например, проводить обучение сотрудников или внедрять корпоративные стандарты реагирования на киберугрозы.

Что касается внешних – взлома, фишинга, атак на серверы – банки нередко устанавливают громоздкие ИБ-приложения и перестают думать о киберугрозах, считая, что они уже в безопасности. Но хакерские атаки совершенствуются ежедневно, поэтому налаженный процесс модернизации ИБ-инфраструктуры, а также обнаружения и реагирования на все более сложные киберугрозы не менее важен.

Если этого не делать, то злоумышленники, проникшие в банковские системы, могут быть не замечены в течение 200 дней, посчитали в BCG.

Что же сделать финансовым организациям для предотвращения угрозы? Для сохранности данных клиентов следует позаботиться о многофакторной аутентификации.

Правильно разработанные методы проверки личности будут значительно надежнее, чем стандартные методы распознавания по фамилии, паролю или кодовому слову. Но и это еще не все – необходимо тщательнейшим образом защитить финансовую и клиентскую информацию и все бизнес-процессы, которые связаны с ее обработкой:

  • системы электронного документооборота,
  • системы электронных платежей,
  • системы обслуживания карт,
  • программно-технические комплексы,
  • сети связи и системы удаленной работы с клиентами.

ИБ-системы должны соответствовать требованиям регуляторов, быть отказоустойчивыми и высокопроизводительными, чтобы работать с большими объемами данных без потери скорости.

Продавай, но проверяй

По данным SecurityScorecard, с точки зрения обеспечения кибербезопасности сфера розничной торговли обладает довольно низким рейтингом. Дело в том, что ритейлеры стремятся повысить лояльность покупателей и проводят опросы, чтобы выяснить их предпочтения, дарят бонусные карты, рассылают новости на почту.

Все эти действия требуют от клиентов передачи персональных данных, которые нужно охранять. Кроме того, внедрение цифровых технологий для упрощения покупок, особенно в онлайн-ритейле, также ставит под угрозу кибербезопасность компаний: интернет-воров нельзя отпугнуть противокражными рамками, которые есть в любом супермаркете.

Можно встретить мнение, что защита онлайн-платежей может мешать клиентам: например, увеличивается время, требуемое для подтверждения личности и данных карты. Это не так: современные решения для обеспечения информационной безопасности работают, можно сказать, «бесшумно» и незаметно для пользователей. Однако владельцы торговых сетей могут отслеживать их работу и оперативно реагировать на кибернарушения.

Помимо защиты клиентских данных и платежных транзакций, ритейлерам следует позаботиться о защите следующей информации:

  • договоры с партнерами и подрядчиками,
  • результаты тендеров,
  • планы развития,
  • политика ценообразования,
  • маркетинговые исследования.

Для создания полностью безопасной инфраструктуры в ритейле необходимо:

  • обеспечить соответствие приложений стандартам безопасности данных индустрии платежных карт (PCI DSS);
  • регулярно проводить полное тестирование компонентов, которые могут повлиять на безопасность бизнес-приложений;
  • обеспечить шифрование данных при передаче между внутренними и с внешними ИТ-системами (например, инфраструктурой поставщиков товаров).

По статистике, большинство веб-сервисов уязвимы из-за ошибок в коде, которых не избежать при разработке.

Недостатки в системе могут иметь различный характер – опасно, если они затрагивают информацию, представляющую коммерческую ценность: персональные данные клиентов, их платежная информация.

Для минимизации подобных рисков сейчас развиваются платформы, которые сопровождают веб-приложение на каждом этапе разработки, помогают провести тестирование для выявления уязвимостей в коде, а также обеспечивают защиту веб-сервиса после релиза.

Производство разное, трудность – одна

Производственный сектор – от машиностроения до фармацевтики – также является уязвимой для кибератак отраслью.

Во-первых, некоторые злоумышленники предпочитают «играть по-крупному» – большие компании c географически распределенной инфраструктурой представляют для них особый интерес.

Во-вторых, на каждом производстве есть своя интеллектуальная собственность, часть из которой относится к коммерческой тайне (результаты тендеров, партнерства), а часть – к производственной: чертежи, формулы, рецепты, программные коды, схемы предприятия, различная документация.

Вся эта информация невероятна ценна для конкурентов, поэтому злоумышленники могут попытаться нарушить целостность ИТ-инфраструктуры предприятия и выкрасть эти данные, чтобы потом выгодно продать.

Для минимизации рисков аналитики рынка предлагают разработать многоэтапный план защиты интеллектуальной собственности, который определит приоритетность данных, наиболее важные и чувствительные аспекты бизнеса и уже в соответствии с этим обеспечит меры безопасности.

Кроме того, предприятиям рекомендуется внедрить сегментированные сети, которые отделят наиболее ценные для бизнеса данные, сделав их доступными лишь немногим доверенным лицам, и разграничить доступ к остальной информации. Особенно это актуально для тех производств, где начинают внедряться или уже используются инструменты IoT.

Ломать нельзя использовать

Все это показывает, что отраслевым компаниям необходимо придерживаться самых высоких стандартов в обеспечении информационной безопасности: используемые системы должны защищать все данные, программное обеспечение, а также коммуникации.

Думать об информационной безопасности нужно с самого начала работы компании. Не стоит ждать, пока бизнес вырастет и станет корпорацией.

Для злоумышленников представляют большой интерес данные, и размер компании не является в этом случае определяющим фактором. В 2017 году, по данным аналитиков Verizon, более 50% атак было совершено на компании со штатом в одну тысячу сотрудников.

Кроме того, важно помнить: информационная безопасность – это не погоня за преступником. Это, прежде всего, предотвращение рисков и возможных атак: задержание нарушителя еще на подступах к вашим ИТ-системам. Работать над этим можно силами собственных ИБ-специалистов или обращаться за помощью к компаниям, которые специализируются на информационной безопасности.

Заранее проведенные работы по обеспечению целостности и конфиденциальности информации, а также ее доступности только определенным лицам, позволят владельцам бизнеса спать спокойнее: они будут знать, что их данные под надежной защитой.

И главное, для эффективного предотвращения киберугроз необходимо создавать и развивать в компании культуру защиты информации. Инструменты мониторинга совершенствуются, но до сих пор именно пользователи ИТ-приложений и бизнес-менеджеры остаются теми, кто может заметить сбои первыми. Необходимо наладить с ними контакт, чтобы они сообщали ИТ-отделам и командам безопасности, если что-то идет не так.

Например, для этого в KPMG запустили программу, которая позволяет сотрудникам узнавать о проблемах безопасности внутри компании. Благодаря этому они чувствуют себя сопричастными к управлению безопасностью корпоративных данных и не боятся сообщать о сбоях и ошибках в программах.

Источник