Какие угрозы иб могут быть вызваны ошибками пользователей

Информационная безопасность в самом широком смысле – это совокупность средств защиты информации от случайного или преднамеренного воздействия. Независимо от того, что лежит в основе воздействия: естественные факторы или причины искусственного характера – владелец информации несет убытки.

Принципы информационной безопасности

• Целостность информационных данных означает способность информации сохранять изначальный вид и структуру как в процессе хранения, как и после неоднократной передачи. Вносить изменения, удалять или дополнять информацию вправе только владелец или пользователь с легальным доступом к данным.
• Конфиденциальность – характеристика, которая указывает на необходимость ограничить доступа к информационным ресурсам для определенного круга лиц. В процессе действий и операций информация становится доступной только пользователям, который включены в информационные системы и успешно прошли идентификацию.
• Доступность информационных ресурсов означает, что информация, которая находится в свободном доступе, должна предоставляться полноправным пользователям ресурсов своевременно и беспрепятственно.
• Достоверность указывает на принадлежность информации доверенному лицу или владельцу, который одновременно выступает в роли источника информации.

Обеспечение и поддержка информационной безопасности включают комплекс разноплановых мер, которые предотвращают, отслеживают и устраняют несанкционированный доступ третьих лиц. Меры ИБ направлены также на защиту от повреждений, искажений, блокировки или копирования информации. Принципиально, чтобы все задачи решались одновременно, только тогда обеспечивается полноценная, надежная защита.

---

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

---

Особенно остро ставятся основные вопросы об информационном способе защите, когда взлом или хищение с искажением информации потянут за собой ряд тяжелых последствий, финансовых ущербов.

Созданная с помощью моделирования логическая цепочка трансформации информации выглядит следующим образом:

УГРОЖАЮЩИЙ ИСТОЧНИК ⇒ ФАКТОР УЯЗВИМОСТИ СИСТЕМЫ ⇒ ДЕЙСТВИЕ (УГРОЗА БЕЗОПАСНОСТИ) ⇒ АТАКА ⇒ ПОСЛЕДСТВИЯ

Разновидности угроз информационной безопасности

Угрозой информации называют потенциально возможное влияние или воздействие на автоматизированную систему с последующим нанесением убытка чьим-то потребностям.

На сегодня существует более 100 позиций и разновидностей угроз информационной системе. Важно проанализировать все риски с помощью разных методик диагностики. На основе проанализированных показателей с их детализацией можно грамотно выстроить систему защиты от угроз в информационном пространстве.

Классификация уязвимостей систем безопасности

Угрозы информационной безопасности проявляются не самостоятельно, а через возможное взаимодействие с наиболее слабыми звеньями системы защиты, то есть через факторы уязвимости. Угроза приводит к нарушению деятельности систем на конкретном объекте-носителе.

Основные уязвимости возникают по причине действия следующих факторов:

• несовершенство программного обеспечения, аппаратной платформы;
• разные характеристики строения автоматизированных систем в информационном потоке;
• часть процессов функционирования систем является неполноценной;
• неточность протоколов обмена информацией и интерфейса;
• сложные условия эксплуатации и расположения информации.

Чаще всего источники угрозы запускаются с целью получения незаконной выгоды вследствие нанесения ущерба информации. Но возможно и случайное действие угроз из-за недостаточной степени защиты и массового действия угрожающего фактора.

Существует разделение уязвимостей по классам, они могут быть:

• объективными;
• случайными;
• субъективными.

Если устранить или как минимум ослабить влияние уязвимостей, можно избежать полноценной угрозы, направленной на систему хранения информации.

Объективные уязвимости

Этот вид напрямую зависит от технического построения оборудования на объекте, требующем защиты, и его характеристик. Полноценное избавление от этих факторов невозможно, но их частичное устранение достигается с помощью инженерно-технических приемов, следующими способами:

1. Связанные с техническими средствами излучения:

• электромагнитные методики (побочные варианты излучения и сигналов от кабельных линий, элементов техсредств);
• звуковые варианты (акустические или с добавлением вибросигналов);
• электрические (проскальзывание сигналов в цепочки электрической сети, по наводкам на линии и проводники, по неравномерному распределению тока).

2. Активизируемые:

• вредоносные ПО, нелегальные программы, технологические выходы из программ, что объединяется термином «программные закладки»;
• закладки аппаратуры – факторы, которые внедряются напрямую в телефонные линии, в электрические сети или просто в помещения.

3. Те, что создаются особенностями объекта, находящегося под защитой:

• расположение объекта (видимость и отсутствие контролируемой зоны вокруг объекта информации, наличие вибро- или звукоотражающих элементов вокруг объекта, наличие удаленных элементов объекта);
• организация каналов обмена информацией (применение радиоканалов, аренда частот или использование всеобщих сетей).

4. Те, что зависят от особенностей элементов-носителей:

• детали, обладающие электроакустическими модификациями (трансформаторы, телефонные устройства, микрофоны и громкоговорители, катушки индуктивности);
• вещи, подпадающие под влияние электромагнитного поля (носители, микросхемы и другие элементы).

Случайные уязвимости

Эти факторы зависят от непредвиденных обстоятельств и особенностей окружения информационной среды. Их практически невозможно предугадать в информационном пространстве, но важно быть готовым к их быстрому устранению. Устранить такие неполадки можно с помощью проведения инженерно-технического разбирательства и ответного удара, нанесенного угрозе информационной безопасности:

1. Сбои и отказы работы систем:

• вследствие неисправности технических средств на разных уровнях обработки и хранения информации (в том числе и тех, что отвечают за работоспособность системы и за контроль доступа к ней);
• неисправности и устаревания отдельных элементов (размагничивание носителей данных, таких как дискеты, кабели, соединительные линии и микросхемы);
• сбои разного программного обеспечения, которое поддерживает все звенья в цепи хранения и обработки информации (антивирусы, прикладные и сервисные программы);
• перебои в работе вспомогательного оборудования информационных систем (неполадки на уровне электропередачи).

2. Ослабляющие информационную безопасность факторы:

• повреждение коммуникаций вроде водоснабжения или электроснабжения, а также вентиляции, канализации;
• неисправности в работе ограждающих устройств (заборы, перекрытия в здании, корпуса оборудования, где хранится информация).

Субъективные уязвимости

Этот подвид в большинстве случаев представляет собой результат неправильных действий сотрудников на уровне разработки систем хранения и защиты информации. Поэтому устранение таких факторов возможно при помощи методик с использованием аппаратуры и ПО:

1. Неточности и грубые ошибки, нарушающие информационную безопасность:

• на этапе загрузки готового программного обеспечения или предварительной разработки алгоритмов, а также в момент его использования (возможно во время ежедневной эксплуатации, во время ввода данных);
• на этапе управления программами и информационными системами (сложности в процессе обучения работе с системой, настройки сервисов в индивидуальном порядке, во время манипуляций с потоками информации);
• во время пользования технической аппаратурой (на этапе включения или выключения, эксплуатации устройств для передачи или получения информации).

2. Нарушения работы систем в информационном пространстве:

• режима защиты личных данных (проблему создают уволенные работники или действующие сотрудники в нерабочее время, они получают несанкционированный доступ к системе);
• режима сохранности и защищенности (во время получения доступа на объект или к техническим устройствам);
• во время работы с техустройствами (возможны нарушения в энергосбережении или обеспечении техники);
• во время работы с данными (преобразование информации, ее сохранение, поиск и уничтожение данных, устранение брака и неточностей).

Ранжирование уязвимостей

Каждая уязвимость должна быть учтена и оценена специалистами. Поэтому важно определить критерии оценки опасности возникновения угрозы и вероятности поломки или обхода защиты информации. Показатели подсчитываются с помощью применения ранжирования. Среди всех критериев выделяют три основных:

• Доступность – это критерий, который учитывает, насколько удобно источнику угроз использовать определенный вид уязвимости, чтобы нарушить информационную безопасность. В показатель входят технические данные носителя информации (вроде габаритов аппаратуры, ее сложности и стоимости, а также возможности использования для взлома информационных систем неспециализированных систем и устройств).

• Фатальность – характеристика, которая оценивает глубину влияния уязвимости на возможности программистов справиться с последствиями созданной угрозы для информационных систем. Если оценивать только объективные уязвимости, то определяется их информативность – способность передать в другое место полезный сигнал с конфиденциальными данными без его деформации.
• Количество – характеристика подсчета деталей системы хранения и реализации информации, которым присущ любой вид уязвимости в системе.

Каждый показатель можно рассчитать как среднее арифметическое коэффициентов отдельных уязвимостей. Для оценки степени опасности используется формула. Максимальная оценка совокупности уязвимостей – 125, это число и находится в знаменателе. А в числителе фигурирует произведение из КД, КФ и КК.

Чтобы узнать информацию о степени защиты системы точно, нужно привлечь к работе аналитический отдел с экспертами. Они произведут оценку всех уязвимостей и составят информационную карту по пятибалльной системе. Единица соответствует минимальной возможности влияния на защиту информации и ее обход, а пятерка отвечает максимальному уровню влияния и, соответственно, опасности. Результаты всех анализов сводятся в одну таблицу, степень влияния разбивается по классам для удобства подсчета коэффициента уязвимости системы.

Какие источники угрожают информационной безопасности?

Если описывать классификацию угроз, которые обходят защиту информационной безопасности, то можно выделить несколько классов. Понятие классов обязательно, ведь оно упрощает и систематизирует все факторы без исключения. В основу входят такие параметры, как:

1. Ранг преднамеренности совершения вмешательства в информационную систему защиты:

• угроза, которую вызывает небрежность персонала в информационном измерении;
• угроза, инициатором которой являются мошенники, и делают они это с целью личной выгоды.

2. Характеристики появления:

• угроза информационной безопасности, которая провоцируется руками человека и является искусственной;
• природные угрожающие факторы, неподконтрольные информационным системам защиты и вызывающиеся стихийными бедствиями.

3. Классификация непосредственной причины угрозы. Виновником может быть:

• человек, который разглашает конфиденциальную информацию, орудуя с помощью подкупа сотрудников компании;
• природный фактор, приходящий в виде катастрофы или локального бедствия;
• программное обеспечение с применением специализированных аппаратов или внедрение вредоносного кода в техсредства, что нарушает функционирование системы;
• случайное удаление данных, санкционированные программно-аппаратные фонды, отказ в работе операционной системы.

4. Степень активности действия угроз на информационные ресурсы:

• в момент обрабатывания данных в информационном пространстве (действие рассылок от вирусных утилит);
• в момент получения новой информации;
• независимо от активности работы системы хранения информации (в случае вскрытия шифров или криптозащиты информационных данных).

Существует еще одна классификация источников угроз информационной безопасности. Она основана на других параметрах и также учитывается во время анализа неисправности системы или ее взлома. Во внимание берется несколько показателей.

Классификация угроз

Состояние источника угрозы	в самой системе, что приводит к ошибкам в работе и сбоям при реализации ресурсов АС; в пределах видимости АС, например, применение подслушивающей аппаратуры, похищение информации в распечатанном виде или кража записей с носителей данных; мошенничество вне зоны действия АС. Случаи, когда информация захватывается во время прохождения по путям связи, побочный захват с акустических или электромагнитных излучений устройств.
Степень влияния	активная угроза безопасности, которая вносит коррективы в структуру системы и ее сущность, например, использование вредоносных вирусов или троянов; пассивная угроза – та разновидность, которая просто ворует информацию способом копирования, иногда скрытая. Она не вносит своих изменений в информационную систему.
Возможность доступа сотрудников к системе программ или ресурсов	вредоносное влияние, то есть угроза информационным данным может реализоваться на шаге доступа к системе (несанкционированного); вред наносится после согласия доступа к ресурсам системы.
Способ доступа к основным ресурсам системы	применение нестандартного канала пути к ресурсам, что включает в себя несанкционированное использование возможностей операционной системы; использование стандартного канала для открытия доступа к ресурсам, например, незаконное получение паролей и других параметров с дальнейшей маскировкой под зарегистрированного в системе пользователя.
Размещение информации в системе	вид угроз доступа к информации, которая располагается на внешних устройствах памяти, вроде несанкционированного копирования информации с жесткого диска; получение доступа к информации, которая показывается терминалу, например, запись с видеокамер терминалов; незаконное проникание в каналы связи и подсоединение к ним с целью получения конфиденциальной информации или для подмены реально существующих фактов под видом зарегистрированного сотрудника. Возможно распространение дезинформации; проход к системной области со стороны прикладных программ и считывание всей информации.

При этом не стоит забывать о таких угрозах, как случайные и преднамеренные. Исследования доказали, что в системах данные регулярно подвергаются разным реакциям на всех стадиях цикла обработки и хранения информации, а также во время функционирования системы.

В качестве источника случайных реакций выступают такие факторы, как:

• сбои в работе аппаратуры;
• периодические шумы и фоны в каналах связи из-за воздействия внешних факторов (учитывается пропускная способность канала, полоса пропуска);
• неточности в программном обеспечении;
• ошибки в работе сотрудников или других служащих в системе;
• специфика функционирования среды Ethernet;
• форс-мажоры во время стихийных бедствий или частых отключений электропитания.

---

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования. 

---

Погрешности в функционировании программного обеспечения встречаются чаще всего, а в результате появляется угроза. Все программы разрабатываются людьми, поэтому нельзя устранить человеческий фактор и ошибки. Рабочие станции, маршрутизаторы, серверы построены на работе людей. Чем выше сложность программы, тем больше возможность раскрытия в ней ошибок и обнаружения уязвимостей, которые приводят к угрозам информационной безопасности.

Часть этих ошибок не приводит к нежелательным результатам, например, к отключению работы сервера, несанкционированному использованию ресурсов, неработоспособности системы. Такие платформы, на которых была похищена информация, могут стать площадкой для дальнейших атак и представляют угрозу информационной безопасности.

Чтобы обеспечить безопасность информации в таком случае, требуется воспользоваться обновлениями. Установить их можно с помощью паков, выпускаемых разработчиками. Установление несанкционированных или нелицензионных программ может только ухудшить ситуацию. Также вероятны проблемы не только на уровне ПО, но и в целом связанные с защитой безопасности информации в сети.

Преднамеренная угроза безопасности информации ассоциируется с неправомерными действиями преступника. В качестве информационного преступника может выступать сотрудник компании, посетитель информационного ресурса, конкуренты или наемные лица. Причин для совершения преступления может быть несколько: денежные мотивы, недовольство работой системы и ее безопасностью, желание самоутвердиться.

Есть возможность смоделировать действия злоумышленника заранее, особенно если знать его цель и мотивы поступков:

• Человек владеет информацией о функционировании системы, ее данных и параметрах.
• Мастерство и знания мошенника позволяют ему действовать на уровне разработчика.
• Преступник способен выбрать самое уязвимое место в системе и свободно проникнуть к информации, стать угрозой для нее.
• Заинтересованным лицом может быть любой человек, как свой сотрудник, так и посторонний злоумышленник.

Например, для работников банков можно выделить такие намеренные угрозы, которые можно реализовать во время деятельности в учреждении:

• Ознакомление сотрудников предприятия с информацией, недоступной для них.
• Личные данные людей, которые не трудятся в данном банке.
• Программные закладки с угрозами в информационную систему.
• Копирование программного обеспечения и данных без предварительного разрешения в личных целях.
• Кража распечатанной информации.
• Воровство электронных носителей информации.
• Умышленное удаление информации с целью скрытия фактов.
• Совершение локальной атаки на информационную систему.
• Отказы от возможного контроля удаленного доступа или отрицание факта получения данных.
• Удаление банковских данных самовольно из архива.
• Несанкционированная коррекция банковских отчетов лицом, не составляющим отчет.
• Изменение сообщений, которые проходят по путям связей.
• Самовольное уничтожение данных, которые повредились вследствие вирусной атаки.

Конкретные примеры нарушения защиты информации и доступа к данным

Несанкционированный доступ – один из самых «популярных» методов компьютерных правонарушений. То есть личность, совершающая несанкционированный доступ к информации человека, нарушает правила, которые зафиксированы политикой безопасности. При таком доступе открыто пользуются погрешностями в системе защиты и проникают к ядру информации. Некорректные настройки и установки методов защиты также увеличивают возможность несанкционированного доступа. Доступ и угроза информационной безопасности совершаются как локальными методами, так и специальными аппаратными установками.

С помощью доступа мошенник может не только проникнуть к информации и скопировать ее, но и внести изменения, удалить данные. Делается это с помощью:

• перехвата косвенных электромагнитных излечений от аппаратуры или ее элементов, от каналов связи, электропитания или сеток заземления;
• технологических панелей регулировки;
• локальных линий доступа к данным (терминалы администраторов системы или сотрудников);
• межсетевых экранов;
• методов обнаружения ошибок.

Из всего разнообразия методов доступа и угроз информации можно условно выделить основные преступления:

• Перехват паролей;
• «Маскарад»;
• Незаконное пользование привилегиями.

Перехват паролей – распространенная методика доступа, с которой сталкивалось большинство сотрудников и тех, кто занимается обеспечением информационной безопасности. Это мошенничество возможно с участием специальных программ, которые имитируют на экране монитора окошко для ввода имени и пароля. Введенные данные попадают в руки злоумышленника, и далее на дисплее появляется сообщение о неправильной работе системы. Затем возможно повторное всплывание окошка авторизации, после чего данные снова попадают в руки перехватчика информации, и так обеспечивается полноценный доступ к системе, возможно внесение собственных изменений. Есть и другие методики перехвата пароля, поэтому стоит пользоваться шифрованием паролей во время передачи, а сделать это можно с помощью специальных программ или RSA.

Способ угрозы информации «Маскарад» во многом является продолжением предыдущей методики. Суть заключается в действиях в информационной системе от лица другого человека в сети компании. Существуют такие возможности реализации планов злоумышленников в системе:

• Передача ложных данных в системе от имени другого человека.
• Попадание в информационную систему под данными другого сотрудника и дальнейшее совершение действий (с предварительным перехватом пароля).

Особенно опасен «Маскарад» в банковских системах, где манипуляции с платежами приводят компанию в убыток, а вина и ответственность накладываются на другого человека. Кроме того, страдают клиенты банка.

Незаконное использование привилегий – название разновидности хищения информации и подрыва безопасности информационной системы говорит само за себя. Именно администраторы наделены максимальным списком действий, эти люди и становятся жертвами злоумышленников. При использовании этой тактики происходит продолжение «маскарада», когда сотрудник или третье лицо получает доступ к системе от имени администратора и совершает незаконные манипуляции в обход системы защиты информации.

Но есть нюанс: в этом варианте преступления нужно перехватить список привилегий из системы предварительно. Это может случиться и по вине самого администратора. Для этого требуется найти погрешность в системе защиты и проникнуть в нее несанкционированно.

Угроза информационной безопасности может осуществляться на умышленном уровне во время транспортировки данных. Это актуально для систем телекоммуникаций и информационных сеток. Умышленное нарушение не стоит путать с санкционированными модификациями информации. Последний вариант выполняется лицами, у которых есть полномочия и обоснованные задачи, требующие внесения изменений. Нарушения приводят к разрыву системы или полному удалению данных.

Существует также угроза информационной безопасности, которая нарушает конфиденциальность данных и их секретность. Все сведения получает третье лицо, то есть посторонний человек без права доступа. Нарушение конфиденциальности информации имеет место всегда при получении несанкционированного доступа к системе.

Угроза защите безопасности информации может нарушить работоспособность компании или отдельного сотрудника. Это ситуации, в которых блокируется доступ к информации или ресурсам ее получения. Один сотрудник создает намеренно или случайно блокирующую ситуацию, а второй в это время натыкается на блокировку и получает отказ в обслуживании. Например, сбой возможен во время коммутации каналов или пакетов, а также угроза возникает в момент передачи информации по спутниковым системам. Их относят к первичным или непосредственным вариантам, поскольку создание ведет к прямому воздействию на данные, находящиеся под защитой.

Выделяют такие разновидности основных угроз безопасности информации в локальных размерах:

• Компьютерные вирусы, нарушающие информационную безопасность. Они оказывают воздействие на информационную систему одного компьютера или сети ПК после попадания в программу и самостоятельного размножения. Вирусы способны остановить действие системы, но в основном они действуют локально;
• «Черви» – модификация вирусных программ, приводящая информационную систему в состояние блокировки и перегрузки. ПО активируется и размножается самостоятельно, во время каждой загрузки компьютера. Происходит перегрузка каналов памяти и связи;
• «Троянские кони» – программы, которые внедряются на компьютер под видом полезного обеспечения. Но на самом деле они копируют персональные файлы, передают их злоумышленнику, разрушают полезную информацию.

Даже защитная система компьютера представляет собой ряд угроз защите безопасности. Поэтому программистам необходимо учитывать угрозу осмотра параметров системы защиты. Иногда угрозой могут стать и безобидные сетевые адаптеры. Важно предварительно установить параметры системы защиты, ее характеристики и предусмотреть возможные пути обхода. После тщательного анализа можно понять, какие системы требуют наибольшей степени защищенности (акцент на уязвимостях).

Раскрытие параметров системы защиты относят к непрямым угрозам безопасности. Дело в том, что раскрытие параметров не даст реализовать мошеннику свой план и скопировать информацию, внести в нее изменения. Злоумышленник только поймет, по какому принципу нужно действовать и как реализовать прямую угрозу защиты безопасности информации.

На крупных предприятиях методами, защищающими информационную безопасность, должна заведовать специальная служба безопасности компании. Ее сотрудники должны искать способы воздействия на информацию и устранять всевозможные прорывы злоумышленников. По локальным актам разрабатывается политика безопасности, которую важно строго соблюдать. Стоит обратить внимание и на исключение человеческого фактора, а также поддерживать в исправности все технические средства, связанные с безопасностью информации.

Наносимый ущерб

Степени и проявления ущерба могут быть разными:

• Моральный и материальный ущерб, нанесенный физическим лицам, чья информация была похищена.
• Финансовый ущерб, нанесенный мошенником в связи с затратами на восстановление систем информации.
• Материальные затраты, связанные с невозможностью выполнения работы из-за перемен в системе защиты информации.
• Моральный ущерб, связанный с деловой репутацией компании или повлекший нарушения взаимоотношений на мировом уровне.

Возможность причинения ущерба есть у лица, которое совершило правонарушение (получило несанкционированный доступ к информации, или произошел взлом систем защиты). Также ущерб может быть нанесен независимо от субъекта, обладающего информацией, а вследствие внешних факторов и воздействий (техногенных катастроф, стихийных бедствий). В первом случае вина ложится на субъекта, а также определяется состав преступления и выносится наказание посредством судебного разбирательства.

Возможно совершение деяния:

• с преступным умыслом (прямым или косвенным);
• по неосторожности (без умышленного причинения вреда).

Ответственность за правонарушение по отношению к информационным системам выбирается согласно действующему законодательству страны, в частности, по уголовному кодексу в первом случае. Если преступление совершено по неосторожности, а ущерб нанесен в малых размерах, то ситуацию рассматривает гражданское, административное или арбитражное право.

Ущербом информационного пространства считаются невыгодные для собственника (в данном случае информации) последствия, связанные с потерей материального имущества. Последствия проявляются в результате правонарушения. Выразить ущерб информационным системам можно в виде уменьшения прибыли или ее недополучения, что расценивается как упущенная выгода.

Главное, вовремя обратиться в суд и выяснить состав преступления. Ущерб нужно классифицировать согласно правовым актам и доказать его в судебном процессе, а еще важно выявить размер деяния личностей, размер их наказания на основе законодательства. Такими преступлениями и безопасностью чаще всего занимается киберполиция или служба безопасности страны в зависимости от объема и значимости вмешательства в информацию.

Этап защиты информации сегодня считается самым актуальным и требуется любому предприятию. Защищать нужно не только ПК, но и все техустройства, контактирующие с информацией. Все данные могут стать оружием в руках злоумышленников, поэтому конфиденциальность современных IT-систем должна находиться на высшем уровне.

---

Одновременное использование DLP- и SIEM-систем решает задачу защиты данных более эффективно. Испытать программы на практике можно во время бесплатного 30-дневного триала. Узнать детали…  

---

Задержки у атакующей информационную безопасность стороны возможны только в связи с прохождением системы защиты. Абсолютных способов обезопасить себя от угроз не существует, поэтому информационную систему защиты требуется всегда усовершенствовать, поскольку мошенники тоже усовершенствуют свои методики. Пока не придуман универсальный способ, который подходит каждому и дает стопроцентную защиту. Важно остановить проникновение злоумышленников на раннем уровне.

Угрозы информационной (компьютерной) безопасности — это различные действия, которые могут привести к нарушениям состояния защиты информации. Другими словами, это — потенциально возможные события, процессы или действия, которые могут нанести ущерб информационным и компьютерным системам.

Угрозы ИБ можно разделить на два типа: естественные и искусственные. К естественным относятся природные явления, которые не зависят от человека, например ураганы, наводнения, пожары и т.д. Искусственные угрозы зависят непосредственно от человека и могут быть преднамеренными и непреднамеренными. Непреднамеренные угрозы возникают из-за неосторожности, невнимательности и незнания. Примером таких угроз может быть установка программ, не входящих в число необходимых для работы и в дальнейшем нарушающих работу системы, что и приводит к потере информации. Преднамеренные угрозы, в отличие от предыдущих, создаются специально. К ним можно отнести атаки злоумышленников как извне, так и изнутри компании. Результат реализации этого вида угроз — потери денежных средств и интеллектуальной собственности организации.

Классификация угроз информационной безопасности

В зависимости от различных способов классификации все возможные угрозы информационной безопасности можно разделить на следующие основные подгруппы.

• Нежелательный контент.
• Несанкционированный доступ.
• Утечки информации.
• Потеря данных.
• Мошенничество.
• Кибервойны.
• Кибертерроризм.

Нежелательный контент — это не только вредоносный код, потенциально опасные программы и спам (т.е. то, что непосредственно создано для уничтожения или кражи информации), но и сайты, запрещенные законодательством, а также нежелательные ресурсы с информацией, не соответствующей возрасту потребителя.

Источник: международное исследование EY в области информационной безопасности «Путь к киберустойчивости: прогноз, сопротивление, ответная реакция», 2016 год

Несанкционированный доступ — просмотр информации сотрудником, который не имеет разрешения пользоваться ею, путем превышения должностных полномочий. Несанкционированный доступ приводит к утечке информации. В зависимости от того, каковы данные и где они хранятся, утечки могут организовываться разными способами, а именно через атаки на сайты, взлом программ, перехват данных по сети, использование несанкционированных программ.

Утечки информации можно разделять на умышленные и случайные. Случайные утечки происходят из-за ошибок оборудования, программного обеспечения и персонала. Умышленные, в свою очередь, организовываются преднамеренно с целью получить доступ к данным, нанести ущерб.

Потерю данных можно считать одной из основных угроз информационной безопасности. Нарушение целостности информации может быть вызвано неисправностью оборудования или умышленными действиями людей, будь то сотрудники или злоумышленники.

Не менее опасной угрозой является мошенничество с использованием информационных технологий («фрод»). К мошенничеству можно отнести не только манипуляции с кредитными картами («кардинг») и взлом онлайн-банка, но и внутренний фрод. Целями этих экономических преступлений являются обход законодательства, политики безопасности или нормативных актов, присвоение имущества.

Ежегодно по всему миру возрастает террористическая угроза, постепенно перемещаясь при этом в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на автоматизированные системы управления технологическими процессами (АСУ ТП) различных предприятий. Но подобные атаки не проводятся без предварительной разведки, для чего применяется кибершпионаж, помогающий собрать необходимые данные. Существует также такое понятие, как «информационная война»; она отличается от обычной войны тем, что в качестве оружия выступает тщательно подготовленная информация.

Источник угроз информационной безопасности

Нарушение режима информационной безопасности может быть вызвано как спланированными операциями злоумышленников, так и неопытностью сотрудников. Пользователь должен иметь хоть какое-то понятие об ИБ, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб компании и самому себе. Такие инциденты, как потеря или утечка информации, могут также быть обусловлены целенаправленными действиями сотрудников компании, которые заинтересованы в получении прибыли в обмен на ценные данные организации, в которой работают или работали.

Основными источниками угроз являются отдельные злоумышленники («хакеры»), киберпреступные группы и государственные спецслужбы (киберподразделения), которые применяют весь арсенал доступных киберсредств, перечисленных и описанных выше. Чтобы пробиться через защиту и получить доступ к нужной информации, они используют слабые места и ошибки в работе программного обеспечения и веб-приложений, изъяны в конфигурациях сетевых экранов и настройках прав доступа, прибегают к прослушиванию каналов связи и использованию клавиатурных шпионов.

То, чем будет производиться атака, зависит от типа информации, ее расположения, способов доступа к ней и уровня защиты. Если атака будет рассчитана на неопытность жертвы, то возможно, например, использование спам-рассылок.

Оценивать угрозы информационной безопасности необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае. Так, чтобы исключить потерю данных из-за неисправности оборудования, нужно использовать качественные комплектующие, проводить регулярное техническое обслуживание, устанавливать стабилизаторы напряжения. Далее следует устанавливать и регулярно обновлять программное обеспечение (ПО). Отдельное внимание нужно уделить защитному ПО, базы которого должны обновляться ежедневно.

Обучение сотрудников компании основным понятиям информационной безопасности и принципам работы различных вредоносных программ поможет избежать случайных утечек данных, исключить случайную установку потенциально опасного программного обеспечения на компьютер. Также в качестве меры предосторожности от потери информации следует делать резервные копии. Для того чтобы следить за деятельностью сотрудников на рабочих местах и иметь возможность обнаружить злоумышленника, следует использовать DLP-системы.

Организовать информационную безопасность помогут специализированные программы, разработанные на основе современных технологий:

• защита от нежелательного контента (антивирус, антиспам, веб-фильтры, анти-шпионы);
• сетевые экраны и системы обнаружения вторжений (IPS);
• управление учетными данными (IDM);
• контроль привилегированных пользователей (PUM);
• защита от DDoS;
• защита веб-приложений (WAF);
• анализ исходного кода;
• антифрод;
• защита от таргетированных атак;
• управление событиями безопасности (SIEM);
• системы обнаружения аномального поведения пользователей (UEBA);
• защита АСУ ТП;
• защита от утечек данных (DLP);
• шифрование;
• защита мобильных устройств;
• резервное копирование;
• системы отказоустойчивости.

Социальная инженерия (Social Engineering, SE), то есть манипулирование людьми, которые в данном случае являются важным производственным активом предприятия, с корыстными и подлыми целями, — это сложный предмет для обсуждения. По сути, в этом контексте социальную инженерию можно рассматривать как хакинг человека.

Человек часто становится первым слабым звеном при проведении кибератаки. Исполнитель такой атаки после проведения разведки и изучения своей цели использует полученную информацию для доступа к учетным данным или другим важным сведениям, которые проведут его к защищенным системам и ресурсам. Зачастую злоумышленнику везет, и при минимальных усилиях и еще меньшем риске с его стороны он может узнать учетные данные пользователя просто на основе предположений, что может быть реализовано даже в автоматическом режиме.

Тему социальной инженерии сложно обсуждать, потому что многие пользователи излишне уверены в своих способностях защитить учетные данные и не соблюдают надлежащую «кибергигиену». Это уже привело к нескольким громким нарушениям, о которых можно подробнее прочитать в Интернете.

Манипулирование. Поиск и добыча информации в социальных сетях

Цель, с которой используется социальная инженерия, в плоскости киберугроз определяется как манипулирование человеческим сознанием, направленное на получение идентификационной, финансовой и прочей ценной информации в ходе общения с человеком путем обмана или зло­употребления его доверием. Реализуется это манипулирование, главным образом, посредством использования человеческого интеллекта (здесь применим термин из разведывательной деятельности Human Intelligence, или HUMINT, — агентурное добывание разведывательной информации) и получения данных из открытых источников (термин разведывательной деятельности — Open-Source Intelligence, или OSINT). Эти же методы применяют спецслужбы для сбора разведывательных данных о явном или потенциальном противнике.

Примерно 80% всех кибератак начинаются с действий, основанных на социальной инженерии. Эти первые атаки принимают множество форм, наиболее распространенной из которых являются фишинговые рассылки. Данный метод очень сложный, но в то же время весьма эффективный. Не заходя слишком далеко, чтобы избежать риска, хакеры могут получить реальные результаты, так как люди с плохой кибергигиеной легко подвержены риску «взлома», причем неоднократного. Люди редко учатся на своих ошибках, а тем более на чужих.

Еще одно весьма плодородное поле для сбора самой разной информации — это социальные сети. Помимо того, что они влияют на мнение и поведение людей, было доказано, что пользовательские данные могут быть добыты и использованы для создания профилей, которые предоставляют злоумышленникам изобилие самой разной скрытой и открытой информации, которую можно использовать для получения учетных данных или для того, чтобы скомпрометировать человека как производственный актив, вынудив его выдать нужные сведения.

Когнитивное искажение

Когнитивные искажения и социальные предубеждения играют большую роль в успешном взломе человека. В качестве примера приведем хорошо работающий против предприятий когнитивный феномен, известный как эффект Даннинга — Крюгера. В его основе лежит метакогнитивное искажение, которое заключается в том, что люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознать свои ошибки в силу низкого уровня своей квалификации и общего понимания происходящего. И поскольку некомпетентный персонал не знает, что он некомпетентен, это приводит к иллюзорному восприятию ими самих себя как компетентных, и в итоге такого члена команды легко скомпрометировать путем манипуляции.

Работники с когнитивным сдвигом, как правило, не следуют инструкциям и плохо воспринимают критику, что влечет за собой целый ряд побочных эффектов. Они легко поддаются лести или чувству зависти, так что воздействие на них с упором на эти болевые центры помогает дискредитировать их и получить нужную информацию. Найти такого «обиженного» и «открыть ему глаза», как правило, не проблема. Эти уязвимости предлагают хакерам очень плодотворную почву для атаки, особенно в социальных сетях. Социальные предрассудки дают «бездонные» возможности для компрометирования персонала с соответствующими склонностями. И хотя ни один из этих методов манипуляции не является чем-то новым (они веками использовались для получения и удержания власти), теперь, когда наградой манипулятора могут стать ценные активы и критическая инфраструктура предприятия, последствия могут быть просто катастрофическими.

Методы кибератак

Атаки, основанные на социальной инженерии, это одна из самых опасных угроз кибербезопасности. Исполнители таких атак используют социальную инженерию для нападения на системы, в которых они не могут найти каких-либо технических уязвимостей. Считается, что эти атаки можно обнаружить, но невозможно на 100% предотвратить. Есть несколько типов таких атак с использованием разных методов, но при этом они следуют общему сценарию и делятся на похожие фазы. Наиболее распространенная схема атаки через человека включает четыре этапа:

1. Рекогносцировка (RECON): сбор информации (разведка).
2. Ловушка (HOOK): развитие отношений с целью, жертву необходимо «поймать на крючок» (поэтому в английской терминологии используется слово hook).
3. Эксплуатация уязвимости (EXPLOIT): использование информации и/или отношений.
4. Выход (EXIT): отступление, при котором хакер пытается скрыть или оставить крайне мало признаков нападения.

Этапы кибератаки показаны на диаграмме (рисунок). В данном случае атака через представителя персонала предприятия происходит по принципу «убийственная цепочка» (kill chain) [1].

Атаки с использованием социальной инженерии могут строиться не только на человеке, но и на компьютере. В первом случае требуется, чтобы злоумышленник для получения информации взаимодействовал с жертвой напрямую, и поэтому в один и тот же момент не может быть атакована более чем одна жертва. При направленности на компьютер, а не конкретного человека, за очень короткое время могут быть атакованы тысячи жертв. В качестве примера таких компьютерных атак можно привести фишинговые электронные письма.

Технические, социальные и физические атаки

В зависимости от того, каким образом совершаются атаки, их можно разделить на три категории: технические, социальные и физические. Технические атаки обычно проводятся через социальные сети или веб-сайты, предназначенные для сбора информации. Социальные атаки основываются на отношениях с жертвой и используют ее предубеждения и воздействие на ее эмоции. Физические атаки включают такие действия, как dumpster diving (букв. «погружение в мусорное ведро», может действительно подразумевать исследование содержимого мусорных контейнеров), shoulder surfing (букв. «серфинг на плечах», подсматривание через плечо) или прямое воровство. Физические атаки, для того чтобы дезориентировать жертву и, сыграв на ее растерянности, украсть учетные данные или получить доступ к защищенным областям, часто реализуются в сочетании с социальными атаками.

Наконец, атаки могут быть определены как прямые или косвенные. В первом случае требуется, чтобы злоумышленник контактировал со своей жертвой, причем часто — физически (зрительный контакт, разговор и присутствие на работе или в личном (в том числе домашнем) пространстве жертвы). Такие атаки включают фактическую кражу документов или злоупотребление доверием. Причем обман жертвы может как быть разовым, так и продолжаться долгое время. Прямые атаки часто осуществляются через телефонные звонки: как, например, фальшивые звонки из налоговой службы или банка.

При косвенных атаках злоумышленнику необязательно вступать в контакт со своими жертвами. Примерами таких кибератак могут служить вредоносные программы, распределенная атака на отказ в обслуживании (distributed denial of service, DDoS), фишинг, программы-вымогатели, обратная социальная инженерия и т. д.

Пять наиболее распространенных типов атак

Средства и методы социальной инженерии используются во многих вариантах атак. Все они основаны на человеческих слабостях, среди которых любопытство, нужда, жадность, обида и т. д. Опытный злоумышленник способен провести исследование и подготовить атаку с учетом слабых сторон и уязвимостей предполагаемой жертвы. Рассмотрим пять наиболее распространенных типов атак.

Фишинг

Фишинг (phishing), считающийся самой распространенной атакой на основе социальной инженерии, получил свое название от практики телефонного мошенничества (phone phreaking), целью которого было использовать телефонную сеть для получения острых ощущений и бесплатных телефонных звонков. Злоумышленник как бы бросал наживку и смотрел, кто или что клюнет. Хотя термин «фишинг» до сих пор используется для описания мошеннических телефонных звонков, самым широким полем деятельности для таких хакеров стала электронная почта. По оценкам, более 80% успешных установок вредоносных программ происходит именно таким путем.

Можно выделить несколько форм фишинга:

• Точечный фишинг (англ. spear fishing — букв. «фишинг дротиком») — целевая атака на одного человека или объект.
• «Охота на китов» (англ. whaling) — фишинг-мошенничество против высокопоставленных должностных лиц, жертв с высокой ценностью. Направлено на получение банковских конфиденциальных данных клиентов, являющихся сотрудниками высшего звена управления (президент, вице-президент и т. п.), с целью хищения денег.
• «Вишинг» (англ. vishing). В отличие от фишинга, в сообщении содержится просьба не зайти на сайт, а позвонить на городской телефонный номер. Тем, кто позвонил на него, зачитывается речь с просьбой сообщить конфиденциальные данные.
• «Смишинг» (англ. SMShishing — от «SMS» и «фишинг») — вид фишинга с использованием SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее ее туда зайти. Как вариант, жертве предлагается отправить в ответном SMS-сообщении конфиденциальную информацию, касающуюся платежных реквизитов или персональных параметров доступа на информационно-платежные ресурсы в сети Интернет.

Этот список можно продолжить. Если злоумышленник провел тщательную разведку намеченной цели, то фишинг может быть очень эффективным, поскольку его трудно обнаружить и смягчить последствия.

Претекстинг

Претекстинг (англ. Pretexting) — это искусство создания поддельных убедительных сценариев, которые заставляют жертву доверять зло­умышленнику и почти охотно предоставлять доступ к своей личной информации или к учетным данным. Злоумышленники используют разведданные с открытым исходным кодом (OSINT), то есть информацию, которую легко найти в опубликованных документах, в Интернете и, в частности, в социальных сетях. Предлог для обращения может принимать много форм: предложение работы, общения или секса, чего-то бесплатного за небольшую плату. Эти махинации стары как мир.

Наиболее известным претекстингом является так называемая «афера 419», названная так по разделу 419 нигерийского уголовного кодекса, который нарушают мошенники. Жертве якобы предоставляется возможность участвовать в получении наследства, в выигрыше в лотерею или какой-то другой ерунде; нужно только отправить деньги, чтобы помочь автору письма получить награду. Хотя этот вид жульничества возник в Нигерии, сейчас есть много его вариантов и в других странах, так что стоит их остерегаться.

Приманка

Атаки, называемые «приманкой» (baiting), используют жадность жертвы и ее любовь к «халяве»: ей предлагают что-то бесплатное, если она нажмет на ссылку на веб-сайте. В отличие от кликбейта, который направлен на повышение посещаемости страницы и увеличение количества просмотров рекламы, через «приманки» мошенники пытаются установить вредоносные программы на компьютер жертвы. Пример такого типа кибератаки — невинно выглядящие сайты, предлагающие бесплатную таблицу для финансового планирования. Поскольку электронная таблица загружает и программу обратной оболочки, она дает злоумышленнику доступ ко всему, что есть у жертвы. Бесплатные фильмы, музыка и порнография — все они могут использоваться в качестве носителей для доставки вредоносных программ.

Еще одним вариантом «приманки» является использование зараженных USB-накопителей, оставленных на столике в кафе или на автостоянке. Неопытные пользователи подбирают их из любопытства и подключают к своим компьютерам. Этот метод установки был использован для внедрения червя Stuxnet на секретный иранский ядерный объект, который не был подключен к внешней сетевой связи. Червь Stuxnet, пусть и на короткое время, но смог остановить иранскую ядерную программу.

Метод quid pro quo

Атака quid pro quo («услуга за услугу»), подобно «приманке», предлагает жертве выгоду за предоставление информации, например вознаграждение, подарок или бесплатное обслуживание. Этот метод особенно эффективен в социальных сетях. Одна из распространенных атак такого вида — мошенническое действие со стороны ИТ-персонала. Эти атаки не очень сложные и часто выполняются на лету, то есть жертвы выбираются случайным образом. Одно исследование, проведенное в Великобритании несколько лет назад, показало, что люди, наугад остановленные в метро, могут выдавать свои пароли за плитку шоколада, дешевую ручку или какую-нибудь другую безделушку.

Tailgating

Tailgating (букв. «проход за авторизованным пользователем системы контроля доступа») — очень распространенная физическая атака, при которой злоумышленник, выдавая себя за другого сотрудника или курьера из службы доставки, получает доступ к защищенной области, проникая в систему под прикрытием законного пользователя или с использованием его ID-карты. Наиболее распространенный метод — попросить кого-нибудь впустить злоумышленника, потому что он «забыл свою идентификационную карту». Такая атака используется, чтобы получить доступ к защищенным областям, и требует, чтобы злоумышленник также использовал претекстинг для убеждения жертвы в своей искренности и законности своих действий. Один из вариантов подготовки злоумышленника — заставить сотрудника, имеющего допуск в закрытую зону, одолжить ему «буквально на минуточку» свою ID-карту, чтобы он мог подойти к своей машине и что-то забрать. Результат — скопированная или скомпрометированная идентификационная карточка. Большинство людей хотят доверять друг другу. Злоумышленники об этом прекрасно знают и в полной мере этим пользуются.

Пять методов профилактики кибератак

Снизить риски человеческих ошибок, которые угрожают кибербезопасности, помогут следующие пять методов.

Уменьшение поля для атаки

Необходим тщательный анализ всей ИТ-инфраструктуры объекта, на которую нужно посмотреть глазами злоумышленника. Следует закрыть открытые порты и защитить сеть брандмауэром, а также ограничить доступ к критически важным системам, предоставив его как можно меньшему количеству сотрудников.

Тщательная проверка критически важного персонала

Поскольку самым слабым звеном в области безопасности является человек, логичный шаг — максимально возможное устранение человеческого фактора, а именно систематическое устранение взаимодействия людей друг с другом. Это может звучать как ересь, но мы можем столкнуться с кризисом, вызванным небрежностью и неспособностью некоторых людей распознать угрозу.

Создание команды по обеспечению безопасности сети

Хотя обучение может смягчить некоторые угрозы, рекомендуется выделить персонал, который после обучения сможет осуществлять мониторинг угроз и выполнять другие функции специалистов по безопасности сети, т. е. регулярно проверять процедуры безопасности и кибергигиену других сотрудников. Эти люди должны обладать полномочиями по устранению уязвимостей и способностью исправлять поведение сотрудника-нарушителя. «Ударная группа», как команда быстрого реагирования, состоящая из сетевых администраторов, сотрудников службы безопасности и старших сотрудников, может быстро обнаружить нарушение и справиться с ним, а затем выполнить его «вскрытие», чтобы определить, как это произошло, и принять необходимые превентивные меры для недопущения таких эксцессов в будущем.

Организация и использование ролевого доступа

Ничто не помешает сотруднику писать пароли на бумажках или смотреть на кибербезопасность как на бесполезное занятие. С данным типом менталитета сложно бороться, при этом приходится позволять такому сотруднику иметь доступ к сети и ресурсам в процессе выполнения работы. Компартментализация (распределение информации по категориям пользователей или по объектам) — один из способов решения этой проблемы. Доступ на основе ролей (role-based access, RBAC) — эффективный метод разделения. Еще один действенный способ — требование формального запроса на доступ и последующий мониторинг работника при доступе к критически важным данным или системам. Многофакторная аутентификация тоже может быть полезной, но не в том случае, если сотрудник не воспринимает это всерьез и неосторожно обращается со своим телефоном или другими вторичными средствами аутентификации.

Выбор надежных паролей

Принудительное внедрение политики обязательной регулярной смены паролей (а лучше их генерации) эффективно предотвращает использование персоналом легко угадываемых паролей, таких как «1234567» или не менее популярный «пароль».

Заключение

Конечно, можно обучить персонал правильной «кибергигиене», как и личной гигиене, но, как мы все знаем, это не всегда практикуется и поддерживается. Если поначалу предупреждение типа «Болтун — находка для шпиона!» срабатывает, то потом персонал расслабляется и все возвращается на свои места, постоянно держать работников в тонусе сложно и непродуктивно. К сожалению, компания может потратить миллионы долларов на автоматизацию, обучение персонала, активное обнаружение вторжений, смягчение рисков кибер­угроз и предотвращение последствий кибератак, а также активные контрмеры, но все это будет сорвано одним неосторожным или некомпетентным сотрудником. Наиболее эффективно снизить риск кибератаки поможет устранение, где это только возможно, человеческого фактора.

*В разделе были использованы материалы компании «АйТи Бастион», компании «Инфосистемы Джет», института экономики математики и информационных технологий (ЭМИТ) РАНХиГС, Центра подготовки руководителей цифровой трансформации ВШГУ РАНХиГС.

Массовый и быстрый переход в режим самоизоляции вынудил организации оперативно предоставить сотрудникам удаленный доступ к информационным системам и взаимодействовать с ними в режиме веб-конференций гораздо чаще, чем раньше. Обнаружилось, что организационные и технические меры информационной безопасности отстают по времени. В разделе собран обобщенный анализ возникающих угроз, приведены рекомендации, как их нейтрализовать.

Основные сценарии удаленной работы требуют доступа пользователя, работающего из дома, к ресурсам корпоративной сети, облака, видеоконференциям. В каждом случае необходимо конкретное программное обеспечение для удаленной работы.

В ряде организаций давно налажена удаленная работа, действует политика информационной безопасности, сформированы регламенты обучения, предоставления сотрудникам технических, программных средств, позволяющих обеспечивать приемлемый уровень безопасности данных.

Доверенной средой считается ИТ-периметр организации, охваченный системами и средствами безопасности. Доверенные устройства — устройства, зарегистрированные в доверенной среде.

Любой удаленный доступ, на практике — это расширение периметра, так как в инфраструктуре компании появляются новые подключения извне. Личные станции, на которых работают пользователи и с которых обращаются к корпоративной системе, могут быть недостаточно защищены, могут быть заранее скомпрометированы, физически утеряны или целенаправленно украдены.

Как информация организации становится доступна на конечных устройствах, так и наоборот, возможен удаленный доступ к личной информации с удаленных рабочих мест. Это может представлять личные риски для здоровья и качества жизни сотрудников и их близких.

Например, если школьники занимаются удаленно, они массово регистрируются на всевозможных сервисах для конференцсвязи и регулярно ими пользуются. Это вызывает заметные риски утечек персональных данных в контексте ФЗ-152 «О персональных данных». Даже просто по объему использования сервисы дистантного обучения становятся ГИС (государственными информационными системами). Кроме того, активное использование видеосвязи приводит к раскрытию достатка и сбору информации о присутствии родителей. Таким образом, нынешний формат дистанционного обучения чреват не только рисками утечек информации, но и вполне реальными угрозами потери имущества.

Пользователь имеет полный физический доступ к устройству, установленному у него дома, может получить доступ к файловой системе устройства и скопировать туда/оттуда информацию. Также к устройству будет иметь доступ и его окружение (члены его семьи, например). В силу указанных рисков рекомендуется выдавать пользователям права на удаленный доступ вместе с оборудованием, которое предварительно настроено с соблюдением необходимых стандартов и практик безопасности. Установка обновлений, средств защиты, отсутствие у оператора административных прав, пломбы, препятствующие вскрытию, — это все хорошие практики для повышения безопасности.

Если выдача спецоборудования для доступа в периметр нецелесообразна или такой возможности просто нет, стоит применять средства доступа со встроенным контролем защищенности со стороны пользователя или требовать, чтобы пользователь обзавелся актуальными средствами защиты.

В любом случае предоставлять удаленному сотруднику доступ «везде» по умолчанию — плохая идея.

Регулятор — Федеральная служба по техническому и экспортному контролю, Центральный Банк, Национальный координационный центр по компьютерным инцидентам предлагают подходы, призванные обеспечить надежный режим удаленного пользования инфраструктурой и данными организаций.

Информационное письмо о мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19) // Банк России.

Центральный Банк рекомендует финансовым организациям обеспечить применение технологий виртуальных частных сетей, многофакторной аутентификации, терминального доступа (по возможности), а также мониторинг и контроль действий пользователей удаленного мобильного доступа.

ФСТЭК России рекомендует не допускать использование сотрудниками личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, компьютеров, телефонов). Кроме того, регулятор рекомендует определить перечень информационных ресурсов, к которым будет предоставляться удаленный доступ, назначить минимально необходимые права пользователям, исключить возможность эксплуатации удаленных рабочих мест посторонними лицами, обеспечить двухфакторную аутентификацию работников, а также организовать защищенный доступ к серверам с помощью VPN-клиентов в комбинации с антивирусной защитой.

В таблице 1 представлены в общих чертах представлены угрозы, связанные с переходом в режим удаленной работы, далее они будут рассмотрены более подробно.

Таблица 1
Оценка возникающих угроз, рекомендации по минимизации последствий

Стандартным архитектурным решением для организации удаленного доступа является организация одного или нескольких узлов удаленного доступа с использованием сертифицированных средств защиты: криптографической защиты сетевых потоков (VPN), межсетевого экрана, средства систем обнаружения вторжений (IDS, intrusion detection system, система обнаружения вторжений). На внешние станции, которым дается право на удаленный доступ, как правило, также устанавливаются средства защиты: антивирусные средства, средства контроля возможных вторжений. Имеет смысл принять меры по контролю известных уязвимостей, выстроить процессы обеспечения информационной безопасности, в данном случае объектами пристального внимания должны стать жизненный цикл учетных записей, паролей, ключей доступа к VPN, обновление программного обеспечения, проверка на уязвимости.

Сотрудники службы безопасности выполняют необходимые организационные меры по управлению и учету подобных доступов, проверку работы и необходимых настроек на средствах защиты, устанавливают и контролируют порядок действий при тех или иных инцидентах, угрожающих безопасности. В системе есть привилегированные исполнители (администраторы, разработчики), которые участвуют в управлении конфигурацией. Как правило, для слежения за их действиями применяются специальные средства контроля. Для охраны информации применяются дополнительные средства предотвращения утечек (DLP), расположенные как в инфраструктуре, так и на рабочих станциях сотрудников, в том числе работающих удаленно. Реализация мероприятий в полном соответствии с требованиями регулятора требует затрат, тем более если к системе подключено много пользователей извне.

Существует несколько вариантов аппаратных и программных решений. Это может быть доступ через web-access, через удаленный рабочий стол, защита протоколов удаленного доступа.

Итак, в данном разделе представлен сложный комплекс мероприятий, которые целесообразно проводить заранее, часть из них подразумевают регулярное исполнение. Рекомендуем использовать VPN-подключения. Производители коммерческих продуктов предлагают VPN-решения для доступа. Лучше выбирать продукты, которые сертифицированы и одобрены регуляторами. Если такой возможности нет, допустимо установить коммерческие решения, но только те, которые хорошо известны ответственному специалисту по ИБ в организации. Если в компании есть профильные специалисты, отвечающие за инфраструктуру и безопасность, возможно применять бесплатные решения для организации VPN-подключений, например OpenVPN или его аналоги. Специалисты должны будут обеспечить их грамотное развертывание, эксплуатацию и необходимые организационные мероприятия по управлению доступом и ключами.

Если в организации налажен процессный подход к моделированию угроз, реализации и модернизации используемых моделей, ситуация неопределенности просто не возникает, и организация в целом легко перестраивается с учетом нового формата взаимодействия как с контрагентами, так и подрядчиками, а также и своими сотрудниками, внедряет новые методы защиты (VPN, антивирус, DLP, аутентификацию, инспекцию потоков, мониторинг, контроль), ориентируясь на изменившуюся модель угроз.

Соответственно, недостаточно принять собственно меры, перечисленные в данном разделе, рекомендуется обратить внимание на системный подход к стандартизации и популяризации моделей защиты крупных и малых организаций и внедрить указанные модели на уровне отраслевых стандартов, назначить персональных ответственных за систему организации защиты. Также важно наладить образовательный процесс, с тем чтобы все сотрудники понимали, что такое системный подход к защите информации.

Это поможет справиться с новыми задачами, возникшими сейчас, в условиях кризиса, но и с любыми изменениями, которые возникнут в будущем.

Введение

Цифровая трансформация (ЦТ) — это прежде всего инновационный процесс, требующий внесения коренных изменений в промышленные технологии, социум и культуру, финансовые транзакции и принципы создания новых продуктов и услуг. Фактически, это не просто набор подлежащих развертыванию ИТ-продуктов и решений в компаниях и на производстве, а глобальный пересмотр подходов и стратегий в бизнесе, выполняемый с помощью информационных технологий. Цифровая трансформация является переходным периодом к шестому технологическому укладу в ходе четвертой промышленной революции (Industry 4.0).

Рис 1. Цифровая трансформация — переход к 6-му технологическому укладу.

Не все компании готовы к новым и достаточно жестким требованиям, которые им предъявляет ЦТ, а именно, к полной модернизации методов ведения бизнеса, пересмотру внутренних бизнес-процессов и новой культуре взаимоотношений внутри компании. Мало того, менеджмент должен быть подготовлен, как к позитивным, так и к негативным последствиям цифровой трансформации.

Цифровая трансформация — это не просто автоматизация и цифровизация отдельных производственных процессов «на местах», это интеграция обычных офисных и промышленных технологий, которые мы используем ежедневно, с совершенно новыми ИТ-направлениями, специфичными для ЦТ, (облачные вычисления, искусственный интеллект и машинное обучение, IoT и т.д.).

Негативные последствия цифровой трансформации

Однако у процессов, которые вызывает цифровая трансформация, есть и негативная сторона. Революционные изменения, которые привносит в бизнес ЦТ, породили определенные проблемы для служб информационной безопасности (ИБ), а именно, возникли новые вектора угроз ИБ и расширился спектр уязвимостей для потенциальных кибератак.

«Модная технология» DevOps является предметом особой настороженности специалистов ИБ, так как она принципиально изменила взаимоотношения между разработчиками софта, системными администраторами, службами тех. поддержки и конечными пользователями. (Методология DevOps означает интеграцию деятельности разработчиков и специалистов по обслуживанию ПО, сетей и оборудования в командах и компаниях).

Рис 2. Что такое DevOps.

Также хочется отметить, что одним из серьезных препятствий для быстрого внедрения ЦТ в компаниях являются старые (унаследованные) технологии, которые обслуживают производственные и офисные процессы уже много лет. С одной стороны, их невозможно заменить быстро (без остановки бизнес-процессов), а с другой стороны они плохо вписываются в процессы цифровой трансформации и несут в себе множественные угрозы ИБ.

Ниже остановимся на основных проблемах ИБ, а также обозначим пути разрешения этих проблем в ходе ЦТ.

Проблемы информационной безопасности в условиях ЦТ

1. Непрозрачность событий ИБ в корпоративной инфраструктуре предприятий.
В крупных компаниях повсеместно используются различные технологические локации, развернутые в облачных сервисах, причем оснащенные собственными инструментами ИБ и разными внутренними сервисами. Однако, пока еще есть проблемы, как с интеграцией таких решений, так и с прозрачностью и фиксацией всех инцидентов и событий ИБ в такой сложной ИТ-инфраструктуре. Мало того, цифровая трансформация предполагает значительный рост, как облачных решений, так и усложнение корпоративной инфраструктуры за счет внедрения IoT, блокчейна, ИИ и т.д.

2.Трудности с вопросом автоматизации всех процессов ИБ.
В обычной средней или даже крупной компании многие процессы информационной безопасности остаются неавтоматизированными, при этом не выработан даже общий подход к их автоматизации. Однако у сотрудников департаментов ИБ таких компаний есть уверенность в том, что защита работает по всем возможным векторам атак, как внутри периметра, так и в облаках, на мобильных устройствах, веб-серверах и т. д. Возможно, отдельные решения ИБ (антивирусы, межсетевые экраны, системы обнаружения вторжений и т.д.) пока еще обеспечивают определенный уровень безопасности на отдельных участках и снижают количество инцидентов ИБ, но без выработки общей стратегии и политики безопасности в такой организации обязательно будут проблемы с ИБ в будущем, в ходе внедрения ЦТ.

3.Интеграция ИБ-решений.
Хочется отметить, что в большинстве организаций до сих пор плохо с интеграцией различных ИБ-решений, нет сквозной видимости всех угроз, плохо с контролем соответствия требованиям регуляторов (compliance).

4.Гибкое масштабирование.
По результатам опросов и исследований в области информационной безопасности экспертами выяснено, что на многих предприятиях, четверть корпоративной инфраструктуры так и остаётся незащищенной. По мере роста ИТ-инфраструктуры, вызванного цифровой трансформацией, а также в связи с усложнением кибератак, появляется потребность в масштабируемости ИБ-решений. И даже если в компании есть эффективно работающие решения, защищающие отдельные компоненты инфраструктуры ИТ (например, антивирусы, межсетевые экраны и т.д.), то в целом это не повышает общий уровень безопасности в организации, по причине плохой интеграции и масштабируемости этих отдельных решений.

На данный момент наибольшую проблему у специалистов по кибербезопасности вызывают сложные для блокировки полиморфные кибератаки, целевые кибератаки (APT, advanced persistent threat, «развитая устойчивая угроза»), а также рост использования методологии DevOps, которая повышает риски несвоевременного обнаружения новых уязвимостей.

Рис 3. Фазы целевой кибератаки (APT, advanced persistent threat).

5.Последствия обновлений ПО.
До сих пор остаются опасными угрозы, связанные с обновлением софта, так как зачастую вместе с «патчами» и «апдейтами» может быть инсталлировано и вредоносное ПО.

Стратегия обеспечения безопасности в условиях ЦТ или меры противодействия угрозам

В будущем, ЦТ может быть использована как для позитивных изменений в социуме, так и для реализации угрозы для мировой стабильности и безопасности. Таким негативным примером является, так называемое, «кибероружие». Для того, чтобы в условиях постоянно нарастающей нестабильности, обозначить стратегию безопасности своего бизнеса и систем государственного управления, необходимо уяснить для себя в целом, что такое «безопасность» и какая она бывает.

Таким образом, само понятие «безопасность» подразделяется на 3 большие группы: личную, общественную и государственную.

Личная безопасность — это такое состояние, когда человек защищён от любого вида насилия (например, психологического, физического или др.)
Общественная безопасность — способность социальных институтов государства защитить личность и общество от различного вида угроз (в основном, внутренних).
Государственная безопасность — система защиты государства от внешних и внутренних угроз.

Еще одним важным направлением в области безопасности, является информационная безопасность и защита информации. Цель работы специалистов по защите информации — это обеспечение её конфиденциальности, доступности и целостности. В общем, эти три ключевых принципа ИБ называют триадой CIA, ниже раскроем смысл этих понятий.

• Confidentiality (с англ.

«конфиденциальность»

) — это свойство информации быть закрытой для неавторизованных лиц;
• Integrity (с англ.

«целостность»

) — свойство сохранения правильности и полноты данных;
• Availability (с англ.  – 

«доступность»

) — свойство информации быть доступной и готовой к использованию по запросу авторизованного субъекта.

Рис 4. Три ключевых принципа ИБ (триада CIA). Основная цель информационной безопасности в контексте ЦТ — это обеспечить защищенность как информации, так и ИТ-инфраструктуры от случайных или преднамеренных воздействий (атак и т.д.), которые могут нанести неприемлемый ущерб владельцам информационных активов.

Особое внимание необходимо уделить инцидентам ИБ на объектах критической информационной инфраструктуры (КИИ), это могут быть, как таргетированные атаки (APT), так и техногенные катастрофы, физическое похищение активов и др. угрозы. По мере усложнения атак наращиваются и «средства обороны» (т.е. инфраструктура ИБ).
На этом фоне все большую популярность набирают системы SIEM (Security information and event management), основная задача которых — это мониторинг корпоративных систем и анализ событий безопасности в режиме реального времени, в том числе с широким использованием систем ИИ и глубокого машинного обучения (Deep learning).

Крупные технологические компании, которые лидируют в области ЦТ, намного чаще других интегрируют свои продукты и средства ИБ в единую архитектуру корпоративной безопасности. Надо отметить, что в таких компаниях отдают предпочтению стратегическому подходу и формированию политики безопасности, что позволяет:

• быстро обнаруживать угрозы и оперативно реагировать на них;
• обеспечивать качественную защиту информационных активов;
• иметь прозрачную для обнаружения угроз технологическую среду.

Лидеры цифровой трансформации, как правило, охотнее автоматизируют ИБ-процессы в компании, это намного эффективнее ручного мониторинга угроз и событий ИБ, который применялся повсеместно до периода ЦТ. Позитивным примером такой автоматизации и комплексного подхода является внедрение SOC (Security Operations Center, центр обеспечения безопасности). Однако нужно учитывать, что настройка автоматизации всех рабочих процессов требует большего времени для тестирования и необходимости привлечения грамотных специалистов.

Рис 5. Внедрение SOC (Security Operations Center) в компании.

Одной из особенностей ИБ в эпоху цифровой трансформации является процесс внедрения в корпоративную систему средств централизованного контроля соответствия как промышленным стандартам, так и стандартам ИТ и ИБ, что повышает эффективность работы такого направления ИБ, как compliance.

Заключение

Одним из серьезных препятствий на пути компаний к ЦТ является необходимость обеспечения высокого уровня информационной безопасности, что не всегда посильно большинству компаний, особенно фирмам из сектора SMB. При этом необходимо учитывать факторы нарастания, как внутренних, так и внешних угроз ИБ, связанные со значительным ростом сектора киберпреступности, а также рисками, возникающими естественным путем в ходе реализации методологии DevOps, облачных технологий, IoT и т.д.

Один из достаточно новых, но эффективных подходов в области обеспечения безопасности информационных активов — это применение методов проактивной защиты, способных не просто защитить, но и предотвратить кибератаки. Здесь хочется отметить такие технологии, как «ханипоты» (honeypots и honeynets), а также более продвинутые системы по развертыванию распределенной инфраструктуры ложных целей (Distributed Deception Platform, DDP).
В итоге, можно выделить лучшие практики ИБ, которые мы можем порекомендовать компаниям и бизнесу в ходе процесса цифровой трансформации:

• построить единую архитектуру безопасности, которая обеспечит централизованное управление ИТ-инфраструктурой и прозрачность всех событий ИБ;
• разработать стратегию защиты корпоративной сети и политику безопасности компании;
• внедрить встроенные средства контроля соответствия стандартам и требованиям регуляторов;
• использовать методы, как превентивной, так и проактивной защиты.

Рис 6. Стратегический подход к ИБ — разработка политики безопасности компании.