Павел Мейнгард, руководитель практики «IT-инфраструктура» КСК групп
Фото: КСК групп
В современном мире информация распространяется со скоростью света, минуя границы, океаны и горные хребты. Сегодня уже невозможно сжечь лист бумаги и скрыть то, что было написано, – однажды попав в Интернет, информация остается там навсегда, удалить ее бесследно невозможно. И тот, кто ищет нужные сведения, обязательно их найдет. Поэтому попустительство в вопросах обеспечения информационной безопасности бизнеса часто приводит не только к финансовым и репутационным потерям, но и к привлечению собственника и топ-менеджеров к уголовной ответственности.
Практика показывает, что попытки предпринимателей самостоятельно минимизировать риски потери важной информации, как правило, заканчиваются потерей сил и времени, достигнуть при этом желаемого результата не удается. Компания КСК групп имеет многолетний успешный опыт решения вопросов, связанных с обеспечением информационной безопасности компаний любого масштаба. Привлечение опытных специалистов – залог сохранности ценных для вас и вашего бизнеса сведений. Но наш опыт свидетельствует, что существует не менее опасная крайность: когда собственник просто выделяет деньги на покупку программного обеспечения (ПО), необходимого оборудования и оплату услуг привлеченных экспертов, и считает, что проблема решена. На самом деле только партнерское взаимодействие собственника и консультантов может обеспечить данным надежную защиту, а вашему бизнесу – безопасность, устойчивость и развитие. Сегодня для предпринимателей очень важно знать основные правила работы с информацией. О том, какие ошибки часто совершают бизнесмены и как их избежать, поговорим в этой статье.
По секрету всему свету: к чему приводит отсутствие системы защиты данных?
Чтобы продемонстрировать, чем для бизнеса может обернуться легкомысленное отношение к вопросам защиты данных, расскажем несколько историй наших клиентов, обратившихся за помощью в КСК групп после того, как им был нанесен серьезный ущерб из-за несоблюдения требований информационной безопасности.
Руководство консалтинговой компании приняло решение расстаться с системным администратором, который начал постоянно нарушать дисциплину. При увольнении сотруднику была выплачена солидная компенсация, однако, администратор все равно посчитал, что с ним обошлись несправедливо. Спустя две недели он воспользовался учетной записью для удаленного доступа, которую не заблокировал его преемник, и уничтожил большое количество коммерчески важной информации. В результате деятельность компании была парализована на четыре дня, фирма понесла серьезные репутационные потери, а на восстановление данных пришлось потратить около 1 млн рублей.
К другому нашему клиенту с обыском пришли сотрудники ОБЭП. Никакой противозаконной информации на сервере компании не было, но чтобы «убедиться» в этом, правоохранители изъяли оборудование для исследования на один месяц. На сервере хранилась абсолютно вся информация о текущей деятельности компании. Оставшись без этих сведений, фирма разорилась за несколько недель.
Еще один пример – ситуация, случившаяся с представительством американской энергетической корпорации в Москве. В вопросах обеспечения безопасности, в том числе информационной, компания полагалась на охрану бизнес-центра, в котором она арендовала офис, и на системы видеонаблюдения. Однажды во время обеда, когда финансового директора не было на рабочем месте, к нему в кабинет буквально на минуту заглянул неизвестный сотрудникам молодой человек. Спустя полчаса выяснилось, что ноутбук, на котором хранилось огромное количество документов, с которыми работал финансовый директор, пропал. Камеры зафиксировали облик «гостя», однако, это не помогло его найти. Ущерб, причиненный компании, составил несколько миллионов долларов.
Четыре шага на пути к информационной безопасности
Есть несколько основных моментов, которые необходимо учитывать при создании комплексной стратегии информационной безопасности. Во-первых, нужно понимать, какие именно данные вы хотите защитить, а также какой ущерб может нанести бизнесу их утрата. Например, тщательно охранять сетевую папку с копиями уставных документов компании и внутренних приказов нет никакого смысла, так как первое есть в открытых источниках, а второе часто не интересно даже сотрудникам фирмы. Тем не менее неосторожное обращение даже с общедоступными сведениями может привести к негативным последствиям. В нашей практике был случай, когда клиент – строительная компания – приобрела «пиратское» ПО и установила его на 70 компьютеров. Когда продавца нелегального программного обеспечения навестили оперативники ОБЭП, на его компьютере была обнаружена переписка со всеми клиентами: в подписях к письмам содержались сайты, телефоны и другие контактные данные организаций, использовавших «пиратские» версии программ. Эти компании, в том числе и нашего клиента, правоохранители посетили в скором будущем. Стоит ли говорить, что не было никакой нужды указывать в письмах подробную информацию о себе? Все операции с данными, в том числе их передача контрагентам, должны проводиться в соответствии с единой политикой информационной безопасности, учитывающей возможные риски и подготовленной при участии профессионалов.
Чтобы создать эффективную систему защиты данных, нужно понимать, от кого или от чего вы хотите их защитить. Формирование списка потенциальных угроз позволяет существенно минимизировать затраты на информационную безопасность и увеличить эффективность защиты. Вышеупомянутая ситуация с «обидчивым» системным администратором – пример того, как угроза возникла там, откуда ее никто не ждал, что помогло злоумышленнику беспрепятственно совершить задуманное.
Для подготовки грамотной стратегии по защите данных важно оценить ущерб, который будет нанесен компании в случае реализации той или иной угрозы. Если максимально возможный ущерб составляет 100 рублей, то нет смысла тратить на нивелирование рисков 200. Хотя обычно топ-менеджмент предпочитает намеренно занижать результаты оценки рисков, чтобы сэкономить на системах защиты данных. Встречаются и обратные примеры. Например, у компании есть сайт – визитка, задача которого – информировать клиентов об организации и предоставляемых услугах. Через сайт не осуществляются продажи, контент на нем обновляется крайне редко. Можно защитить сервер, на котором располагается портал, с помощью таких эффективных и дорогостоящих инструментов, как межсетевой экран, система обнаружения вторжений и т. д. А можно настроить простую систему, которая будет раз в 30 минут проверять, не изменились ли данные на сервере. Если произошли изменения, система будет перезаписывать заранее сохраненный образ сайта поверх текущего. Таким образом, взламывать его будет совершенно бессмысленно, а создание системы защиты не потребует от компании практически никаких затрат. Правильно подобрать инструменты защиты данных вам помогут консультанты КСК групп.
Если свести воедино объекты защиты, стоимость потенциальных рисков и виды угроз, то мы получим модель угроз – важнейший документ, на основании которого проектируется система информационной безопасности. Данные, содержащиеся в модели угроз, должны регулярно обновляться.
Искусство манипулирования: социальный инжиниринг в действии
Часто злоумышленники стремятся получить коммерчески важную информацию через людей, которым она известна. Если вы являетесь собственником или топ-менеджером, имеющим доступ к конфиденциальным данным, велика вероятность, что именно вы – главная цель для мошенников. Не исключено, что получить нужные сведения им будет не так уж и сложно. Вы пользуетесь модными гаджетами, ведете светский образ жизни, активно путешествуете? Все это может быть использовано злоумышленниками в своих целях.
Существует большое количество инструментов контроля за современными мобильными устройствами. Например, с помощью специального ПО или сервисов оператора связи вы можете посмотреть, где находится потерянный/украденный телефон, уничтожить данные, хранящиеся на нем, или заблокировать устройство. Вы когда-нибудь задумывались, кто еще может сделать это и с какой целью?
Говоря о способах, с помощью которых можно получить конфиденциальную информацию, нельзя не упомянуть о социальном инжиниринге, включающем в себя методики, обеспечивающие добровольное сообщение данных их носителем – взламывать ничего не придется. Повлиять на человека для достижения конкретной цели получится тем быстрее, чем в менее привычной для себя среде он находится.
Как на практике работают методики социального инжиниринга? Студентам факультетов информационной безопасности часто дают задание проанализировать «периметр» любой компании на предмет наличия рисков, устранение которых будет их дипломным проектом. Студент звонит в первую попавшуюся компанию, сообщает, что он – представитель, скажем, «Высшей школы IT», организующей выездной семинар в Рио-де-Жанейро для IT-специалистов. Тематика мероприятия – «Инфраструктурные инновации от ведущих производителей», в семинаре примут участие докладчики от HP, IBM, Dell, Cisco и т. д. Семинар продлится три дня, еще три дня предусмотрено на проведение экскурсий и других развлекательных мероприятий для участников. Стоимость семинара – 50 тысяч рублей, действует система «все включено». После такой рекламы позвонившего с вероятностью в 99% соединят с IT-директором, которого студент во время беседы попросит заполнить анкету на тему архитектуры IT-инфраструктуры в компании («чтобы докладчики могли скорректировать свои выступления с учетом интересов аудитории»). Если результатом этих действий станет заполненная анкета, значит, атака с помощью социального инжиниринга удалась. Но добыть таким образом информацию и использовать ее для поиска уязвимых мест в системе безопасности компании могут и ваши конкуренты.
Меньше комфорта, больше надежности
Любые мероприятия, проводимые для повышения уровня защиты данных, делают менее комфортным использование информационной системы для сотрудников. Кому понравится набирать длинный пароль, если его можно вообще убрать с компьютера? Также часто работники считают «тиранией» невозможность самостоятельно устанавливать программы на служебный компьютер. Тем не менее эти меры необходимы. И исключений в таких вопросах быть не должно, особенно для топ-менеджмента.
Грамотное построение IT-инфраструктуры существенно осложняет жизнь злоумышленникам и снижает возможные риски. Например, при правильно настроенных уровнях доступа к ресурсам компании получить документ, для знакомства с которым у сотрудника нет прав, ему будет очень сложно. В случае технического сбоя отказоустойчивая архитектура (свойство системы сохранять свою работоспособность после отказа одного или нескольких составных компонентов) не только обеспечит сохранность данных, но и сделает неполадки незаметными для сотрудников.
Не откладывайте решение вопросов сохранности данных «на потом», такой подход может привести к печальным последствиям для вашего бизнеса. Действуйте проактивно, нивелируйте риски до того, как они превратились в проблемы, начинайте разрабатывать стратегию информационной безопасности уже сегодня.
Начните с себя: простые способы увеличить надежность хранения данных
Есть несколько несложных шагов, помогающих защитить данные и которые вы можете совершить самостоятельно. Например, если вы не являетесь публичной персоной, минимизируйте поступление во внешний мир любой информации о себе и своих близких. Это не только усложнит задачу специалисту по социальному инжинирингу, но и сэкономит вам и вашей семье кучу времени, которое тратится на «зависание» в соцсетях. Никогда не храните личную и служебную информацию на ресурсах, которые вы не можете контролировать (в первую очередь имеются ввиду «чужие» облачные сервисы для хранения файлов, в том числе на платформах Google, Apple и т. д.). Не ленитесь придумывать сложные пароли для доступа к местам хранения данных. Не посещайте незнакомые сайты с компьютеров/телефонов, на которых есть хоть какая-то конфиденциальная информация. Всегда придерживайтесь правила: для работы – один компьютер, для личных целей – другой. Постарайтесь не использовать для работы публичные Wi-Fi-сети или поставьте задачу вашим инженерам обеспечить защищенное соединение при использовании любых сетей. «Перехватить» незащищенную информацию через незащищенное Wi-Fi-соединение – несложная задача.
Защитите важную информацию в партнерстве с профессионалами
С помощью юристов, бухгалтеров и других сотрудников разделите данные на категории и храните их отдельно друг от друга. Для комплексной оценки эффективности методов информационной безопасности, используемых в компании, или для создания системы защиты данных с нуля обращайтесь к профессиональным консультантам КСК групп.
Чтобы информация была надежно защищена, необходимо проработать формальную сторону вопроса. С каждым сотрудником должны быть подписаны соглашения о конфиденциальности данных и об использовании информационных систем, обязательно должны быть утверждены правила работы с документами. Аргумент «все и так очевидно» в данном случае не действует, все должно быть оформлено в письменном виде. Грамотно подготовить эти документы вам помогут эксперты КСК групп.
Не бойтесь обращаться к профессионалам: недостаток меценатства у них, как правило, компенсируется наличием необходимых знаний и опыта. Наличие надежной системы защиты данных позволит вам сконцентрироваться на решении вопросов стратегии и развития бизнеса.