Спецпроекты

Безопасность

Информационная безопасность: в сетях самообмана

Информационная безопасность – наиболее мифологизированная область ИТ. К сожалению, мифы не столь безобидны, и следование тому, что "все знают", может привести компанию к банкротству.

Миф первый. Информационная безопасность – это определенный набор программно-аппаратных средств и документов.

Потратив сотни тысяч на оборудование и месяцы на разработку руководящих документов и инструкций, руководители организаций облегченно вздыхают, ИТ-специалисты с чувством выполненного долга вытирают со лба пот - деньги освоены, работа выполнена, безопасность поставлена на высоком уровне. И те, и другие чувствуют себя надежно защищенными. Под это приятное чувство на долгое время легко забываются все вопросы информационной безопасности и связанные с ними беспокойства. Подобный подход - одно из самых серьезных заблуждений с точки зрения последствий, к сожалению превалирующий в большинстве российских компаний.

Безопасность - это процесс, непрерывно продолжающийся во времени. В тот момент, когда производилась установка и настройка оборудования и программного обеспечения, оно действительно обеспечивало безопасность, но уже через месяц ситуация изменится, и даже принципы, на которые опирались, внедряя то или иное решения, могут уже устареть. Информационной защитой нужно заниматься постоянно: анализировать угрозы и принимать меры по их устранению.

Миф второй. Главное в ИБ - хорошее оборудование и ПО

Исторически так сложилось, что в большинстве организаций средства, выделенные на организацию информационной безопасности, прежде всего расходуются на аппаратные средства, потом на программные, и лишь оставшиеся крохи - на обучение сотрудников компании и ИТ-специлистов. В конечном итоге это приводит к тому, что затраты на ИТ-безопасность не соответствуют уровню безопасности организации.

Потратив сотни тысяч долларов на оборудование и программное обеспечение, можно не получить от них никакой пользы из-за безграмотной настройки и эксплуатации. Недостаточно купить мощный Firewall, необходимо правильно и грамотно его эксплуатировать, а для этого требуется компетентный персонал. Лишь регулярное обучение персонала, и не только ИТ-специалистов, но всех остальных сотрудников организации, обеспечит должный уровень безопасности. Иногда это дает больше эффекта, чем новое ПО и оборудование.

Совершенно обычная и часто встречающаяся ситуация: в компании на всех компьютерах установлены аппаратные средства аутентификации. Вот стоит наша дорогостоящая коробочка, и прямо к ней незамысловато прикручен проволочкой ключ аутентификации. Чтобы не потерялся. Не менее часто встречается наклеенный на мониторе стикер с логином и паролем для входа в систему. Чтобы не дай Бог, не забылся.

Неправильно эксплуатируемые средства защиты – хуже, чем их отсутствие. Это создает ложное чувство уверенности в уровне безопасности, в то время как реально никакой безопасности. Те цели, для которых оно закупалось, не выполняются просто потому что оно либо вообще не настроено, или настроено не компетентно, либо настроено, но не обслуживается должным образом. Низкий уровень подготовки сотрудников компании, непонимание ими сути выполняемый инструкций или невысокий уровень компетентности ИТ-специалистов делают неэффективной любую, даже самую совершенную систему безопасности.

Миф третий. Самая большая угроза информационной безопасности компании исходит снаружи.

Значительная доля компаний, заботящихся о своей безопасности, полагают, что основная угроза исходит снаружи, от внешних, сторонних лиц и организаций. Есть злые враги и злобные хакеры, которые пытаются проникнуть в сеть компании и получить доступ к ее информации.

Действительно, кто опасней: хакер, пытающийся проникнуть в корпоративную сеть «извне», или сотрудник компании, который уже имеет к ней доступ? Злоумышленник может просто найти человека, "нечистого на руку", а может обмануть доверчивого пользователя, используя методы социальной инженерии. Тратя огромные деньги на защиту компании по периметру, не стоит ни в коем случае забывать об опасности внутренних угроз.

Миф четвертый. Использование антивируса полностью защищает от проникновения вирусов.

Довольно часто приходится сталкиваться с самоуверенностью и переоценкой возможностей антивирусного программного обеспечения. Его установка вовсе не гарантирует стопроцентной защиты от попадания вирусов и прочих зловредных программ. Использование такого ПО означает всего лишь то, что вирусы из общеизвестных списков, скорее всего, не попадут в защищаемую антивирусом область.

Обеспечение информационной безопасности бизнеса  Учебный курс по теме: Обеспечение информационной безопасности бизнеса (02.03 - 03.03, Москва)

Недостаточно просто установить антивирус – необходимо правильно его настроить и эксплуатировать. Часто антивирусное программное обеспечение устанавливается только на серверах, через которые осуществляется взаимодействие пользователей с интернетом, например, выполняющих роль шлюзов или почтовых серверов. Но вирус может попасть в корпоративную сеть множеством других путей – например с CD или Flash-дисков пользователей.

Кроме того, есть множество неизвестных вирусов и различных зловредных программ, не обнаруживаемых антивирусом. Это "клавиатурные шпионы", "трояны" и программы, открывающие изнутри "двери" в корпоративную сеть. Их много, и они не обнаруживаются антивирусным программным обеспечением, функционируя незамеченными годами.

Здесь уместно будет вспомнить о недавнем скандале, связанном с компанией Сони и ее системой по предотвращению нелегального копирования дисков. Система совершенно незаметно для пользователя устанавливала на компьютер программу-"шпион", которая тайно пересылала нужную ей информацию в интернет. При этом система защиты не обнаруживалась ни одной антивирусной программой, пока не разразился большой скандал. Вывод простой – необходимо быть постоянно осторожным и помнить, что возможности антивирусных программ весьма ограниченны.

Миф пятый. Система не имеет уязвимостей, если в ней своевременно устанавливать все обновления.

Увы, и это тоже миф. Даже при регулярном отслеживании и немедленной установке всех выпущенных заплаток и обновлений к вашей системе, в ней все равно есть достаточное количество уязвимостей. Дело в том, что далеко не все обнаруженные уязвимости становятся известными, и уж точно не сразу против них выпускаются «заплатки». Существует целый рынок, на котором продаются обнаруженные уязвимости в тех или иных продуктах. Так зачем заявлять о находке разработчикам, когда ее можно выгодно продать? Цена на уязвимость зависит от степени ее «критичности»: чем больше возможностей она дает злоумышленнику, тем дороже стоит.

Короткая ссылка