Статья

Как взламывают «операционную систему» человека

Безопасность Стратегия безопасности
мобильная версия

Киберпреступники зачастую пользуются методами социальной инженерии – рядом приемов, позволяющих подтолкнуть человека к раскрытию ценной информации. Опасность таких атак высока, а жертва обычно не понимает, что ее действия наносят вред. Эксперты компании McAfee постарались разобраться в этой проблеме и выделили основные виды атак, каналы, которыми пользуются злоумышленники, а также разработали методы защиты.

Сергей Крамаренко: Регулярная проверка осведомленности сотрудников снижает число нарушений в сфере ИБ

Сергей Крамаренко

Сергей Крамаренко, руководитель службы контроля ИБ «Вымпелкома», рассказал об опыте борьбы с инцидентами, в которых весомую роль играют методы социальной инженерии.

CNews: Насколько часто оператор сталкивается с инцидентами в сфере информационной безопасности, инициированными с помощью социальной инженерии?

Сергей Крамаренко: Инциденты в сфере ИБ в любой крупной компании, такой как «Вымпелком», случаются регулярно. Конечно, они не одинаковы по масштабу и влиянию на бизнес. Но в сфере обеспечения ИБ гораздо важнее то, как быстро происходит идентификация инцидентов и насколько эффективно компания способна их предотвращать, минимизируя негативные последствия. Также важно проводить пост-фактум «работу над ошибками» и планировать на будущее проведение необходимых мероприятий. К счастью, крупные по своим последствиям инциденты с использованием социальной инженерии единичны. Мелкие инциденты случаются в среднем раз в месяц, но мы с ними быстро разбираемся.

CNews: Расскажите, пожалуйста, о самом ярком инциденте за последние пару лет.

Сергей Крамаренко: Внешние злоумышленники сделали рассылку писем сотрудникам компании, содержащих ссылку на сайт в сети интернет с вредоносным ПО. В результате были заражены рабочие станции, на которых были зашифрованы файлы пользователей. Через интернет отправлялись сообщения на командный центр управления бот-сетью. SOC (Security Operation Center) «Вымпелкома» оперативно среагировал, перекрыл инфицированным компьютерам выход в интернет, связался с вендорами антивирусных решений, передал образцы вредоносного ПО для выпуска обновлений БД сигнатур и организовал восстановление данных из back-up с привлечением специалистов дирекции ИТ.

CNews: Какие риски для бизнеса были сформулированы в результате?

Сергей Крамаренко: По факту инцидента с сотрудниками была проведена разъяснительная работа. Говорилось о недопустимости действий, нарушающих правила пользования ИТ-сервисами компании, о том, что такие действия несут риски нарушения конфиденциальности/целостности критически важной корпоративной информации и доступности элементов ИТ инфраструктуры.

CNews: Как меры принимаются в компании для нивелирования этих рисков?

Сергей Крамаренко: Ежегодно в компании формируется и реализуется план повышения осведомленности сотрудников в вопросах ИБ. Параллельно модернизируются системы и средства защиты ИБ, эксплуатируемые в SOC, ведется постоянный мониторинг сетевой и пользовательской активностей, выявление аномалий. Каждый месяц формируется отчет по рискам ИБ, проводится их анализ. Наиболее значимые с финансовой точки зрения риски озвучиваются на заседании комитета по управлению рисками (Corporate Risk Committee). В дирекции ИТ и департаменте ИБ налажена система контроля соответствия требованиям как национального законодательства (ФЗ-152 «О персональных данных»), так и международного (SOX-404 (CobIT)), а также стандартов ISO 27001 и PCI DSS, что подтверждено соответствующими сертификатами внешних аудиторов.

CNews: Оцените, пожалуйста, эффективность принятых мер.

Сергей Крамаренко: Динамика результатов, получаемых по итогам плановых тестов осведомленности сотрудников в сфере ИБ, говорит о снижении тенденции нарушений, допускаемых пользователями. Поясню: ежегодно «Вымпелком» тестирует всех новых сотрудников, а также тех, кто ранее показал неудовлетворительные результаты во время проверок. В тестировании участвуют все российские офисы компании, суммарно речь идет о тестировании примерно 20% персонала. Например, в 2012 году 16% сотрудников, участвовавших в тестировании, выполнили действия, которые могли бы привести к негативным последствиям для компании. В 2013 году их доля снизилась до 13%, в прошлом году она составила 7%. Работа по повышению осведомленности и культуры в сфере ИБ продолжается.

Внедрение новых средств защиты информации, таких, например, как системы выявления аномалий и проведения киберрасследований, позволит SOC проактивно реагировать на новые угрозы и вызовы ИБ. Обсуждение и эскалация рисков ИБ на CRC привела к заключению «Вымпелкомом» договора о страховании киберрисков с одной из крупных международных страховых компаний.