Цифровая революция породила новые угрозы
Самым слабым звеном информационной безопасности является человек – как рядовой сотрудник, так и специалист, допущенный в силу служебных обязанностей к важнейшим информационным ресурсам компании. Киберпреступников интересует финансовая информация, а также персональные данные физлиц. И способы получения доступа к таким данным постоянно совершенствуются. Эти и другие вопросы обсудили участники секции «Информационная безопасность – в мире киберугроз», состоявшейся в рамках CNews Forum 2016.
Информационные технологии привели не просто к оцифровке бизнес-процессов, но и к радикальной трансформации самой сущности организаций самого разного типа. Процессы диджитализации во многих сферах экономики приобрели тотальный и необратимый характер.
Но эти же процессы ярко показали, что после цифровой революции компании стали еще острей испытывать потребность в защите корпоративной информации. Данные, на пропажу которых ранее можно было закрывать глаза и спокойно списывать понесенный ущерб в убытки, теперь становятся ценным активом и интересуют не только хакеров, но и собственных сотрудников. Поэтому сегодня, как на заре информатизации, в центре внимания офицеров безопасности оказались люди.
Человек – самое слабое звено ИБ
Директор по безопасности компании SPSR Express Дмитрий Мананников выступил с докладом, в котором подробно разобрал такое неприятное для бизнеса явление, как мошенничество в корпоративной среде. Почему не удается эффективно бороться с ним при помощи традиционных антифрод-систем? Во-первых, такие системы работают в среде однородных данных. А, во-вторых, анализируемые ими потоки, как правило, внешние. Для поиска мошенников внутри компании больше подходит формирование паттернов стандартного дня, позволяющих выявлять отклонения от обычной рутинной деятельности сотрудников. Об эффективности такого подхода говорят цифры: ROI от внедрения соответствующего решения составляет 63% в первый же год эксплуатации.
Денис Батранков, консультант по информационной безопасности компании Palo Alto Networks, привел несколько примеров того, как сотрудники компаний невольно становятся причиной заражения корпоративной сети. Проблема заключается в том, что далеко не все специалисты по ИБ заметили, что эра стандартных файерволов, работавших с номерами портов, безвозвратно ушла, уступив место файерволам нового поколения (NGF), оперирующими с сетевым трафиком на уровне приложений.
Причиной инцидентов ИБ могут быть не только рядовые сотрудники. Наибольший ущерб могут нанести злоумышленники, допущенные в силу своих служебных полномочий к критически важным информационным системам. Александр Новожилов, генеральный директор компании «АйТи Бастион», подробно разобрал принципы защиты от так называемых «суперпользователей» на примере использования специализированного решения WALLIX Admin Bastion.
Вячеслав Муравлев, архитектор решений группы компаний Custis, акцентировал внимание собравшихся на том факте, что значительная доля утечек информации (65,4%, по данным InfoWatch за 2015 г.) происходит по вине внутренних нарушителей. Поэтому первоочередной заботой служб ИБ остаются идентификация и аутентификация пользователей информационных систем, в том числе осуществляемые благодаря системам управления правами доступа. Однако в этой сфере также имеется ряд нерешенных проблем. В частности, нет однозначного ответа на то, что следует предпринимать, если функционала стандартной IDM не хватает. Возможно, имеет смысл подробнее разобраться с гибридным подходом?
Вектор кибер-атак смещается
Что интересует настоящих киберпреступников? Михаил Комаров, директор по развитию бизнеса DIS Group, опираясь на статистику от Zecurion, утвержает: «Финансовые и персональные данные физлиц. На них приходится более 19% всех случаев утечек». В своей презентации эксперт остановился на требованиях законодательства к обезличиванию данных, а также на возможности их реализации. Так, по итогам внедрения в крупном отечественном банке Informatica Dynamic Data Masking удалось не только создать решение, полностью соответствующее требованиям законодательства, но и снизить трудоемкость обезличивания с 50 до 3 человеко-дней, а проверки данных со стороны ИБ – с 10 до 3 человеко-дней.
Тарас Татаринов, эксперт по ИБ компании «Монитор безопасности», объяснил, как именно мошенники добираются до необходимой им конфиденциальной информации: путем долговременных таргетированных атак (APT). Этот вид проникновения стал настоящим бичом для служб безопасности. Технические средства здесь, как правило, мало эффективны – зловредное ПО пишется в единственном экземпляре под конкретную ИС. Антивирусы его не распознают, тем более, что в распространении вредоноса внутри периметра ИБ участвует инсайдер. Противостоять АРТ поможет может комплексный аудит, а также создание «фейковых сред» – приманок для злоумышленников, благодаря которым можно изучить их профиль, а также выиграть время.
Александр Хрусталев, директор по информационной безопасности МГТС, задал аудитории вопрос: «Что же нам со всем этим делать? Бизнес не может тратить на ИБ больше, чем на свое развитие». Одним из вариантов ответа, по мнению эксперта, является концентрация основных сил специалистов на самых критических направлениях, определяемых при помощи риск-менеджмента. Кроме того, действенное средство – обучение персонала азам ИБ и повышение уровня корпоративной культуры.
Об одном из способов уменьшения уровней рисков ИБ рассказал Анатолий Скородумов, заместитель директора – начальник управления по обеспечению информационной безопасности «Банк Санкт-Петербург». Главный тезис его выступления был «Доступность информации и удобство доступа – две большие разницы». Баланс может быть достигнут путем использования двухфакторной идентификации, при этом одним из факторов является биометрия. Эта технология нашла свое место в банке и доказала свою эффективность.
Новые времена, новые хакеры
Алексей Плешков, начальник управления режима ИБ департамента защиты информации Газпромбанка заинтриговал участников секции рассказом о том, куда же утекает собранная злоумышленниками информация, а также о том, кто и как на ней зарабатывает. В частности, он остановился на относительно новой группе хакеров, получившей название «Грейхэт». Эти люди формально не нарушают законов, но очень хорошо умеют перепродавать конфиденциальную информацию. Одним из эффективных методов пресечения их деятельности является киберразведка.
«За безопасность необходимо платить, а за ее отсутствие расплачиваться». Эту цитату Уинстона Черчилля привел Виталий Пашенцев, директор департамента информационных технологий «Сентинел», чтобы охарактеризовать отношение руководства этой коллекторской компании к ИБ. Соответствие многочисленным нормативным актам в сфере ИБ позволяет не только защитить информацию, но и повысить уровень конкурентоспособности компании – ведь такое требование все чаще предъявляются к участникам тендеров. Поэтому за период с 2014 г. по настоящее время бюджет ИБ «Сентинел» составил p72 млн, которые рассматриваются топ-менеджментом как инвестиции в бизнес.
Леонид Яшин, директор департамента процессинга «Гута-банк» посвятил свое выступление такой животрепещущей теме, как разрабатывать и дорабатывать ПО своими силами или привлекать сторонних партнеров? Кроме этого, он поделился своими наблюдениями о том, как сотрудники, постоянно повышающие свою квалификацию, в какой-то момент становятся профессионалами с набором доступов к различным ресурсам. «А людям присущи разного рода слабости», — с горечью отметил эксперт. Существуют и персоны, которые охотятся за новшествами, разрабатываемыми в банке, проверяют их в патентном бюро и пытаются нажиться на незарегистрированных элементах продукта, регистрируя их от своего имени.
В завершающем докладе сессии Андрей Алябьев, главный специалист отдела ИБ банка «Глобэкс», напомнил о проблеме фишинга. Так, FinCERT зафиксировал значительное число атак, связанных с подменой входных данных для АРМ КБР (изменение содержимого XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России). В большинстве случаев в банк направлялось электронное письмо, содержащее вредоносное ПО, не детектируемое антивирусными средствами. Как уже отмечал один докладчиков, серьезно повысить уровень ИБ, имея ограниченный бюджет, можно путем обучения сотрудников. Этот опыт был успешно применен в банке «Глобэкс», организовавшем фейковые фишинговые рассылки в учебных целях.
По итогам сессии ее модератор Алексей Плешков выразил общее мнение, что ИБ – это непрерывный процесс совершенствования как технических средств защиты, так и организационных мероприятий, связанных с устранением недостатков, выявляемых аудитом, а также обучением персонала: предупрежден – значит, вооружен.
Презентации участников форума