Адаптивні стратегії інформаційної безпеки

1. Єдиною і основним захистом є співробітники
2. Загальний підхід хакерів
3. Виробити імунітет компанії до актуальних загроз цифрової епохи
4. Ризик-орієнтований підхід в компанії

Бурхливий розвиток інформаційних технологій і пов'язаного з ними процесу цифровізації відкриває для суспільства, а також для комерційних і некомерційних організацій великі можливості. Йдеться про оптимізацію бізнесу, підвищенні ефективності і швидкості прийняття правильних рішень. Однак є й інша сторона медалі, коли з новими можливостями з'являються і нові, поки ще не повністю вивчені ризики, пов'язані з інформаційною безпекою. Стурбованість генеральних директорів компаній кіберріскамі зросла з 24 до 40% в 2018 р в порівнянні з 2017 р.1 Оцінити ризик хакерської атаки з фінансової точки зору складно: можуть бути вкрадені гроші або зупинено виробництво на кілька днів. Такі ризики все частіше потрапляють під сферу дії і фінансових директорів. Для них ІТ-безпека не є пріоритетом, але вони стають відповідальними за ІТ і ризик-менеджмент і приймають рішення про інвестиції в кібербезпека - краще інвестувати, ніж нести потім великі збитки. У чому причина таких ризиків і як виробити стратегії інформаційної безпеки з урахуванням нових загроз?

В даний час все більше компаній починають інвестувати в інформаційну безпеку (ІБ) своєї господарської діяльності. Всі великі міжнародні компанії щорічно збільшують бюджети на забезпечення ІБ2. Якщо в 2016 р на посилення ІБ було витрачено близько 81 млрд, то в 2018 році планується витратити рекордні 101 млрд дол. США, відповідно до проведеного компанією Gartner Inc дослідження.

Для чого такі витрати? Чи не легше ці гроші інвестувати в розвиток нових каналів продажів, маркетингові активності і т.д.? Однак останнім часом все частіше зустрічаються новини про зломи інформаційних систем великих майданчиків і компаній; крадіжці персональних даних; продажу краденої комерційної інформації. І не завжди це відбувається з метою збагачення. Іноді це робиться просто тому, що хтось може (і хоче) це зробити. Все це нагадує про необхідність шукати нові підходи до корпоративної кібербезпеки.

Єдиною і основним захистом є співробітники

Зломи інформаційних систем дорого обходяться репутації компанії і її фінансового становища. Наприклад, нездатність компанії TalkTalk Telecom Group PLC - однієї з найбільших телекомунікаційних компаній Великобританії - впровадити базові контролі за ІБ і тим самим запобігти кібератаку спричинила за собою прямий доступ зломщиків до персональних даних 150 000 клієнтів. Це призвело мінімум до 400 000 фунтів стерлінгів штрафу з боку державних органів, не рахуючи втрати клієнтської бази та інших витрат.

У чому ж основна причина зломів і недоліків? Недостатня кваліфікація кадрів, які відповідають за забезпечення безпеки? Халатність працівників в організаціях при виконанні посадових обов'язків? Слабка поінформованість в області захисту інформації? Недостатнє залучення і розуміння тематики з боку менеджменту?

Справа в тому, що в даний час технології і мислення потенційних зловмисників розвиваються набагато швидше, ніж законодавство країн в цій області, воно за ними не встигає. Заходи захисту будь-якого типу конфіденційної інформації, втім, як і уми, що відповідають за забезпечення інформаційної безпеки в компаніях (неважливо, будь то державні структури, середній або малий бізнес), також не завжди встигають за ними.

Зловмисники знаходять і експлуатують уразливості програмного забезпечення вкрай швидко - це не зупиняється процес. Варто виробникам програмного забезпечення виправити знайдені недоліки, практично в цей же час будуть знайдені нові. Наприклад, виробники програмного забезпечення, такі як Apple, Microsoft, Sony та ін., Платять за знайдені вразливості, щоб вчасно їх виправити. Деякі компанії наймають хакерів, щоб в організаціях були необхідні компетенції.

Фактор часу і розуміння співробітниками, що можна і чого не можна робити в даній ситуації, є вкрай важливими. На виправлення виявленої уразливості іноді йдуть не дні і тижні, а месяци3, і весь цей час організація буде вразливою. Єдиною і основним захистом в даному випадку є співробітники компанії. Вони повинні не тільки володіти основними знаннями в області захисту інформації, а й бути вчасно проінформовані про необхідність бути більш пильними.

Загальний підхід хакерів

Щоб допомогти компаніям передбачати, що може зробити хакер, а потім вжити заходів щодо зниження цих ризиків, було проведено дослідження способу мислення і поведінки хакерів. Що виявили експерти?

На різних фазах кібератаки хакери застосовують дослідницьке мислення (exploration mindset), тобто хакер ніколи не буде атакувати нову систему. Навпаки, він буде вивчати її, експериментувати і намагатися знайти слабкі вразливі місця (вендор, новий співробітник, пролом, яка не відповідає стандартам ІБ компанії). Як тільки він отримує доступ до уразливості, і згодом до системи, він починає використовувати її в своїх цілях в повній мірі (exploitation mindset), наприклад, викачувати якомога більше необхідної інформації.

Зазвичай дана стратегія exploration і exploitation включає в себе чотири етапи:

1. Пошук вразливостей. Хакери дуже терплячі й розумні. Вони готові довго вивчати компанію, якщо вона їм сподобалася за певними параметрами, її системи, ІТ-структуру і мережу, організаційну інформацію, політики по ІБ і т.д., не обмежуючись цим, вони можуть вивчати ваших постачальників, корпоративних клієнтів, дочірні компанії , потенційних інсайдерів у вашому штаті і т.д.

2. Сканування і тестування. Як тільки хакери отримали доступ до інформаційних ресурсів компанії, вони починають швидко сканувати ІТ-ландшафт компанії. Всі додатки, системи, щоб для себе класифікувати маленькі і великі уразливості.

3. Отримання необмеженого доступу. На цьому етапі вони отримують доступ до потрібних їм системам в своїх цілях, також можуть встановити свій додаток в корпоративній мережі malware (вірусне додаток / програма).

4. Утримання контролю над вразливістю. Часто хакери намагаються утримати контроль над системою і залишатися непомітними від персоналу ІБ і навіть від інших хакерів, за допомогою використання ексклюзивних прав доступу або за допомогою впровадження частини так званого backdoor коду.

Як тільки хакери опановують системою, вони починають її використовувати як плацдарм у вашій же мережі для здійснення нових кібератак. Система, яка перейшла під контроль хакерів, часто називається зомбі-системою. Якщо ж після отримання інформації хакери більше не бачать сенсу продовжувати свою атаку, вони виходять з мережі компанії дуже обережно, намагаючись залишатися непоміченими для ІТ-персоналу, щоб уникнути розслідування і подальших судових позовів, при цьому затираючи всі сліди своєї присутності. Схема хакерської атаки приведена на рис. 1.

Виробити імунітет компанії до актуальних загроз цифрової епохи

Якщо організації хочуть запобігти або зменшити ризик зовнішнього проникнення у внутрішні системи, а також витоку інформації, вони повинні діяти за двома напрямками:

• посилювати внутрішні контролі і при цьому

• добре вивчати, і розуміти психологію зломщиків (хакерів), а також використовувати (в ідеалі) їх експертизу.

Наприклад, такі компанії, як Facebook і Microsoft, найняли в свій штат успішних хакерів для посилення своєї ІБ4. Однак, треба також розуміти, що останнім часом хакери все більше діють не поодинці, а працюють в командах, групах, що трохи ускладнює завдання розуміння їх індивідуальної поведінки.

Застосовуючи підхід до вивчення поведінки хакерів, необхідно починати з розуміння того, як мислить хакер. Звичайно ж, не існує 100-відсоткової гарантії того, що організацію можна повністю захистити від проникнень. Якщо ми хочемо це зробити на 100%, то нам потрібно відключити всі комп'ютери. Однак, якщо навчитися думати як хакер, це може допомогти вибудувати певні превентивні заходи.

При побудові сильної системи ІБ необхідно заручиться підтримкою вищого керівництва, щоб в подальшому впровадження відповідних ініціатив в компанії йшло плавно.

Потім необхідно опрацювати стратегію ІБ, так як на ІБ необхідно дивитися з різних точок зору, не тільки технологічної, а й людської, оскільки людина зазвичай в будь-якій системі безпеки є найбільш вразливою ланкою.

Далі потрібно визначити перелік конфіденційної інформації, яка становить основну цінність в компанії: вона може бути абсолютно різною і залежить від діяльності компанії. Для кадрового агентства це може бути база даних кандидатів, для ритейлу - комерційний календар, для виробника - рецепт продукту.

Наступний крок полягає в тому, щоб зрозуміти і визначити список осіб, яким буде доступна дана інформація і вести постійний контроль цього доступу. Необхідно дотримуватися золотого правила: чим менше список таких осіб, тим краще і безпечніше для компанії.

Як тільки визначилися з тим, що потрібно захищати і хто має до цього доступ, необхідно:

• встановити можливі ризики порушення інформаційної безпеки і

• виявити потенційно вразливі місця в діяльності компанії, процесах, програмному забезпеченні, обладнанні і т.д.

Оскільки одним з основних ризиків був і залишається людський фактор, необхідно зрозуміти, чи знають відповідальні особи про заходи захисту інформації? Чи потрібно підвищувати рівень обізнаності співробітників в області захисту інформації?

Компанія може використовувати самі захищені і дорогі міжмережеві екрани, антивірусне програмне забезпечення, системи запобігання і аналізу вторгнення, але всі заходи будуть марними, якщо працівники не розуміють навіть основних принципів захисту інформації або, розуміючи, ставляться до них з халатністю.

Ще один корисний крок - це створення союзників. Компанії буде корисно ділитися досвідом, а також уразливими, які виявили хакери, з іншими компаніями з даної галузі, щоб разом сприяти посиленню інформаційних контролів по компаніям певного сектора економіки.

Всі перераховані заходи повинні здійснюватися в результаті постійного навчання та залучення уваги до даної проблематики будь-яким зручним і доступним способом. Це можуть бути електронні курси, роздатковий матеріал, проведення конференцій та круглих столів, використання постерів і буклетів, розсилання електронних листів на постійній основі, ведення блогу у внутрішній мережі компанії. У цій області діє принцип: чим більше - тим краще.

Разом з тим потрібно пам'ятати, що витрати на захист або контролі не повинні перевищувати вартості об'єкта, що захищається.

Ризик-орієнтований підхід в компанії

Для будь-якого зрілого бізнесу ризик-орієнтований підхід в діяльності компанії стоїть на першому місці: ми не можемо запобігти того, чого не можемо передбачити.

Одним з ризиків переважної більшості компаній в наш час є ризик порушення інформаційної безпеки, тому робота над поліпшенням даної області ведеться постійно:

• регулярно збираються вище керівництво компанії і експерти з даного напрямку в рамках Risk management Workshop;

• проглядається карта ризиків країни, особливо ризики, пов'язані з ІБ (ризик 1 на рис. 2);

• відслідковуються превентивні коригувальні заходи, новини з цієї області і що ще можна поліпшити, щоб мінімізувати наступ або масштаб збитку певного ризику.

Результат обговорення, включно з тим, що було зроблено для зменшення ризику і чого ще не вистачає, з термінами та відповідальними особами записується в паспорт ризику і надалі регулярно відстежується.

Навчання співробітників допомагає їм краще розуміти цінність, важливість інформації, а також, що не менш важливо, свою відповідальність, і обережно ставитися до підозрілих листів, сайтам, дзвінкам і запитам. Але поки ми займаємося процесом навчання, не можна забувати про поліпшення заходів захисту інформації:

• контроль цифрового периметра;

• можливе виділення інформації, що захищається в окрему підмережу;

• використання окремих приміщень для обробки інформації;

• збільшення періодичності оновлення програмного забезпечення і прошивок обладнання та багато-багато іншого.

Не менш важливим фактором в області захисту даних, так само, як і в будь-який інший діяльності організації, є підтримка вищого керівництва: без неї займатися поліпшеннями безглуздо. Впроваджуючи культуру ІБ, необхідно пам'ятати, що це постійний процес, в якому підтримка глави компанії необхідна. Якщо в даний час підтримки немає - в момент злому і втрат (будь то репутаційні, фінансові, інші) вона обов'язково з'явиться. Адже, як відомо, з точки зору зловмисників (а ми вже намагаємося думати, як вони) компанії діляться на два типи: яких вже зламали, і які ще не знають, що їх зламали.

Ну що ж, наші співробітники навчені і пильні, менеджмент переживає за зрілість інформаційної безпеки і виділяє всі доступні ресурси, техніки і правила впроваджені, бізнес-процеси ідеально налагоджені, обладнання та програмне забезпечення куплено і налаштоване. Настав час розслабитися і зайнятися іншими нагальними питаннями? Але відповідь, як ви вже здогадалися, - немає: процес знаходження вразливостей і злому, як і процес захисту, - постійний.

Завдання компаній - працювати на випередження, бути попереду в цій постійній гонці і не давати хакерам і зловмисникам шансів використати недоліки проти себе. Фактор часу часто тут виходить на перший план, і необхідно завжди бути першими. В іншому випадку, як показує історія, навіть одного програшу достатньо, щоб втратити довіру клієнтів, а іноді і втратити компанію.

1 21th СEO Survey, The Anxious Optimist in the Corner Office. PwC, 2018.

2 «To Improve Cybersecurity, Think Like A Hacker», MITSloan Management review, March 2017.

3 Досить згадати недавні уразливості в процесорах Meltdown і Spectre, віруси Petya і т.д.

4 J. O'Dell, "How 7 Black Hat Hackers Landed Legit Jobs," June 2, 2011, http://mashable.com .