Сегодня многие компании, столкнувшись с экономическими сложностями, сокращают свои затраты, в том числе и на информационную безопасность. Тем не менее обостряющаяся конкурентная борьба и низкая лояльность сотрудников ведут к увеличению рисков информационной безопасности.
Небезопасная конфигурация беспроводной сети
Большинство российских компаний сейчас только формирует процессы управления информационной безопасностью и на этом этапе имеет типовые проблемы, вытекающие из неэффективности существующих процессов. Какие проблемы наиболее актуальны? Использование каких технологий требует повышенного внимания к вопросам информационной безопасности? Какие меры по защите данных должны быть приняты в первую очередь?
Современный склад не может обойтись без такой удобной технологии, как беспроводная сеть. Складские решения с ее применением позволяют улучшить производительность работников склада, максимально автоматизировать учет и уменьшить число ошибок ручного ввода. Однако ошибки, совершенные при развертывании и настройке сети, могут позволить беспрепятственно проникать в нее внешним злоумышленникам. Наиболее серьезной ошибкой является использование уязвимого протокола безопасности.
Для защиты беспроводной сети используются специальные протоколы, которые должны обеспечивать доступ к сети только тем, кому он действительно необходим, а также обеспечивать передачу данных только в зашифрованном виде. Одним из первых протоколов безопасности беспроводной сети был протокол WEP, который широко используется сейчас как во всем мире, так и в России. Еще в 2001 году в протоколе были обнаружены серьезные недостатки, позволяющие злоумышленникам легко получить пароль для доступа к сети. Причиной широкого использования этого небезопасного протокола является то, что он поддерживается практически всеми беспроводными устройствами и легко настраивается.
Пример. Для получения доступа к сети, защищенной протоколом WEP, злоумышленнику достаточно лишь набрать несколько команд. Незащищенная беспроводная сеть позволит злоумышленникам незаметно осуществлять проникновение в корпоративную сеть компании, разместившись в припаркованном рядом со складом автомобиле. Оказавшись в корпоративной сети, злоумышленники смогут атаковать серверы критичных информационных систем. Получив доступ к корпоративным системам, хакеры имеют возможность сделать все, что угодно: украсть финансовую информацию, данные клиентов, внести изменения в данные о товарных остатках, сроках годности товара, внедрить компьютерный вирус. Так, американская сеть оптовых супермаркетов BJ Warehouse Club подверглась ряду атак хакеров, проникавших в ее сеть, используя уязвимости в беспроводной сети. Результатом взлома стало осуществление мошеннических покупок с помощью данных кредитных карт покупателей BJ Warehouse Club на сумму свыше $10 млн.
Настройки по умолчанию
Самой распространенной серьезной уязвимостью является использование паролей, установленных по умолчанию. Эта очень часто встречающееся явление, обусловленное тем, что установщики программного и аппаратного обеспечения в большой степени обеспокоены тем, чтобы заставить работать систему так, как положено, и очень часто при этом игнорируют информационную безопасность. Они просто забывают сменить пароли для системных учетных записей, обладающих наиболее полными привилегиями в системе, оставляя их такими, как они были заданы производителем.
Важно иметь возможность проводить расследования. Защититься от атак злоумышленников на 100% никогда не получится, поэтому необходимо всегда помнить о возможности возникновения инцидента информационной безопасности, который нужно будет расследовать. Иногда IТ-специалисты полностью отключают регистрацию действий пользователей, так как она создает дополнительную нагрузку на систему и требует внимания. В подобном случае компания может даже не узнать о том, что ее сеть была взломана, и конкуренты получают данные о ее деятельности более оперативно, чем руководство самой компании.
Как управлять информационной безопасностью
Существование недостатков в системе обеспечения информационной безопасности связано в первую очередь с отсутствием процессов управления в ней. Как создать эффективную систему управления?
Во-первых, необходимо заручиться поддержкой руководства компании, которое должно осознать возможные последствия игнорирования вопросов информационной безопасности склада и выделить необходимые ресурсы. Последствиями могут быть финансовые потери, ущерб имиджу компании, проблемы с регулирующими органами. Представьте себе, что будет устроена атака «Отказ в обслуживании» на беспроводную сеть компании, систему управления складом, вследствие чего склад не сможет функционировать на прежнем уровне? Каков ущерб, допустим, от мошеннических операций, осуществляемых с помощью складских систем? Есть ли у руководства компании желание нести гражданскую, уголовную, административную, дисциплинарную ответственность за нарушение Федерального закона «О персональных данных»?
Во-вторых, необходимо провести классификацию информации и понять, какие данные являются наиболее критичными и в каких системах они обрабатываются. Для каждого вида информации определяется ее критичность – как минимум по степени конфиденциальности. Обычно компании используют такие категории, как «Общедоступная информация», «Персональные данные», «Коммерческая тайна». Руководитель склада как владелец бизнес-процессов должен принять активное участие в процессе классификации информации, с которой работают его подчиненные. Понимание того, какая информация и какие системы нуждаются в более серь-езной защите, позволят компании сконцентрироваться на самом важном.
В-третьих, необходимо выявить существующие в компании проблемы информационной безопасности, для чего необходимо проведение комплексного аудита. В чем он заключается? Как известно, в обеспечении информационной безопасности задействованы процессы, технологии и люди. Поэтому в ходе аудита проверяются все три составляющие.
При проведении аудита процессов анализируются существующие документы по информационной безопасности и то, как реально функ-ционируют процессы управления информационной безопасностью в организации. В качестве критериев аудита часто используются положения международ-ного стандарта ISO 27001:2005. В ходе технического аудита выявляются уязвимости беспроводной сети, используемого компанией программного и аппаратного обеспечения, позволяющие злоумышленникам получать несанкционированный доступ к данным. Очень эффективным является тестирование на возможность несанкционированного проникновения, в ходе которого осуществляется имитация действий реальных злоумышленников.
В ходе комплексного аудита также проверяется, насколько сотрудники устойчивы к атакам злоумышленников, использующим методы социальной инженерии. Аудиторы связываются с сотрудниками компании по электронной почте, телефону, через социальные сети (сайты «Однаклассники.ру», «Вконтакте.ру» и др.) и пытаются обманным способом получить важную информацию (например, пароли для доступа к информационным системам). Результатом аудита является составление перечня существующих проблем с указанием уровня риска, связанного с каждой из них. Объективно оценить уровни рисков можно как раз благодаря проведенной классификации информации и пониманию, в какой системе какая информация обрабатывается.
Как обеспечить безопасность во время кризиса
Информационная безопасность является затратной статьей бюджета, а сейчас на затратах принято экономить. В то же время бизнес не хочет терять деньги из-за проблем с информационной безопасностью. Какие существуют возможности решения этих проблем во время кризиса?
Процессы управления информационной безопасностью. Далеко не всегда проблема информационной безопасности решается покупкой очередного дорогостоящего средства защиты информации. Так, основную массу задач можно решить с помощью внедрения необходимых процессов управления информационной безопасностью. Наибольшее внимание следует уделить процессам информационной безопасности, связанным с управлением логическим доступом к информационным системам (процедуры предоставления доступа к информационным системам, блокировки учетных записей уволенных сотрудников), обнаружением и устранением уязвимостей в программном обеспечении, управлением инцидентами информационной безопасности и обучением сотрудников. Так, например, своевременная блокировка учетных записей уволенных со склада сотрудников и наличие у пользователей лишь минимально возможных привилегий в системах уменьшат риск осуществления мошеннических операций.
Настройка существующих систем. Современное программное и аппаратное обеспечение включает встроенные механизмы обеспечения информационной безопасности, настройка которых в соответствии с рекомендациями производителей позволит значительно повысить уровень защищенности. Уровень защищенности информации, обеспечиваемый встроенными механизмами информационной безопасности систем, должен периодически проверяться в ходе аудита информационной безопасности. Использование программного обеспечения с открытым исходным кодом. Сейчас доступны бесплатные средства защиты информации, такие как антивирусы, межсетевые экраны, системы обнаружения вторжений и сканеры уязвимостей. Наиболее известные программные продукты имеют многолетнюю историю и широко используются во всем мире. Единственным их недостатком является отсутствие гарантированной технической поддержки, что, впрочем, компенсируется большим количеством профессиональных почтовых рассылок и форумов в сети интернет.
Аутсорсинг информационной безопасности. Компании доверяют свои деньги банкам, а обеспечение физической безопасности – охранным агентствам. Почему не распространить данный подход и на информационную безопасность? Передача части функций информационной безопасности на аутсорсинг позволит компании сократить свои затраты на квалифицированный персонал. На мой взгляд, передавать на аутсорсинг можно разработку и внедрение процессов управления информационной безопасностью и периодический контроль их эффективности, осуществляемый посредством комплексного аудита информационной безопасности. В этом случае ключевые процессы управления информационной безопасностью остаются полностью в компании и поддерживаются IТ-специалистами, руководителями бизнес-подразделений, сотрудниками отдела кадров и службы физической безопасности.