044 384 18 22

телефон

04136, Україна, Київ

вул. Маршала Гречка, 13, офіс 1012

Прес-центр

Експерт із захисту даних і бізнесу: «В безпеці немає поділу на корпоративне і приватне»

Питання безпеки, зокрема, інформаційної, є найбільш чутливими для бізнесу. Про цей бік ведення справ, як правило, намагаються не поширюватися. Особливу обережність в питаннях безпеки проявляють фінансові організації. «Гроші люблять тишу», і будь-які зайві історії навколо збереження і безпеки фінансових організацій можуть спричинити серйозні проблеми в бізнесі.

 

Наш сьогоднішній співрозмовник ─ CEO Compliance Control Ukraine Михайло Магун. Він організовував роботу систем безпеки в кількох великих українських банках і ІТ-компаніях, за сприяння Єврокомісії вів в Україні власні проекти із захисту даних. Як виняток він розповів Forbes про основні тенденції в сфері безпеки бізнесу, в тому числі ─ щодо захисту від шахрайства, інформаційних витоків і «мобільних» ризиків.

─ У ЗМІ можна прочитати, що повна інформаційна безпека ─ це ілюзія. А в умовах війни спецслужби можуть отримати доступ до будь-якої інформації будь-якої фізичної та юридичної особи. І що найкращий спосіб убезпечити свою інформацію ─ не користуватися сучасними засобами зв'язку. З огляду на корумпованість силових структур в Україні, не виключено отримання доступу до інформації компанії з використанням засобів і повноважень розвідки і силовиків.

Будь ласка, поясніть ─ чи існує в таких умовах можливість повного захисту для компанії, яка веде активну діяльність?

─ 100%-вої безпеки не існує. При найкращих засобах захисту можуть залишатися слабкі місця в ІТ-системах. Також не можна виключати і людський фактор, адже неможливо приставити вартового до кожного співробітника. У статистиці серйозних інцидентів часто фігурують компанії зі світовим ім'ям або державні структури, що інвестують у безпеку серйозні кошти.

Один з останніх гучних зламів: злам серверів Equation Group ─ одного з підрозділів Агентства національної безпеки США. Equation Group займалася кібер-шпигунством, в тому числі розробкою експлойтів ─ спеціальних програм, які застосовуються з метою використання вразливостей ІТ-систем для проведення атак.

Я б рекомендував починати роботу з загальних організаційних заходів, які, як правило, не вимагають інвестицій у безпеку. Наприклад, систематизувати права доступу користувачів, визначити, кому із співробітників потрібні якісь системи, які права при цьому в кого є

Топ-менеджери, співробітники, що працюють із чутливою інформацією, ІТ-фахівці завжди будуть в зоні ризику. Вони можуть бути обмануті, вони можуть працювати на конкурента, мати якусь особисту мотивацію або допустити помилку. Вся інформаційна безпека побудована на тому, щоб управляти ризиками і зменшувати ймовірність виникнення тих чи інших загроз.

Відповідь на ваше запитання ─ потрібно визначити суттєві загрози для бізнесу і максимально знизити ймовірність реалізації цих загроз.

─ Які першочергові кроки з безпеки ви вважаєте необхідними?

─ Інформаційна безпека (ІБ) ─ це не тільки захист конфіденційної інформації, а й забезпечення цілісності, доступності на основі аналізу ризиків. Необхідно враховувати бізнес-процеси компанії і будувати інформаційну безпеку так, щоб вона не була сама по собі, а захищала бізнес.

Починати я б рекомендував із визначення цілей і постановки найбільш пріоритетних завдань. Наприклад, мета ─ запобігання шахрайству. При такій меті завданнями будуть моніторинг та розслідування: аналіз інцидентів в ІБ, пов'язаних із шахрайством; вживання превентивних заходів, виконання внутрішніх перевірок та контролю.

Виходячи з цих завдань, слід визначити, хто буде їх виконувати. Добре, якщо є можливість взяти на роботу фахівця/фахівців з безпеки. Але якщо такої можливості немає ─ можна поєднувати завдання ІБ з іншими, за умови, що не буде конфлікту інтересів. Наприклад, функція контролю ІТ не повинна належати ІТ-департаменту, моніторинг операцій не повинен проводити той, хто їх безпосередньо виконує.

Я б рекомендував починати роботу з загальних організаційних заходів, які, як правило, не вимагають інвестицій у безпеку. Наприклад, систематизувати права доступу користувачів, визначити, кому із співробітників потрібні якісь системи, які права при цьому в кого є. В першу чергу приділити увагу найбільш критичним для бізнесу системам.

Керівництву підприємства слід забезпечити контроль ІТ-послуг у контексті виконання вимог інформаційної безпеки, особливо приділити увагу послугам, які надаються в форматі аутсорсингу.

─ Які топ-5 проблем в організації інформаційної безпеки ви могли б виділити?

─ Весь спектр цих проблем я ділю на організаційні та технічні. З організаційних проблем ─ відсутність функції інформаційної безпеки, коли цими питаннями з різних причин не займаються. Недостатня інформованість керівництва про загрози ІБ, як наслідок ─ відсутність розуміння завдань ІБ і підтримки. ІБ живе своїм життям, без урахування завдань бізнесу і не забезпечує потрібну експертизу. Недостатньо ресурсів, немає можливості залучити експертів/спеціалістів. Неправильне поєднання обов'язків, немає контролюючої функції.

З урахуванням специфіки роботи з Google Apps, я б зазначив, що співробітники будуть використовувати як корпоративну, так і особисту техніку. При використанні особистої техніки для доступу до корпоративних ресурсів потрібно врахувати свої заходи захисту

У частині недоліків, пов'язаних з технічними питаннями, зазначу таке. Відсутність стандартів конфігурації систем, що призводить до використання небезпечних конфігурацій «за замовчуванням». Недостатня сегментація мережі: наприклад, із призначеної для користувача мережі доступні сервіси, які дозволяють адмініструвати системи, немає поділу по групах користувачів, тобто не виділені користувачі, які обробляють критичну інформацію в окрему підмережу. Відсутність правил прийнятного використання активів, користувачі не поінформовані про елементарні вимоги ─ наприклад, що не можна зберігати пароль доступу в відкритому вигляді.

─ В Україні є цілі корпорації, які в тому ж документообігу повністю використовують сервіси Google. Розкажіть про особливості цих інструментів.

─ Сервіси Google Apps забезпечують мобільність і зручність спільної роботи. Ризики такі ж, як і при використанні інших хмарних сервісів: передача керування своїми даними провайдеру; залежність від сервісів, які забезпечують доступність ─ провайдерів каналів зв'язку. Є також ризики, пов'язані із забезпеченням вимог законодавства або інших нормативних вимог.

З урахуванням специфіки роботи з Google Apps, я б зазначив, що співробітники будуть використовувати як корпоративну, так і особисту техніку. При використанні особистої техніки для доступу до корпоративних ресурсів потрібно врахувати свої заходи захисту.

─ У чому вигода від перенесення систем в окремий центр обробки даних?

─ Багато компаній в Україні практикують перенесення всіх інформаційних ресурсів у ЦОД, такі як Hetzner, Amazon і інші. Це зручно ─ не потрібно будувати власну інфраструктуру, а достатньо заплатити за сервіс.

При цьому ми отримуємо певні гарантії від постачальника сервісу, так звані Service Level Agreement, і не залежимо від офісної інфраструктури ─ в офісі, по суті, перебувають тільки термінали, які потрібні для підключення до хмари, де і розміщується вся службова інформація. Доступ і управління можна організувати по захищеному з'єднанню віддалено, неважливо звідки.

При виникненні будь-яких ризиків можна просто заблокувати доступ до ресурсів. Зрозуміло, що це знижує ризики вилучення даних, порушення роботи і створює стабільність. При цьому ваш офіс може перебувати де завгодно.

─ Але є ризик того, що при переїзді в Google чи Amazon корпорації отримають всі дані нашої компанії...

─ Так, отримають. Це вже на розсуд конкретної компанії. Припускаю, що ризики з боку Google або Amazon для більшості компаній невеликі.

─ Однак є шкідливі програми, які забезпечують недоброзичливцям зчитування інформації в реальному часі ─ при її наборі, наприклад.

─ Це вже питання захисту робочих комп'ютерів користувачів. Потрібно забезпечувати, як мінімум, базовий захист: доступ до корпоративних ресурсів тільки з авторизованих систем; використовувати обмеження прав і своєчасно оновлюється ПО, в тому числі ─ антивірусні системи. Також дуже важливо проводити навчання персоналу, щоб співробітники не довіряли вивертам соціальної інженерії.

Крім цього, є можливість перевірити захищеність ─ як мінімум провести сканування спеціальним ПЗ і знайти слабкі місця.

─ Розкажіть докладніше про тестування на проникнення: у чому практична користь і чи можна виконати такі роботи самостійно?

─ На відміну від матеріальних активів, рівень захищеності яких визначається заходами захисту фізичного середовища, рівень захищеності оброблюваної інформації залежить ще й від різних високотехнологічних факторів. В першу чергу, до таких факторів належить рівень захищеності її оточення ─ інформаційних систем і мережевої інфраструктури організації.

Використовуючи слабкі місця, зловмисники можуть завдати значного фінансового і репутаційного збитку. Персонал організацій, відповідальний за функціонування та підтримку роботи інформаційних систем, часто навіть не підозрює про наявність слабких місць протягом багатьох років ─ до виникнення інциденту.

Не варто встановлювати на смартфон усе підряд, а закачувати додатки слід від довірених джерел і перевіряти, які дозволи потрібні кожному конкретному додатку

Тест на проникнення ─ моделювання дій зовнішнього зловмисника, який намагається завдати шкоди системам замовника, наприклад, отримати несанкціонований доступ до даних або зупинити нормальне функціонування ІТ-систем.

За його результатами надається детальний звіт вразливостей ІТ-інфраструктури замовника, з підтвердженням можливості їх експлуатації та рекомендаціями щодо усунення виявлених недоліків. При цьому можливо і використання методів соціальної інженерії. Звичайно, за згодою замовника.

Дані роботи можна виконати самостійно, але завдання досить специфічні. І для їх якісного виконання потрібно відповідна підготовка як персоналу, так і програмного і апаратного забезпечення, а також своєчасне оновлення даних коштів ─ адже постійно з'являються нові вразливості і способи їх використання. Я б рекомендував міняти періодично виконавців даних робіт.

─ Яких збитків може завдати компанії витік інформації?

─ Це може бути величезний збиток, аж до припинення бізнесу. Не завжди можна його оцінити, адже завдається і шкода репутації, може відбутися відтік клієнтів або штрафні санкції з боку контрагентів, регуляторів. Відбуваються, наприклад, витоки про квартальну звітність, які призводять до падіння акцій, а суми вимірюються сотнями мільйонів доларів.

─ У смартфоні можуть бути встановлені й електронні гаманці, і мобільний банкінг. Але авторизація в цих програмах проходить через одноразовий пароль, який також приходить на цей же телефон. Які є рішення для зменшення ризику, що виникає внаслідок підвищеної мобілізації?

─ У вас повинен, як мінімум, стояти пін-код на телефон і на мобільний банк. Якщо телефон пропав, потрібно дзвонити в банк і блокувати ваш аккаунт. Не потрібно встановлювати на смартфон все підряд, а закачувати додатки слід від довірених джерел і перевіряти, які дозволи потрібні кожному конкретному додатку.

─ Чи є інші нові загрози, які виникають в інформаційній безпеці через розвиток технологій?

─ Нові загрози будуть виникати завжди в міру розвитку ІТ і впровадження нових технологій. Припускаю, що буде збільшуватися кількість загроз для хмарних технологій. Також зростає кількість загроз у сфері мобільних технологій. Причому зараз у питаннях безпеки часто немає поділу на корпоративне і приватне.

Джерело: forbes.net.ua

bottom-logo.png
команда висококваліфікованих фахівців в області інформаційної безпеки
04136, Україна, Київ, вул. Маршала Гречка, 13, офіс 1012
тел. 044 384 18 22
contact@softproduction.com.ua
Компанія Софт Продакшн надає послуги із забезпечення інформаційної безпеки підприємств, побудови корпоративних систем, мереж та телекомунікацій.

Search