Статьи

Інформаційний захист підприємства. Забезпечення інформаційної безпеки бізнесу.

  1. Інформаційна безпека підприємства: внутрішня загроза


Інформаційна безпека підприємства: внутрішня загроза


Коли ми говоримо про загрозу інформаційній безпеці, як правило, нам представляється досвідчений хакер, день і ніч скрупульозно вивчає найменші прогалини в захисті баз даних. Однак, як показує практика, часто біда приходить зсередини компанії - через недогляд, чи ж з лихого наміру, конфіденційна інформація витікає саме через співробітників організації.


Цілий ряд серйозних фахівців з інформаційної безпеки організації називає внутрішню загрозу найважливішою, віддаючи їй до 80% від загального числа потенційних ризиків. Дійсно, якщо розглянути середній збиток від хакерських атак, то він буде наближатися до нуля, зважаючи на велике число спроб злому і вельми низькою їх результативності. Одиничний же випадок помилки персоналу або успішного злодіяння інсайдера може коштувати компанії багатомільйонних збитків (прямих і непрямих), судових розглядів і поганої слави в очах клієнтів. За фактом, під загрозою може опинитися саме існування фірми і це, на жаль, реальність. Як забезпечити інформаційну безпеку бізнесу? Як захиститися від витоків інформації? Як вчасно розпізнати і запобігти внутрішню загрозу? Які методи боротьби з нею найбільш ефективні сьогодні?


ворог всередині


Внутрішнім зловмисником, або інсайдером, може стати практично будь-який співробітник, який має доступ до конфіденційної інформації компанії. Мотивація дій інсайдера не завжди очевидна, що тягне за собою значні труднощі в його ідентифікації. Нещодавно звільнений співробітник, який затаїв образу на роботодавця; нечистий на руку працівник, який бажає заробити на продажу даних; сучасний Герострат; спеціально впроваджений агент конкурента або злочинної групи - ось лише кілька архетипів інсайдера.


Корінь всіх бід, які можуть принести зловмисні дії інсайдерів, криється в недооцінці важливості цієї загрози. Згідно з дослідженням проведеним компанією Perimetrix, витік більше 20% конфіденційної інформації фірми в більшості випадків веде за собою її крах і банкрутство. Особливо частою, але до сих пір найбільш вразливою жертвою інсайдерів стають фінансові установи, причому будь-якого розміру - зі штатом від сотні до декількох тисяч працівників. Незважаючи на те, що в більшості випадків компанії намагаються приховати або істотно знизити реальні цифри збитків від дій інсайдерів, навіть офіційно оголошувані суми збитків справді вражають. Набагато болючіше фінансових втрат по компанії б'є шкоди репутації фірми і різке зниження довіри клієнтів. Найчастіше, непрямі втрати можуть багаторазово перевищувати фактичний прямий збиток. Так, широко відомий випадок з банків Ліхтенштейну LGT, коли в 2008 році співробітник банку передав базу даних щодо вкладників спецслужбам Німеччини, США, Великобританії та інших країн. Як виявилося, дуже багато іноземних клієнтів банку використовували особливий статус LGT для проведення транзакцій в обхід діючих в їх країнах податкових законів. Світом прокотилася хвиля фінансових розслідувань та пов'язаних з ними судових розглядів, а банк LGT розгубив всіх своїх значущих клієнтів, поніс критичні втрати і кинув весь Ліхтенштейн в важку економічну і дипломатичну кризу. За зовсім свіжими прикладами теж не потрібно ходити далеко - на початку 2011 року факт витоку персональних даних клієнтів визнав такий фінансовий гігант, як Bank of America. В результаті шахрайських дій, з банку витекла інформація з іменами, адресами, номерами соціального страхування і телефонів, номерами банківських рахунків і водійських прав, адресами електронної пошти, PIN-кодами та іншими особистими даними вкладників. Чи вдасться точно визначити реальний масштаб втрат банку, якщо тільки офіційно було заявлено про суму «більше 10 мільйонів доларів». Причина витоку даних - дії інсайдера, який передавав інформацію організованій злочинній групі. Втім, під загрозою інсайдерських атак не тільки банки і фонди, досить буде згадати цілий ряд гучних скандалів, пов'язаних з публікацій конфіденційних даних на ресурсі WikiLeaks - за оцінкою фахівців, неабияка частка інформації була отримана саме через інсайдерів.


проза життя


Ненавмисне заподіяння шкоди конфіденційних даних компанії, їх витік або втрата - річ куди більш часта і прозаїчна, ніж шкода, що наноситься інсайдерами. Недбалість персоналу і відсутність належного технічного забезпечення інформаційної безпеки може стати причиною прямої витоку корпоративних секретів. Така недбалість несе не тільки серйозні збитки бюджету і репутації компанії, але і може викликати широкий суспільний дисонанс. Вирвавшись на волю, секретна інформація стає надбанням вузького кола зловмисників, а всього інформаційного простору - витік обговорюють в інтернеті, на телебаченні, в пресі. Згадаймо гучний скандал з публікацією SMS-повідомлень найбільшого російського оператора стільникового зв'язку «Мегафон». Через неуважність технічного персоналу, смс-повідомлення були проіндексовані інтернет-пошуковими системами, в мережу потрапило листування абонентів, що містить інформацію як особистого, так і ділового характеру. Зовсім недавній випадок: публікація особистих даних клієнтів Пенсійного фонду Росії. Помилка представників одного з регіональних представництв фонду призвела до індексації персональної інформації 600 осіб - імена, реєстраційні номери, докладні суми накопичень клієнтів ПФР міг прочитати будь-який користувач інтернету.


Дуже часта причина витоків конфіденційних даних по необережності пов'язана зі щоденною ротацією документів всередині компанії. Так, наприклад, співробітник може скопіювати файл, який містить секретні дані, на портативний комп'ютер, USB-носій або КПК для роботи з даними поза офісом. Також, інформація може потрапити на файлообмінник або особисту пошту працівника. При подібних ситуаціях, дані виявляються повністю беззахисними для зловмисників, які можуть скористатися ненавмисної витоком.


Золоті обладунки або бронежилет?


Для захисту від витоку даних в індустрії інформаційної безпеки створюються різноманітні системи захисту інформації від витоку, традиційно позначаються абревіатурою DLP від ​​англ. Data Leakage Prevention ( «запобігання витоку даних»). Як правило, це складні програмні комплекси, що мають широкий функціонал щодо запобігання зловмисної або випадкової витоку секретної інформації. Особливістю таких систем є те, що для коректної їх роботи потрібно строго налагоджена структура внутрішнього обороту інформації та документів, оскільки аналіз безпеки всіх дій з інформацією будується на роботі з базами даних. Цим пояснюється висока вартість установки професійних DLP-рішень: ще перед безпосереднім впровадженням, компанії-клієнта доводиться купувати систему управління базами даних (як правило, Oracle або SQL), замовляти дорогий аналіз і аудит структури обороту інформації, виробляти нову політику безпеки. Звичайною є ситуація, коли в компанії неструктурованих більше 80% інформації, що дає зорове уявлення про масштаб підготовчих заходів. Зрозуміло, сама DLP-система теж коштує чималих грошей. Не дивно, що професійну DLP-систему можуть собі дозволити тільки великі компанії, готові витрачати мільйони на інформаційну безпеку організації.


Але що ж робити підприємствам середнього та малого бізнесу, яким потрібно забезпечити інформаційну безпеку бізнесу, але коштів та можливостей на впровадження професійної DLP-системи немає? Найважливіше для керівника компанії або офіцера служби безпеки визначити, яку інформацію захищати і які сторони інформаційної діяльності співробітників піддавати контролю. У російському бізнесі досі переважає думка, що захищати потрібно абсолютно все, без класифікації інформації і розрахунку ефективності засобів захисту. При такому підході абсолютно очевидно, що дізнавшись суми витрат на інформаційну безпеку підприємства, керівник середнього і малого бізнесу махає рукою і сподівається на «авось».


Існують альтернативні способи захисту, які не зачіпають бази даних і сформований життєвий цикл інформації, але дають надійний захист від дій зловмисників і халатності співробітників. Це гнучкі модульні комплекси, які без проблем працюють з іншими засобами безпеки, як апаратними, так і програмними (наприклад, з антивірусами). Грамотно складена система безпеки дає дуже надійний захист як від зовнішніх, так і від внутрішніх загроз, надаючи ідеальний баланс ціни і функціоналу. На думку фахівців російської компанії-розробника систем інформаційної безпеки SafenSoft, оптимальним є поєднання елементів захисту від зовнішніх загроз (наприклад, HIPS для запобігання вторгнень, плюс антивірусний сканер) із засобами моніторингу та контролю доступу користувачів і додатків до окремих секторах інформації. При такому підході вся мережева структура організації повністю захищена від можливого злому або інфікування вірусами, а засоби контролю і спостереження за діями персоналу при роботі з інформацією дозволяють ефективно перешкоджати витоку даних. При наявності всього необхідного арсеналу захисних засобів, вартість модульних систем в десятки разів менше комплексних DLP-рішень і не вимагає ніяких витрат на попередній аналіз і адаптацію інформаційної структури компанії.


Отже, підіб'ємо підсумки. Загрози інформаційної безпеки підприємства цілком реальні, їх не можна недооцінювати. Крім протидії зовнішнім загрозам особливу увагу слід приділити загрозам внутрішнім. Важливо пам'ятати, що витоку корпоративних секретів трапляються не тільки зі злого наміру - як правило, їх причина в елементарній недбалості і неуважності працівника. При виборі засобів захисту не потрібно намагатися охопити всі мислимі і немислимі загрози, на це просто не вистачить грошей і сил. Побудуйте надійну модульну систему безпеки, закриту від ризиків вторгнення ззовні і дозволяє здійснювати контроль і моніторинг за потоком інформації всередині компанії.



Інформаційна безпека АСУ ТП - один з аспектів інформаційної безпеки підприємства.


Тема захисту робочих місць операторів спеціалізованого ПЗ актуальна для інженерних, технологічних і промислових підприємств і заслуговує окремого обговорення.


Ми пропонуємо взяти участь в онлайн-семінарі Інформаційна безпека АСУ ТП . Для участі заповніть форму заявки на сторінці вебінару .


В ході семінару розглядаються такі питання:


  • Оцінка ризиків атаки на мережу АСУ ТП по кіберканалу при використанні контролерів на основі ОС сімейства Windows
  • Типові сценарії захисту на прикладі використання продуктів TPSecure

Версія для друку

Як захиститися від витоків інформації?
Як вчасно розпізнати і запобігти внутрішню загрозу?
Які методи боротьби з нею найбільш ефективні сьогодні?
Золоті обладунки або бронежилет?

Новости