Как стать автором
Обновить
2984.63
RUVDS.com
VDS/VPS-хостинг. Скидка 15% по коду HABR15

Безопасность в компании: хоть в лоб, хоть по лбу

Время на прочтение8 мин
Количество просмотров9.9K
Когда-нибудь ты станешь немощен и слаб —
Делай бэкап, давай делай бэкап,
На случай, если укусит радиоактивный краб —
Делай бэкап, давай делай бэкап!
НТР


Только не так!

31 марта весь айтишный мир готовится к 1 апреля. Нет, в компаниях не разрисовывают красным кетчупом пол, не обводят мелом контуры тел, не перетыкают мышки и даже уже не заклеивают лазеры. Всё в прошлом — ну почти. Все готовятся к ненормальному дню атак и таким образом отмечают день бэкапа. И можно каждый год (месяц, день) писать про резервное копирование на Хабре, развешивать плакаты о необходимости бэкапов и инфобеза, но под клавиатурой коллеги всегда найдётся листочек с хитрым паролем qwerty123, в браузере — куча незащищённых платёжных средств, а пароль на вход в CRM и вовсе будет пустым (логин, конечно, admin). Всё потому что компаниям, особенно в секторе малого и среднего бизнеса, затраты на безопасность кажутся роскошью, а не средством выживания. А зря. Как показали панельные беседы на ЦИПР-2021, для современных злоумышленников практически нет преград, они в своём развитии могут основательно опережать средства защиты информации и IT-инфраструктуры: им даже воздушный зазор не помеха. Так вы хоть бэкап-то сделайте, а?

Даём справку. День бэкапа — одна из популярных дат у айтишников по всему миру. Он был учреждён по решению пользователей Reddit и призван привлечь внимание бизнеса, IT-сектора и простых пользователей к вопросам защиты и гарантированного сохранения информации, рассказать о рисках потери данных в частном и коммерческом сегменте. Лучший способ отметить день бэкапа — создать резервные копии данных на ПК, проверить в соответствии с правилами, протестировать и надёжно сохранить. И только потом пицца и остальные радости жизни :)

А чё, а чё, всё плохо?


Больше чем. До 2020 года проблемы в сфере информационной безопасности вызывали огромную, беспрецедентную тревогу специалистов по защите данных, но 2020, 2021 и 2022 степень опасности увеличилась в разы: риски атак, взломов, хищения данных и компрометации IT-инфраструктуры любой компании и любого пользователя возросли вместе с распространением удалённой работы, коронавирусных ограничений и социально-политической напряжённости на планете в целом. Информация и данные — ценные, дорогостоящие и порой невоспроизводимые ресурсы, воздействие на которые оказывает не меньшее (а то и большее) влияние, чем манипуляции с жизнеобеспечением, питанием и транспортом.

Не будем голословны — давайте обратимся к отчёту Positive Technologies за 2020 год. Согласно ему, ​​количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Наиболее интересные отрасли, по мнению злоумышленников, — это государственные и медицинские учреждения, промышленные предприятия. Атак с использованием вредоносного ПО с каждым годом становится всё больше и больше. В 2020 году количество таких атак увеличилось на 54% относительно прошлогоднего показателя.

Если посмотреть на векторы атак, то объектами становятся компьютеры, серверы и сетевое оборудование — во всех сферах. Важным объектом атаки остаются люди, подверженные методам социальной инженерии, которые становятся всё изощрённее. Для сферы торговли и прочих компаний, среди которых немало субъектов малого и среднего бизнеса, также характерны атаки на веб-ресурсы. По-прежнему основными мотивами злоумышленников выступают финансовая выгода и получение данных, которые можно использовать, продавать или же запускать как базовый элемент нанесения репутационного урона.

Впечатляет? Но и это ещё не всё. Говоря о вопросах безопасности, нужно учитывать, что в большинстве компаний, особенно вне сферы информационных технологий и телекома, страдают рядом типичных симптомов:

  • не имеют службы безопасности и даже человека, ответственного за вопросы информационной безопасности в компании;
  • отказываются от идеи найма системного администратора и пользуются услугами недорогих компаний-аутсорсеров или самозанятых одиночек (увы, при всём уважении, нередко это ребята уровня эникея);
  • не замыкают контур информационной и экономической безопасности, а локально внедряют отдельные решения и латают дыры, обеспечивая лоскутную (никакую) защиту;
  • не обучают сотрудников и недооценивают риски со стороны персонала;
  • полагают, что вне контура компании удалённый сотрудник — самостоятельный, ответственный и организованный человек, заботящийся о кибербезопасности и защите данных;
  • считают, что их «вшивая клиентская база» и «тупое ноу-хау» нафиг никому не нужны.

Сочетание описанных рисков и факторов халатного отношения к безопасности приводят к обидным потерям данных как в крупных компаниях, так и в совершенно небольших, которые при наступлении неблагоприятного момента могут разориться раньше, чем успеют прислать письма с извинениями.


Где риски зарыты?


▍ В людях


Что бы ни происходило, человеческий фактор среди рисков информационной безопасности компании перебить крайне сложно. И если раньше я бы рассказал что-то про нерасторопных бухгалтеров или продажников с паролями на мониторе, то сейчас кристаллизовались три основные ипостаси рисков.

  1. Сотрудники, которым пофиг на безопасность. Они не задумываются о сложности паролей, о политике использования личных устройств в офисе, их не волнует принесённый на работу пиратский софт, им нормально передавать информацию и документы в чатах и через личную почту. Как правило, это никакие не злоумышленники — обычные сотрудники, которых не потрудились обучить основам работы с информацией и коммерческой тайной. Эта часть команды (а то и вся команда) — серьёзная брешь в информационной и экономической безопасности. Ну а если уж они считают, что с компьютером на ты и могут наконфигурячить что-то в настройках корпоративных систем, то только бэкапы вас и спасут — актуальные, проверенные, по 2 копии на трёх разных серверах (в иных хранилищах).
  2. Удалённые сотрудники — в принципе, те же безалаберные ребята из первого пункта, только с поправкой на работу в незащищённых сетях и средах. Могут ненароком нанести удар по компании и утратить важные данные по неосторожности.
  3. Третья группа — опасный, умный и осторожный враг. Это сотрудники, которые могут целенаправленно «сливать» данные, передавать их конкурентам, продавать, компрометировать со злым умыслом. У них, как правило, есть план и помощники, поэтому они могут долгое время действовать незаметно.

Человек уязвим перед угрозами безопасности и чаще всего выступает основным объектом атаки, поскольку «пробить» можно даже самого подкованного пользователя. Социальная инженерия, сложные схемы взаимодействия и психологические приёмы открывают злоумышленникам самый широкий доступ к корпоративной и частной информации. Поэтому сотрудники в компании должны быть осведомлённым, обученным и всегда актуально информированным звеном.

▍ В жадности


Малый и средний бизнес парадоксально экономит на оборудовании и автоматизации, хотя это инструменты эффективности и продуктивности сотрудников плюс частичная гарантия безопасности. И снова возможны варианты.

  • Если свой сервер, то утеря данных может произойти вместе с выходом из строя жёстких дисков и иного оборудования. При этом как показывает опыт, никого не смущают ни высокие температуры дисков, ни зависания, ни скрежет в системе. Работает и ладно, правда же?
  • Если данные в облаке, компании не озабочены приобретением собственного надёжного VDS, а используют облачные порталы компаний-вендоров программного обеспечения. Потом начинаются сюрпризы: облачные сервисы взламывают, компании-разработчики меняют тарифы или, например, не отдают бэкапы и данные ввиду странового риска.
  • Если купленный VDS, компания не заботится об администрировании хранилищ и сервера, а полагается на поставщика облачных технологий. Хоть это и довольно надёжная стратегия, лучше всё-таки не пускать контроль данных и мониторинг на самотёк.

Данные стоят дорого, даже если руководителю компании кажется, что они «завелись» бесплатно. И именно поэтому данные и коммерческая информация становятся объектом охоты — кто-то знает их реальную цену и ценность лучше. Поэтому стоит не ждать ситуации «жадность фраера сгубила», а позаботиться о своевременном обслуживании всей IT-инфраструктуры и подменного фонда, который должен быть строго обязательно даже в небольших компаниях. Такой подход при видимых инвестициях здорово оптимизирует затраты, бережёт нервы и обеспечивает бесперебойную работу компании.


▍ В форс-мажорах


Компания не может находиться в изоляции, поэтому она подвержена всей совокупности рисков: страновым, экономическим, природным. Как правило, это те риски, которые не поддаются прогнозированию, наступают внезапно и резко бьют по самым неподготовленным и незащищённым компаниям. Проблемы возникают как раз у тех, кто изначально допускал «дыры» в безопасности и не контролировал процессы управления информацией.

Согласно отчёту о потере данных в Европе, более 6% ПК ежегодно страдают от потери данных — так, в 2020 году произошло более 1,7 миллиона инцидентов. В отчёте определены шесть основных причин потери данных:

  • Отказ оборудования, в том числе повреждение из-за скачка напряжения и отказа диска — 42%
  • Человеческая ошибка, включая случайное удаление информации — 31%
  • Повреждение файлов программного обеспечения, случайное и преднамеренное — 13%
  • Вирусы — 7%
  • Кража, особенно кража ноутбуков — 5%
  • Потеря оборудования, включая наводнения, пожары, молнии, сбои в подаче электроэнергии и прочие форс-мажоры — 3%

Вообще, форс-мажорам принято скорее удивляться: никогда не знаешь, где что сгорит, развалится, зальётся ливнями и т. д. Но именно от них хорошо спасают бэкапы. Нет ничего круче, чем спокойно спать, когда твои данные есть ещё где-то, кроме этого:

Что здесь происходит?

Что делать?


Если вы думаете, что обойдётся или пронесёт, то нет. Управлять рисками придётся — этим может заниматься сисадмин, хороший аутсорсер или руководитель компании при должных компетенциях.

  • Обучение сотрудников с постоянным обновлением информации. Можно создать специальный раздел в интранете или просто проводить обучение, главное — обязательно тестировать сотрудников и проверять, что знания усвоены и актуализированы. Чтобы не столкнуться с сопротивлением, можно использовать приёмы геймификации или любую другую мотивацию.
  • Контроль доступа сотрудников. Все сотрудники, работающие с данными, коммерческой информацией и корпоративными информационными системами, должны чётко понимать, что такое конфиденциальность и какие последствия наступают в случае её несоблюдения. Компания должна не раздавать максимальные права всем подряд как знак великого доверия, а управлять доступами к разным типам данных, уметь защищать информацию в своей зоне ответственности от потери, повреждения и утраты.

Хотим отдельно обратить внимание, что всяческие bossware-системы (следилки) не имеют ничего общего с лучшими практиками обеспечения информационной безопасности. Это не что иное, как отличный способ демотивации и наращивания рисков наступления неблагоприятных событий, связанных с человеческим фактором.

  • Анализ угроз. В компании должен быть человек, который способен обеспечить своевременный и качественный мониторинг, чтобы быстро сориентироваться и провести профилактику потенциальных угроз, в том числе связанных с фишингом и социальной инженерией.
  • Разработка контура информационной безопасности — важная и часто дорогостоящая задача. Но лучше завершить её один раз и актуализировать отдельные компоненты, чем расплачиваться за каждый провал.
  • Мониторинг оборудования и IT-инфраструктуры — обязательное условие благополучия компании. Если вы IT-компания, то какого фига вы ещё читаете эту статью, всё давно должно работать :) Если компания не относится к IT-сфере, необходимо нанять сотрудника, обратиться за помощью к надёжному крупному аутсорсеру, системному интегратору или даже вендору ваших корпоративных систем. Как правило, можно найти разумный вариант за разумные же деньги.
  • Работа с надёжными, проверенными поставщиками IT-услуг, программного обеспечения и элементов IT-инфраструктуры. Не поленитесь провести минимальную проверку репутации и надёжности поставщиков, проведите несколько раундов презентаций и обсуждения перед покупкой, задайте самые неудобные вопросы. Порядочную компанию это не смутит.
  • Развитие лояльности сотрудников и корпоративной культуры. Если компания способна выстроить адекватную корпоративную культуру, основанную на доверии, поддержке и принятии ошибок, рано или поздно сотрудники примут правила игры и будут более лояльными, а значит, менее опасными. Ещё раз обращаем внимание, что любой контроль сотрудников должен быть мягким, адекватным, точечным, а главное, сотрудники должны быть информированы о способах контроля и согласны с ними. Прозрачность отношений порождает ответную прозрачность, риски снижаются.
  • Бэкапы. Бэкапы. Ещё раз бэкапы. (Аааааа, эээх, всё равно не сделаете).


Иногда, когда смотришь на организацию информационной и экономической безопасности, хочется посоветовать хотя бы приложить подорожник. По крайней мере, это будет признаком того, что в компании хотя бы догадались взглянуть на проблему. Друзья, мы живём в непростое время, когда наши данные дорого стоят и они всегда кому-то нужны — даже если вы просто ставите окна в Костроме или пилите симпатичную аркаду под Android. Сохранность данных — это безопасность бизнеса, сотрудников, всего заработанного капитала. Поверьте, труды по обеспечению информационной безопасности стоят результата.

И да, прямо сейчас сделайте/протестируйте/проверьте свои бэкапы. Мы точно знаем, насколько это важно.

Теги:
Хабы:
Всего голосов 25: ↑24 и ↓1+37
Комментарии13

Публикации

Информация

Сайт
ruvds.com
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Россия
Представитель
ruvds