Защита информации - тактика борьбы с неявными угрозами
Хотя бюджеты, выделяемые на информационные системы безопасности, не так сильно пострадали во время кризиса, как другие сферы бизнеса, похоже, что и роста здесь никакого не наблюдается. CIO по-прежнему приходится искать способы защиты против потенциальных угроз, которые только-только начинают вырисовываться на горизонте, сообщает Silicon.com.
Но главная проблема, с которой они сталкиваются, пытаясь привести аргументы в пользу той или иной инвестиции, заключается в том, что многие коммерческие бизнес-руководители не могут понять суть проблем, которые, по большому счету, являются техническими и меняются очень быстро. Как говорит Стюарт Рум, специалист по защите информации из юридической фирмы Field Fisher Waterhouse (FFW) и руководитель Национальной Ассоциации специалистов по защите данных, "у большинства бизнес-руководителей уже седые виски, и они не принадлежат к поколению, которое обучали таким вещам, поэтому для них это все чуждо и сложно".
Ситуацию осложняет еще и неумение четко сформулировать и выступить в защиту этой темы внутри самой компании. По словам Рума, сегодня основными экономическими барьерами для получения инвестиций являются отсутствие понимания и четкого экономического обоснования. А ведь без этого не достигнуть положительных результатов.
Существует несколько механизмов, которые могут помочь CIO оправдать затраты, необходимые для обеспечения безопасности важных производственных активов. Во-первых, необходимо согласовать деятельность внутри собственной организации и создать команду из различных специалистов, куда должны войти и секретарь компании, и HR-руководители, и специалисты по маркетингу, по рискам и аудиту, и сотрудники административного отдела. Главное - попытаться разрушить существующую разрозненность системы безопасности данных и убедиться, что ключевые участники процесса работают рука об руку, что они понимают, в чем заключаются основные риски для бизнеса и как с ними лучше всего бороться.
Во-вторых, необходимо всесторонне использовать бизнес-язык, чтобы четко излагать свои идеи. Ключевыми словами здесь должны стать такие слова, как "репутация", "защита бренда" и "влияние на договорные отношения", а не "распределенные бот-сети" или "утечка данных", напрочь отбивающие у людей интерес.
И самое главное - эту ситуацию следует взять под контроль. Потому что, если компания не будет сама расставлять приоритеты в инвестициях, что включает в себя поддержание на должном уровне основных умений и инфраструктуры, то справиться с нарождающимися угрозами будет просто невозможно.
Угроза № 1. Независимые проверки третьими лицами
Независимые проверки могут проводиться третьими лицами из совершенно разных областей. Например, к информационной безопасности начали проявлять острый интерес управленцы из Information Commissioner"s Office (ICO) и финансовых служб. Чтобы продемонстрировать серьезность своих намерений, 6 апреля этого года в США вступил в силу закон, который предоставляет ICO право взимать штрафы до 500 тысяч фунтов стерлингов за нарушения Закона о защите информации, включающий утерю или кражу персональной информации.
Те, кто стоит на страже систем безопасности, тоже получили новые аудиторские полномочия. Теперь они могут сами проверить, как центральные правительственные департаменты соблюдают Закон о защите информации и обрабатывают информацию. Ожидается, что эти полномочия будут значительно расширены и через пару лет охватят все частные и государственные организации.
В этом процессе принимают активное участие и европейские политики. С 25 мая следующего года европейские провайдеры телекоммуникационной связи и ISP будут обязаны сообщать о случаях, связанных с нарушением информационной безопасности. Но опять же, как предполагают эксперты, этот закон затронет каждый сектор экономики, в лучшем случае, через два-три года.
В следующую категорию, которая оказывает большое давление на создание условий информационной безопасности, входят подрядчики и бизнес-клиенты. Поскольку они начинают лучше разбираться в системах безопасности, то требуют и от своих партнеров и поставщиков гораздо более высокого уровня обслуживания. Следовательно, если произойдет какой-то серьезный инцидент, то, с большой долей вероятности, он будет тщательно изучен с их стороны, а это может привести к прекращению действия договора, судебным разбирательствам и предъявлению требований по возмещению убытков.
И, наконец, последняя группа, проявляющая глубокий интерес ко всему, что связано с системой безопасности - это средства массовой информации. Чисто технические проблемы с помощью массмедиа переросли в вопросы, которые волнуют широкие слои населения. А ведь скандальные заголовки, связанные с нарушениями в системах безопасности, могут не только навредить репутации, подорвать доверие, но даже привести к потере бизнеса. "Сейчас векторы угрозы вышли далеко за пределы производственных рисков. Например, когда речь идет о троянах или кибер-атаках, это вызывает широкий резонанс у населения", - отметил Рум.
Рекомендация - перед тем как перейти к созданию глубокой обороны, оцените все риски и проанализируйте, где в вашей системе есть бреши.
Угроза 2. Компьютеризация всегда и везде
Угроза, исходящая от потребительских устройств, существует уже несколько лет в виде USB-накопителей и Apple iPod. Но новые формы технологий не только обеспечивают хранение информации, но и потенциально более опасную двустороннюю коммуникацию. Потребительские устройства, например, Apple iPhone, и такие социальные сети, как Twitter и Facebook, все больше находят применение у активных сотрудников и менеджеров, которые с помощью этих технологий хотят улучшить свой стиль жизни и на работе, и дома.
Проблема заключается в том, что многие работники и не думают соблюдать те же самые меры безопасности по отношению к смартфонам или социальным сетям, как в случае с корпоративными ПК или интранетом, даже несмотря на то, что такие технологии обеспечивают доступ к огромному количеству личной и корпоративной информации, которой можно воспользоваться со злым умыслом. И хотя многие компании запрещают использование подобных потребительских технологий, эта ситуация не может продолжаться неопределенно долго, поскольку поддержку им все чаще стали оказывать высшие руководители.
Более того, если организации продолжат бездействовать, то велика опасность, что сотрудники и подрядчики будут искать способы, как обойти существующие корпоративные системы контроля над безопасностью. Такая ситуация не только повышает риски, связанные с кражами или утерей данных, но также означает, что компании сами могут нарушить закон об охране конфиденциальной информации.
Кроме того, хотя вредоносные программы, разработанные специально для воздействия на потребительские устройства и социальные сайты, используются сейчас сравнительно редко, по всей вероятности, в будущем они получат более широкое распространение.
Как объясняет Робин Адамс, директор по управлению рисками, нарушениями и системами безопасности компании Logic Group, точек ввода сейчас гораздо больше, чем раньше, поэтому количество уязвимых мест тоже растет, особенно в условиях, когда над сообществом конечных потребителей меньше контроля.
Рекомендация - модернизируйте политику системы безопасности, разработайте правила применения в зависимости от сферы деятельности, представьте новые программы обучения и держите сотрудников в курсе дел. Подумайте о создании демилитаризационной зоны для сегментирования потребительских устройств в корпоративной сети и внедряйте технологии контроля, например, системы по предотвращению вторжений и приложения по мобильному управлению.
Угроза 3. Внешние целевые атаки
Такие внешние атаки, как вирусные, некогда были широко распространены и легко определимы. Но если они нацелены на организации и частных лиц, то их довольно сложно идентифицировать.
Сейчас атаки все больше ориентированы на разрушение целостности информации. И хотя подобные тактики еще не так широко распространены, в общих чертах преступники действуют следующим образом - они взламывают корпоративные приложения и изменяют прайс-листы, а затем связываются с руководителем компании и требуют заплатить, чтобы разблокировать систему.
"Преступники начали говорить: "У нас есть кое-какая корпоративная информация", или "Мы изменили некоторые данные в вашей системе и не сообщим, какие, пока вы не заплатите", а это больше смахивает на шантаж", - отметил Флорис Ван Ден Дул, глава службы безопасности Accenture в Европе, на Ближнем Востоке и в Африке.
Такие атаки получили название "усовершенствованных непрекращающихся угроз" или "умеренных и медленных", потому что очень часто они достигают цели через какое-то время после первого подготовительного вторжения в систему. Из-за того, что в большинстве организаций записи или журналы событий хранятся не более полугода, очень часто они не замечают связи между будто бы случайными событиями, происходящими в течение длительного периода времени.
Другая проблема заключается в том, что на развивающемся криминальном рынке используются определенные инструментарии троянов, например, Zeus, которые нацелены на конкретного клиента.
Рекомендация - займитесь основами – регулярно проверяйте программные вставки, используйте два антивирусных продукта вместо одного, внедряйте приложения по управлению доступом и идентификацией и, по крайней мере ежегодно, проводите проверку возможностей проникновения в систему. Также подумайте о внедрении инструментов, процессов и услуг, позволяющих ориентироваться в текущей обстановке, используйте мониторинг систем и фильтрацию данных по распознаванию образов.
Угроза 4. Оффшоринг и облачные вычисления
Увеличение количества оффшорных услуг и облачных вычислений тоже несет с собой определенные риски. Одной из самых больших проблем в оффшорном мире, например, является проблема…культуры!
Адриан Дэйвис, старший консультант по исследовательской работе из Information Security Forum (ISF), считает, что концепция безопасности в Китае, например, очень отличается от той, что существует в Великобритании. "Вопрос заключается в том, как включить ее в контракты, чтобы ваши обязательства были успешно реализованы", - говорит он.
Главную обеспокоенность вызывает то, что даже если третья сторона ответственна за нарушение безопасности, удар, в первую очередь, приходится на репутацию заказчика. Другие оффшорные риски заключаются в потенциальной геополитической, экономической и демографической нестабильности определенных регионов, а также в вопросе "Что предпринять?", если ваш провайдер обанкротился или кто-то приобрел его компанию.
Второй вид аутсорсинговых услуг, изменяющий структуру рисков многих компаний - это облачные вычисления. Провайдеры облачных услуг все чаще будут становиться мишенями для атак, поскольку они составляют единственную точку разрушения, и появление хакерства в области основных технологий, например, виртуальных гипервизоров, практически неизбежно из-за количества клиентов, которых они поддерживают.
Другая угроза исходит от облачных провайдеров, располагающих информацию по всему миру. Такая ситуация может привести к тому, что, если некоторые отрасли не будут внимательны, то их действия могут выйти за рамки местных законодательств.
Стоит задуматься, а так ли безопасны облачные услуги, как утверждают сами провайдеры? В то время как большинство провайдеров заявляют, что их системы безопасности соответствуют SAS70, американские стандарты аудита, например, относятся только к финансовой стороне бизнеса и не затрагивают системы защиты информации, а это вряд ли является достаточной гарантией для многих клиентов.
Рекомендация - включайте в контракты с аутсорсинг-компаниями конкретные статьи об информационной безопасности и о праве на проверку. Пусть ваши собственные аудиторы проверят, насколько эффективно работают системы контроля безопасности, например, системы отбора персонала и разделения обязанностей.
Но главная проблема, с которой они сталкиваются, пытаясь привести аргументы в пользу той или иной инвестиции, заключается в том, что многие коммерческие бизнес-руководители не могут понять суть проблем, которые, по большому счету, являются техническими и меняются очень быстро. Как говорит Стюарт Рум, специалист по защите информации из юридической фирмы Field Fisher Waterhouse (FFW) и руководитель Национальной Ассоциации специалистов по защите данных, "у большинства бизнес-руководителей уже седые виски, и они не принадлежат к поколению, которое обучали таким вещам, поэтому для них это все чуждо и сложно".
Ситуацию осложняет еще и неумение четко сформулировать и выступить в защиту этой темы внутри самой компании. По словам Рума, сегодня основными экономическими барьерами для получения инвестиций являются отсутствие понимания и четкого экономического обоснования. А ведь без этого не достигнуть положительных результатов.
Существует несколько механизмов, которые могут помочь CIO оправдать затраты, необходимые для обеспечения безопасности важных производственных активов. Во-первых, необходимо согласовать деятельность внутри собственной организации и создать команду из различных специалистов, куда должны войти и секретарь компании, и HR-руководители, и специалисты по маркетингу, по рискам и аудиту, и сотрудники административного отдела. Главное - попытаться разрушить существующую разрозненность системы безопасности данных и убедиться, что ключевые участники процесса работают рука об руку, что они понимают, в чем заключаются основные риски для бизнеса и как с ними лучше всего бороться.
Во-вторых, необходимо всесторонне использовать бизнес-язык, чтобы четко излагать свои идеи. Ключевыми словами здесь должны стать такие слова, как "репутация", "защита бренда" и "влияние на договорные отношения", а не "распределенные бот-сети" или "утечка данных", напрочь отбивающие у людей интерес.
И самое главное - эту ситуацию следует взять под контроль. Потому что, если компания не будет сама расставлять приоритеты в инвестициях, что включает в себя поддержание на должном уровне основных умений и инфраструктуры, то справиться с нарождающимися угрозами будет просто невозможно.
Угроза № 1. Независимые проверки третьими лицами
Независимые проверки могут проводиться третьими лицами из совершенно разных областей. Например, к информационной безопасности начали проявлять острый интерес управленцы из Information Commissioner"s Office (ICO) и финансовых служб. Чтобы продемонстрировать серьезность своих намерений, 6 апреля этого года в США вступил в силу закон, который предоставляет ICO право взимать штрафы до 500 тысяч фунтов стерлингов за нарушения Закона о защите информации, включающий утерю или кражу персональной информации.
Те, кто стоит на страже систем безопасности, тоже получили новые аудиторские полномочия. Теперь они могут сами проверить, как центральные правительственные департаменты соблюдают Закон о защите информации и обрабатывают информацию. Ожидается, что эти полномочия будут значительно расширены и через пару лет охватят все частные и государственные организации.
В этом процессе принимают активное участие и европейские политики. С 25 мая следующего года европейские провайдеры телекоммуникационной связи и ISP будут обязаны сообщать о случаях, связанных с нарушением информационной безопасности. Но опять же, как предполагают эксперты, этот закон затронет каждый сектор экономики, в лучшем случае, через два-три года.
В следующую категорию, которая оказывает большое давление на создание условий информационной безопасности, входят подрядчики и бизнес-клиенты. Поскольку они начинают лучше разбираться в системах безопасности, то требуют и от своих партнеров и поставщиков гораздо более высокого уровня обслуживания. Следовательно, если произойдет какой-то серьезный инцидент, то, с большой долей вероятности, он будет тщательно изучен с их стороны, а это может привести к прекращению действия договора, судебным разбирательствам и предъявлению требований по возмещению убытков.
И, наконец, последняя группа, проявляющая глубокий интерес ко всему, что связано с системой безопасности - это средства массовой информации. Чисто технические проблемы с помощью массмедиа переросли в вопросы, которые волнуют широкие слои населения. А ведь скандальные заголовки, связанные с нарушениями в системах безопасности, могут не только навредить репутации, подорвать доверие, но даже привести к потере бизнеса. "Сейчас векторы угрозы вышли далеко за пределы производственных рисков. Например, когда речь идет о троянах или кибер-атаках, это вызывает широкий резонанс у населения", - отметил Рум.
Рекомендация - перед тем как перейти к созданию глубокой обороны, оцените все риски и проанализируйте, где в вашей системе есть бреши.
Угроза 2. Компьютеризация всегда и везде
Угроза, исходящая от потребительских устройств, существует уже несколько лет в виде USB-накопителей и Apple iPod. Но новые формы технологий не только обеспечивают хранение информации, но и потенциально более опасную двустороннюю коммуникацию. Потребительские устройства, например, Apple iPhone, и такие социальные сети, как Twitter и Facebook, все больше находят применение у активных сотрудников и менеджеров, которые с помощью этих технологий хотят улучшить свой стиль жизни и на работе, и дома.
Проблема заключается в том, что многие работники и не думают соблюдать те же самые меры безопасности по отношению к смартфонам или социальным сетям, как в случае с корпоративными ПК или интранетом, даже несмотря на то, что такие технологии обеспечивают доступ к огромному количеству личной и корпоративной информации, которой можно воспользоваться со злым умыслом. И хотя многие компании запрещают использование подобных потребительских технологий, эта ситуация не может продолжаться неопределенно долго, поскольку поддержку им все чаще стали оказывать высшие руководители.
Более того, если организации продолжат бездействовать, то велика опасность, что сотрудники и подрядчики будут искать способы, как обойти существующие корпоративные системы контроля над безопасностью. Такая ситуация не только повышает риски, связанные с кражами или утерей данных, но также означает, что компании сами могут нарушить закон об охране конфиденциальной информации.
Кроме того, хотя вредоносные программы, разработанные специально для воздействия на потребительские устройства и социальные сайты, используются сейчас сравнительно редко, по всей вероятности, в будущем они получат более широкое распространение.
Как объясняет Робин Адамс, директор по управлению рисками, нарушениями и системами безопасности компании Logic Group, точек ввода сейчас гораздо больше, чем раньше, поэтому количество уязвимых мест тоже растет, особенно в условиях, когда над сообществом конечных потребителей меньше контроля.
Рекомендация - модернизируйте политику системы безопасности, разработайте правила применения в зависимости от сферы деятельности, представьте новые программы обучения и держите сотрудников в курсе дел. Подумайте о создании демилитаризационной зоны для сегментирования потребительских устройств в корпоративной сети и внедряйте технологии контроля, например, системы по предотвращению вторжений и приложения по мобильному управлению.
Угроза 3. Внешние целевые атаки
Такие внешние атаки, как вирусные, некогда были широко распространены и легко определимы. Но если они нацелены на организации и частных лиц, то их довольно сложно идентифицировать.
Сейчас атаки все больше ориентированы на разрушение целостности информации. И хотя подобные тактики еще не так широко распространены, в общих чертах преступники действуют следующим образом - они взламывают корпоративные приложения и изменяют прайс-листы, а затем связываются с руководителем компании и требуют заплатить, чтобы разблокировать систему.
"Преступники начали говорить: "У нас есть кое-какая корпоративная информация", или "Мы изменили некоторые данные в вашей системе и не сообщим, какие, пока вы не заплатите", а это больше смахивает на шантаж", - отметил Флорис Ван Ден Дул, глава службы безопасности Accenture в Европе, на Ближнем Востоке и в Африке.
Такие атаки получили название "усовершенствованных непрекращающихся угроз" или "умеренных и медленных", потому что очень часто они достигают цели через какое-то время после первого подготовительного вторжения в систему. Из-за того, что в большинстве организаций записи или журналы событий хранятся не более полугода, очень часто они не замечают связи между будто бы случайными событиями, происходящими в течение длительного периода времени.
Другая проблема заключается в том, что на развивающемся криминальном рынке используются определенные инструментарии троянов, например, Zeus, которые нацелены на конкретного клиента.
Рекомендация - займитесь основами – регулярно проверяйте программные вставки, используйте два антивирусных продукта вместо одного, внедряйте приложения по управлению доступом и идентификацией и, по крайней мере ежегодно, проводите проверку возможностей проникновения в систему. Также подумайте о внедрении инструментов, процессов и услуг, позволяющих ориентироваться в текущей обстановке, используйте мониторинг систем и фильтрацию данных по распознаванию образов.
Угроза 4. Оффшоринг и облачные вычисления
Увеличение количества оффшорных услуг и облачных вычислений тоже несет с собой определенные риски. Одной из самых больших проблем в оффшорном мире, например, является проблема…культуры!
Адриан Дэйвис, старший консультант по исследовательской работе из Information Security Forum (ISF), считает, что концепция безопасности в Китае, например, очень отличается от той, что существует в Великобритании. "Вопрос заключается в том, как включить ее в контракты, чтобы ваши обязательства были успешно реализованы", - говорит он.
Главную обеспокоенность вызывает то, что даже если третья сторона ответственна за нарушение безопасности, удар, в первую очередь, приходится на репутацию заказчика. Другие оффшорные риски заключаются в потенциальной геополитической, экономической и демографической нестабильности определенных регионов, а также в вопросе "Что предпринять?", если ваш провайдер обанкротился или кто-то приобрел его компанию.
Второй вид аутсорсинговых услуг, изменяющий структуру рисков многих компаний - это облачные вычисления. Провайдеры облачных услуг все чаще будут становиться мишенями для атак, поскольку они составляют единственную точку разрушения, и появление хакерства в области основных технологий, например, виртуальных гипервизоров, практически неизбежно из-за количества клиентов, которых они поддерживают.
Другая угроза исходит от облачных провайдеров, располагающих информацию по всему миру. Такая ситуация может привести к тому, что, если некоторые отрасли не будут внимательны, то их действия могут выйти за рамки местных законодательств.
Стоит задуматься, а так ли безопасны облачные услуги, как утверждают сами провайдеры? В то время как большинство провайдеров заявляют, что их системы безопасности соответствуют SAS70, американские стандарты аудита, например, относятся только к финансовой стороне бизнеса и не затрагивают системы защиты информации, а это вряд ли является достаточной гарантией для многих клиентов.
Рекомендация - включайте в контракты с аутсорсинг-компаниями конкретные статьи об информационной безопасности и о праве на проверку. Пусть ваши собственные аудиторы проверят, насколько эффективно работают системы контроля безопасности, например, системы отбора персонала и разделения обязанностей.
Ещё новости по теме:
18:20