Эксперты компании InfoWatch выделяют четыре типа информационных угроз: внутренние угрозы — от сотрудников компании, внешние целевые атаки, атаки на АСУ ТП, информационные войны. Защититься от действий сотрудников поможет положение о коммерческой тайне, предотвратить внешние атаки позволяют технические средства, а щит от информационной атаки — позитивная информация.
По вектору и принципам воздействия можно выделить четыре основных типа угроз информационной безопасности компании:
Защита информации от угроз
внутренние угрозы, которые исходят от сотрудников компании, подрядчиков и контрагентов — лиц, имеющих доступ в организацию;
внешние атаки (в том числе целевые, те, что называются APT, от англ. advanced persistent threat);
атаки на производство, а именно — на автоматизированные системы управления технологическим процессом (АСУ ТП);
информационные войны.
Наша компания на протяжении многих лет ведет собственную статистику по внутренним угрозам информационной безопасности организаций, в том числе по количеству утечек конфиденциальной информации из компаний.
По данным Аналитического центра InfoWatch, за первое полугодие 2017 года по миру были зафиксированы 925 утечек конфиденциальной информации — это на 10% больше, чем за аналогичный период 2016 года.
Большая часть утечек данных (58%) в 2017 году произошла по вине внутренних нарушителей в организации. Помимо этого, инсайдеры внутри компаний зачастую помогают осуществить внешнюю атаку на организацию. Доля утечек данных с неправомерным доступом к информации (сотрудник имеет прав больше, чем требуются для выполнения должностных обязанностей), включая злоупотребление правами доступа и внутренний шпионаж, составила менее 8% от общего числа случаев. Неквалифицированные утечки, которые зачастую случаются по незнанию или неосторожности сотрудников и не сопряжены с использованием данных в целях мошенничества, были зафиксированы в 84% случаев. Распространенный случай подобного невежества — отправка конфиденциальной информации на личную почту для работы из дома. С точки зрения подхода к информационной защите организации подобный инцидент является потерей контроля над конфиденциальными данными, что повышает риск нежелательного распространения и использования данных.
Все это грозит бизнесу такими серьезными проблемами, как:
прямые финансовые потери;
потеря конкурентного преимущества;
потеря доли рынка;
штрафные санкции регуляторов;
потеря доверия клиентов и партнеров;
ущерб репутации предприятий и их главных лиц.
Как защититься от внутренних угроз
Внутренние угрозы безопасности организации исходят от инсайдеров — сотрудников компании, поставщиков, контрагентов и других лиц, имеющих доступ в организацию.
Примерами «инсайдерства» могут служить: кража корпоративной информации или утечка по неосторожности, коррупционные действия, фрод (мошенничество), различные сговоры, воровство и саботаж.
Пример. Ведущий инженер организации, который занимался крупной сделкой, решил договориться с конкурентами для продажи проектной документации. Переписка велась через личную почту с корпоративного ноутбука сотрудника. Потенциальный ущерб от подобных действий превышает миллионы рублей.
Чтобы снизить риски реализации внутренних угроз, в том числе утечек информации, необходимо:
определить, что защищать. Выделить критичные для организации информационные активы, определить ущерб от их потери/раскрытия третьим лицам;
определить наиболее вероятные угрозы, исходящие от сотрудников, и оценить риски их реализации;
оценить риски утечки критичной (конфиденциальной) для организации информации;
обеспечить необходимую и достаточную правовую базу для защиты собственных активов и отстаивания собственных интересов в судебных инстанциях, в том числе ввести режим коммерческой тайны, разработать нормативную документацию в области обращения и защиты с информацией ограниченным доступом;
назначить ответственных за обеспечение информационной безопасности в организации;
разработать процедуры по защите информации;
использовать технические средства защиты от утечек (так называемые DLP-системы, от англ. — Data Leak Prevention);
проводить обучения персонала, разъясняя внутренние правила и принципы обращения с информацией.
Внимание! Угрозы также могут исходить от мобильных устройств, в частности, от их использования в рабочих целях в концепции BYOD (Bring Your Own Device). Помимо того, что сотрудники могут передавать конфиденциальные данные через смартфон в обход некоторых систем защиты информации, эти устройства также имеют дополнительную встроенную батарею, поэтому в выключенном состоянии могут «шпионить» за владельцем. Для компаний, которые разрабатывают новые продукты и услуги, открывают новые рынки сбыта, так же как и для организаций, обеспечивающих обороноспособность государства, подобные риски являются крайне серьезными.
Современные смартфоны могут передавать третьей стороне такую информацию о пользователе, как:
местонахождение;
содержание переписки (СМС, почта);
фото- и видеофайлы;
контакты;
связь с браузерами и поисковиками на десктопах;
анализ личной информации о пользователях (политические взгляды, привычки, здоровье, личная жизнь).
Как защититься от внешних угроз и целевых атак
Целевые атаки на организацию являются тщательно спланированными действиями с продуманным сценарием, главная задача которых вывести систему компании из строя, чтобы получить контроль над ресурсом, доступ к базам данных, финансовым транзакциям, платежной, клиентской и другой конфиденциальной информации. У каждой атаки есть заказчик, исполнитель, объект-жертва и цель. Внешние атаки на организацию отличаются от вирусов:
использованием методов социальной инженерии;
использованием нескольких векторов нападения одновременно.
Перед целевой атакой, как правило, проходит разведка — получение информации об инфраструктуре предприятия, используемых методах и средствах защиты. Часто целевая атака начинается с DDoS-атаки. Вредоносный код, как правило, внедряется по частям.
Социальная инженерия — метод несанкционированного доступа к информации, основанный на использовании слабостей человеческого фактора и без использования технических средств. Злоумышленник получает информацию, например, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего, поскольку взломать или обойти защиту инфраструктуры и сервисов компании стало трудно, долго и дорого. Кроме того, невозможно исключить человеческий фактор, что было доказано в ходе так называемых социальных пентестов — оценок защищенности инфраструктуры и бдительности персонала. Так, например, замену буквы в названии сайта-отправителя электронного письма или даже всего доменного имени не заметили 40% сотрудников, которые открыли опасное вложение из письма или перешли по ненадежной ссылке.
DDoS-атака (Distributed Denial of Service) — атака на веб-ресурс, основной целью которой является выведение его из строя путем подачи большого количества ложных запросов, которые сервер не успевает обрабатывать, и сайт становится недоступным для пользователя. Зачастую именно таким образом совершают атаки на сервисы дистанционного банковского обслуживания с целью ограничить владельцам счетов возможности по отмене или запрету транзакций, проводимых мошенниками или как минимум дискредитировать репутацию финансового учреждения.
Пример. После технических неполадок в работе банкоматов и обслуживании банковских карт одного финансового учреждения представители его прямого конкурента заявили о готовности предоставить свои услуги пострадавшим клиентам.
Защититься от целевых атак можно при помощи технических средств:
антивирусов (Kaspersky, Symantec, G DATA и др.);
защитных сетевых экранов (Entensys, Kerio и др.);
специализированных средств защиты от DDoS (Attack Killer, Qrator и др.);
технологий защиты от уязвимостей (Appercut, Checkmarx, Fortify и др.);
специализированных средств по защите от целевых атак (Attack Killer, FireEye и др.)
Правильнее всего выстраивать комплексную и эшелонированную защиту, используя технологии от различных производителей. Это резко усложнит задачу злоумышленникам.
Помните: неуязвимых систем не существует, главное — сделать атаку на вашу систему слишком дорогой и сложной для атакующих.
Как защититься от атак на АСУ ТП
Вопрос о защите информационной безопасности АСУ ТП все чаще встает перед владельцами крупных промышленных компаний и государственных организаций. В числе причин эксперты называют целый ряд целенаправленных атак на подобные объекты и высокую стоимость возможного ущерба, поскольку стороннее вмешательство в технологические процессы может вызвать не только аварию, но и катастрофу. К решению вопроса о защите информационной безопасности АСУ ТП подключилось и государство: 1 января 2018 года вступает в силу федеральный закон о безопасности критической информационной инфраструктуры.
Атаки на АСУ ТП — это хорошо спланированные действия при участии внешних злоумышленников и/или сотрудников компании. Цель таких атак — остановка или изменение параметров технологических процессов, которое может повлечь за собой серьезные финансовые потери, а также привести к взрывам, пожарам, разливам агрессивных жидкостей и прочее, вплоть до экологических катастроф.
Пример. В 2014 году хакеры проникли в компьютер, управляющий доменной печью сталелитейного завода в Германии, установили вредоносную программу, которая заставила печь перегреться и расплавиться. Предприятие получило значительный ущерб.
Среди проблем информационной безопасности АСУ ТП можно выделить следующие:
долгое отсутствие четких требований к информационной безопасности АСУ ТП;
индустрия развивается так быстро, что средства обеспечения информационной безопасности не опережают появление новых угроз;
сложность в обеспечении защиты информационной безопасности АСУ ТП;
большинство датчиков нового поколения не защищены и доступны для взлома;
технологи, производители и специалисты по информационной безопасности имеют разные взгляды на бизнес-процессы и на обеспечение безопасности АСУ ТП;
многие производители АСУ ТП слишком поздно реагируют на выявляемые уязвимости;
нет готовых (под ключ) средств защиты, все существующие требуют тестирования и доработки под конкретное предприятие.
Существует алгоритм, который позволит обеспечить безопасность АСУ ТП. Сначала следует провести аудит систем предприятия на соответствие требованиям информационной безопасности. После этого — сформировать требования к системе защиты АСУ ТП. Оптимально, если интеграция решений для защиты предприятий от атак станет частью проекта по созданию или модернизации АСУ ТП. При этом в систему защиты предприятия следует включить специализированные программно-аппаратные комплексы, например, InfoWatch Automation System Advanced Protector (ASAP) или решения других производителей.
Как защититься от информационных атак и войн
Информационные войны и атаки на уровне организаций и государств стали гораздо эффективнее в эпоху повсеместного распространения интернета. Подобные кампании по подрыву и очернению репутации конкурента успешно ведутся с помощью СМИ и социальных сетей. Атаки могут быть направлены как на саму компанию, так и на ее руководство, а также на высокопоставленных чиновников. Злоумышленники могут, например, распространять заведомо ложную информацию о сбоях или ошибках в работе предприятия, «раскручивать» неудачные высказывания руководителей или учредителей организации, трактовать двусмысленные заявления политиков в пользу того или иного варианта. Если на уровне предприятий подобные информационные атаки являются частью конкурентной борьбы, то на государственном уровне речь идет о попытке дестабилизировать внутриполитическую ситуацию.
Пример. Примером попытки дискредитировать организацию является появление в сентябре 2017 года десятка сообщений об односторонней смене крупным банком условий для клиентов — переводе дебетовых карт в овердрафтные. Финансовое учреждение обвинили в умышленном сокрытии важной информации. Несмотря на заявление пресс-службы о необходимой технической замене части карт для корректной работы с платежами и переводами, еще около месяца клиенты банка продолжали обсуждать «обман».
Для снижения рисков и смягчения последствий от информационных атак следует внимательно отслеживать появление информации о руководителе или самой компании с помощью средств мониторинга СМИ и социальных сетей. Если негативная волна набирает силу, то следует отреагировать на атаку: опубликовать информацию о ней с разъяснением сути. Помимо этого, необходимо генерировать позитивный контент: сделали, добились, помогли, спасли и прочее с последующим распространением этой информации через СМИ, социальные сети, собственный сайт.
Памятка для вас и ваших сотрудников: меры информационной безопасности