Главная
(495) 740-43-40
доб. 13-10
Регистрация

Быть или не быть успешным вашему бизнесу в период кризиса, или Еще раз о том, почему коммерческие предприятия не принимают надлежащих мер для защиты информации

30.11.2015

Быть или не быть успешным вашему бизнесу в период кризиса, или Еще раз о том, почему коммерческие предприятия не принимают надлежащих мер для защиты информации

Алексей Константинович Лобашев
НОУ «УЦБИ «МАСКОМ»
lak@mascom.ru
Информация по праву стала считаться одним из важнейших ресурсов государства, предприятия, личности. По мнению американских специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20 % средних компаний в течение нескольких часов, 40 % средних и 16 % крупных компаний потерпят крах через несколько дней, 33 % банков лопнут за 2–5 часов, 50 % банков – через 2–3 дня [7]. Для того чтобы проникнуть в тайны компании, нет необходимости перелезать через высокие заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т. п. Достаточно проникнуть в информационную систему и в течение нескольких секунд или минут перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу, в том числе и к косвенному. Например, выведение из строя того или иного узла приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, а атака на публичный wеb-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, потере части клиентуры. Цель статьи – осветить актуальные вопросы современного состояния защиты информации на предприятии, рассмотреть криминологическую характеристику преступлений и основные тенденции в сфере теле коммуникаций и компьютерной информации в настоящее время, разъяснить необходимость вложения средств в эту сферу. В статье также приведен положительный опыт обучения руководителей коммерческих учреждений по тематике, связанной с обеспечением информационной безопасности организации.

Введение

Проблемы защиты предприятий и организаций от несанкционированного доступа (НСД) к информации в настоящее время приобрели огромное значение. Уже нет сомнений в необходимости применения самых современных средств обеспечения зашиты информации от НСД с целью ее уничтожения, модификации или ознакомления. Постоянное использование средств и методов противодействия внутренним и внешним угрозам становится нормой. Очевидно, что защита предприятия или организации от НСД требует самого серьезного подхода. Сегодня обладание нужной информацией и контроль над информационными потоками сравнивается с обладанием соответствующим экономическим, военным и политическим потенциалом. Следует заметить, что пока еще нет устоявшейся концепции в данной проблематике. Это обусловлено, прежде всего, тем, что проблемы обеспечения ИБ для каждого отдельно взятого предприятия или организации достаточно уникальны и являются их личной «головной болью». Сегодня очевиден спрос на интегрированные комплексы, обеспечивающие безопасность предприятия: его правовых, материальных и финансовых ресурсов. Центром такого комплекса является система защиты информации (СЗИ), без которой недостижимыми являются все другие составляющие обеспечения безопасности предприятия или организации. Комплексный подход к созданию СЗИ на предприятии или в организации должен включать в себя как применение специальных аппаратных и программных средств, так и проведение организационно-режимных мероприятий. Особое внимание в таких системах должно уделяться методами средствам выявления внутренних угроз.

Хочется сразу отметить, что в настоящий момент складывается па радоксальная ситуация. У всех на слуху находятся межсетевые экраны и антивирусные системы. Именно они и приобретаются в первую оче редь в случае появления в бюджете статьи «Средства защиты информа ции». При этом мало кто учитывает тот факт, что эти средства уже не со ответствуют современным требова ниям, предъявляемым к защитным системам, поскольку не способны отразить и даже обнаружить целый ряд очень опасных атак [2]. Поэто му эти средства обеспечивают не обходимый, но явно недостаточный уровень защиты корпоративных ре сурсов. Дополнить их могут системы анализа защищенности, системы обнаружения атак, обманные системы и т. д. Однако в этот момент встает самый «больной» для бизнесмена вопрос: в эти средства необходимо вкладывать деньги и немалые! По пробуем разобраться, зачем это нуж но делать в сегодняшней очень слож ной во всех отношениях «кризисной» жизни.

Прежде чем перейти к вопросам защиты информации на уровне бизнес-организаций, хотелось бы напомнить читателю и о «глобальных» проблемах в данной сфере – актуализировать общее современное состояние проблемы экономической преступности в стране и показать криминологическую характеристику и тенденции преступлений в сфере телекоммуникаций и компьютерной информации. С нашей точки зрения, рассматривать изолированно проблему информационной безопасности отдельно взятого предприятия без связи с реальными криминальными тенденциями в России просто бессмысленно. Без этого материала трудно представить «перспективы» и реальную опасность отказа от принятия надлежащих мер по защите информации в организации.

Общая характеристика современного состояния экономической преступности

Не раскрывая всех деталей (их можно найти в прилагаемой к статье литературе), констатируем: экономическая преступность (к которой тесно примыкает преступность в сфере телекоммуникаций и компьютерной информации) – самая интеллектуальная, самая мощная, самая распространенная, самая скрытая, самая организованная и самая опасная криминальная деятельность, которой не брезгуют даже короли, президенты, премьер-министры и другие высокопоставленные особы.

По авторитетному мнению крупнейшего специалиста России в области бизнес-преступности В. В. Лунеева [9], существует целый ряд проблем, которые, мягко говоря, не способствуют борьбе с экономическими преступлениями, а значит, и мешают решению проблем в сфере телекоммуникаций и компьютерной информации. Так, в России фактически отсутствуют официальный учет и практика обнародования статистики экономических преступлений. В официальном статистическом ежегоднике экономические преступления вообще не представлены. ГИЦ(ныне ГИAЦ) МВД России в ведомственном учете именует эти деяния преступлениями экономической направленности (в учете судов эта группа деяний называется преступлениями в сфере экономической деятельности). Однако этот учет все равно охватывает не все разновидности бизнес-преступности. Общеизвестно: закон – это паутина, через которую легко пролетают крупные мухи и застревает мелюзга. Крупнейшие многомиллионные и даже многомиллиардные бизнес-преступления отсутствуют в учете.

При любом уголовно-правовом и статистическом подходе экономическая преступность в России по сути своей была и останется ядром огромной корыстной преступности. Но если бы удалось зарегистрировать хотя бы четверть от реального числа экономических преступлений, их количество могло бы превысить число таких наиболее распространенных деяний, как кражи. А латентная преступность экономической направленности в несколько раз выше латентности традиционных краж. Преступления против личной собственности, при всей их исключительной опасности, в значительной мере являются лишь пеной на фактически безбрежной теневой экономической преступности. В мире признано, что «преступность в форме бизнеса» представляет собой более серьезную угрозу для общества, национальной и транснациональной экономики, чем традиционные формы преступности.

Однако, как уже отмечалось выше, официальной статистики о распространенных и опасных видах экономической предпринимательской преступности у нас нет. В официальной статистике лиц, совершивших преступления, предприниматели вообще не значатся. Реальная экономическая преступность – многомиллиардная. Она переплетается с преступлениями против собственности, должностными, коррупционными, с наркобизнесом и другими корыстными деяниями. Даже в кровавой Кущевке (заметим, далеко не единственной в стране) базовым деянием являлся криминальный бизнес, то есть экономическая «предпринимательская» преступность. Мы об этом знаем по повседневным сообщениям различных СМИ, но в них речь идет об отдельных деяниях. Объективных статистических обобщенных и системных данных о массовых мошенничествах (брошенных дольщиках и т. д.), огромных откатах, банковских аферах, поставленных на поток «распилах» бюджетных денег в центре и регионах, контрабандно-таможенных злоупотреблениях, уклонениях от налогов, незаконной предпринимательской и банковской деятельности, экономической преступности в ЖКХ, винно-водочном бизнесе, фальсификациях продовольственных товаров и медикаментов[6] и пр. нет.

Согласно неофициальным подсчетам, анализу совокупности нераскрытых убийств, пропавших без вести лиц и неопознанных трупов за период псевдолиберальных и сомнительных экономических реформ в нашей стране, на свободе «гуляет» около 100 тыс. безнаказанных убийц. Таким образом, «безнаказанность» составляет более 90 % от общего числа таких преступлений. Положение дел с экономической преступностью предпринимателей еще хуже: организованная преступность в экономической сфере опутала даже федеральные власти, но по чьему-то распоряжению было ликвидировано Главное управление по борьбе с организованной преступностью МВД РФ и УБОПы на местах, которые пусть не всегда успешно, но все же работали. Квалифицированные кадры этого специфического управления распущены, а вместе с ними выброшены и различные формы оперативной информации. Годами собираемые конфиденциальные обобщенные данные об организованной преступности рассредоточены, утрачены и даже отчасти оказались в руках самих фигурантов.

Статистические данные и характеристика преступлений в сфере телекоммуникаций и компьютерной информации

Для полноты картины и понимания того, чего следует ожидать предпринимателям в ближайшем будущем, приведем любопытную статистику. По данным МВД РФ, в России за 2014 год было зарегистрировано 11 тысяч преступлений в сфере телекоммуникаций и компьютерной информации.

«Основным мотивом совершения (преступлений) является желание извлечь материальную выгоду. В 2013 году кражи и мошенничества составляли 30 % от всех зарегистрированных преступлений в информационной сфере, выступая безусловным лидером в данной категории. В 2014 году их доля составила уже 41 %, причем если количество зарегистрированных мошенничеств изменилось не сильно, то число краж увеличилось в два раза», – отметил начальник Бюро специальных технических мероприятий (БСТМ) МВД России Алексей Мошков. По его словам, современные сервисы выступают инструментами для размещения рекламы и привлечения потенциальных жертв, общения, перечисления денежных средств при условии сохранения анонимности злоумышленников. «Складывающаяся ситуация представляет собой серьезную угрозу, дискредитирует сетевой бизнес и подрывает доверие пользователей к электронным платежам», – считает Мошков.

Одной из важных тенденций в области преступлений в сфере ИТ он назвал широкое использование мобильных платформ в качестве средства для получения конфиденциальной информации. В первую очередь, для этого используются вредоносные программы, ориентированные на хищение средств с банковских счетов с использованием системы мобильного банка. Однако были зафиксированы и случаи по удаленному получению контроля над устройствами. «Кроме того, злоумышленники успешно используют в своих целях новые услуги и технологии для мобильных устройств, оборачивая их функционал против владельцев. Большинство современных смартфонов и планшетов используют привязку к учетной записи, и зачастую хранят данные в облачных сервисах», – пояснил Мошков. Получив доступ к учетной записи пользователя, злоумышленники могут загрузить списки контактов абонента, фотографии и видео, сведения о его переписке, данные о перемещениях, заблокировать устройство как утерянное или украденное. Иногда кибепреступники получают доступ к данным банковских карт и паролям с учетными записями в различных сервисах. Эти сведения используются для хищения денежных средств и шантажа.

Интересная актуальная информация (по линии «проколов» в области защиты информации) была представлена «Лабораторией Касперского» совместно с компанией B2B International1. Так, в результате действий киберпреступников в 2014 году треть финансовых компаний (36 %) в России (!) столкнулась с утечкой важных данных, связанных с осуществлением денежных операций. При этом 81 % финансовых организаций считают, что они «принимают все необходимые меры для поддержания актуальности защитных технологий».

Отметим, что финансовые организации принимают, обрабатывают и хранят большие массивы конфиденциальной информации своих клиентов. Именно поэтому в бизнесе, где высоко ценится доверие со стороны клиента, кибератаки могут оказаться особенно чувствительными и привести к повышенным рискам – материальным и репутационным. Как показало исследование, финансовые организации об этом хорошо осведомлены: 52 % из них сообщили о том, что готовы внедрять новые технологии для дополнительной защиты финансовых транзакций.

После серьезных инцидентов компании, как правило, уделяют больше внимания информационной безопасности. Самой популярной мерой в 2014 году среди российских финансовых организаций стало обеспечение безопасного соединения клиентских транзакций – ее применяли 86 % респондентов. Компании также более заинтересованы в предоставлении своим клиентам специализированных приложений для работы с онлайн-банкингом для мобильных устройств (61 %). Это свидетельствует о том, что безопасность мобильных платежей становится одной из приоритетных задач в финансовой сфере. Наименее распространенной мерой было предоставление своим клиентам защитного решения – бесплатно или по сниженной стоимости. Только 53 % респондентов обеспокоились внедрением специализированных средств защиты на компьютерах и мобильных устройствах клиентов после утечки данных. Это указывает на более высокую заинтересованность компаний в обеспечении безопасности собственной инфраструктуры, нежели пользовательской.

Рассмотрим данные еще одной компании, занимающейся изучением киберпреступности в России, – Group-IB. Здесь приведены сведения по «заработкам» киберпреступников и реальные факты совершения преступных действий (см. таблицу). Так, по данным отчета, со второй половины 2013 года по первую половину 2014 года русскоговорящие киберпреступники заработали в России и СНГ порядка 2,5 млрд долларов. Из указанной суммы 426 млн пришлось на интернет-мошенничество, существенная часть которого – 289 млн – происходит в системах интернет-банкинга. На обналичивании денежных средств в России киберпреступники заработали 59 млн долларов, на банковском фишинге и мошенничестве с электронными деньгами – 50 млн, на хищении электронных денег – 28 млн. Впервые в Group-IB отдельным пунктом оценили и объем денежных средств, украденных при мошенничестве с платежными картами в России: согласно отчету, в 2013–2014 годах он составил порядка 680 млн долларов. В свою очередь, на спаме в тот же период «высокотехнологичные» преступники заработали 841 млн, на DDoS-атаках – 113 млн долларов.

Основная часть киберпреступлений направлена на организации финансового и государственного секторов, – отмечают в Group-IB. В последнем киберпреступления чаще всего совершаются в целях промышленного шпионажа. При этом увеличивается число целевых атак на такие организации.

За 2013–2014 годы злоумышленники провели более 35 успешных атак на банки. Среди других организаций, связанных с финансовым сектором, ставших жертвами киберпреступников, – Qiwi, «Почта России», «Московская биржа ММВБРТС». В случае с Qiwi, в частности, злоумышленники похитили 88 млн рублей, о чем компания упомянула в своем годовом отчете для иностранных частных эмитентов. В Group IB отмечают, что из известных им целевых атак на банки только в 3% случаев организации выявили их сами. В 28 % случаев атаки были выявлены после того, как в банке случился инцидент, а в 69% случаев об атаках пострадавших оповестила сама Group-IB.

В госсекторе среди объектов атак – Администрация Президента Республики Башкортостан, где на пяти компьютерах было обнаружено вредоносное ПО, а конечной целью злоумышленников являлась финансовая информация в системе «БашФин». Атакам киберпреступников также подверглись Департамент здравоохранения Москвы, ФГУП «Главный центр специальной связи» и др.

В числе тенденций на рынке киберпреступности в России помимо целевых атак в Group-IB выделяют возрастающую долю мобильных угроз. Согласно исследованиям мобильных бот-сетей, 40 % пользователей мобильных устройств имеют счет в банке, привязанный к зараженному мобильному телефону (см. таблицу). Серьезной проблемой в сфере борьбы с киберпреступностью в России в Group-IB отмечают тот факт, что при постоянно увеличивающемся числе киберпреступлений в правоохранительных структурах ощущается постоянная нехватка специалистов, которые ими занимаются.

Немного статистики по проблемам защиты информации на предприятиях

Для подтверждения актуальности данной темы приведем некоторые статистические данные. Так, корпорация Symantec опубликовала результаты своего исследования «Хранение данных и безопасность на предприятиях малого и среднего бизнеса» («Storage and Security in SMBs survey»)2. Согласно данному исследованию, несмотря на осведомленность предприятий малого и среднего бизнеса о киберрисках и наличия четких целей в отношении безопасности и хранения информации, на удивление, многие компании, принадлежащие к этой категории, не предпринимают даже самых элементарных шагов по защите собственного бизнеса, таких как установка антивирусного программного обеспечения или резервное копирование данных.

Исследование Symantec демонстрирует, что предприятия малого и среднего бизнеса понимают важность проблемы. Хотя они считают вирусы своей главной «головной болью» из области безопасности, свыше 70 % опрошенных утверждают также, что они «в какой-то мере» или «чрезвычайно» озабочены спамом и утечками данных. Респонденты считают также защиту собственной информации, сети и сервисов своими основными задачами (94 %назвали их в «какой-то мере» и «чрезвычайно» важными). «Многие предприятия малого и среднего бизнеса находятся на перепутье: они сознают необходимость укрепить безопасность своей ИТ-инфраструктуры, но не знают точно, как это сделать при ограниченных средствах, – так прокомментировал данную ситуацию старший директор по маркетингу продуктов Symantec Кевин Марри. – Как и в секторе крупных корпораций, угрозы для предприятий малого и среднего бизнеса становятся более сложными, многочисленными и частыми, а объемы информации, которые требуется защищать и поддерживать, продолжают расти».

При этом, как мы уже упоминали, значительное число малых и средних предприятий пренебрегает элементарными средствами защиты. Например, 59 % компаний этой категории не установили программное обеспечение, которое защищает от вредоносных программ такие ресурсы, как ноутбуки, настольные ПК и серверы, 42 % не использует решения для защиты от спама, почти половина респондентов не создает резервные копии своих ПК, подвергая себя серьезному риску утраты важной информации. Наконец, треть участников опроса не имеет самого элементарного средства защиты – антивируса. «Конечно, им виднее, только предприятия малого и среднего бизнеса слишком часто бывают сосредоточены на коммерческих возможностях вне компании, чтобы обращать внимание на угрозы, с которыми они сталкиваются у себя дома, – отмечает вицепрезидент IDC по исследованиям в секторе SMB Рэй Боггс. – Они действуют в мире, полном риска, но многие неоправданно повышают его еще больше, отказываясь должным образом защищать свои данные».

Согласно исследованию, когда предприятия малого и среднего бизнеса несут потери, связанные с ИТ, скорее всего, их можно было бы предотвратить посредством простейших защитных мер. Например, наиболее распространенной причиной потерь было «нарушение работы системы или отказ оборудования». Установка средств резервного копирования для настольных ПК и серверов – простая задача, обеспечивающая превосходную защиту от потерь в результате подобных проблем.

Исследование показало, что дефицит кадров и средств – два ключевых фактора, вынуждающих предприятия малого и среднего бизнеса оставаться беззащитными: 42 % опрошенных компаний не имеют выделенного ИТ-персонала – у них либо никто не занимается компьютерами, либо тот, кто ими занимается, делает это по совместительству. Фактически, главной помехой обеспечению безопасности эти предприятия считают недостаток квалификации у работников (41 %), упоминают также незнание современных угроз (33 %) и недостаток времени (28 %). Еще один фактор – недостаток средств: средний бюджет, выделяемый на обеспечение ИТ-безопасности малого/среднего предприятия, составил 4,5 тысячи долларов в год.

Хорошим знаком является тенденция к росту ИТ-бюджетов предприятий малого и среднего бизнеса: 50 % респондентов сообщили, что в ближайшие 12 месяцев они планируют увеличить расходы на информационную безопасность и хранение данных. «Как показывает данное исследование, по сути проблемы компаний малого и среднего бизнеса в области ИТ-безопасности мало чем отличаются от сложностей их старших собратьев: дефицит бюджетов и кадровый вопрос, – подвел итоги изучения ситуации руководитель группы технических консультантов Symantec в России и странах СНГ Кирилл Керценбаум. – Однако компании крупного бизнеса в очень сильной мере зависят от состояния ИБ, поэтому данные вопросы решаются в первую очередь. При этом, подчас в маленьких компаниях таких приоритетных направлений настолько много, что на ИТ-безопасность уже не остается ни денег, ни времени, но современные угрозы и хакеры не обходят своим вниманием компании любого масштаба. Поэтому компаниям среднего и малого бизнеса в обязательном порядке необходимо заняться решением данного вопроса как можно быстрее».


Таблица. Оценка рынка высокотехнологичных преступлений
с 2010 года, Group-IB
Тренд Объем, млн долл.
2011 2012 2013-2014
Интернет-мошенничество, итого: 697 615 426
Мошенничество в системах интернет-банкинга (России и СНГ) 490 446 286
Обналичивание денежных средств 122 89 59
Банковский фишинг и мошенничество с электронными деньгами 55 57 50
Хищение электронных денег 30 23 28
Кардинг, итого: 680
Спам, итого: 830 786 841
Спам 553 493 549
Медикаменты и различная продукция 142 173 180
«Поддельное» программное обеспечение 135 120 112
Внутренний рынок (С2С), итого: 230 261 288
Продажа трафика 153 167 196
Продажа эксплоитов 41 52 48
Продажа загрузок 27 33 35
Предоставление услуг по анонимизации 9 9 9
DDoS-атаки, итого: 130 110 113
Иное, итого: 168 166 153

Приведение аналогий из мира физической безопасности

Для обоснования приобретения средств ИТ-безопасности перед руководством организации, весьма важным, с нашей точки зрения, является умение объяснить их назначение понятным не специалисту языком. Как показывает изучение подобной практики, одним из наиболее простых способов сделать это, является приведение аналогий из мира физической безопасности, по сравнению с которой компьютерная безопасность все еще пребывает в «младенчестве»: с каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения ИБ, при этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения.

Принципы построения физической защиты объекта разработаны достаточно давно, и, как известно, основываются на применении систем разграничения доступа, систем сигнализации, оборудования для видеонаблюдения и других компонентов, позволяющих идентифицировать нарушителя и предотвратить физическое вторжение в защищаемую область. В свою очередь, ИТ-безопасность ориентирована не на физический мир, а на киберпространство, где преступники могут быть определены только при помощи серии нулей и единиц [3], что зачастую и приводит к непониманию руководством необходимости приобретения различных средств защиты, даже несмотря на то, что за последнее время число компьютерных преступлений возросло на порядок, а совокупный ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллиардами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, в том числе на территории другой страны.

В качестве примера «аналогий» физической и информационной безопасности можно рассмотреть технологии анализа защищенности и обнаружения и отражения угроз. Эти технологии известны многим специалистам в области физической безопасности. Они представлены такими средствами, как системы сигнализации и оповещения. Кроме того, эти системы делятся на две категории: постоянного и периодического действия. Первые, к которым можно отнести пожарную и охранную сигнализацию, охранное телевидение и т. п., непрерывно следят за объектом защиты. Системы периодического действия работают по другому принципу: они анализируют состояние объекта защиты в заданные моменты или через определенные промежутки времени. Типичным примером таких средств является периодический обход территории охранниками. К средствам отражения также можно отнести ограждение территории, пункты пропуска, замки, решетки и т. п.

Однако информационная система – это тоже своего рода здание, которое необходимо защищать, только виртуальное. И использовать для этого можно те же механизмы физической безопасности, но спроецированные на особенности информационных технологий. Например, несанкционированный вход в обычное здание блокируется охранником или турникетом. В виртуальном для этого используется межсетевой экран или система аутентификации, которые проверяют входящий (и исходящий) трафик на соответствие различным критериям.

Однако злоумышленник для несанкционированного проникновения в здание может подделать пропуск (в виртуальном мире – подделать адрес) или пролезть в окно (в виртуальном мире – через модем), и никакой охранник или турникет не воспрепятствует этому. И тут на первый план выходят технические (программные) средства противодействия в виде всевозможных датчиков, идентифицирующих различные угрозы.

По своему функциональному назначению датчики охранной сигнализации делятся на три типа [5]: 

  • контролирующие пространство помещений (объемные датчики); 

  • контролирующие периметр объекта защиты (линейные датчики); 

  • контролирующие отдельные предметы (точечные датчики).

В «виртуальном» здании применяются те же самые «датчики». Называются они сенсорами системы обнаружения атак. Единственное отличие от датчиков охранной сигнализации в наличии двух категорий вместо трех:

  • контроль сетевого сегмента – аналог объемного датчика (в случае применения данного сенсора совместно с межсетевым экраном или иным средством защиты периметра сети сенсор системы обнаружения атак, функционирующий на уровне сети, выполняет роль линейного датчика);

  • контроль отдельного узла информационной системы – аналог точечного датчика.

Аналог механизма охранной сигнализации и оповещения периодического действия тоже присутствует в виртуальном мире – это системы анализа защищенности, которые по требованию администратора безопасности или по расписанию проводят ряд проверок заданных компонентов информационной системы. Можно провести следующую аналогию с анализом защищенности: охранник, периодически обходящий все этажи здания в поисках открытых дверей, незакрытых окон и других нарушений режима. Так же действует и система анализа защищенности. Только в качестве здания выступает информационная система, а в качестве незакрытых окон и дверей – уязвимости этой системы.

Обоснование необходимости выбора средств защиты

Как обосновать необходимость приобретения средств защиты. Что выбрать? Универсальных рецептов тут нет. Все зависит от тех целей, которые вы перед собой ставите. Можно привести только некоторые общие рекомендации. Во-первых, затраты на обеспечение ИБ не должны превышать стоимость защищаемого объекта или величину ущерба, который может возникнуть вследствие атаки. Основная сложность состоит в том, чтобы посчитать его стоимость. Можно предложить следующую упрощенную модель оценки ущерба (врезка 1).


Врезка 1

Пример расчета ущерба, возникающего вследствие атак на информационные ресурсы организации

Время простоя вследствие атаки, tп: 2 ч
Время восстановления после атаки, tв: 8 ч
Время повторного ввода потерянной информации, tви: 8 ч
Зарплата обслуживающего персонала (администраторов и т. д.), Zо (за месяц): 400 долл.
Зарплата сотрудников атакованного узла или сегмента, Zс (за месяц): 600 долл.
Число обслуживающего персонала (администраторов и т. д.), Nо: 1
Число сотрудников атакованного узла или сегмента, Nс: 4
Объем продаж атакованного узла или сегмента, O (за год): 100000 долл.
Стоимость замены оборудования или запасных частей, ПЗЧ: 0 долл.
Число атакованных узлов или сегментов, i: 1
Число атак в год, n: 5
Зарплата сотрудника в час: 600 : 192 = 3,125 долл.
Зарплата обслуживающего персонала в час: 400 : 192 = 2,083 долл.
ПП = 4  3,125  2 = 25 долл.
ПВИ = 0 ППВ = 1  2,083  8 = 16,664 долл.
ПЗЧ = 0 ПВ = 16,664 долл.
V = 100 000 : 2080  (2 + 8 + 0) = 480,77 долл.
U = 25 + 16,664 + 480,77 = 522,43 долл.
Таким образом, общий ущерб составляет довольно существенную сумму:
ОУ = 522,43  5 = 2612,17 долл.


Необходимость обучения руководителей предприятий

Проведение специализированных занятий для руководителей коммерческих организаций представляется одним из кратчайших путей для достижения ими понимания важности вопросов обеспечения ИБ. В УЦ Маском была разработана авторская комплексная программа для курса «Информационная безопасность для бизнеса», учитывающая многолетний опыт обучения слушателей в стенах центра. План занятий в ней представлен следующим образом (врезка 2).

Врезка 2

1. Введение

● Что такое информационная безопасность

● Информация и ее свойства

● Чуть-чуть истории, или Как все начиналось

2. Законодательные основы, или Что можно и чего нельзя

● Основные законы и подзаконные акты

● Основные регуляторы отрасли информационной безопасности, или Кто за что отвечает

● Кто и что должен (может) делать с информацией в РФ

■ Что нужно и можно защищать, а что нельзя

● Персональные данные: что это и откуда они берутся

■ 152-ФЗ и коммерческое предприятие: как жить после 2015 год

● Реалии современности и состояние отрасли информационной безопасности

3. Чего бояться, или Способы оценки рисков

● Мировая практика

● Что есть в России

● Основные проблемы построения системы информационной безопасности на коммерческом предприятии

4. Этапы формирования системы информационной безопасности предприятия

5. Краткий технический экскурс, или Что дает знание основ ИТ-технологий (некоторые особенности автоматизированной обработки информации, и к чему это может привести)

6. Что такое бизнес разведка, зачем она нужна и что она может

7. Актуальные методы и способы неправомерного доступа к информации и нарушения ее свойств

● Краткий обзор существующих прецедентов и их последствий

● Обзор и принципы получения неправомерного доступа к информации и ее свойствам

● Наглядная демонстрация потенциальных возможностей злоумышленников

8. Обобщенный алгоритм формирования подсистемы информационной безопасности предприятия

9. Модель нарушителя

● Зачем она нужна, кто и как ее должен сформировать

● Что такое «внутренний нарушитель» и кого больше бояться

10. Модель угроз – что это, зачем тратить на нее время?

11. Краткий обзор современных подходов к защите информации

● Основные принципы организации защиты информации

● Демонстрация, или Как это работает

12. Комплексная модель безопасности предприятия

● Роль и место подсистемы информационной безопасности

● Почему безопасность это процесс

13. Итоги и выводы: безопасность стоит дорого, но она того стоит


Несмотря на кажущуюся банальность постановки отдельных вопросов (при том, что в УЦ Маском тематика любого читаемого курса изучается достаточно глубоко), опыт преподавания показывает, что при освещении данного курса не следует этого бояться: напомним, он адресован руководителям коммерческих предприятий, слабо владеющим предметом.

Рассматривая разработанный план, выделим из него некоторые ключевые позиции и проблемные задачи.

Скажем, среди неспециалистов бытует мнение, что под термином «инцидент ИБ» подразумевается нарушение исключительно такого свойства информации как конфиденциальность. Тем не менее, практика последних лет показывает, что с развитием информационных систем и переходом к электронным коммуникациям на первый план выходят такие ее свойства как целостность и доступность. Рассматривая вопрос «Информация и ее свойства», важно напомнить слушателям об этом. К числу основных проблем реализации процесса ИБ в коммерческой организации относится отсутствие общепринятых стандартов, определяющих типовую модель рисков и угроз для предприятия. Соответственно, когда на предприятии возникает задача организации подсистемы ИБ, то первым возникает вопрос «Что у нас является защищаемой информацией?», за которым тут же следует другой: «Кого нам бояться?».

Учитывая отсутствие типовых шаблонов, сформированных на международном и государственном уровне, а также существенные различия между предприятиями и реализуемыми ими бизнес-моделями, задача определения перечня информации, подлежащей защите, отнюдь не является простой. По статистике, такую работу в отношении информации, обрабатываемой в информационных системах, на сегодня в РФ выполняют: крупные корпорации – вводя в дочерних предприятиях иерархическую систему документов; банки в части реализации требований стандартов Банка России и международных финансовых организаций, но зачастую только в отношении обеспечения безопасности платежной системы.

Имеющихся на сегодняшний день подходов, которые могут быть применены для оценки рисков и выделения критической информации предприятия, всего два:

  1. нарушение технологических (или других) аспектов работы пред- приятия, которые существенно могут повлиять на эффективность и устойчивость компании;

  2. оценка денежного выражения ущерба, который может наступить вследствие нарушения тех или иных свойств информации.

Подчеркнем, что очень трудно найти «золотую середину»: не слишком затратную, но при этом обеспечивающую должную устойчивость организации.

Отметим, что существует и другая проблема, не связанная с ИБ (на которую многие руководители не обращают внимания): для обеспечения деятельности предприятия сотрудникам предоставляются так называемые средства производства – вычислительная техника, доступ к информационным системам, доступ в открытые сети связи и т. п. Насколько эффективно они используются, задумываются далеко не все, а зря. По статистике [10], только 46 % сотрудников не применяют предоставленные средства производства в личных целях. При этом стоит учитывать, что помимо нецелевого использования средств производства и отвлечения персонала от решения служебных задач, работодатель оплачивает все затраты, сопутствующие нецелевому использованию: трафик, расходные материалы и т. п. Косвенным образом такое использование может нанести ущерб и ИБ предприятия, так как потенциальные злоумышленники наиболее часто используют популярные сайты/форумы для внедрения вредоносного ПО. Таким образом, нецелевое использование информационных систем предприятия, хоть и не относится напрямую к обеспечению ИБ (сохранению свойств информации), однако может быть учтено при оценке угроз в качестве одного из элементов, которые наносят экономический ущерб предприятию.

Данный курс изначально разработан для топ-менеджеров коммерческих структур с целью освещения существующих подходов к обеспечению ИБ, типовых угроз и прецедентов, с которыми сталкивается современное предприятие. Основной его задачей является формирование у руководителя правильного понимания роли, значимости и подходов кформированию системы обеспечения ИБ в возглавляемой им организации.

Апробация курса, проведенная А. Е. Паниным, состоялась 20 февраля 2015 года в УЦБИ «МАСКОМ». Она показала весьма неплохие результаты. Первыми его слушателя ми стали топ-менеджеры десяти организаций из числа ведущих российских компаний, представляющих различные сектора экономики.

Одна из важных составляющих курса – освещение подходов к построению системы и управлению расходами на обеспечение ИБ через разработку и оптимизацию модели управления рисками, вычисляемыми в денежном выражении. В процессе курса детально обсуждается понятие коммерческой тайны, организации режима ее защиты на предприятии, а также базовые принципы и подходы к обработке информации, составляющей коммерческую тайну.

В процессе проведения курса происходит «разбор» реальных примеров типовых ошибок в работе коммерческого предприятия при создании системы ИБ, прежде всего, связанных с некорректным внедрением новых технологий автоматизированной обработки информации в реальные бизнес-процессы предприятий.

Основываясь на уже проведенных занятиях, можно констатировать, что особый интерес слушатели проявляют к следующим аспектам учебной программы: 

  • обзору уязвимостей, существующих в современных технологиях автоматизированной обработки информации; 

  • демонстрациям на стендах, наглядно показывающих реальность утечки информации по техническим каналам при ее автоматизированной обработке;

  • статистическим данным, отражающим как первопричины нарушений информационной безопасности, так и причинно-следственные связи между ними и их фактическими последствиями для предприятия.

В целом, по итогам состоявшихся курсов от слушателей получены положительные оценки в части полноты и доступности изложенного материала. Особым пожеланием обучающихся, адресованным разработчику учебной программы, было расширение курса за счет увеличения времени, предусмотренного для изложения способов защиты информации при использовании наиболее востребованных технологий ее автоматизированной обработки.

Следует выделить еще одну деталь: данные занятия проводятся с использованием одного из самых современных направлений развития активного – интерактивного обучения. В современной педагогической литературе, представляя отличительные особенности интерактивного обучения, ученые указывают на то, что основным способом организации взаимодействия преподавателя и обучающихся в данном случае становится не только активная обратная связь между педагогом и обучающимися, но и организация взаимодействия обучающихся между собой.

Заключение

Таким образом, по предложенным в статье материалам можно сделать следующие выводы. 

  • Ожидать решения проблемы функционирования самой интеллектуальной, самой мощной, самой организованной и опасной криминальной деятельности в «масштабе государства» в настоящее время мало вероятно. В данной ситуации представляется крайне необходимым убедить самих предпринимателей «побеспокоиться» об улучшении положения с обеспечением информационной безопасности на собственном предприятии.

  • Удручает статистика и состав киберпреступлений, выступая безусловным лидером в данной категории. В 2014 году доля краж и мошенничеств в России составила 41 % от всех зарегистрированных преступлений в информационной сфере, причем число краж увеличилось вдвое. Складывающаяся ситуация представляет собой серьезную угрозу, дискредитирует сетевой бизнес и подрывает доверие пользователей к электронным платежам.

  • Одной из важных тенденций в области преступлений в сфере ИT является широкое использование мобильных платформ в качестве средства для получения конфиденциальной информации. В первую очередь для этого используются вредоносные программы, ориентированные на хищение средств с банковских счетов с использованием системы мобильного банка.

  • Основная часть киберпреступлений совершается в отношении организаций финансового сектора и госсектора. В результате действий киберпреступников в 2014 году треть финансовых компаний (36%) в России столкнулась с утечкой важных данных, связанных с осуществлением денежных операций.

  • Безопасность мобильных платежей становится одной из приоритетных задач.

  • Многие российские бизнесмены (если не сказать большинство) или вовсе не придают никакого значения вопросам ИБ, или уделяют им очень незначительное внимание. Согласно опубликованной в СМИ статистики, большое число компаний не предпринимает даже самых элементарных шагов по защите собственного бизнеса, таких как установка антивируса или резервное копированиеданных.

  • В тех случаях, когда предприятия малого и среднего бизнеса несут финансовые потери, вызванные инцидентами в области ИТ, скорее всего их можно было бы предотвратить посредством простейших защитных мер. Например, наиболее распространенной причиной потерь является «нарушение работы системы или отказ оборудования».

  • В статье показано, что дефицит кадров и средств – два ключевых фактора, вынуждающих предприятия малого и среднего бизнеса оставаться беззащитными.

  • Готовность половины предприятий малого и среднего бизнеса увеличивать расходы на ИТ-безопасность свидетельствует о растущем понимании среди их руководителей актуальности вопросов защиты информации в подведомственных им организациях.

  • С целью оказания реальной помощи руководителям коммерческих предприятий и решения указанных в статье проблем была разработана авторская программа обучения, которая вобрала в себя большую часть представленных выше вопросов.

В качестве заключения можно выразить мнение, что разработанная, представленная в статье и апробированная авторская комплексная программа «Информационная безопасность для бизнеса» поможет «разобраться» руководителям предприятий и бизнесменам в существе и значимости для безопасности бизнеса ИБ и даст ответ на поставленный в начале этой публикации вопрос: почему нужно вкладывать деньги в ИБ и что может произойти, если этого не делать?


ЛИТЕРАТУРА


1. Лукацкий А. Защитите свой бизнес // Мобильные системы. 1999, № 12.

2. Лукацкий А. Отмычки к «поясу невинности» // Вusinеss Оnlinе. 2000, № 5.

3. Лукацкий А. Адаптивная безопасность сети // Компьютер-Пресс, 1999, № 8.

4. Лукацкий А. Анатомия распределенной атаки // РСWeek/RЕ. 2000, № 5.

5. Алексеенко В., Древс Ю. Основы построения систем защиты производственных предприятий и банков. – М.: МИФИ, 1996.

6. Лукацкий А. Новые подходы к обеспечению информационной безопасности сети // Компьютер-Пресс. 2000, № 7.

7. Кузнецов И. Н. Информация: Сбор, защита, анализ [Электронный ресурс]. – Режим доступа: http://www.evartist.narod.ru/text/21/htm.

8. Чирков Д. К., Саркисян А. Ж. Преступность в сфере высоких технологий: тенденции и перспективы. – М.: 2012.

9. Лунеев В. В. О криминализации экономических преступлений предпринимателей. – М.: 2012. 10. Cnews. Компании усиливают контроль за интернет-активностью сотрудников [Электронный ресурс]. – Режим доступа: http://m.cnews.ru/news/top/kompanii_usilivayut_kontrol_za_internetaktivnostyu/.




1 Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в период с апреля 2013 по апрель 2014 года. В исследовании приняли участие более 3900 ИТ-специалистов из 27 стран мира, включая Россию.

2 Исследование основано на опросе 1425 предприятий малого и среднего бизнеса (от 10 до 500 сотрудников) в 17 странах.




Возврат к списку

Яндекс.Метрика