Страшные сны генеральных директоров становятся реальностью. Потеря контроля над бизнесом грозит любой компании, которая не уделяет должного внимания вопросам информационной безопасности. У недобросовестных конкурентов, рейдеров и прочих злоумышленников появилась масса возможностей для дистанционного воздействия через интернет на бизнес-процессы своих жертв.
Похоже, что подключение всех компьютеров мира к общей сети оказалось не лучшей идеей. Но обратного пути нет, и теперь руководители компаний вынуждены искать способы защиты.
Похоже, что подключение всех компьютеров мира к общей сети оказалось не лучшей идеей
На прошедшей в Москве VII конференции Business Information Security эксперты признали, что существующие системы защиты оказались малоэффективными против целенаправленных атак и злонамеренных инсайдерских действий. Из-за некоторых особенностей современных компьютерных систем даже один нелояльный (или неопытный) сотрудник может намеренно (или случайно) открыть изнутри компании виртуальную дверь для посторонних лиц. Затем они могут сделать с бизнесом что угодно: украсть деньги со счета, сорвать важную сделку, подменить бухгалтерские данные, скомпрометировать компанию перед клиентами или перед законом.
Нелояльный (или неопытный) сотрудник может намеренно (или случайно) открыть изнутри компании виртуальную дверь для посторонних
Проблема усугубляется растущим недоверием к прошивкам оборудования. На конференции эксперты в очередной раз подтвердили, что некоторые партии устройств поставляются потребителям уже зараженными — в расчете на будущие атаки. Тем не менее топ-менеджерам лучше не паниковать, а спокойно разобраться в причинах сложившейся ситуации и понять, что нужно делать для сохранения контроля над бизнесом. Итак, все по порядку.
К главным группам риска относятся те предприятия, через компьютеры которых проходят значительные платежи, а также те, в которых компьютеры управляют системами с высокой кинетической, тепловой или иной энергией (электростанции, трубопроводы, транспортные средства и т.д.). Потеря контроля над такими системами грозит не только убытками, но и физическим разрушением объектов. Кроме того, высокому риску подвержены наукоемкие производства и вся промышленность в целом, считает Наталья Касперская, генеральный директор ГК InfoWatch. Она подчеркивает, что диверсия, подобная Stuxnet (разрушение ядерных объектов Ирана), может еще не раз повториться, в том числе на предприятиях нефтегазового сектора.
Диверсия, подобная Stuxnet (разрушение ядерных объектов Ирана), может еще не раз повториться, в том числе на предприятиях нефтегазового сектора
По мнению Натальи Касперской, в наиболее опасных компьютерных атаках на бизнес, как правило, участвует инсайдер. С его помощью злоумышленники заранее собирают сведения о внутренних процедурах компании, что упрощает последующую атаку.
Часто инсайдера используют для непосредственного внедрения своей программы в корпоративную компьютерную систему. Как он может это сделать, не обладая нужными правами доступа? Есть много способов — от «социальной инженерии» (вроде отправки коллеге письма со ссылкой на специально подготовленный интернет-сайт) до физических действий (вроде подмены на столе у коллеги одной флешки на другую — той же модели и того же цвета).
Традиционные средства информационной безопасности (сигнатурные сканеры, межсетевые экраны, встроенные в ОС механизмы разграничения прав доступа и т.п.) не были рассчитаны на «человеческий фактор». В сегодняшних условиях они по-прежнему необходимы, но ограничиваться ими рискованно, а в компаниях из групп риска — недопустимо.
Более надежную защиту можно реализовать, добавив к традиционным средствам многофункциональную DLP–систему, позволяющую руководству в деталях контролировать все действия сотрудников со служебными компьютерами (в т.ч. запись на флешки и их подмену) и весь их интернет-трафик.
Традиционные средства информационной безопасности (сигнатурные сканеры, межсетевые экраны, встроенные в ОС механизмы разграничения прав доступа и т.п.) не были рассчитаны на «человеческий фактор»
К сожалению, в российской деловой среде перестал цениться такой важнейший актив, как интеллигентность (согласно одному из определений — высшая степень порядочности). Это большая ошибка и одна из главных причин уязвимости компьютерных систем.
Интеллигентность — это то качество, которое в принципе не позволяет человеку использовать свои инсайдерские возможности против интересов компании. Этим качеством непременно должны обладать ключевые ИТ-специалисты компании (CIO, CSO), контролирующие действия всех остальных сотрудников с помощью DLP-системы.
Интеллигентность — это то качество, которое в принципе не позволяет человеку использовать свои инсайдерские возможности против интересов компании
Никакие технологические средства не помогут, если человек, ответственный за их внедрение, настройку и поддержку, плохо относится к своим обязанностям. Для защиты современного бизнеса необходимы совершенно новые подходы не только к созданию ИТ-инфраструктуры, но и к кадровой работе. Хуже злонамеренного инсайдера может быть только кадровик, выбирающий сотрудников «по резюме» и не умеющий распознать их нравственные качества.
«На рынке труда большой дефицит квалифицированных, лояльных и порядочных специалистов, и это один из главных факторов опасности для современного бизнеса», — уверен Всеволод Иванов, исполнительный директор ГК InfoWatch. Другим столь же важным фактором он считает плохую осведомленность руководителей о возможных последствиях компьютерных инцидентов (внедрений посторонних программ, изменений ключевых настроек, утечек данных и т.п.) и неумение связать свои кадровые и технологические решения с конкретными финансовыми потерями.
На рынке труда большой дефицит квалифицированных, лояльных и порядочных специалистов, и это один из главных факторов опасности для современного бизнеса
«Мошенничество всегда будет существовать, покуда есть деньги и люди. Будут меняться способы, каналы, устройства… Но человек всегда будет стараться взять то, что плохо лежит, или хорошо лежит, но очень ценно», — подчеркивает эксперт.
Перевод ключевых бизнес-процессов в компьютеры резко облегчил задачу обогащения тем, кто не обременен нравственными качествами. Теперь для этого не нужны грабежи и налеты: достаточно одного щелчка мышью в нужное время и в нужном месте. Эмоциональное восприятие участия в мошенничестве и ощущение риска качественно снизились. Человек может даже не воспринимать свои действия как что-то плохое («Я только запустил эту программу»). Но простейшие с виду действия во внутренней сети компании могут вызвать для нее грозные последствия. Поэтому полноценная защита информационных активов невозможна без первоочередного решения проблемы нелояльных сотрудников.
Перевод ключевых бизнес-процессов в компьютеры резко облегчил задачу обогащения тем, кто не обременен нравственными качествами
