КИБЕРБЕЗОПАСНОСТЬ ТРЕБУЕТ СТРАТЕГИЧЕСКОГО МЫШЛЕНИЯ

Недавно компания PricewaterhouseCoopers (PwC) опубликовала данные своего глобального исследования по кибербезопасности. Согласно его результатам, многие компании, которые находятся в зоне риска, по-прежнему не способны противостоять кибератакам. Так, 40% российских респондентов (44% в мире) отмечают, что в их компаниях нет общей стратегии информационной безопасности. В 4% фирм нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах информационной безопасности, при этом процесс реагирования на инциденты в этой вызов года – риски в сфере информационной безопасности сфере отсутствует в 56% компаний, работающих в России.

По словам большинства представителей компаний, пострадавших от кибератак, они не в состоянии установить виновных. В своей способности определить личность правонарушителя полностью уверены только 19% участников исследования в России и 39% респондентов во всем мире.

48% участников опроса из России к самым серьезным последствиям кибератак относят  нарушение конфиденциальности данных. Кроме того, они указывали такие риски, как прекращение нормального хода деятельности организации (47%), снижение качества продукции (27%) и угроза жизни (21%).

Почти четверть опрошенных россиян утверждает, что использование мобильных устройств является причиной инцидентов в области информационной безопасности. Данный фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

«Стремительный рост массового производства незащищенных устройств, подсоединенных к интернету вещей, приводит к появлению огромного количества уязвимых мест в системах кибербезопасности, – отмечается в исследовании. – Растут угрозы целостности данных. Это
может подорвать доверие к надежным системам и нанести физический вред в виде вывода из строя критически важной инфраструктуры. 57% российских компаний – участников опроса уже внедрили или в данный момент внедряют стратегию в области безопасности в связи с применением «подключенных» устройств. При этом количество таких компаний растет на 5% каждый год».

Среди основных мер для обнаружения киберрисков в бизнес-системах российские участники опроса отмечают следующие: оценка киберугроз (50%), постоянный мониторинг системы
информационной безопасности 48 %), оценка уровня уязвимости (44%) и тест на проникновение с целью проверки системы защиты (40%).

«Вопросы информационной безопасности в последнее время занимают ключевое место в повестке дня не только представителей бизнеса, но и политического руководства, – отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин. – Недавно утвержденная государственная программа цифровой трансформации экономики, а также всеобъемлющее проникновение технологий в различные сферы бизнеса требуют от компаний особого, стратегического внимания к вопросам кибербезопасности. Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности. Кроме того, регулярный обмен информацией как на уровне отдельных компаний, так и на международном может помочь быстрее выявить угрозу и стать наиболее эффективным инструментом в борьбе с киберпреступностью».

ЗЛЫЕ КРОЛИКИ
И ДРУГИЕ ЗЛОВРЕДНЫЕ ПЕТИ

2017 год, конечно же, запомнился серией атак вирусов-шифровальщиков и вирусов-вымогателей, основной задачей которых является ограничение возможности доступа пользователя к важной для него информации либо при помощи шифрования, либо иными способами и последующее получение вознаграждения за возможное восстановление доступа. Речь прежде всего идет о нашумевших WannaCry, Petya.А и Bad Rabbit. Нужно отметить, что банки уделяют много времени развитию технологий и способов защиты своих информационных ресурсов и активов. Кроме того, финансово-кредитным организациям существенную помощь оказывает Банк России, который информирует о возможных способах минимизации конкретных рисков, связанных с ИБ. Совокупность указанных факторов, а также определенный уровень зрелости процессов и осознание важности реализации политики безопасности в финансово-кредитных организациях позволили противостоять новой угрозе, считают банковские эксперты.

Не вызывает сомнений, что предпринятые в 2017 году атаки не станут последними попытками преступников взломать киберзащиту организаций. Чтобы оградить свой бизнес, необходимо осуществлять конкретные шаги, которые помогут предотвратить заражение этими вирусами. 
Руководитель отдела информационной безопасности ипотечного банка «ДельтаКредит» Всеслав Соленик в качестве «противоядия» рекомендует следовать нескольким основным правилам. Во-первых, для защиты от последствий действий подобных вирусов необходимо регулярное создание резервных копий всей критически важной информации на внешние носители, недоступные для пользователей. Как правило, в банковской сфере это мощные enterprise-системы и библиотеки с лентами. Однако важно регулярно проводить проверки корректного выполнения процесса и тестовое восстановление данных.

Во-вторых, требуется своевременное и не терпящее исключений применение обновлений операционных систем и прикладных программ. Показателен пример WannaCry. Атака была в мае  2017 года, а закрывающий ее патч Microsoft выпустила в марте 2017 года. Все, кто вовремя поставил обновление, были защищены. В-третьих, нужно повышение уровня осведомленности пользователей. Важно постоянно обучать персонал тому, как выявлять фишинговые письма и как на них реагировать. Всегда найдется угроза нулевого дня (брешь в системе безопасности ПО. – Прим. ред.), которая не закрыта патчем. Но бдительный работник не откроет полученное сомнительное письмо, и банк останется защищенным.

В-четвертых, необходима настройка и поддержка технических систем защиты. Это и фильтрация интернет-страниц, и обновление антивируса и сигнатур систем предотвращения вторжений, и запрет на запуск неизвестных исполняемых файлов, и другие элементы эшелонированной защиты.

По мнению эксперта банка «ДельтаКредит», существует также ряд отраслевых стандартов и лучших практик, где все наиболее эффективные способы и методы защиты банков от подобных вирусов описаны очень хорошо. И если им следовать, 95% атак встретят противодействие. «Как правило, это вопрос наличия воли, ресурсов и правильно построенных процессов. А значит, и компетентных кадров», – говорит Всеслав Соленик.

СЛЕДОВАНИЕ СТАНДАРТАМ ИБ

Вопрос следования отраслевым стандартам (СТО БР, PCI DSS, новый ГОСТ от Банка России) – это отдельная серьезная проблема. Всем стандартам по ИБ соответствовать невозможно, но стремиться к этому банк должен, считает начальник отдела информационной безопасности управления безопасности банка «ГЛОБЭКС» Валерий Естехин. «Однако следует понимать, что наличие отчета об аудите ИБ организации от того или иного государственного органа или аудиторской компании – это информация о стремлении аудируемой компании к требуемому соответствию, подтвержденное документом, и не более того», – считает эксперт.

В построении системы информационной безопасности банки опираются как на свои внутренние ресурсы, так и на помощь внешних компаний. 

«Мы живем в эпоху инноваций. Мир и процессы вокруг нас стали настолько сложными, что требуются профессиональные интерпретаторы предметной области, консультанты, – говорит Валерий Естехин, делясь своим опытом взаимодействия. – Испытывая постоянный голод в экспертизе при выборе того или иного технологического решения или обеспечительных мер для соответствия законодательным требованиям в сфере ИБ, всегда бывает необходима оценка правильности выбора как с собственной стороны, так и со стороны специалиста, которому можно доверять. Мнения экспертов-консультантов в определенной степени формируют выбор компаний в пользу того или иного решения. Поэтому грамотных, авторитетных экспертов можно назвать «архитекторами выбора». Конечно, компании и сами могут изучать нормативные документы, мониторить интернет с целью планирования у себя мероприятий для соответствия требованиям нормативных документов и стандартов по ИБ. Но на это им потребуется много времени. Консультант-эксперт в интересующей вас предметной области просто экономит вам силы, время и средства. Также консультанты могут инструментально оценить надежность средств защиты, например, провести тестирование на проникновение в сеть банка».