Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting, рассказал о способах защиты информации в период пандемии.

_______

Мы становимся свидетелями самого массового в истории человечества эксперимента по удаленной работе, и киберпреступники этим активно пользуются. Сегодня у них наиболее благоприятные условия для результативных атак, ведь число удаленных сотрудников и пользователей онлайн-сервисов стремительно растет. Текущие условия работы непривычны даже для сотрудников департаментов ИТ и ИБ, не говоря уже о других специалистах – отсюда многократный, взрывной рост рисков информационной безопасности.

Кто традиционно подвержен атакам

На самом деле сегодня все организации так или иначе подвергаются опасности больше, чем обычно. Новые условия взаимодействия, неподготовленность к удаленной работе накладывают свой отпечаток.

Традиционно в зоне риска – организации сферы финансов, кредитования, страхования, социального и пенсионного обеспечения. То есть те структуры, которые ежедневно обрабатывают денежные операции и хранят большой массив персональных данных. Это – основная цель злоумышленников.

Основные зоны риска во время пандемии

Первая уязвимая категория – медицинские учреждения. Они хранят большое количество конфиденциальной информации о пациентах, которую киберпреступники могут продать или зашифровать, потребовав впоследствии выкуп за расшифровку. Нападения уже случались: 13 марта кибератаке подверглась больница чешского Брно, которая была центром тестирования на коронавирус. В результате медучреждение вынуждено было отменить плановые операции и отправить экстренных больных в другой госпиталь.

Больницы всегда были привлекательной мишенью: как правило, они не имеют надежной киберзащиты, а значит, атака не будет стоить больших усилий. При этом больницам необходимо получить данные обратно – в таких условиях вероятность выплаты требуемой хакерами суммы значительно увеличивается.

Вторая наиболее уязвимая категория – сервисы видеоконференций. Про их проблемы не говорил уже только ленивый. Известны случаи, когда пранкеры попадали на онлайн-уроки из-за недостатков в части безопасности. В сервисе Zoom еще в январе 2020 года была найдена уязвимость, которая позволяла злоумышленникам методом перебора идентификационных номеров конференций получить доступ к незапароленным встречам и ко всем материалам в чате.

Третья категория – финансовые учреждения. Мы видим две основные тактики киберпреступников. В первом случае они атакуют платформы банков, обслуживающих корпоративных клиентов. Такой риск лучше окупается: например, в конце 2017 года хакеры похитили 60 млн долларов США из тайваньского банка. Для этого им пришлось произвести серию атак на систему SWIFT с использованием внутренней информации и комплексного специализированного вредоносного ПО – и, конечно, проявить недюжинную хитрость и терпение.

Вторая тактика больше фокусируется на хищении данных. Это может быть компрометация деловой электронной переписки или внутренняя кража. В 2016 году Tesco Bank был вынужден выплатить клиентам 2,5 млн фунтов стерлингов, чтобы компенсировать средства, украденные почти с 20 тыс. счетов.

Также в зоне риска сейчас те, кто предлагает свои услуги в интернете: онлайн-кинотеатры, школы и прочие подобные сервисы. Здесь есть и другая сторона: помимо атак непосредственно на компанию и ее сотрудников, злоумышленники могут использовать символику брендов для фишинговых рассылок, что, естественно, может повлиять на репутацию.

Исходя из приведенных примеров кибератак, можно сделать вывод, что такое происходит в основном за рубежом, но на самом деле это не так. Практика работы нашей компании показывает, что подобная тенденция компьютерных атак прослеживается и в России. Просто надо понимать, что в ряде стран политика информирования о компьютерных инцидентах более открытая.

Как разные компании противостоят угрозам

В зависимости от актуальных угроз проектируется система защиты информации (СЗИ). Основные актуальные угрозы у каждой организации свои – так, например, у банка и у завода они разные. Для промышленных предприятий, скорее всего, будут актуальны угрозы, связанные с нарушением таких свойств безопасности информации, как целостность и доступность (нарушение функционирования АСУ ТП), в то время как финансовым учреждениям больше актуальны угрозы, связанные с нарушением конфиденциальности (хищение данных, несанкционированные транзакции, подмена данных).

Цена СЗИ не должна превышать стоимость защищаемой информации. На данный момент одной из самых перспективных технологий являются системы защиты конечных точек нового поколения – NGEPP (Next Generation Endpoint Protection), они позволяют уберечься от сложных угроз (целевых атак). Сложными принято считать подготовленные кибератаки, которые нацелены на конкретную организацию, отрасль или человека. Для таких атак необходимы значимые финансовые вложения и техническая оснащенность, реализация, как правило, занимает достаточно много времени.

Системы NGEPP набирают популярность благодаря гибкости настроек, простоте и при этом продуктивности. Они внедряются на уровне ядра ОС и позволяют контролировать информационные потоки каждого устройства, входящего в состав защищаемой информационной системы.

Важно защищать все платформы, с которых работают сотрудники: ПК, ноутбуки, мобильные телефоны и планшеты, виртуальные среды. Чтобы система безопасности организации была эффективна против эволюционирующих атак, ее компоненты должны получать обновленные данные об угрозах в режиме реального времени.

Контроль удаленного доступа

Тактика защиты, например, банковских информационных систем будет зависеть от того, каким способом и с каких устройств реализован удаленный доступ. Обобщенно можно выделить некоторые решения: обеспечение антивирусной защиты конечных устройств и внутренней сети банка; обеспечение межсетевого экранирования и сегментирования внутренней сети; использование терминального удаленного доступа к виртуальному рабочему месту (на котором применяются необходимые средства защиты информации); применение многофакторной аутентификации пользователей; контроль и ограничение действий пользователей; использование контентного анализа информации, передаваемой устройствами; а также тщательный мониторинг событий ИБ.

Меры, предлагаемые действующими ИБ-стандартами отрасли, позволяют реализовать эффективную систему защиты информации при организации удаленного доступа.

Распространенные заблуждения о о кибербезопасности

Одним из самых распространенных заблуждений является то, что ИТ-специалист может полноценно заменять ИБ-специалиста. Часто приходится сталкиваться с отсутствием квалифицированных сотрудников по информационной безопасности в компаниях – узкопрофильные ИБ-специалисты замещаются ИТ-специалистами.

Классический айтишник занимается развитием и поддержанием ИТ-инфраструктуры организации, и вопросы информационной безопасности для него отходят на второй план. Бывали случаи, когда ИТ-специалисты отключали средства защиты, так как считали их виновными в сбоях ИТ-инфраструктуры. Зачастую они не обладают необходимой экспертизой в сфере ИБ: знаниями и опытом моделирования угроз безопасности, знаниями нормативно-правовой базы, достаточными компетенциями по выявлению и расследованию инцидентов. Все это приводит к неэффективному управлению в части защиты информации.

Также есть организации, которые считают, что угрозы их не коснутся. Как правило, это малый бизнес, который искренне уверен, что его данные никому не интересны (похожего мнения часто придерживаются государственные больницы), и те структуры, которые имеют достаточно консервативное руководство, недооценивающее возможный ущерб от кибератак.

Чек-лист по ИБ в период удаленки

• Проанализируйте, с каких устройств работают ваши сотрудники: устройства, с которых ведется работа, должны включать только утвержденный перечень приложений. Идеально, если получится раздать каждому сотруднику корпоративное устройство только для должностных задач, но, к сожалению, это маловероятно. Можно рассмотреть возможность применения терминального сервера для доставки приложений на компьютеры пользователей либо «наложенных» средств защиты.

• Организуйте защищенное соединение с сетью компании (через VPN) – это предотвратит утечку данных между конечными точками.

• Расскажите коллегам о необходимых процедурах перед использованием домашней сети Wi-Fi: надо установить сложный уникальный пароль для сети, изменить стандартное имя сети, изменить учетные данные администратора роутера, регулярно обновлять прошивку роутера и прочее.

• Проведите для сотрудников ликбез по информационной безопасности: напомните о базовых правилах кибергигиены, расскажите о последних уловках злоумышленников, дайте контакт ИБ-специалиста.

• Помните о человеческом факторе: давайте сотрудникам доступ только к той информации, которая им необходима для выполнения непосредственных обязанностей.