Настольная игра помогла выявить лучших в Кирове специалистов по информационной безопасности

В Кирове с успехом прошла IT-конференция "Тайные знания адептов ИБ". 

Настольная игра помогла выявить лучших в Кирове специалистов по информационной безопасности

16 марта лучшие IT-директоры Киров и области собрались вместе для того, чтобы поделиться своими навыками и наработками в сфере информационной безопасности на предприятии. Ни для кого не секрет, какое важное значение в современном мире приобретает информационная безопасность. Любая информационная утечка может поставить на грань выживания даже самое крупное предприятие. Примеров этому масса и один из самых ярких за последнее время - пример с сыроваренным заводом в Омске. Напомним, что его работники в прошлом году засняли на телефон процесс купания в чане с молоком. После того как видеоролик просочился в интернет, заводу пришлось прекратить свою работу. 

Одной из задач информационной безопасности как раз и является противостояние подобным угрозам. А ведь есть ещё и хакеры, вирусы, "зловреды", инсайдеры и конкуренты. Никогда не знаешь, где и как сильно "рванет". Однако, судя по настроениям, царившим среди собравшихся на конференции IT-директоров, убедить своё руководство в необходимости укрепления информационной безопасности удается лишь некоторым из них.

Кнуты и Пряники

Рынок киберпреступлений в России стремительно растет. Это отмечают не только специалисты, но и простые граждане. Практически ежедневно происходят хищения с банковских карт, взламываются различные аккаунты в социальных сетях. Как рассказал специалист компании Solar Security Андрей Прозоров, по официальным данным Центробанка в результате одних только взломов из банков мошенникам удалось вывести более 1,5 миллиардов рублей. И этот рынок год от года всё увеличивается и увеличивается. 


Если уж такие защищенные во всех смыслах этого слова организации становятся жертвами кибератак, то что и говорить об обычных предприятиях? Многие из них либо слабо, либо вообще не защищены. И дело тут не в жадности предпринимателей или пассивности IT-директоров. Проблема кроется в глобальном непонимании того, что же такое информационная безопасность и чем чревато несоблюдение её правил.

В России так исторически сложилось, что обосновать траты на информационную безопасность предприятия на данный момент можно только угрозами. Угроза взлома, угроза хищения, угроза утечки и рейдерского захвата. Внушение генеральным директорам подобных страхов происходит уже настолько давно, что у них выработался иммунитет к ним. Посудите сами. Допустим, CIO в свое время уговорил руководителя внедрить защиту от взлома. Директор выделил на это определенную сумму и взлома в результате действительно не произошло. Но не произошло его и у конкурентов, которые на такую защиту не потратились, а оказались просто напросто неинтересны взломщикам. И тогда к ИТ-директору возникают вопросы о целесообразности затрат. И, что самое главное, в будущем, когда предприятию вновь может понадобиться защита, затраты на неё могут не согласовать.

Но информационная безопасность на предприятии всё-таки нужна, без нее в современном мире никуда и новости, которые ежедневно выходят в эфир - лишнее тому подтверждение. Напомним, что лишь недавно стало известно о взломе, которому ещё в середине 2000-ых подвергся сайт магазина "Технополис" со стороны спецслужб США. Лишь спустя 10 лет стало известно о факте взлома, а уж о том, к каким последствиям он привел, можно только лишь догадываться.

Именно поэтому на сегодняшний день одной из главных задач является выработка концепции "пряника" вместо кнута. То есть, ИТ-директоры ищут способы получить от генерального директора деньги на информационную безопасность не за счёт каких-то страхов, которые вполне могут не осуществиться, но за счёт различных выгод, в том числе и материальных, к которым может привести его повышение информационной безопасности на предприятии.

Пока что такая концепция работает только в сфере банков и госучреждений. Причина тому - государственное регулирование. К информационной инфраструктуре как банков, так и к госучреждений предъявляются четкие требования от различных регулирующих эти вопросы учреждений и поэтому во избежание штрафов они вынужденно поддерживают её на более-менее пристойном уровне. Но поскольку коммерческие организации не входят в сферу полномочий госрегуляторов в сфере информационной безопасности, то соответствующий подход для них не работает, а значит пряник в виде успешно пройденных проверок не сможет прельстить генерального директора.

Полковник никому не нужен

Говоря о структуре угроз для информационной безопасности предприятия, нельзя не отметить то, что большинство из них расположены не снаружи, а внутри, то есть в коллективе. Так, например, бухгалтер может принести на предприятие зараженную флешку, сотрудник может зайти на зараженный сайт, секретарь может открыть зараженный е-мейл, да и чем черт не шутит, кто-то может просто потерять рабочий смартфон с паролями доступа к корпоративной почте, клиентской базой в телефонной книге и фотографиями пьяного гендиректора на корпоративе.

Но если большинство угроз исходит изнутри коллектива, то не проще ли вместо внедрения дорогой системы выстроить на предприятии строгую дисциплину и обеспечить беспрекословное её выполнение? Но ведь с этим может справиться любой отставной полковник ФСБ. Зачем платить больше за непонятные системы защиты, если разница не принципиальна с точки зрения рисков? Именно об этом в своем рассказе говорил главный редактор журнала Ассоциации экспертов по информационной безопасности "!БДИ" Олег Седов.


"Если вы когда-нибудь смотрели канал National Geographic, то там есть веселые парни, которые исполняют "Танец дождя". Вот вроде бы и танцор хорош, и бубен громкий, но только вот к дождю это не имеет никакого отношения. Иногда отношение к информационной безопасности напоминает мне такой шаманский танец. Что-то делают, системы какие-то создают, только к безопасности это не имеет никакого отношения" - заявил он в самом начале своего выступления.

Как оказалось, это правило отлично применимо и к отставным полковникам ФСБ. Вся проблема в том, что их время прошло и мир стал другим. Помимо рабочих компьютеров появились мобильные устройства, использование которых никак не отследишь. Забор с колючей проволокой на предприятии и видеонаблюдение за каждым рабочим местом тоже не спасает от утечек информации, а лишь позволяет найти виновного, да и то не всегда. Кроме того, как правило, отставной полковник часто способен лишь реагировать на возникающие угрозы, а не предугадывать их появление. Это в 90-ых и в начале 2000-ых рейдерский захват предприятия происходил с применением оружия и крепко сложенных братков. В наше время такие захваты производит ухоженный человек в дорогих ботинках с кейсом, в котором лежит вся необходимая для рейдерского захвата информация.

Именно поэтому информационной безопасностью должен заниматься тот, кто в полной мере понимает её важность, способен отличить критическую информацию от некритической, отлично ориентируется в современных технологиях, может найти нестандартные подходы к её защите и, в идеале, обладает аналитическими способностями, чтобы предугадывать потенциальные источники подобных угроз. Понятно, что всё вышеописанное едва ли подходит к образу отставного ФСБшника, который будет скорее тормозить развитие предприятия, а скорее описывает современного молодого человека с высшим образованием. 

Поэтому, отвечая на поставленный в начале вопрос, даже несмотря на то, что отставной полковник ФСБ действительно может помочь сохранить информацию, его наличие в коллективе может значительно испортить атмосферу на предприятии, снизить эффективность работников или даже спровоцировать их утечку. Стоит ли защищать информацию ценой благополучия целого предприятия?

Kaspersky Industrial Protection Simulation

Практическая часть конференции была представлена настольной игрой от Лаборатории Касперского. В рамках этой игры ИТ-директоры должны были организовать защиту своего предприятия от внешних и внутренних угроз таким образом, чтобы потратить на неё минимальное количество денег и добиться максимального эффекта. В частности, избежать утечки клиентской базы, не допустить кражи денег со счета, а также не потерять ценные данные, необходимые для нормального функционирования предприятия.


Как оказалось, подобная симуляция очень наглядно показывает главную проблему информационной безопасности. Не всегда за зависшим компьютером бухгалтера или сообщением о вымогательстве со стороны одного из сотрудников удается разглядеть серьезную проблему, грозящую компании не только маетриальными, но и серьезными репутационными убытками. Так, например, у одной из команд утекла в сеть клиентская база и сразу несколько клиентов сообщили о последовавшем за этим взломом. Что ещё хуже, эта история стала достоянием общественности и в результате компания не смогла практически ничего заработать. 

Другая команда допустила, например, "атаку на водопое", то есть стала звеном, через которое произошел взлом целого банка. "Атака на водопое" получила такое название по той причине, что часто крупные организации закупают воду или другие мелочи у более мелких компаний, которые не особо заботятся о своей информационной безопасности. Поскольку крупная организация доверяет своему поставщику, взломщику ничего не стоит послать от её имени зараженный вирусом файл счета и его практически наверняка откроют без всяких подозрений. Остальное - дело техники.

Лучшая же команда почти всё сделала правильно и смогла обеспечить своему условному предприятию более 90% от максимальной прибыли. 

DLP-Системы

В том случае, если компания небольшая и сосредоточена на одном бизнес-процессе, ввести там дисциплину, разграничить права доступа и так далее - дело нехитрое. Но как защититься от внутренних угроз в том случае, если предприятие большое и выпускает массу видов продукции? Как оказалось, помочь в таком случае может система DLP, необходимая для предотвращения утечки информации и данных. Её кировским IT-директорам презентовала специалист компании Infowatch Мария Воронова.


Основной принцип работы DLP-систем - поиск аномалий в поведении сотрудников. Каким бы оригинальным и изобретательным не был ваш менеджер или секретарь, в его ежедневном поведении существуют шаблоны. Нарушение этих шаблонов, как правило, имеет под собой веские основания. К примеру, если ваш менеджер по продажам вдруг стал часто заходить на сайты по поиску работы, то практически наверняка он задумался о её смене. И у вас есть возможность предотвратить его уход со всей клиентской базой к конкуренту, а не хвататься за голову, когда тот громко хлопнет дверью.

Разумеется, спектр функций, которые выполняют такие системы, намного шире, они способны разграничивать права, записывать время и учетные данные тех, кто обращался к тем или иным файлам, а также ограничивать и сигнализировать о попытке несанкционированного доступа к той или иной информации. 

Однако, даже несмотря на это, предприниматели не очень охотно внедряют такие системы на своих предприятиях, так как они стоят не очень дешево, а убедить их в том, что такая система может предотвратить утечку данных, которая обойдется в десять раз дороже, можно только после того как такая утечка произойдет. В качестве мотивации Мария предложила приводить пример конкурентов. Это, как оказалось, помогает убеждать руководителей, ведь каждый в глубине души желает оказаться в топ-20 предприятий своей отрасли и возможность сделать это за счет мер информационной безопасности может в ряде случаев послужить тем самым пряником, который так активно ищут IT-специалисты.

Надежда на авось

В ходе дискуссии, в рамках которой обсуждался реальный опыт кировских предприятий, выяснилось, что грамотно выстроенной системой информационной безопасности с ответственным за неё менеджером обладают лишь единичные предприятия. В большинстве организаций эти функции распределены среди других отделов, а поэтому занимаются её обеспечением по остаточному принципу и в итоге, в случае инцидента наказание несет не ответственный, а крайний. 


Нередко бывает и так, что зная о бреши в информационной защите предприятия, IT-директор многократно докладывает о ней руководству, но постоянно получает ответ о том, что денег на решение этой задачи нет. Когда же данная брешь становится предметом атаки, деньги на её устранение чудесным образом находятся. Подобная схема работы - действовать не на опережение, а после того как проблема дала о себе знать - свойственна не только кировским предприятиям, но и организациям по всей России. Но как бороться с такой привычкой IT-директору? Заказывать атаки на самого себя? Вопрос остается открытым.

Ещё один вопрос, который беспокоит IT-сообщество, безопасность от мобильных устройств. Через личные смартфоны сотрудников в любой момент может утечь критически важная информация от видеоролика с купанием в молоке, как в Омске, до части клиентской базы. Проблема заключается ещё и в том, что такие устройства фактически не поддаются контролю, а ограничить их использование просто нереально. Даже если сотрудник сдаст на входе один смартфон, где гарантия того, что у него в кармане не припрятан второй? Успешного кейса решения такой проблемы пока что также нет. 

Подводя итог всему, что прозвучало на конференции, можно заявить, что времена, когда безопасность предприятия достигалась построением вокруг него охраняемого периметра, окончательно прошли. Современный мир настолько сильно поменялся, что у специалистов по безопасности просто не остается иного выхода, кроме как меняться вместе с ним, но темпы, которыми эти изменения происходят, в данный момент оставляют желать лучшего. Будет ли этот разрыв со временем увеличиваться, или наоборот уменьшаться, покажет время. А пока что практически все кировские предприятия, за редким исключением, слабо защищены от киберугроз и, как показал случай с "Технополисом", могут просто не подозревать о том, что они уже стали жертвой кибератак.

up
7

Комментарии (7):

автор видимо считает, что смысл ИБ в том, что бы общественность не узнала, что работники в чане с молоком купаются. В таком случае я против ИБ.

Примеры высосанные из пальца, Ужас мегавзлом регионального сайта в 2000, да тогда сайты в блокноте писале и ни о какой безопасности не думали. Любой сайт любой школьник мог взломать при желании. и 100% ни к чему страшному это не привело.
1. ВУЗ давно не обязательно заканчивать, особенно если ты работаешь в ИТ.
2. В случае с Технополисом - был взломан не сайт, а их внутренний сервис.
3. Для бизнеса "вынос мусора из избы" - это всегда высокие репутационные риски.
Защита нужна. Но второй Гость прав.
Цитировать
Если ИБ для того, чтобы общественность не узнала, что работники в чане с молоком купаются. В таком случае я против ИБ.
 Я тоже.
Но продукция Kaspersky Lab - зло для компа.
С каких это пор ,если работаешь в ИТ: ВУЗ необязателен? Возьмите петрушу с трактора -уж он обеспечит необходимый уровень защиты...
sponsor43 аватар
Не конференция, а реклама DLP-систем от Infowatch и Касперского. Но ни то ни другое не спасает от целенаправленных атак на конкретную фирму.

Выбить деньги на ИБ у директоров можно только тем, что через дыру в ИБ недоброжелатели и конкуренты могут вытащить всю чёрную бухгалтерию с последующим шантажом или просто обнародованием. Тут под прицелом окажется пятая точка и генерального и бухгалтера.
Касперскии это точно зло для компа.

Ответ

Визуальная проверка:
Перетащите фигуру подходящюю по форме в правую часть изображения

Вход в систему