Компании хранят огромную массу цифровых данных: базы клиентов, показатели бизнеса, планы работ. Кража этих данных критична для бизнеса. Чтобы ее избежать, Олег Головко и Павел Сварник советуют держать в фокусе тренды кибербезопасности. Читайте на РБК Pro.




В стремлении защитить свои данные бизнес всегда ищет хрупкий баланс между эффективностью бизнес-процессов и рисками киберугроз. Есть множество вариантов защиты данных, которые способны значительно замедлить бизнес-процессы, сделав их неповоротливыми и неадаптивными. Многие аспекты информационной безопасности (ИБ) на предприятиях регулируются в том числе нормами ФСБ, ФСТЭК, ЦБ. Однако выбор подхода к тому, как обеспечить кибербезопасность, отдается на откуп бизнесу.

Современный подход к кибербезопасности должен включать в себя:

• разработку процессов управления ИБ;


• подготовку документации;


• развертывание технических средств;


• их интеграцию с существующей инфраструктурой и процессами.

Рассмотрим основные тренды и подходы в сфере кибербезопасности.

ТРЕНД № 1. УСИЛЕНИЕ ВНИМАНИЯ К КИБЕРУСТОЙЧИВОСТИ

Киберустойчивость — это логика бизнеса, ориентированная на защиту критически важных данных от киберугроз. В этой логике предприятие должно не только строить стены для защиты своих данных и ИТ-инфраструктуры, но и готовить сценарии на случай, если эти стены падут под натиском киберугроз.

Предприятию необходимо позаботиться о защите всех уровней бизнес-критичных данных, включая нормативно-справочную информацию (НСИ), операционные данные, корпоративные системы управления.

Есть немало случаев, когда хакеры атакуют инфраструктуру предприятий. Это может привести к серьезным последствиям, среди которых:

• вывод из строя официального сайта;


• неполадки в работе call-центра — телефона, почты, чата;


• сбой в работе внутренних облачных сервисов синхронизации данных;


• остановка производственных линий.

Чтобы получить доступ к критичной информации и инфраструктуре после кибератак, в первую очередь нужно использовать следующие инструменты

• систему резервного копирования и восстановления корпоративных данных — она поможет оперативно воссоздать украденные данные и продолжить бизнес-процессы;


• резервную инфраструктуру у внешнего оператора, который предоставляет сервисы IaaS (Infrastructure as a Service) и PaaS (Platform as a Service);


• политики и регламенты ИБ, а конкретно план обеспечения непрерывности бизнеса (Business continuity planning, BCP) и план аварийного восстановления ИТ-систем (Diisaster recovery plan, DRP).

Каждая компания должна понимать, что комплексная защита данных будет обеспечена только в том случае, если специалисты по ИБ находятся в постоянном диалоге с бизнесом в целом и с каждым конкретным сотрудником в отдельности.

ТРЕНД № 2. ПРОВЕРКА ОСВЕДОМЛЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ И ОБУЧЕНИЕ ПЕРСОНАЛА ВОПРОСАМ ИБ

Особое внимание стоит уделить формированию культуры ИБ среди сотрудников. Однако не у каждой организации сформировано правильное отношение к информационной безопасности, и для ее развития нужно начинать с повышения осведомленности и общего вовлечения сотрудников в эти вопросы. Можно вести корпоративные блоги и делать рассылки по компании, проводить лекции и публичные разборы удачных и неудачных кейсов, организовывать конференции и деловые игры.

Программа повышения осведомленности пользователей в вопросах информационной безопасности может выглядеть так:

• анализ статуса осведомленности пользователей в вопросах ИБ;


• разработка и создание программы обучения;


• обучение и последующий мониторинг уровня цифровой гигиены среди и рядовых сотрудников, и топ-менеджеров.

ТРЕНД № 3. КОМПЛЕКСНОЕ УПРАВЛЕНИЕ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Хакеры все чаще прибегают к инструментам фишинга и методам социальной инженерии. Они получают доступ к некритичным элементам инфраструктуры предприятия (например, к сайту компании), а следом и учетные данные сотрудников. Эти данные используются для атак.

Представим, что у компании одновременно стали выходить из строя элементы из разных систем: перезагрузился один из серверов, остановилась виртуальная машина, и зафиксирован вход с неизвестного IP под логином администратора. Это триггеры комплексной атаки. Такого рода инциденты сложно объединить между собой ручным способом, поэтому рекомендуем установить комплексную систему SIEM (Security information and event management), которая будет своевременно собирать информацию:

• о сетевых атаках и активности вредоносного ПО;


• попытках неправомерного доступа к бизнес-критичной информации;


• подозрительных и нетиповых активностях пользователей;


• ошибках и сбоях информационной системы.

Стоит также разработать сценарии реагирования на инциденты. Не игнорируйте подготовку сотрудников и их обучение работе с новым или обновленным инструментом.

Бизнес должен иметь готовую систему управления инцидентами, включающую три основных компонента: технические средства, регламентированные процессы и вовлеченные квалифицированные специалисты по ИБ.

ТРЕНД № 4. РИСК-ОРИЕНТИРОВАННЫЙ ПОДХОД К КИБЕРБЕЗОПАСНОСТИ

Чтобы перевести кибербезопасность в формат управляемого бизнес-процесса, компании нужно на стратегическом уровне ответить на следующие вопросы.

• Как качественно останавливать большое количество атак?


• Как оперативно устранять последствия угроз и нарушений требований конфиденциальности, целостности и доступности критически важной информации?


• Как незамедлительно находить и работать с уязвимостями?


• Как уменьшать влияние киберриска на бизнес?

Обеспечение информационной безопасности — это набор дорогостоящих мероприятий, их реализация может парализовать бизнес. Контроль за соблюдением принципов ИБ нужно интегрировать в бизнес-стратегию, а система ИБ должна быть основана на риск-ориентированном подходе. Другими словами, компания должна быть готова не только защищаться от кибератак, но и потерять часть информации.

Как это будет выглядеть на практике? Представим, что сотрудники логистической компании обмениваются в мессенджерах информацией, например, о завершенной отгрузке товара клиенту. Утечка такого рода данных не будет критически важной для бизнеса. Поэтому компании можно не создавать корпоративное защищенное приложение. Координировать операционную деятельность можно с помощью публичных мессенджеров. Однако стоит соблюдать правила информационного обмена и не передавать конфиденциальную информацию, например, персональные данные клиентов через внешний, не защищенный периметр.

Руководители службы безопасности должны тесно сотрудничать с бизнесом. Это позволит им четко понимать потребности бизнеса, его стратегические приоритеты и ключевые инициативы. Такие инициативы могут быть связаны с персоналом, с экономикой и финансами, выходами на новые рынки, развитием каналов продаж. Сотрудникам ИБ важно не заблокировать эти инициативы и при этом снизить риски, связанные с информационной безопасностью. Другими словами, эффективность предприятия напрямую зависит от степени вовлеченности сотрудников информационной безопасности в вопросы развития бизнеса.

ТРЕНД № 5. АКЦЕНТ НА БЕЗОПАСНОСТИ ПРИ РАЗРАБОТКЕ ПО

В стремлении наиболее полно закрыть потребности клиентов компании все чаще создают собственные цифровые сервисы и развивают внутренние информационные системы. Для того чтобы сократить затраты на разработку, тестирование, развертывание и администрирование этих сервисов и систем, компании используют DevOps-конвейеры, где процессы разработки и эксплуатации интегрированы между собой.

В последние годы у разработчиков набирает популярность новый подход — создание защищенных конвейеров разработки программного обеспечения (ПО) — DevSecOps, в которых процессы разработки (Dev), процесс обслуживания (Ops) интегрированы с процессами и технологиями кибербезопасности (Sec).

Если в компании процессы DevSecOps интегрированы в цикл разработки ПО, то разработчики в момент написания кода смогут увидеть потенциально небезопасные его части, что может снизить риски по сравнению с исправлением уязвимостей уже на продуктивной системе.

ТРЕНД № 6. ПРИМЕНЕНИЕ ОТЕЧЕСТВЕННЫХ РЕШЕНИЙ ИБ

На российском рынке ограничили свою деятельность многие международные компании, в том числе из сферы кибербезопасности, поэтому особо актуален переход на отечественные средства ИБ. Предприятиям важно уделить внимание не конкретным продуктам ИБ, а самой ИТ- и ИБ-архитектуре, которую можно развивать и поддерживать на отечественных продуктах. И если раньше было возможно из продуктов иностранных компаний создавать типовые системы ИБ, то сейчас создание таких систем представляет собой изучение новых границ.

Для того чтобы перейти на отечественные средства, можно использовать архитектурный подход.

1. Постоянно контролировать обновления требований нормативно-правовой базы в области информационной безопасности.


2. Анализировать рынок ключевых средств для создания архитектуры в соответствии с текущими задачами бизнеса.


3. Разработать архитектуру ИБ в соответствии с принципами лего-дизайна, что поможет бизнесу быстро замещать недоступные элементы архитектуры на аналоги.


4. Заручиться поддержкой нескольких партнеров (интеграторов и разработчиков) в области информационной безопасности и регулярно запрашивать технико-коммерческие предложения на развитие ландшафта.

Читать статью на РБК Pro