Повсеместное развитие интернета в начале века стало толчком для развития информационной безопасности (ИБ) в потребительском секторе.
До этого она была задачей только военных и правительственных организаций.
Почему мы поднимаем этот вопрос?
Наша ИТ-компания занимается разработкой разнообразного программного обеспечения, включая RPA и SAAS решения. Поэтому, нам необходимо обеспечивать ИБ для своих клиентов. Так как вопрос ИБ стоит для нас достаточно остро, мы изучаем международные тренды и анализируем современные подходы в области обеспечения ИБ.
В статье я приведу некую выжимку из проведенного нами небольшого анализа состояния ИБ и векторов ее развития.
Чтобы понять, почему и где сейчас находится ИБ, начнем с истории: до начала 00-х годов ИБ не развивалась, не воспринималась серьезно в корпоративном потребительском секторе. Большинство компьютеров и программного обеспечения, установленного на них, практически никак не были защищены.
В период с 2002 по 2003 год произошло несколько серьезных хакерских атак, которые глобально повлияли на весь Интернет. Это привело к тому, что крупные вендоры, такие как Microsoft, начали разработку систем безопасности. В дальнейшем, корпорации начали создавать внутренние подразделения по ИБ. Все эти события стали точкой отсчета для постепенного создания и финансирования направления ИБ в корпоративном секторе.
Почему существует столько проблем/вопросов с ИБ? Важно помнить, насколько сложными и многослойными являются компьютерные системы. Многие системы строились годами, слой за слоем. Поэтому современные программы внутри себя содержат фрагменты очень старого ПО. Например, в MS Windows до сих пор очень много кода, который был унаследован из МS Windows 95-98 для обеспечения последовательности/сравнительности процесса разработки. Очевидно, так как ИБ не учитывалась с самого начала процесса разработки ПО, то на текущий момент многие системы, состоящие частично из старого кода, являются незащищенными. Для обычных ИТ-специалистов достаточно сложно определить, какие компоненты или какие части систем являются уязвимыми. Известно, что незначительные системные баги могут привести к атакам, даже при условии, что система работает абсолютно нормально без всяких видимых проблем
Базовые идеи информационной безопасности
Существуют «три кита», на которых строится информационная безопасность:
Конфиденциальность ‒ защита данных от модификации или удаления неавторизованными пользователями.
Целостность данных ‒ обеспечение возможности восстановления информации, некорректно измененной или удаленной уполномоченными лицами.
Доступность данных. Системы, каналы доступа и механизмы аутентификации должны работать таким образом, чтобы информация, которую они предоставляют и защищают, была доступна пользователям, в соответствии с политикой безопасности компании.
Самой популярной современной концепцией обеспечения ИБ является «Принцип глубокой защиты» или «Тактика наслаивания».
Как я говорила ранее, системы содержат очень много различных слоев и составных частей. И идея состоит в том, что каждый слой должен быть защищен, чтобы минимизировать риск кибератаки.
| Физическая защита | Техническая защита | Административная защита |
|---|---|---|
| Меры по ограничению физического доступа к ИТ-инфраструктуре неавторизованных лиц. Контроль появляющегося в организации нового оборудования. | Аппаратные и программные средства защиты (основная часть защиты) | Политики и процедуры информационной безопасности (корпоративные правила) |
| Камеры, охранники, системы СКУД, сигнализация и т.п. | Используется для контроля сетевого доступа к объектам информационной системы. Включает в себя: межсетевой экран, средства антивирусной защиты, прокси-серверы, системы аутентификации и авторизации, регулярные обновления и технические улучшения, резервное копирование, мониторинг и анализ, машинное обучение. | Представляет собой документы описывающие регулирование управления защитой, распределение и обработку критичной информацией, использование программных и технических средств в компании, а также взаимодействие сотрудников с информационной системой и внешними объектами, а также реализацию государственных законодательных актов в сфере ИБ. |
Есть и другие концепции, например «Принцип наименьших привилегий». Такой подход к обеспечению ИБ опирается на идею строгих ограничений с целью предоставления минимального доступа для выполнения поставленной задачи. Никто не должен иметь больше доступа, чем ему действительно нужно для выполнения своих обязанностей. Например, дизайнеры не должны иметь доступа к бухгалтерской/финансовой информации. С первого взгляда кажется, что это очень простая идея, но ее не всегда легко реализовать. Например, разработчики не должны иметь доступ к клиентской информации, но они должны иметь доступ к системам клиентов
Проблемы обеспечения защиты информации
Финансовые проблемы. Оценить затраты на обеспечение должного уровня информационной безопасности довольно сложно, поэтому аргументировать необходимость таких затрат ‒ непростая задача. Проблемы с безопасностью данных ‒ это события с низкой вероятностью, но возможным большим ущербом. Не получая достаточных аргументов по финансовой эффективности и при ухудшении экономической ситуации в стране, руководители часто урезают бюджеты именно на ИБ.
Кадровые проблемы. На сегодняшний день в мире наблюдается дефицит квалифицированных специалистов по информационной безопасности. Такая специализация требует глубоких знаний во всех аспектах ИТ: программирование, техническая архитектура, networking. И этот объемный «багаж» нуждается в постоянном обновлении.
Кроме того, на практике существует проблема координации между командой ИТ и командой ИБ компании, например, необходимость постоянных обновлений программного обеспечения для удаления системных багов не всегда находит понимание у сисадминов.
Тем не менее, ежедневно во всем мире регистрируются десятки миллионов попыток взлома.
Постоянно совершенствующиеся приемы хакеров. 7 декабря 2020 года McAfee в партнерстве с Центром стратегических и международных исследований (CSIS) выпустила новый глобальный отчет под названием «Скрытые издержки киберпреступности». Основное внимание исследователи уделили значительным финансовым и другим неявным на первый взгляд потерям из-за киберпреступности. В частности, из-за хакеров мировая экономика ежегодно теряет не менее $1 трлн, или чуть более 1% глобального ВВП, что более чем на 50% больше, чем в 2018 году.
Законодательные проблемы. На уровне государственного регулирования этой сферы тоже не все гладко. Иногда, как в случае с требованием по удалению персональных данных, законы устанавливают правила по информационной безопасности, которые сложно или практически невозможно реализовать, при этом они не решают проблемы.
Тренды ИБ
1. На сегодняшний день активно идет развитие новых систем защиты информации. Например, такой тип программного обеспечения как Firewall прошел путь от простых межсетевых экранов до инструментов анализа контента при помощи искусственного интеллекта (Palo Alto firewalls).
Действие таких систем основано на том, что каждая программа имеет свой паттерн. И если можно определить этот паттерн, допустим он используется отдельной группой хакеров, то можно его заблокировать.
2. Zero Trust или «Нулевой доступ». Эта модель безопасности была разработана в 2010 году и на сегодняшний день является самой популярной в сфере защиты информации. Ее суть - тщательный контроль прав для выполнения задач. Изначально в информационной системе все заблокировано, невозможно даже попробовать подключиться к любой ее части, к которой не выдан доступ. Например, только бухгалтеры могут иметь доступ в учетную систему. Для полноценной работы такой модели в компании нужно иметь сильную ИТ-команду, которая управляет всеми системами и процессам.
В чем принципиальное отличие такого подхода? Когда вы ставите «замки» на свои информационные системы в виде паролей, брандмауэров и тому подобных средств, то возможность несанкционированного доступа определяется двумя параметрами: временем и мотивацией. Если информация в вашей системе не стоит затраченных на кибератаку времени и денег, то она защищена. Если же информация очень ценная, то рано или поздно может быть найден путь обхода или взлома «замков» на ней. Поэтому необходим тщательный контроль над всеми действиями пользователей в системе и уровнем их доступа к информации.
3. Копирование и анализ всего поступающего контента.
Это направление в информационной безопасности возникло из-за последствий действий всемирно известного Эдварда Сноудена. Как и Zero Trust, оно требует значительных ресурсов. Крупные компании, использующие такую защиту, размещают в собственной сети сервер, через который пропускают весь входящий трафик и записывают его. Если появляется новая угроза (новый механизм атаки), всегда можно отследить, как она была применена и какие части систем были атакованы.
Что делать?
Защита информации ‒ это непрерывный процесс. Поэтому оценивать уровень безопасности различных информационных систем компании требуется регулярно. Для начала стоит постоянно задаваться вопросом: «Есть ли небезопасные компоненты в техническом и программном обеспечении моей компании?».
И, получая ответы, формировать адекватную политику защиты информации, привлекая специалистов и обучая правилам ИБ своих сотрудников.
Ведь даже небольшие ошибки в сложных системах, таких как Windows и даже Linux могут привести к кибератаке и впоследствии - к потере данных, денег, репутации, клиентов.
Кроме того, если не уделять информационной безопасности должного внимания, пострадать можете не только вы, но и третья сторона.
Ключевая идея: от отсутствия или слабости вашей системы безопасности ущерб несете не только вы, но и ваши клиенты, партнеры, контрагенты. Подобного рода ущербы в экономике называются negative externality (отрицательный внешний эффект). Один из примеров ‒ загрязнение окружающей среды.
Текущую ситуацию с обеспечением безопасности информации можно еще сравнить с первыми фабриками, где здоровью рабочих постоянно наносился ущерб, так как риск такого ущерба просто не принимался во внимание. Сегодня существует огромный риск ущерба, например, для потребителей товаров и услуг, который не учитывается.
Напоследок приведу еще одну аллегорию. Если описать одной фразой то, что сейчас происходит в ИБ, можно сказать, что это игра в кошки-мышки. Кошка (ИБ компаний) пытается поймать мышь (хакеры), но мышь становится все быстрее и быстрее, и из-за этого кошка тоже вынуждена действовать быстрее. То, что риски, связанные с низким уровнем ИБ, сейчас недооценены, приводит к неким преимуществам «мыши» (хакеров) в этой игре
