Журнал "Information Security/ Информационная безопасность" #3, 2019

Для современной ИТ-инфраструктуры даже небольшой организации такая модель может содержать более десятка различных типов нарушителей, а для сложной ИТ-инфраструктуры в большой организации – два десятка и более. При составлении модели нарушителей полез- но определить их возможную мотивацию на проведение действий, которые могут привести к утечке данных. Как говорится, "без причины и прыщ не вскочит". Для лиц, имеющих легальный доступ к защи- щаемым данным, целесообразно оце- нивать угрозы утечки отдельно для умышленных и неумышленных действий такого лица. Это важно с точки зрения построения системы защиты информа- ции. Те же самые DLP-системы наиболее эффективны для предотвращения утечек именно при неумышленных действиях сотрудника организации. Защититься от умышленного копирования данных в целях последующей продажи или пере- даче третьим лицам на порядок слож- нее. Бережное отношение к информации Очень важно воспитывать культуру бережного отношения к информации. К сожалению, современная мода выкла- дывать все и вся в социальные сети не способствует такому воспитанию. Если человек выкладывает в сети скан своей платежной карты, сложно ожидать, что с информацией организации он будет обходиться осмотрительнее. Причем этим грешат не только рядовые работ- ники, но и топ-менеджмент компаний. Нередко бывает, что в своих интервью и выступлениях на различных меро- приятиях руководители говорят "чуть больше", чем следовало. Если уж речь зашла о топ-менедж- менте организации, то атака на бизнес вполне может проводиться и через них. Взломав домашний компьютер руково- дителя, в ряде случаев можно почерп- нуть довольно много интересной инфор- мации, а иногда и получить доступ в кор- поративную сеть организации. В соци- альных сетях несложно создать фейко- вые аккаунты топ-менеджеров и от их лица распространять негативную инфор- мацию о компании либо публиковать посты на форумах и в социальных сетях, которые будут дискредитировать их самих. Поэтому службе информационной безопасности не грех уделять внимание защите информации у топ-менеджеров и о топ-менеджерах. Атака может проводиться на человека, на устройство и даже на нечто неося- заемое, например имидж компании. При этом на каких-то ее этапах возможна и атака на информацию организации. Так, атака на банкомат может осуществлять- ся путем вскрытия сервисной зоны и подключения к интерфейсам банкомата, а может путем проникновения в корпо- ративную сеть и взлома системы уда- ленного управления банкоматами. Я думаю, именно в связи с появлением такого рода угроз и атак, напрямую не связанных с атакой на информацию, в настоящее время все чаще стали использоваться понятия киберугрозы, кибератаки и кибербезопасности. Рассмотрим несколько примеров подобных атак Очень распространенными в настоя- щее время являются мошенничества с целью незаконного присвоения чужих денежных средств. Мошенники были всегда, и всегда их главной задачей было "развести" клиента на деньги. Я думаю, многие помнят известный советский художественный фильм "Трест, который лопнул" либо знакомы со сборником рассказов "Благородный жулик" О. Генри, по мотивам которого он создан. Но в современных условиях наличия дистанционных сервисов обслу- живания, постоянного появления и раз- вития новых технологий и слабой техни- ческой грамотности населения данное направление преступлений превратилось просто в Клондайк. В последнее время в практике финансовых организаций участились случаи мошенничеств, когда человек сам отдает деньги преступнику. Атака на человека проводится настолько грамотно, что он сам перечисляет зло- умышленникам денежные средства, не осознавая этого. Аналогичным образом можно развести сотрудника организации на "слив" критически важных для бизне- са данных. Другой вариант современной кибератаки – это так называемая информационная атака. К информа- ционным атакам на уровне государств мы уже привыкли. Наиболее яркие из них – это сюжеты о применении в Cирии химического оружия, "дело Скрипалей", раскручивание "вмешательства Росcии в выборы президента США". По сути, это использование достаточно большого набора методов и средств для манипу- ляции общественным сознанием. Но постепенно применяемые в информа- ционных войнах методы и средства спус- каются и на корпоративный уровень. Как вы понимаете, для проведения информационной атаки не нужен даже реальный повод. Для финансовых орга- низаций в качестве инфоповода часто используется информация о якобы гря- дущем отзыве Банком России у кредит- ной организации лицензии на осуществ- ление банковской деятельности. Непосредственно проведение инфор- мационной атаки – не очень сложное и дорогое мероприятие. В Интернете достаточно раскрученных информацион- ных ресурсов, где можно разместить практически любую дезинформацию. Далее организуются перепосты этой публикации в социальных сетях, и пошло-поехало. Крупная утечка значи- мой информации из организации может быть хорошим инфоповодом для начала против нее информационной атаки. Что вы будете делать, если СМИ опубликуют информацию, что хакерам удалось полу- чить базу данных всех ваших клиентов, и в качестве доказательства приведут выдержку из этой базы? У вас есть план действий на случай, если такая база появится в продаже в Darknet? Если до сих пор вы не задумывались об этом, то пора задуматься. Кибератаке может подвергнуться любая организа- ция, и, как показывает практика, любая организация может быть взломана. Материалы, опубликованные Wikileaks, показывают, что данные утекают даже из спецслужб США. Поэтому в настоя- щее время необходимо уделять серьез- ное внимание способности компании восстановить свою деятельность после проведения против нее успешной кибе- ратаки (киберустойчивость компании). В части защиты от утечек надо быть готовым к тому, что в организации в любой момент может произойти крупная утечка значимых данных, и должен быть разработан комплекс мероприятий по минимизации возможных негативных последствий такого инцидента. Подводя итог, хочу сказать, что руко- водителей компаний чаще всего волнует обеспечение защиты бизнеса от совре- менных кибератак, именно они пред- ставляют реальную угрозу бизнесу. А защита данных от утечек – это всего лишь один из элементов комплексной защиты от такого рода атак, хотя и доста- точно важный. l 24 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru