Журнал "Системы Безопасности" № 1‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 74 данных. Как утверждает бородатый анекдот, "люди делятся на два вида: те, кто не делает бэкапы, и те, кто УЖЕ делает". Кто-то эксплуатирует систему безопасности под управлением ОС Windows XP 15 лет и ни разу не столкнулся с киберугрозами. А кого- то взломали уже несколько раз, и поэтому в компании есть жесткий регламент по кибербезопасности. Один взлом на 1 тыс. систем – это много или мало? Для того, кто ни разу не сталкивался с проблемами, это мало, это "не про него". Для того, кого один раз взломали и уничтожили все данные, – это катастрофически много, и даже 0,1% веро- ятности повторения этой ситуации для него существенный риск. В чем можно быть уверенным – и мы видим подтверждение этому в СМи, отчетах и бюлле- тенях безопасности – это в том, что количество угроз, атак и успешных взломов растет. Все больше аспектов нашей жизни цифровизуются, а следовательно, вероятность столкнуться со взломом для каждого непрерывно и существен- но возрастает. и если согласиться с утверждением, что кибер- безопасность – это проблема, то возникают вопросы "Что делать?", "Как получить действи- тельно безопасную систему физической без- опасности?". Помогут ли наложенные средства? Первое, что приходит на ум, – применение наложенных средств. наложенные средства защиты информации – это внешние техниче- ские и программные средства, добавляемые в информационную систему для обеспечения кибербезопасности: антивирусы, средства контроля целостности данных, брандмауэры и пр. Сегмент российских средств защиты от несанкционированного доступа (СЗи от нСД) начал развиваться в 90-х гг. прошлого века как ответ на руководящие документы Гостех- комиссии, а впоследствии – регламенты ФСТЭК России и федеральные законы. При этом сами средства защиты информации изначально выполняли функции усиления встроенных механизмов безопасности ОС, являясь надстройкой, необходимой для выполнения требований контролирующих органов. Звучит заманчиво: приобрел средство и полу- чил де-юре таблетку от киберугроз и контро- лирующих органов. Обеспечивают ли такие средства безопасность информации де- факто? Тут не все так однозначно. Во-первых, грамотное применение наложенных средств возможно только при непосредственном уча- стии специалиста по информационной без- опасности или как минимум толкового системного администратора. Очень часто таких специалистов в организациях просто нет. Во-вторых, конечно, свою функцию наложенные средства выполняют и от части киберугроз защищают. но, к сожалению, не от всех. А как известно, общая защищенность системы определяется защищенностью само- го уязвимого ее элемента. никакие наложенные средства не заставят пользователя использовать сложный пароль и менять его раз в месяц, если этого не требует сама система безопасности. никакие наложенные средства не спасут от несанкционированного доступа к системе видеонаблюдения, если на всех камерах оставлены имя пользователя/пароль по умол- чанию. никакие наложенные средства не защитят от взлома, если в программе не реализована грамотная модель разграничения прав и обычный оператор имеет доступ к систем- ным настройкам или всем персональным данным. наконец, никакие наложенные средства не помогут, если продукт исходно спроектирован без учета применения таких средств. Скорее всего, продукт просто не сможет работать: средства защиты заблокируют нестандартные сетевые порты, запретят работу под учетной записью администратора и программа просто не запустится. Если наложенные средства не панацея, то как же быть? Есть ли свет в конце тоннеля? Свет в конце тоннеля По мнению автора, не бывает абсолютно защи- щенных систем. Уязвимости есть в любом реше- нии. и там, где не удастся совершить киберата- ку, всегда можно атаковать через "человеческий фактор" или нецифровыми методами – подку- пить охранника или физически проникнуть на объект. Вопрос для злоумышленника – в цене. А для владельца системы физической безопас- ности – в рисках. Обеспечение кибербезопасности дает суще- ственное снижение рисков, репутационных, экономических и юридических. Да, к сожале- нию, борьба за цифровую безопасность – это постоянный бег наперегонки со злоумышленни- ками. находятся новые уязвимости, по мере роста вычислительных мощностей используе- мые ранее криптоалгоритмы становятся неакту- альны. но если за вами бежит медведь, глав- ное – бежать не быстрее медведя, а быстрее товарища. Продукт, реализованный на базе современных принципов обеспечения информационной безопасности, взломать гораздо сложнее и, как следствие, дороже. Соответственно, выбор такого продукта несет гораздо меньше рисков, нежели применение "дырявого от рождения" решения. При этом наложенные средства существенно не снижают риски эксплуатации уязвимой системы. надежную систему они, наоборот, укрепляют, обеспечивая дополни- тельную защиту. Таким образом, только решение, исходно спроектированное с учетом актуальных требо- ваний по кибербезопасности, позволит каче- ственно обеспечить физическую безопасность и минимизировать риски. и в заключение перефразирую бородатый анек- дот: "Люди делятся на два вида: те, кто не дума- ет о кибербезопасности, и те, кто УЖЕ думает". Желаю читателю оказаться в третьей катего- рии – среди тех, кто подумал о безопасности заранее. и будет свет! Список литературы 1. "Самый беззащитный – это "Сапсан", https://habr.com/ru/articles/476034/ 2. "Пассажир "Сапсана" проинспектировал информационную сеть РЖД", https://www.kom - mersant.ru/doc/4163777 3. "Заскучавший хакер взломал Wi-Fi "Сапсана", https://spb.mk.ru/science/2019/11/18/zaskuc- havshiy-khaker-vzlomal-wifi-sapsana.html 4. "В РЖД сообщили о результатах проверки Wi-Fi в "Сапсане", https://ria.ru/20191121/ 1561354449.html 5. "Самый беззащитный – уже не "Сапсан". Всё оказалось куда хуже…", https://habr.com/ru/ articles/536750/ 6. "Цифровая инфраструктура привлекает зло- умышленников", https://gudok.ru/newspaper/ ?ID=1552569 7. "Вредонос RuRansom уничтожает данные в российских системах", https://xakep.ru/2022/ 04/15/ruransom/ 8. Отчеты компании "Ростелеком-Солар", https://rt-solar.ru/analytics/reports/ 9. "яндекс": мартовская утечка данных "яндекс.Еды" произошла из-за атаки на сторон- нюю иТ-инфраструкту, а не из-за инсайда", https://habr.com/ru/news/706918/ 10. "Данные более 100 млн аккаунтов "Вконтак- те" продаются в сети за 1 биткоин", https://habr.com/ru/articles/394973/ 11. "DLBI: хакер выложил в открытый доступ базу данных 7,8 млн клиентов торговой сети "Ашан", https://habr.com/ru/news/740092/. 12. "DLBI: хакер выложил в открытый доступ базу данных 3,16 млн клиентов торговой сети "Глория Джинс" (Gloria Jeans)", https://habr.com/ru/news/740214/ 13. "В Сеть потенциально попали данные 25 млн клиентов СДЭК", https://www.rbc.ru/ technology_and_media/15/07/2022/62d022d 09a794711851de88d 14. "КоАП РФ Статья 13.11. нарушение законо- дательства Российской Федерации в области персональных данных", https://www.consul- tant.ru/document/cons_doc_LAW_34661/1f42 1640c6775ff67079ebde06a7d2f6d17b96db/ 15. "Минцифры предложило новые условия для оборотных штрафов с компаний за утечки дан- ных", https://www.forbes.ru/tekhnologii/ 479047-mincifry-predlozilo-novye-uslovia-dla- oborotnyh-strafov-s-kompanij-za-utecki-dannyh 16. "Бизнес возьмут в пол-оборота", https://www.kommersant.ru/doc/5747151 17. "Принят законопроект об ответственности за нарушения при использовании биометрических данных", http://duma.gov.ru/news/57227/ n февраль – март 2024 www.secuteck.ru СПЕЦПРОЕКТ РОССийСКиЕ РЕшЕния: PSIM, ССОи, иСБ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Т олько решение, исходно спроектированное с учетом актуальных тре- бовани по кибербезопасности, позволит качественно обеспечить физи- ческую безопасность и минимизировать риски