Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 46 апрель – май 2025 www.secuteck.ru Неуязвимых систем нет Второй момент, который крайне важно понять руководителю в компании, – это тот факт, что не бывает совершенно неуязвимых систем и абсолютно безопасных технических решений. Каждую систему в компании потенциально возможно взломать или с ее помощью нанести компании ущерб. Основ- ной вопрос – сколько (в деньгах и времени) злоумышленники готовы за это заплатить. Таким образом, работа специалистов по обеспечению защиты информация нацелена на то, чтобы своими действиями максималь- но затруднять (вплоть до блокировки) успешную деструктивную деятельность внешних и внутренних злоумышленников по отношению к объектам защиты в компании. А такими объектами в компании, с точки зрения кибербезопасности, могут выступать информационные активы собственные и клиентов, компоненты инфраструктуры, про- цессы, сервисы и технологии. Если офицеры информационной безопасности не работают или работают неэффективно, то рано или поздно (а скорее рано) злоумышленники с минимальными усилиями успешно взломают систему защиты и получат доступ в вашу инфраструктуру через уязвимые на тот момент времени компоненты. Киберзащита – непрерывный процесс Еще один важный аспект формирования у руко- водителя понимания реального уровня кибер- защиты в его организации – это подход к без- опасности не как к одномоментному состоянию, а как к непрерывному процессу во времени, объединяющему отдельные подпроцессы. При- мерами таких подпроцессов являются: l криптографическая защита (использование средств шифрования для поддержания кон- фиденциальности); l сетевая защита (защита от атак из Интернета, обеспечение доступности ресурсов в органи- зации); l режим коммерческой тайны и защита персо- нальных данных (обеспечение конфиденци- альности на прикладном уровне); l мониторинг инцидентов/контроль отклонений; l комплаенс-аудит и некоторые другие компо- ненты. Именно непрерывность и связанность под- процессов безопасности формируют каче- ственное представление о защищенности в компании. Пример третий Март 2025 г. Жертвами киберзлоумышленни- ков стали несколько крупных российских ком- паний с очевидно не маленькими бюджетами на обеспечение информационной безопасно- сти. Немного информации, но все же просочи- лось в СМИ 4 . Одна из компаний пострадала от действий вирусов-шифровальщиков, которые проникли внутрь защищаемого периметра по электронной почте через сегменты сети с доступом пользователей в Интернет. Очевид- Лайфхак № 2 для руководителя Пригласите работника, ответ- ственного за обеспечение инфор- мационной безопасности в вашей организации, и попросите его предоставить вам три крайних отчета о проведении сканирова- ния на наличие актуальных уязви- мостей ИТ-ресурсов, размещен- ных на периметре сети вашей компании, доступ к которым осу- ществляется из Интернета. Это особенно актуально для компа- ний, имеющих собственные веб- сайты, доступные для клиентов мобильные приложения, API-сер- висы или использующие DNS-, MX- и VPN-серверы. Обратите вни- мание на реакцию вашего работ- ника после данного вопроса. При наличии трех отчетов обратите внимание на динамику устранения выявленных, тенденцию и причи- ны появления новых уязвимостей на статичном для вашей компании наборе доступных из Интернета сервисов. Лайфхак № 3 для руководителя Пригласите к себе специалистов, ответственных за сопровождение ком- понентов комплексной системы без- опасности (СКУД, СОТ, СПО, архив видеонаблюдения, рабочие месте охранников-операторов, датчики сиг- нализации, турникеты и пр.). Не сек- рет, что внутри сети комплексной системы безопасности находится много серверов, автоматизированных рабочих мест, датчиков, камер, считы- вателей. Каждое устройство, если оно подключено в IP-сеть, имеет свою собственную операционную систему, IP-адрес, настройки и профиль без- опасной работы и, как следствие, набор собственных уязвимостей. Попросите ответственного работника продемонстрировать вам фактическое наличие установленных на серверах в сети комплексной системы безопас- ности и на рабочих местах операторов обновленные агенты антивирусной защиты (аналогичные антивирусные программы должны быть установлены и на вашем рабочем месте в сети ком- пании). Проследите за его реакцией на вопрос и выслушайте его ответ/вер- сию – сделайте для себя соответ- ствующие выводы. Лайфхак № 4 для руководителя Если вы, как руководитель, задумы- ваетесь об информационной безопас- ности, читаете профильную периоди- ку и дошли по тексту статьи до чет- вертого лайфхака, значит, в вашей организации могут выполняться или уже выполняются базовые требова- ния по обеспечению режима конфи- денциальности, к которым в числе прочего относится создание и под- держание внутренней парольной политики на серверах и рабочих стан- циях. Запросите у офицеров инфор- мационной безопасности действую- щую в вашей компании парольную политику и ознакомьтесь с ней. Дой- дите до рабочего места ИТ-админи- стратора, попросите его ввести свой пароль от своего рабочего места, от системы удаленного доступа к выбранным вами серверам, рабо- чим станциям, сетевому оборудова- ния (достаточно три-четыре типа устройств) в вашем присутствии и проследите, что именно он вводит и как это соответствует парольной политике вашей компании. Риск минимальный, так как после данного "упражнения" ИТ-администраторы обязаны поменять свои пароли на новые, соответствующие парольной политике в организации. Проделайте то же упражнение с администратора- ми комплексной системы безопасно- сти (СКУД, СОТ, СПО, архив видеона- блюдения, рабочие места охранни- ков-операторов, датчики сигнализа- ции, турникеты и пр.) – попросите их ввести свои пароли на серверах и рабочих станциях в сегменте с обо- рудованием комплексной системы безопасности и оцените соответствие паролей парольной политике. С высо- кой долей вероятности вы увидите, что действующие на момент проверки пароли ИТ-администраторов и адми- нистраторов серверов СКУД (приви- легированных пользователей с мак- симальными правами доступа) не соответствуют утвержденной пароль- ной политике в вашей организации. Сделайте соответствующие выводы для себя. Н е бывает совершенно неуязвимых систем и абсолютно безопасных технических решений. Каждую систему в компании потенциально воз- можно взломать или с ее помощью нанести компании ущерб. Основной вопрос – сколько (в деньгах и времени) злоумышленники готовы за это заплатить.