Мифы информационной безопасности

Мифы информационной безопасности

Рассмотрим наиболее распространенные заблуждения относительно ИБ.

Автор: Ольков Евгений

Довольно важная тема, т.к. часто “устоявшиеся мнения” сильно мешают построению эффективной защиты сети.

1. Информационная безопасность - это только про ИТ

Когда речь заходит об информационной безопасности (далее ИБ), то большинство начинает вспоминать про антивирусы, межсетевые экраны, IPS и т.д. Принято считать, что безопасность — это исключительно технический вопрос, который решается с помощью специализированного оборудования или программного обеспечения. Т.е. информационные технологии (далее ИТ) в чистом виде. Это большое заблуждение. Вы будете удивлены, но ИТ инструменты составляют менее 80% от общего концепта информационной безопасности компании.

Простой пример. Вашему сотруднику звонит злоумышленник и представляется администратором сети. Он сообщает, что для устранения неполадок ему требуется учетная запись пользователя и его пароль. Сотрудник с радостью сообщает ему все необходимое. Через 10 минут вы обнаруживаете что по сети распространяется шифровальщик. Это ИТ проблема? Скорее всего это проблема в неосведомленности персонала.

Информационные технологии безусловно занимают важную роль в обеспечении информационной безопасности, но далеко не самую главную. ИБ - это целый комплекс мер из различных сфер деятельности компаний.

2. Техническую часть ИБ можно “повесить” на ИТ-отдел

Еще один популярный миф. Хотя чаще это не миф, а вынужденная мера. Нет возможности сформировать ИБ-отдел и приходится перекладывать эти задачи на ИТ-отдел. Это можно понять. Но в этом случае не стоит винить своих специалистов в случае хакерской атаки. Информационная безопасность, а особенно ее обеспечение, это сложная и ОЧЕНЬ объемная тема. Обычно требуется несколько лет непрерывной работы и обучения, чтобы выйти хотя бы на «средний» уровень специалиста по ИБ. Нельзя этим заниматься «на пол ставки», совмещая с основной работой. ИТ-специалистам хватает и своей работы. Нанимать выделенного ИБ-специалиста или нет, это вопрос оценки рисков. Только в этом случае, рассчитывая риски, к возможной стоимости потерь нужно прибавить деньги, которые были потрачены на средства защиты и которые не были использованы как полагается (по причине отсутствия обученного персонала). Согласно отчету Гартнера за 2016 год, 95% всех успешных атак можно было предотвратить если бы были правильно настроены уже существующие средства защиты. Помните об этом. Сможет ли Вы или ваш ИТ-специалист все правильно настроить, а затем и поддерживать? И самое главное, должен ли?

3. Информационная безопасность - это дорого

Это, пожалуй, самый главный и самый страшный миф. По его вине многие специалисты опускают руки и отказываются от мыслей об ИБ в своих компаниях. Большинство оправдывается фразой: “Это дорого, моя организация не выделит столько средств”. При этом они забывают даже про бесплатные технические и административные меры.

Практически любое сетевое оборудование и все операционные системы имеют встроенные механизмы защиты. Частично я уже описывал эту проблему в моей предыдущей книге “Практическая безопасность сетей”. Там я делал акцент на настройках безопасности в сетевом оборудовании. Очень рекомендую эту книгу для тех, кто не знает с чего начать построение ИБ в своей компании. Пример “бесплатных” технических мер:

  • Сегментация сети;
  • Формирование списков доступа (не используя правило accept ip any any);
  • Использование SSH вместо Telnet;
  • Логирование всех событий;
  • Мониторинг по SNMP;
  • Обновление прошивок, операционных систем;
  • Периодическое резервное копирование конфигураций и важных файлов;
  • И многое другое.

И я еще не упомянул про OpenSource средства, которые при вашем желании могут существенно повысить уровень ИБ.

Тоже самое касается административных мер:

  • Парольная политика, которая заставляет пользователей менять пароль раз в три месяца;
  • Информирование пользователей о возможном фишинге;
  • Периодический аудит ИБ;
  • Документирование сети;
  • И т.д.

Удивительно, но на ИБ также распространяется принцип Парето. Всего лишь 20% всех защитных мер обеспечивают 80% защищенности компании. Вы будете удивлены, когда узнаете, что большая часть этих средств - бесплатны. Главное же, что вы должны вынести из этого пункта это то, что уровень ИБ в большинстве случаев никак не коррелируются с уровнем затрат на ИБ. Мне доводилось консультировать компании, чей ИБ бюджет исчислялся десятками миллионов, однако уровень защиты был крайне низким. Все дело в человеческом факторе. Как любит говорить мой руководитель: “Хорошо настроенный «микротик» лучше плохо настроенной «циски»”. Это не значит, что не стоит вкладываться в ИБ в принципе. Это значит, что потраченные деньги не сделают вашу работу за вас.

4. 100% защищенность

Запомните, никто и ничто не может вам гарантировать 100% защиты. Если вам кто-то обещает стопроцентную защиту, то знайте, он или некомпетентен, или просто врет. Как показывает практика, даже изолированные от публичной сети системы, также подвержены атакам (вспомните Stuxnet). Риск есть всегда. Вкладывая средства в защиту, вы можете лишь уменьшить этот риск до допустимых значений. Средства защиты не должны стоить больше, чем возможные потери в результате атаки. Если хотите понять ликвидность ваших текущих или будущих средств защиты, то придется начать с оценки рисков.

5. Небольшим компаниям нечего бояться

Большинство «маленьких» организаций считают, что они не представляют интерес для злоумышленников. Только вот многие забывают, что подавляющее большинство атак — автоматизированы. Никто не смотрит большая у вас компания или нет. Боты в автоматическом режиме ищут уязвимости всех доступных в Интернете узлов и затем пытаются это эксплуатировать. Если вы подключены к публичной сети, то вы имеете ровно столько же шансов поймать зловред, как и любая крупная компания. Процент действительно таргетированных атак исключительно мал. Если вы думаете, что в результате атаки вам нечего особо терять, то вы тоже глубоко заблуждаетесь. Файловые серверы, логины и пароли от банковских порталов, личные данные сотрудников или ваших партнеров, репутационные риски. Всегда есть что терять. Разница между большими и маленькими компаниями лишь в том, что последние могут понести существенные убытки в результате атаки, но “остаться на плаву”. А вот небольшим компаниям иногда приходится закрываться после значительного финансового ущерба.

6. ИБ как результат

Удивительно, но до сих пор есть специалисты, которые рассматривают ИБ как конечный результат. Купил дорогие средства защиты, настроил “хоть как-то” и забыл, с мыслью “я защищен”. В следующий раз про ИБ вспоминают только после очередной успешной атаки, когда обнаруживают, что зашифрована вся коммерческая документация или со счетов компании выведены все средства.

Первое, что должен усвоить любой начинающий “безопасник” - “Информационная безопасность - это процесс, а не результат”. Это постоянная “борьба”, а не разовая акция. Мы еще не раз затронем этот тезис. Именно с выстраивания процессов начинается защита вашей компании. И, обратите внимание, что это бесплатно (отсылка к мифу №3)! Нет процессов - нет безопасности. Плохие процессы - плохая безопасность.

7. За безопасность всегда отвечает кто-то один

Принято считать, что в любой компании есть один человек, который ответственен за ИБ в компании. Как правило, так считают и обычные пользователи и (что еще хуже) руководители компании. Это ошибка. Здесь я воспользуюсь выдержкой из знаменитой книги CISSP (Shon Harris), глава “Уровни ответственности”. Как вы думаете, сколько ролей выделяется в процессе ИБ (по науке)? Вот перечень людей/ролей, которые несут непосредственную ответственность:

  1. Генеральный директор (CEO – Chief Executive Officer)
  2. Финансовый директор (CFO – Chief Financial Officer)
  3. Директор по ИТ (CIO – Chief Information Officer)
  4. Директор по защите конфиденциальной информации (CPO – Chief Privacy Officer)
  5. Директор по безопасности (CSO – Chief Security Officer)
  6. Владелец данных (информации) (data owner)
  7. Ответственный за хранение данных (информации) (data custodian)
  8. Владелец системы (system owner)
  9. Администратора безопасности (security administrator)
  10. Аналитик по безопасности (security analyst)
  11. Владелец приложений (application owner)
  12. Супервизор (supervisor)
  13. Аналитик управления изменениями (change control analyst)
  14. Аналитик данных (data analyst)
  15. Владелец процесса (process owner)
  16. Поставщик решения (solution provider)
  17. Пользователь (user)
  18. Менеджер по технологиям (product line manager)
  19. Аудитор (auditor)

Понятно, что это совсем уж идеальный мир. В реальной жизни один человек может совмещать несколько ролей. Но все же! У нас так любят вешать весь процесс на Системного администратора, который и курсы по ИБ возможно никогда не проходил. И сваливают всю ответственность на одного человека. Но к чему это? Если вы тот самый Системный администратор, то вы вправе требовать ответственности как от пользователей, так и от руководства (конечно если вы донесете до пользователей нужные инструкции и обоснуете руководству необходимость дополнительных ресурсов). Если вы руководитель, то должны понимать, что один и даже два человека не смогут обеспечить весь цикл необходимых работ.

8. ИБ - это исключительно расходы

А это самый неприятный миф, из-за которого руководство не любит выделять средства на безопасность. Да, ИБ стоит денег, но, чтобы понимать, что они тратятся не впустую, надо вспомнить главную задачу - снизить риск потери, пропажи или утечки информации. Простой пример. В компании у бухгалтера стоит ПК с программой 1с. Попробуйте посчитать убытки, если вся база будет зашифрована и работа компании “встанет” на несколько дней. Туда же включите стоимость восстановления (если это вообще возможно). Пусть это будет стоить 1 млн рублей. Допустим вы купили внешний жесткий диск за 2000 рублей и раз в неделю делаете резервное копирование. Что такое в данном случае эти 2 тысячи рублей? Это только расходы? Или же мы сэкономили 998 тысяч рублей исключив возможность потери важных данных?

При правильном подходе “расходы” на ИБ превращаются в очень хорошие “инвестиции”. Однако, нужно уметь донести эту информацию до руководства.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!