Усі в курсі, хто такі кіберзлочинці і якої шкоди вони завдають. А ось із тими, хто протистоїть їм, люди знайомі гірше. Навколо інформаційної безпеки (ІБ) у масовій свідомості склалося багато міфів. Редакція GSMinfo проаналізувала і розвінчала три з них.
Міф перший: “ІБ – це тільки засоби захисту”
Технічні засоби, за допомогою яких забезпечується інформаційна безпека, відіграють найважливішу роль. Підвищена увага до них – одна зі складових повсякденної роботи фахівців з кібербезпеки. Але проектування ІБ-систем, їхня експлуатація, розвиток тощо. – тільки одне із завдань ІБ-служби, не менш важливу роль відіграє процесна частина роботи. При цьому вона не пов’язана з попередженням ризиків, зокрема людського фактора. Чому?
Річ у тім, що впровадження заходів інформаційної безпеки саме по собі не гарантує змін у поведінці користувачів, навіть найдокладніші описи процесів ІБ не забезпечують їх безумовного дотримання. Людський фактор усе ще залишається найбільш уразливим елементом ланцюжка створення ІБ-цінності: дисципліна важлива не менше, ніж захисні механізми та процедури.
Приклад. Відділ розробки ПЗ забезпечений захищеними інструментами власної розробки та комунікації. При цьому співробітники продовжують здійснювати ризиковані дії, такі як обмін файлами через загальні диски або надсилання конфіденційних даних через месенджери. Процеси є, інструменти теж, немає тільки усвідомленості їхнього беззастережного застосування, що пов’язує всі елементи ІБ воєдино.
Тільки введення відповідальності за порушення може сприяти поліпшенню ситуації. Наприклад, непройдене навчання ІБ може призвести до позбавлення премій, а регулярні перевірки на вразливість співробітників до фішингу та інші тести дозволять підтримувати ІБ-пильність на належному рівні. Порушникам пропонується додаткове навчання, що підкріплюється інформаційним супроводом і пропагандою правильної поведінки.
Людина – найслабша ланка в системі кібербезпеки будь-якої складності. Саме через рядових співробітників зловмисники сьогодні найчастіше проникають у захищені периметри організацій, поширюють в атакованих інфраструктурах шкідливе ПЗ, викрадають або компрометують дані, завдаючи жертвам багатомільйонних збитків.
Проста розсилка фішингових повідомлень з високою часткою ймовірності виявиться успішною. Це означає, що одержувачі фішингового повідомлення введуть свої облікові дані у фішинговий ресурс або відкриють файл, що містить шкідливе ПЗ. У результаті – витік даних, репутаційний, юридичний і фінансовий збиток.
Слабкою ланкою при цьому може виявитися не тільки рядовий співробітник. Відомі випадки, коли в рамках навчань, що проводяться в компанії службою безпеки, на вудку хакерів потрапляли самі керівники: прийнявши фішингові листи за чисту монету, переходили за посиланнями, які в них містилися.
Багато підприємств, зокрема великих, страждають на своєрідний інфантилізм. “Ми купили за серйозні гроші засоби захисту і тепер надійно захищені”, – думає середньостатистичний начальник. На жаль, так ефективна система інформаційної безпеки не працює. Постійно з’являються нові вразливості, удосконалюються підходи до проведення кібератак, а також способи обходу впроваджених у компанії засобів захисту, і часто компрометація інфраструктури є питанням часу.
Міф другий: “ІБ – кібер-охорона”
В очах багатьох співробітників, які не мають відношення до ІБ, безпечники представляються окремою кастою. Щось на кшталт спецслужби або приватної охоронної фірми всередині компанії, завдання якої – забороняти будь-які вольності, пов’язані з використанням інформаційних ресурсів.
Багато років тому аналогічно сприймалися і самі IT-підрозділи. Але з часом IT і бізнес зблизилися, і часом уже неможливо провести чітку межу між бізнес- і технологічним блоками компанії. Сьогодні багато хто знає, що ролі адміністраторів баз даних, розробників або DevOps-інженерів істотно різняться, але безпечників, як і раніше, вважають групою “людей у чорному”.
Насправді у кожного ІБ-фахівця своя роль:
- менеджер з ІБ визначає вимоги, аналізує ризики і стежить за дотриманням політик безпеки;
- ІБ-архітектор вибудовує з окремих рішень систему, яка ефективно протистоїть загрозам;
- фахівець із тестування на проникнення оцінює побудовану систему захисту, імітуючи дії зловмисника;
- а фахівець DevSecOps або AppSec контролює захищеність розроблюваного ПЗ у компанії.
У них є керівник – директор з інформаційної безпеки (CISO), у деяких компаніях його роль виконує CIO (IT-директор). Їхнє завдання не в тому, щоб усе забороняти, обмежувати, контролювати кожну активність, а за порушення карати. Навпаки, мета ІБ – зробити так, щоб кожен співробітник розумів, що і від його дій залежать безпека та успішність бізнесу компанії.
У цього міфу є ще один бік. У багатьох компаніях вважають, що утримання власної ІБ-служби – неминуче, але необхідне зло, оскільки витрати на таких співробітників дуже високі. Це вірно далеко не завжди, часто простіше віддати напрямок на аутсорс.
Міф третій: “безпечники за всіма стежать”
Така можливість у них справді є, але подібні дії в їхні обов’язки не входять, оскільки заборонені законом.
Можливі винятки, але тільки в тих випадках, коли компанія попереджає співробітника (приймаючи його на роботу або під час зміни правил внутрішнього розпорядку) про те, що інформацію можуть збирати з використанням різних джерел, що відносяться до його робочого простору, але не стосуватимуться нічиєго приватного життя.
І тільки з дотриманням усіх формальностей ІБ-фахівці можуть відстежити листування співробітника, факт передавання даних, реальний час, витрачений на роботу, відвідані інтернет-ресурси, установку та використання застосунків або реальне місцезнаходження.