Специалист по информационной безопасности. что делает и сколько зарабатывает
Содержание:
- Основные проблемы в процессе защиты материалов
- Подготовка персонала корпораций
- Элементы безопасности информации
- Что такое информационная безопасность
- Угрозы информационной безопасности
- Конкурентная разведка
- Плюсы СМИБ
- Построение модели ИБ от Group-IB
- Реализация системы информационной безопасности на производстве
- Степень опасности. Оценка рисков
- Особенности архитектуры ИС в корпорации
Основные проблемы в процессе защиты материалов
Решая вопрос защиты информации в корпоративных сетях, стоит обратить внимание на возможные перебои и нарушения в процессе доступа, способные уничтожить или исказить сведения. Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов:
Возможные проблемы, связанные с нарушением безопасности в компьютерных сетях, можно условно разделить на несколько типов:
1. Нарушения работы системного оборудования: разрыв кабелей, перебои в электропитании, сбой в дисковой системе, нарушения функционирования серверов, сетевых карт, рабочих станций, системы архивации.
2. Уничтожение данных вследствие некорректной работы программного обеспечения: ошибки системы, заражение компьютерными вирусами.
3. Следствие несанкционированного доступа: пиратское копирование, устранение или фальсификация данных, работа посторонних с секретными материалами.
4. Неграмотное сохранение архивов.
5. Ошибки технического штата и пользователей сетевого ресурса: случайное искажение либо уничтожение информации, некорректное пользование программными продуктами.
В каждом из перечисленных случаев требуется устранить нарушения и усилить систему безопасности компьютерной сети.
Подготовка персонала корпораций
Большое число сотрудников корпораций, отсутствие между ними постоянных коммуникаций (зачастую многие не знают друг друга в лицо) не позволяет решать проблемы, связанные с безопасностью данных, в неформальном режиме. Необходима корпоративная программа обучения основам информационной безопасности, которая сможет снять большинство вопросов и исключить ошибки, допускаемые по незнанию.
Требуется:
- разработка методик работы и планов реагирования на непредвиденные ситуации, ознакомление с ними пользователей;
- постоянное обучение пользователей;
- контроль действий пользователей при помощи программных средств;
- разъяснительная работа, имеющая эффект превентивных мер и позволяющая предотвратить намеренные и ненамеренные инциденты информационной безопасности.
Львиная доля этих задач возлагается на службу безопасности корпорации, но кадровые подразделения принимают в них серьезное участие, уже на этапе подбора рабочих и служащих обращая внимание на их подготовку в сфере компьютерной безопасности
Элементы безопасности информации
Основные составляющие информационной безопасности – это совокупность элементов, которая включает открытость, конфиденциальность и целостность информационных ресурсов и поддерживающей инфраструктуры. К числу элементов безопасности часто относят защиту от несанкционированного доступа, являющуюся ключевой составной частью защищенности данных.
Рассмотрим систему основных составляющих информационных данных:
- Доступность – это признак, разрешающий пользователям в определенных случаях беспрепятственно получить интересующую их информацию. Исключением являются данные, скрытые от всеобщего обозрения, разглашение которых может нанести серьезный ущерб субъектам и информации. Например, доступными являются материалы, которые может получить каждый человек: покупка билетов, услуги в банках, оплата коммунальных платежей.
- Целостность – один из элементов информации, гарантирующий ее стабильность при намеренном (ненамеренном) преобразовании или уничтожении определенных данных. Она бывает статической (стабильность основных объектов от первоначального состояния) и динамической (точная реализация последовательных действий). Если будет нарушено единство информации, это может привести к серьезным негативным последствиям. Эта характеристика является основной и актуальной в информационном пространстве.
- Конфиденциальность – основное свойство, разрешающее доступ к информации исключительно юридически правомочным субъектам: клиентам, платформам (программам), процессам. Конфиденциальность – это самый исследованный, проработанный аспект ИБ.
Составляющие информационной безопасности не могут функционировать без соблюдения основных принципов, к которым относятся:
- простота использования;
- контроль за операциями;
- разграничение доступа.
Каждое звено информационной безопасности имеет ключевое значение для всей системы. Нет разграничения, что секретность данных наиболее значима, а другие принципы занимают низшие позиции. Для всех субъектов информационных отношений, которые используют информационную систему в быту, на работе или в других целях, данные должны быть доступными, целостными и конфиденциальными.
Что такое информационная безопасность
Уровень защиты сетевых операционных систем позволяет сохранять данные, противостоять угрозам и атакам, несанкционированному доступу в сеть. Тем не менее говорить об исключительной, универсальной системе средств защиты информации не приходится. Возникают ситуации, когда она дает сбой, и устройства оказываются уязвимыми для проникновения.
Информационная безопасность заключается в обеспечении ряда факторов:
- защищенности сведений от неавторизованного создания, частичной или полной потери;
- конфиденциальности;
- гарантии доступа для авторизованных пользователей.
В отдельных областях (банковской, финансовой, государственном управлении, оборонной и правоохранительной) требуется создание дополнительной, более надежной, системы обеспечения безопасности информации.
Угрозы информационной безопасности
Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов.
Среди актуальных внешних угроз информационной безопасности:
- кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме;
- кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;
- кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
- DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете;
- вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах;
- дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты;
- фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
- спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
- инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
- потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.
Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления.
Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.
Конкурентная разведка
Одной из особенностей корпоративной модели ИБ становится необходимость работы не только на защиту, но и на опережение. Конкурентный рынок требует использования таких методов экономической разведки, которые не противоречили бы закону, но позволили исключить угрозу внешних кибератак конкурентов.
Этот уровень обеспечения информационной безопасности включает изучение:
- конкурентной среды;
- угроз, исходящих от конкурентов, и вариантов противостояния им;
- поставщиков и подрядчиков, их надежности;
- поведения конкурентов при помощи аналитических программ и открытых источников и прогнозирование атак с их стороны.
Комплексное решение проблем корпоративной информационной безопасности часто является задачей, поставленной перед ИТ-службами не только акционерами и руководством, но и государством. Специфика их работы в случае аварий и компьютерных инцидентов способна нанести ущерб охраняемым общественным интересам. Это побуждает решать задачи обеспечения безопасности наиболее эффективным путем, качественно выстраивая архитектуру информационной системы и используя проверенные решения.
Плюсы СМИБ
Что дает эффективная СМИБ:
авторитет организации возрастет не только на внутреннем, но и на внешнем рынке, появится возможность получить мировое признание;
информация будет классифицирована по степени важности для предприятия, что позволит определить первоочередность и уровень обеспечения ее сохранности. Классификация данных упростит специалистам задачу по их защите;
обеспечение взаимодействия информационной безопасности с остальными системами управления предприятием;
возможность предугадать, а значит вовремя предотвратить возможные информационные угрозы;
снижение затрат на СИБ, их оптимизация – когда ценные сведения будут «разложены по полочкам» будет проще принять решение о необходимости профинансировать нужное направление;
предварительный просчет рисков облегчит процесс принятия решения в соответствии с поставленными целями предприятия – оценка возможного ущерба, вероятность его получения, оценка приемлемости рисков и необходимости их предотвращения;
повысится эффективность управления компанией при наступлении чрезвычайных ситуаций за счет внедрения процессов непрерывного ведения бизнеса, разработки планов восстановления работоспособности и их регулярного обновления;
контроль за исполнением политики ИБ – своевременное доведение до персонала, распределение ответственности в сфере информационной безопасности, обеспечение необходимыми ресурсами, внутренний аудит и анализ СМИБ.. Эффективное управление СИБ также снижает риск рейдерского захвата предприятия
Рейдерство – незаконное поглощение предприятия против воли собственников. Обычно рейдеры сначала выкупают маленькие пакеты акций, чьи владельцы не могут принимать решений в управлении компанией. А затем в судебном порядке пытаются доказать, что их права ущемлены. Параллельно создаются искусственные проблемные ситуации, мешающие предприятию нормально функционировать. Например, рейдеры выводят «неудобную» информацию о компании на всеобщее обозрение, что неумолимо приводит к снижению рейтинга и потере доверия у инвесторов и клиентов. Компания начинает работать в убыток и не может покрыть текущие расходы. Акции падают в цене и продаются за бесценок. Причем все это делается в рамках законодательства с использованием огрехов в работе руководства и собственников предприятия
Эффективное управление СИБ также снижает риск рейдерского захвата предприятия. Рейдерство – незаконное поглощение предприятия против воли собственников. Обычно рейдеры сначала выкупают маленькие пакеты акций, чьи владельцы не могут принимать решений в управлении компанией. А затем в судебном порядке пытаются доказать, что их права ущемлены. Параллельно создаются искусственные проблемные ситуации, мешающие предприятию нормально функционировать. Например, рейдеры выводят «неудобную» информацию о компании на всеобщее обозрение, что неумолимо приводит к снижению рейтинга и потере доверия у инвесторов и клиентов. Компания начинает работать в убыток и не может покрыть текущие расходы. Акции падают в цене и продаются за бесценок. Причем все это делается в рамках законодательства с использованием огрехов в работе руководства и собственников предприятия.
Надежная защита информации даст возможность избежать подобных ситуаций. Рейдерский захват невозможен, если злоумышленники не смогут получить сведения о внутренних процессах компании, правилах и нормах ее работы.
Руководителям предприятий рекомендуется уделить особое снимание менеджменту в области информационной безопасности. Несмотря на то, что СМИБ на первый взгляд не увеличивает прибыль, зато помогает ее сохранить.
Построение модели ИБ от Group-IB
Илья Сачков – российский специалист по борьбе с киберугрозами, основатель компании Group-IB. Компания входит в экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью
Специалист создал собственную технологию по борьбе с DDoS-атаками, и ее успешная практика позволяет обратить внимание на ключевые моменты внедрения системы ИБ.
Решение опирается на три базовых фактора:
- предотвращение;
- разработка;
- расследование.
На уровне предотвращения решаются задачи построения актуальной модели угроз. На уровне расследования используются программы уровня кибернетической криминалистики, применяемые для расследования компьютерных преступлений в правоохранительных органах. Даже если штатные средства Windows не справились с задачей запрета на стирание информации о вмешательстве и приходится искать, кто и как похитил данные или заразил систему вредоносными программами, выявляется виновник инцидента и собираются доказательства, позволяющие привлечь нарушителя к уголовной ответственности.
Так, приводятся интересные примеры расследования DDoS-атак:
- в первом случае она была направлена на интернет-издания. Анализ IP-адресов, с которых шла атака, позволил выявить темы, затронувшие чьи-то интересы, и найти заказчика;
- во втором атака на рекламный ресурс оказалась связана с его участием в крупном тендере, и конкуренты постарались исключить его из списка конкурсантов.
По результатам расследования удается выявить уязвимости и дополнить или откорректировать модель угроз. Но далеко не все, даже увидев риск, готовы принимать решительные меры по борьбе с киберугрозами.
Реализация системы информационной безопасности на производстве
При анализе особенностей АСУ становится понятна вся сложность реализации комплексной системы информационной безопасности на производстве. Постоянная модификация типов атак требует для внедрения систем безопасности использовать современные компоненты, релевантные угрозам, но в архитектуре давно работающих АСУ, чей возраст превышает несколько лет, им может не найтись места. Внедряемая для АСУ система безопасности должна отвечать требованиям ISA 99 / IEC 62443, являющегося основным стандартом обеспечения безопасности в системах промышленной автоматизации. Она должна решать задачи комплексной защиты системы от:
- физических атак;
- несанкционированного доступа сотрудников и третьих лиц;
- хакерских атак.
От чего зависит успешность защиты
Разрабатывая собственную систему организации информационной безопасности на производстве, необходимо учитывать, что успешность ее развертывания зависит от следующих факторов:
- необходимости обеспечить мониторинг интерфейсов коммуникации между офисными и промышленными сетями, каналов удаленного доступа к обслуживанию через Интернет, обеспечить установку межсетевых экранов;
- создания так называемых демилитаризованных зон (DMZ), предназначенных для обмена информацией со смежными сетями и исключающих получение внешними пользователями прямого доступа к АСУ;
- создания безопасных сегментов сети для отдельных защищенных производственных секторов, что позволяет снизить риски и увеличить уровень информационной безопасности;
- использования при передаче данных протоколов VPN и шифрования;
- защиты коммуникационных станций алгоритмами аутентификации.
Реализация этих компонентов возможна в любой промышленной системе. От сложности архитектуры АСУ и ее возраста зависит, насколько легко пройдет внедрение.
Но только защитой АСУ задача информационной безопасности не решается. Помимо защиты производственных процессов от сбоев, простоев и аварий, специалисты по информационной безопасности должны решить задачи защиты конфиденциальной информации в информационных системах центрального аппарата управления. К ней могут относиться:
- производственные планы и стратегии;
- ноу-хау и производственные секреты;
- программные решения, внедряемые в целях производства или защиты информации;
- управленческая отчетность и иная финансовая информация.
Работа по защите этих информационных объектов окажется стандартной и существенно менее сложной, чем работа по обеспечению информационной безопасности АСУ, но пренебрегать ею не стоит. Стоимость похищенных производственных секретов высока, поэтому для защиты офисной части системы управления желательно использовать DLP-систему, полностью закрывающую информационный периметр от утечек. Выбор программного обеспечения, решающего проблемы безопасности, будет зависеть и от того, относится ли объект к КИИ (объектам критической информационной инфраструктуры) и есть ли необходимость ориентироваться на требования регулятора.
Степень опасности. Оценка рисков
Для создания надежной системы защиты конфиденциальной информации необходимо рассортировать имеющиеся данные по специфике и уровню ценности.
Как правило, на предприятии хранятся массивы информации следующих категорий:
- партнерские и клиентские базы данных;
- документация в электронном или бумажном виде;
- информация о технологиях, специфике производственного процесса, составе оборудования;
- финансовые сведения, составляющие коммерческую тайну.
Нередко основная опасность исходит не столько от внешних источников, сколько от сотрудников компании и даже от ее руководства. Первые имеют доступ к ценной информации, которую при определенных условиях способны предоставить посторонним лицам или злоумышленникам. Вторые не обращают должного внимания на системы обеспечения информационной безопасности, считая угрозу несущественной или мнимой.
Если организовать контроль за действиями сотрудников относительно просто, то убедить руководство в необходимости технической защиты информации крайне сложно. Создание систем защиты данных – трудоемкое и затратное мероприятие. Многие владельцы или руководители, не имея печального опыта потери данных, склонны относиться к охране сведений слишком легкомысленно. Подобное отношение следует считать наиболее опасной угрозой для информации
Осознание важности охраны данных приходит только после потери сведений, когда приходится в срочном порядке восстанавливать нормальную работу предприятия.
Оценка информационных рисков предприятий является базисом, на котором строятся системы технической защиты информации. К наиболее проблемным направлениям следует отнести:
- попытки несанкционированного доступа к защищаемой информации;
- преступные действия с данными (копирование, изменение, уничтожение), влекущие репутационные или финансовые потери;
- попытки доступа к технологиям, ноу-хау и собственным разработкам.
Пристального внимания требуют и действия работников предприятия. Основной ошибкой службы безопасности является разделение на «своих» и «чужих». Иногда считается, что сотрудники не представляют угрозы для конфиденциальной информации, а все проблемы могут прийти только извне
Важно понимать, что в случае с информационной безопасностью делить людей следует только на авторизованных (доверенных) и неавторизованных пользователей.
Выделять подозрительных и опасных сотрудников из общего числа помогает поведенческий анализ. Например, автоматизированный профайлинг составляет психологические портреты на основе анализа рабочей переписки персонала. Как это работает.
Особенности архитектуры ИС в корпорации
Особенности архитектуры информационной системы корпорации или холдинга связаны с организационной структурой предприятия. Компьютерная сеть в корпорации практически всегда окажется сложной, с множеством филиалов, удаленных рабочих мест. В холдинговых структурах в сеть могут быть включены компьютеры и серверы, принадлежащие различным юридическим лицам, что создает проблемы с определением прав на программы, установленные на компьютеры нескольких фильм одновременно при том, что лицензия оформляется на одно юридическое лицо.
При выстраивании системы решаются следующие задачи:
- организация внутренней защищенной связи между компаниями и подразделениями с разными местами нахождения, предполагающей единую IP-телефонию, возможность организации телеконференций, селекторов;
- наличие отдельных участков сетей, контуров управления на каждом дочернем объекте с необходимостью их объединения в общую сеть;
- возможность для подразделений корпораций получать всю операционную информацию от дочерних структур или филиалов в режиме онлайн, с доступом на каждое рабочее место;
- работа с большим объемом ежедневно поступающих данных, требующий решения задач структурирования, обработки, хранения;
- структурирования и оптимизации единых бизнес-процессов при участии в них нескольких самостоятельных экономических субъектов;
- необходимость создания единой корпоративной базы знаний с большим количеством пользователей;
- создание единообразных правил и методик для пользователей ИС в каждом подразделении;
- нахождение основного блока системных администраторов в корпорации, тогда как персонал на местах имеет технические и поддерживающие функции;
- нахождение основных бизнес-приложений на серверах корпорации с организацией допуска к ним пользователей дочерних подразделении;
- решение проблем с использований технологий виртуализации, когда общий объем данных должен быть доступен для множества юридических лиц.
Эти особенности не допускают возможности бессистемного выстраивания архитектуры компьютерной системы, она должна создаваться по единой стратегии. Чаще всего создается единая ИТ-дирекция, в чьи функции входит автоматизация всех удаленных подразделений и рабочих мест – от торговой фирмы до нефтяной вышки. Базой для решения комплексных задач обычно становится ERP-система. Основной проблемой при автоматизации корпорации является стремление к экономии. При выполнении требований регуляторов один программный продукт часто приобретается на баланс одного юридического лица, а рабочие места находятся на компьютерах, принадлежащих нескольким, и при проверке становится сложно подтвердить правомерность приобретения лицензии. Масштабирование при решении задач в пределах корпорации, внедрение единых решений во всех подразделениях, аутсорсинг персонала ИТ-управления существенно снижает нагрузку на бизнес.