Внешние угрозы
По статистике «Лаборатории Касперского» 95% российских компаний подвергались внешней атаке в 2013 году. Причем наибольшую угрозу представляют собой вредоносные программы.
Рисунок 4: Динамика развития внешних угроз по данным «Лаборатории Касперского»
Профессиональные киберпреступники действуют исключительно в финансовых интересах, изобретая новые способы проникновения в компьютерные системы. Ярким примером вредоносной программы, нацеленной на кражу финансовой информации, стала троянская программа Zeus. Многомодульность программы позволяет ей осуществлять всесторонний шпионаж на зараженной машине, отличительной особенностью «Зевса» стало использование мобильной версии, которая отвечает за перехват mTAN кодов в SMS от банков. Среди атакуемых организаций представлены российские банки и платежные системы. Малый бизнес в силу своих особенностей менее защищен, чем средний и крупный бизнес. Любой системный администратор может рассказать множество историй, как в небольших организациях ему приходилось бороться с заражением и его последствиями. Нередко в маленьких компаниях пользователи работают с правами администратора. Ничего удивительного в этом нет, но отсутствие понимания необходимости комплексной защиты в таких организациях играет злую шутку с финансами компании. Предотвратить заражение обходиться значительно дешевле – нейтрализации и устранения последствий. К сожалению, пока «гром не грянет» — редко кто задумывается над этими вопросами.
Популярность спам-атак снижается с каждым годом. Если средний бизнес видит в спаме угрозу, которая может парализовать обмен информацией в компании, то представители малого бизнеса скептически относятся к этой проблеме, зачастую в организации отсутствует даже собственный почтовый сервер, сотрудники пользуются публичными сервисами для обмена информацией.
В киберпреступном мире существует масса группировок, готовых за определенную плату произвести DDoS-атаку на сайт неугодной компании. Атакуемый ресурс становится недоступным и компания — жертва несет убытки, связанные с недоступностью сервисов. Ущерб от атак носит не только финансовый, но и репутационный характер. Примером подобной атаки, получившей широкую огласку в СМИ, стала атака на системы онлайн-бронирования компании «Аэрофлот» в 2010 году. Ущерб от атаки компании «Аэрофлот» оценивается в 146 млн. рублей, компании Assist – партнера «Аэрофлота» в 15 млн. рублей. В июле 2013 года организатор атаки был осужден на 2,5 года лишения свободы. Большой бизнес осознает опасность DDoS-атак и старается подготовить и защитить свою инфраструктуру от возможной атаки, однако получается далеко не всегда. Ботнеты, используемые для атак, способны генерировать трафик в десятки Gb/s, защита в такой ситуации становится нетривиальной задачей.
Зарекомендовавший себя в преступных кругах фишинг, активно набирает обороты и применяется злоумышленниками для получения конфиденциальной информации. Например, с помощью фишинговой атаки в 2013 году хакер смог получить данные 2 млн. абонентов Vodafone Germany. Сотрудники компаний стали чаще использовать мобильные гаджеты для работы и угроза кражи девайса, который имеет доступ в корпоративную сеть, постоянно растет.
Три уровня безопасности
- Безопасность для бизнеса — это данные, которые хранятся в надежном месте и сотрудники, которые умеют правильно работать с этими данными. Игнорируя меры безопасности, бизнес рискует деловой репутацией, и, конечно, деньгами.
- Безопасность для сотрудника — это наличие соответствующего оборудования и ПО для работы, соблюдение личных границ, поддержка и разумное доверие со стороны руководства. Игнорируя меры безопасности, менеджер рискует своим психологическим спокойствием и зачастую деньгами, так как в случае нарушения регламентов компании могут применять штрафные санкции.
- Безопасность для клиента — в первую очередь, это выполнение договорных обязательств, надежное хранение персональных данных, защищенная передача платежной информации и прозрачность условий сделки. Когда безопасность под угрозой, клиент рискует деньгами, временем и психологическим спокойствием. Кроме того, задача клиента, для которой ему потребовался определенный продукт, также может остаться нерешенной.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
К нематериальным ценностям предприятия относятся товарный знак, запатентованные технологии или способы производства, репутация компании, клиентская база, авторские права, ноу-хау и прочая важная информация.
Но наибольшее значение имеют сведения, ценные именно в силу своей неизвестности широкому кругу лиц, то есть конфиденциальная, или тайна. Ее разглашение нанесет предприятию материальный или репутационный ущерб.
Конфиденциальная информация, накапливаемая любой компанией в процессе ее существования делится на три большие группы:
- коммерческую тайну;
- клиентскую тайну;
- персональные данные сотрудников.
Особенностью информации является то, что она не существует вне носителя. Соответственно можно выделить устную конфиденциальную информацию, традиционные бумажные документы и электронные документы и базы данных. Угроза, которую призваны предотвратить меры информационной безопасности могут заключаться в следующем:
— Перехвате, то есть получении дубликата документа, копировании базы, данных, записи переговоров и т. д. Такой способ опасен тем, что узнать о факте копирования информации практически невозможно до ее использования злоумышленниками.
— Хищении, то есть лишении предприятия важных документов или электронных баз.
— Уничтожении или частичном повреждении информации, что наносит существенный материальный ущерб.
— Искажении существующей информации, что влечет принятие необоснованных управленческих решений, заключение провальных сделок, подрыв репутации.
Выделяют три группы методов обеспечения информационной безопасности предприятия:
- Организационные.
Они включают мероприятия по выделению информации, составляющей тайну и ее ранжированию. А также предполагают создание системы допуска и списков сотрудников, имеющих доступ к конфиденциальной информации каждого ранга, регламентов и правил по работе с такой информацией, обучение сотрудников приемам безопасной работы с конфиденциальной информацией.
Технические.
Предполагают создание условий, при которых риск утечки или уничтожения информации, составляющей тайну, будет минимальным. Это касается хранение бумажных документов, их уничтожение способом, исключающим восстановление и использование.
Также предполагается использование для переговоров и обработки данных экранированных помещений, применение защищенных каналов связи, шифрование (кодирование) наиболее важных данных.
Программные.
Специфические методы защиты конфиденциальных сведений, содержащихся на цифровых носителях.
К ним относится использование специальных программ, которые ограничивают доступ в отдельные компьютеры или в локальные сети, защищают от вредоносных программ, уничтожающих или повреждающих информацию (антивирусы), препятствуют копированию информации из памяти компьютеров на внешний носитель и пр.
Защита на уровне
Кибербезопасность в среде Индустрии X.0 — это не просто абстрактная технологическая проблема, она разделяется на несколько вполне конкретных уровней.
Первый — физический
Устройства промышленного интернета вещей (датчики) часто устанавливаются в удаленных местах, которые могут находиться за пределами контроля оператора, поэтому важно учитывать их физическую безопасность. Она может реализовываться простыми методами в виде запираемых на замок шкафов с оборудованием, а может усиливаться за счет интеграции цифровых механизмов безопасности, таких как системы сигнализации на панели управления, которые сообщают о несанкционированном доступе, или видеонаблюдение с распознаванием лиц
«Система информационной безопасности как живой организм, постоянно меняется в зависимости от внутренних и внешних факторов. Этим факторами являются изменения конъюнктуры рынка, изменения в требованиях законодательства РФ
Поэтому очень важно своевременно заметить эти изменения и в короткий срок отреагировать и перестроить систему информационной безопасности, — говорит Анатолий Маслов, директор по организационному развитию металлургического холдинга «Новосталь-М». — Появление Индустрии Х.0 не только расширит доступное злоумышленникам поле для маневра, но и сделает ущерб от кибератак более значимым для операционной деятельности Предприятия, из-за чего стоимость ущерба вырастет в абсолютных значениях»
Второй уровень — человеческий фактор. Любая кибербезопасность сильна настолько, насколько сильно ее самое слабое звено — человек. Хакеры научились использовать методы социальной инженерии, чтобы получать информацию от сотрудников, подрядчиков, заказчиков и других пользователей ИТ-систем предприятия. Злоумышленники эксплуатируют некомпетентных в области ИБ сотрудников, например, использующих один и тот же пароль для рабочих и личных аккаунтов.
Третий уровень — организационный. В прошлом защита промышленных процессов регулировалась различными командами и группами внутри организации. ИТ-безопасность в их ведение не включалась. В итоге сегодня на предприятиях, как правило, отсутствует комплексный подход к защите процессов и инфраструктуры, сочетающий практики кибербезопасности, обеспечения надежности систем и физической защиты.
Новая цифровая парадигма для бизнеса — Индустрия X.0 — вместе с идеологией постоянных технологических изменений несет в себе и новые риски. Фото: ru.depositphotos.com
Четвертый уровень — технологический. С одной стороны, более интеллектуальные технологии способны сдерживать, предотвращать и обнаруживать кибервторжения. С другой — киберугрозы тоже становятся «умнее и сложнее». Существующие технологические архитектуры и старые системы, которые были безопасны и надежны в течение многих лет, теперь могут обеспечить почти беспроблемный вход для хакеров в производственные системы компании.
При обеспечении кибербезопасности Предприятия Х.0, по мнению Анатолия Маслова, необходимо уделять равное внимание как операционной составляющей процесса (создавать продуманные реализации бизнес-процессов, составлять описания зон ответственности подразделений и каждого работника предприятия), так и технологической, которая управлять призвана ликвидировать уязвимости систем, закрывать бреши в системе зашиты Предприятия. «Случаи со Spectre и Meltdown иллюстрируют проблему ярче всего: 27 уязвимостей, которые были обнаружены в архитектурах процессоров AMD, ARM и Intel, использующихся в миллионах машин по всему миру
Они дают злоумышленникам дополнительные возможности по установлению контроля над практически каждым устройством, включая ноутбуки, мобильные устройства и промышленные системы, повышая риски их эксплуатации на порядок. Это аппаратные уязвимости и программными патчами их так просто не исправить», — отмечает серьезность вызовов руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко
«Случаи со Spectre и Meltdown иллюстрируют проблему ярче всего: 27 уязвимостей, которые были обнаружены в архитектурах процессоров AMD, ARM и Intel, использующихся в миллионах машин по всему миру. Они дают злоумышленникам дополнительные возможности по установлению контроля над практически каждым устройством, включая ноутбуки, мобильные устройства и промышленные системы, повышая риски их эксплуатации на порядок. Это аппаратные уязвимости и программными патчами их так просто не исправить», — отмечает серьезность вызовов руководитель практики информационной безопасности компании Accenture в России Андрей Тимошенко.
Наказать за раскрытие коммерческой тайны
Если кто-то не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:
Ответственность | Наказание | Основание |
---|---|---|
Дисциплинарная | В зависимости от вины, по решению руководителя компании:— увольнение— выговор—замечание | ст. 192 ТК РФ |
Материальная | Полное возмещение денежного ущерба, который получила компания из-за утечки секретной информации.Закон не запрещает применять материальное и дисциплинарное наказание за одно и то же нарушение | п. 7 ст. 243 ТК РФ |
Административная | Штраф для граждан — от 500 до 1000 ₽Штраф для должностных лиц — от 4000 до 5000 ₽ | ст. 13.14 КоАП РФ |
Уголовная | Наказание для сотрудника, который нарушил режим коммерческой тайны, в зависимости от тяжести нарушения: штраф до 1 500 000 ₽ и лишение свободы до 7 лет | ст. 183 УК РФ |
В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.
Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно
Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.
Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.
В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.
Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.
ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф
ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.
Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.
Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.
Главное
Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.
Для защиты ценной информации:
- Введите в компании режим коммерческой тайны.
- Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
- Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
- Введите режим конфиденциальности с партнерами.
За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.
Больше метрик
Главные ключи к успеху в ИБ для Индустрии X.0 — превентивная оценка рисков и приоритет на безопасности в работе руководителей всех ключевых подразделений предприятия. Эти два аспекта следует «включать» от самых ранних стадий инсталляции любых технологических решений до окончания срока службы или вывода из эксплуатации.
Организациям необходимо применять подход «безопасность на уровне архитектуры», включающий анализ рисков и механизмы обеспечения безопасности конвергентных архитектур ИТ и ОТ. Для этого следует добавить метрики безопасности в аналитику.
Журнал событий межсетевых экранов и систем управления доступом, управление изменениями настроек ИТ платформ и средств защиты, статистика инцидентов и системы управления событиями ИБ (SIEM) могут помочь в совершенствовании этой работы.
Например, ошибки конфигурации могут привести к уязвимостям и киберинцидентам и вызвать простои. Добавление метрик и индикаторов (риска, компрометации) позволяет организациям отслеживать угрозы и действовать гибко и проактивно, чтобы различать операционные или кибер-проблемы. Это сократит время отклика и восстановления после сбоя в работе корпоративных и производственных систем или процессов.
Еще один важный момент — плотное сотрудничество с заинтересованными сторонами экосистемы Индустрии X.0 (поставщики, клиенты, регуляторы, ИТ/ИБ вендоры), для оптимального понимания, какие показатели и меры безопасности наиболее полезны в данный период.
Виды безопасности организации
Различают следующие виды безопасности:
- Физическую безопасность, предусматривающую защищенность финансовых и материальных ресурсов от несанкционированного проникновения (кражи, хищения, вандализма) и чрезвычайных обстоятельств (пожара, стихийных бедствий). Эту безопасность обеспечивают своей деятельностью сотрудники охранных служб. Например, может быть предусмотрен пропускной объектовый и внутриобъектовый режим с использованием технических систем и средств – систем сигнализации (охранной, пожарной), оповещения и пожаротушения, управления и ограничения доступа, защитных инженерных средств (решеток, барьеров, шлагбаумов, бронестекол) и т. д. В рамках физической безопасности персонала выделяют личную безопасность руководителей и ведущих специалистов (для их охраны – в зависимости от необходимости – могут предприниматься разнообразные оперативные и технические меры, в том числе направленные на охрану жилья, транспортных средств как самих ключевых сотрудников, так и членов их семей) и безопасность всего персонала в общем (базирующаяся на системе охраны труда и техники безопасности, производственной санитарии, социальной психологии делового общения). Чтобы в организации сложились безопасные и здоровые условия труда, необходимо взаимодействие усилий руководителей и рядовых сотрудников.
- Экономическую безопасность, предусматривающую защищенность экономических интересов предприятия от внешних и внутренних угроз за счет минимизации рисков коммерческого характера, применение мер правового, организационного и экономического характера, разработанных руководством. В составе экономической безопасности выделяют функциональные компоненты – финансовый, валютный, имущественный, кредитный, политико-правовой и другие аспекты, характеризующиеся через набор количественных и качественных показателей. Экономическая безопасность – это материальная база решения задач функционирования предприятия.
-
Информационную безопасность, предусматривающую охрану каналов получения, обработки, хранения и передачи информации, защиту по уровням доступа информационных ресурсов. Любая документальная информация подлежит защите, если в результате неправомерного обращения с ней ее собственник, владелец, пользователь или иное лицо может получить ущерб. Собственник информационных ресурсов, т.е. сама организация, определяет режимы защиты конфиденциальной информации. Если информационные угрозы будут реализованы, информация может быть утрачена (разрушена, уничтожена), искажена (модифицирована, подделана), блокирована или произойдет ее утечка (копирование, извлечение, подслушивание, подглядывание). Защита информации базируется на двух основных принципах:
- разделение обязанностей: роли и ответственность нужно распределять таким образом, чтобы один человек не имел возможностей для нарушения критически важных для организации процессов;
- минимизация привилегий: пользователь должен иметь только те права доступа, которые требуются для выполнения им служебных обязанностей.
-
Юридическую безопасность, предусматривающую охрану прав, порядка и условий осуществления законной предпринимательской деятельности в конкурентных условиях. В рамках юридической безопасности выделяется три важнейших направления:
- отношения с государственными органами;
- защита от недобросовестных действий со стороны контрагентов, партнеров, поставщиков и заказчиков;
- формирование условий успешного ведения деятельности.
-
Интеллектуальную безопасность, предусматривающую охрану прав на интеллектуальную собственность – научные труды, товарные знаки, промышленные образцы, коммерческие наименования и прочие результаты интеллектуальной деятельности и средства индивидуализации.
- Экологическую безопасность, предусматривающую охрану окружающей среды, безопасную работу представляющих экологическую опасность объектов, предотвращение катастроф экологического характера. Актуальность этого аспекта безопасности для предприятия определяется спецификой его производственных процессов.
Исходя из перечисленных видов безопасности на предприятии строится дерево целей системы безопасности, которое определяет комплексные планы реализации мероприятий по обеспечению безопасности.
Что такое информационная безопасность организации
Безопасность информационной инфраструктуры компании подразумевает защиту от случайных
или умышленных действий, которые могут нанести вред владельцам данных или их пользователям.
Действия лиц, несущих ответственность за эту сферу, должны быть направлены на создание
защиты, препятствующей утечкам данных, а не борьбу с их последствиями
Но при этом
важно сохранять простой доступ к информации тем людям, которые на законных основаниях
пользуются базами данных
Ущерб, причиняемый утечкой информации, невозможно спрогнозировать заранее. Он может
выражаться в незначительной сумме, но в некоторых случаях приводит к полной неспособности
компании заниматься хозяйственной деятельностью.
Проблема сохранности конфиденциальной информации и коммерческой тайны существовала
и ранее. Но по мере развития электронных средств обработки и хранения данных повышается
вероятность их утечки и незаконного копирования. Если ранее для кражи чертежей нового
продукта нужно было физически вынести их с завода, сейчас достаточно получить доступ
к серверу через электронные каналы связи или записать их на миниатюрную карту памяти.
В большинстве случаев краже подлежат следующие данные:
-
Информация о реальном финансовом
состоянии компании; -
Инновационные разработки
научно-технических отделов; -
Регистрационные данные
для доступа к защищенным серверам; - Персональные данные работников.
Дополнительной сложностью является то, что кража информации может негативно отразиться
на компании не сразу после ее совершения, а по прошествии определенного времени.
Неважные на первый взгляд данные при их обнародовании могут нанести репутационный
вред компании и уменьшить ее рыночную стоимость.
Поэтому при разработке мер по обеспечению информационной безопасности нельзя делить
данные на виды. Все, что размещено в IT-инфраструктуре компании и храниться в архивах,
не должно выходить за ее пределы.
Поэтапное обеспечение кадровой безопасности организации — примеры, методы
Обеспечение кадровой безопасности организации при работе с персоналом, заключается в использовании различных методов на всех этапах взаимодействия компании с сотрудником. И первым из таких этапов является непосредственный отбор соискателей, проведение собеседований и заключение трудового договора. Именно на этапе найма можно значительным образом сократить риски, просто не привлекая на работу ненадежного сотрудника. К конкретным мероприятиям, которые можно провести во время трудоустройства соискателя, относятся:
- Получение информации о трудящемся. Работодатель может проверить информацию, предоставленную соискателем, составить вывод о ее правдивости и сравнить с иными сведениями о кандидате в открытых источниках.
- Проведение тестирования квалификации и личностных качеств. Проведение собеседования и различные профессиональные тестирования позволяют сразу отсеять кандидатов, не обладающих должной квалификацией или необходимыми личностными качествами для работы.
- Психодиагоностическое и психофизиологические исследования. Данные мероприятия подразумевают привлечение к тестированию узкоквалифицированных специалистов и возможное применение различных технических средств. О том, как именно использовать полиграф на собеседовании, и можно ли от него отказаться, можно узнать в отдельной статье. В целом, такие методы являются довольно дорогими и применяются только в случае необходимости максимального снижения угрозы кадровой безопасности.
Также, куда более широкий комплекс мероприятий применим уже в отношении работающих специалистов. К примерам наиболее эффективных методик работы с сотрудниками в рамках обеспечения кадровой безопасности можно отнести:
- Проведение регулярного тестирования сотрудников. В рамках тестирования могут определяться самые различные показатели — лояльность к компании, эффективность труда и использования рабочего времени, психологический климат в коллективе.
- Обеспечение технической защиты компании. Например, в рамках борьбы с неэффективным использованием рабочего времени, можно применять системы его контроля и учета. Для предупреждения хищений может быть установлено видеонаблюдение.
- Регулировка кадровой политики. Использование эффективных методик управления, мотивации и повышения лояльности сотрудников — само по себе как повышает эффективность деятельности компании, так и уменьшает уровень угрозы кадровой безопасности компании.
И наконец, определенное значение имеет кадровая безопасность и в отношении увольнения сотрудников. В частности, работодатель может предпринимать следующие меры:
- Обеспечивать защиту активов компании при сокращении кадров. В случае конфликта с сотрудником, последний перед уходом может постараться нанести вред компании. Эти риски следует предвидеть и предупреждать, например, заблаговременно лишая его доступа к важным данным или техническим средстам.
- Предотвращать увольнение ценных работников. Работодателю следует также заботиться о том, чтобы само по себе увольнение работника не нанесло непоправимого вреда компании, и предупреждать наступление таковых событий, принимая различные меры. Например — использовать предложение дополнительного оплачиваемого отпуска, повышение заработной платы сотруднику и другие действия, мотивирующие сотрудника не увольняться.
Все вышеприведенные методики являются универсальными. Однако любая компания и любой коллектив сотрудников являются уникальными, поэтому в любом случае, обеспечение кадровой безопасности организации должно проводиться с учетом индивидуальных факторов, а не только применением общих решений, среди которых нет однозначно эффективных и являющихся панацеей от всех угроз.