Информационная безопасность: необходима круговая оборона

+13 голоса

Tweet

Слушая доклады и выступления на VI Конференции по безопасности и управлению ИТ, организованной Ukrainian Information Security Group (UISG) при поддержке киевского отделения Information Systems Audit and Control Association (ISACA), поневоле приходит на ум военная лексика. А как может быть иначе, если в докладах изобилуют слова «угрозы», «уязвимости», «атаки», «защита».

Владимир Матвийчук: «Для того чтобы получить эффект от внедрения системы управления рисками, необходимо минимум один-два года»

Около сотни участников собрались на VI Конференцию UISG & ISACA по безопасности и управлению ИТ, чтобы ознакомиться с положением дел в этой области. Сразу хочется отметить четкую организацию конференции: в двух параллельных потоках было сделано 27 докладов и проведено два круглых стола.

Первый поток, названный «Мастерство», носил, в основном, технический характер. На нем выступили ведущие специалисты таких компаний, как Cisco Systems, BMS, TechExpert, Infopulse, МТС и ряда других. На этом потоке участники могли прослушать доклады о безопасности протокола IPv6, применении средств безопасности OpenSource, уязвимости VPN, системах выявления инфицированных веб-сайтов. Интерес вызвало выступление зарубежного гостя конференции, Джарта Армина (Jart Armin), известного исследователя, аналитика и автора многих работ в области киберпреступности и компьютерной безопасности. Он акцентировал внимание на то, что восстановление сетей после ботнет-атак является критически важной задачей для Украины.

Второй поток «Управление» затрагивал общие темы. Полагая, что они могут заинтересовать более широкий круг наших читателей, остановимся на некоторых из них несколько подробнее.

Владимир Матвийчук из компании Ernst & Young в своем докладе обратил внимание на рост количества инцидентов, связанных с информационной безопасностью. В ответ на это многие компании начали внедрять у себя процессы управления информационными рисками. При этом они столкнулись с большим количеством проблем. В результате возник вопрос, а эффективен ли вообще процесс управления ими? Может быть, это всего лишь умелая маркетинговая кампания, проводимая производителями решений?

Если считать, что риск пропорционален произведению вероятности наступления инцидента на причиненные им потери, то управление рисками сводится по сути к уменьшению его вероятности или/и к снижению уровня потерь. Выглядит логично, а есть ли польза для компании? Ведь оценка рисков может быть очень субъективной, и последствия инцидента могут выйти далеко за рамки ожидаемых. В этом случае возникают вопросы, а правильно ли была выбрана методика, в достаточной ли степени был привлечен бизнес для оценки риска? В то же время консультанты по внедрению системы управления рисками убеждают бизнес, что он получит очень быструю отдачу. На самом деле, чтобы получить эффект, необходимо время как минимум один-два года.

Алексей Янковский: «ИТ должны совместно с бизнесом сотрудничать для достижения общих целей»

Проблема №1 – это выбор методики. Их существует несколько десятков. Выбор, в частности, зависит от величины компании и характера ее деятельности. Далее, уровень риска зависит и от способа его оценки, качественного или количественного. Далеко не весь ущерб можно быстро и эффективно подсчитать в деньгах, например, ущерб репутации, влияние на стоимость акций. Что-то нужно считать качественно, что-то количественно. Что касается субъективности при принятии решений, то она будет присутствовать всегда. Кроме информационных, существуют и другие группы рисков: финансовые, операционные и т. д., которые могут оказаться более приоритетными. Далее, не следует стараться свести риски к нулю – в какой-то момент затраты на это станут неприемлемыми. Может быть, некоторые можно допустить. И это тоже является управлением рисками. И сами риски, и их уровень должны пересматриваться в зависимости от меняющейся ситуации на рынке, изменения ценности информации, поэтому процесс управления рисками должен быть постоянным.

«ИТ и бизнес должны говорить на одном языке», - так начал свою презентацию Алексей Янковский из PricewaterhousCoopers. Именно в этом, по его мнению, заключается ИТ-стратегия. К примеру, ИТ-директор говорит, что доступность сервера повышена до 99%, внедрена система Service Desk и т. д. Бизнес, естественно, спрашивает, а что это дает? Может быть, лучше было бы сделать уровень доступности 98% и сэкономить значительные средства, стоит ли потраченных денег внедренная система? Таким образом, ИТ-стратегия определят механизм, который позволяет бизнесу и ИТ достичь взаимопонимания. Грамотная ИТ-стратегия должна повысить эффективность и конкурентоспособность бизнеса, предоставить ему все преимущества автоматизации бизнес-процессов, она должна согласовывать все ИТ-проекты в компании, предупреждая дублирование, оптимизировать затраты, обеспечить безопасность и непрерывность бизнеса и т. п. Именно в этом состоит ее основная цель.

Многие компании определяют ИТ-стратегию как набор основных принципов развития ИТ в рамках своего бизнеса, к примеру, использование аутсорсинга или облачных вычислений. Однако ИТ-стратегия, по мнению докладчика, имеет абсолютно прикладное значение. Это «дорожная карта» проектов во временной шкале, при этом каждый проект поддерживает то или иное требование бизнеса. ИТ-стратегия должна также включать постоянные обсуждения с бизнесом актуальной ситуации и перспектив с целью выработки адекватных предложений и разработки новых проектов.

Докладчик также сформулировал общий подход к построению ИТ-стратегии. Он должен включать такие фазы, как сбор и документирование требований бизнеса, оценка существующих проектов и ИТ-систем с точки зрения удовлетворения этих требований, анализ вариантов развития и планирование развития в соответствии с установленными приоритетами.

В целом, по мнению выступающего, роль ИТ в компании должна трансформироваться. Сегодня они рассматриваются во многих компаниях как инженерная служба, в то время как ИТ должны совместно с бизнесом сотрудничать для достижения общих целей.

Глеб Пахаренко: «угрозы APT характеризуются постоянством и осуществляются до тех пор, пока цель не будет достигнута тем или иным способом»

Информационная эпоха привела к рождению информационного оружия. Сегодня с помощью специально созданных вирусов можно атаковать объекты, использующие ИТ в своей работе. Примером может служить атака на ядерный завод в Иране. Такие вирусы разрабатывает специально сформированная команда профессионалов, а угрозы такого типа называются продвинутыми (Advanced Persistence Threat, APT). Противодействие продвинутым киберугрозам было темой презентации Глеба Пахаренко из компании Infopulse. Как правило, такие угрозы характеризуются постоянством и осуществляются до тех пор, пока цель не будет достигнута тем или иным способом. При этом, как только взламывается пограничный сервер, идет атака на внутреннюю сеть. В этом суть постоянности. Методы взлома используют exploit’ы нулевого дня, ботнеты, часто небольшие и направленные на определенные объекты.

В ответ на атаки, которые угрожают зачастую безопасности страны, правительства ряда государств разрабатывают доктрины информационной безопасности. К примеру, у США есть киберкомандование, которое постоянно заявляет, что если будет произведена атака, то они будут отвечать силовыми методами, вплоть до применения тактического оружия. Франция поставила на один уровень ядерное оружие и кибербезопасность. Германия также разработала свою киберстратегию, в основе которой стоит активный ответ, а Голландия в случае угроз прибегнет к сотрудничеству с частными компаниями.

Конечно, APT возникают не сами по себе, а как следствие характера деятельности объекта. Поэтому на предприятиях должен быть директор по информационной безопасности (CISO), специалист, который хорошо разбирается и в бизнесе компании, и в вопросах информационной защиты. В случае необходимости, необходимо пересмотреть программу обеспечения безопасности.

Результаты анализа отчетов ряда аналитических агентств и компаний относительно основных угроз на украинском рынке привел Владимир Ткаченко из «Агентства Активного Аудита» (ААА). Они включают мошенничество с помощью систем дистанционного банковского обслуживания, уязвимости веб-сайтов, беспроводных сетей (включая CDMA и GSM), рост количество DoS-атак и атак нулевого дня. Уязвимость повышают не обновляемое в течение длительного времени ПО на стороне клиента, слабая организация управления информационной безопасностью и ИТ, а также недостаточное управление рисками в отношении информационных активов.

Участники конференции могли прослушать в этом потоке также доклады об ИТ-аудите, роли ИТ в глобальной экономике, облачной безопасности и ряд других.

Как уже упоминалось, в рамках конференции было проведено два круглых стола, на которых активно обсуждались оперативные методы работы службы ИБ и проблематика персональных данных.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+13 голоса

Tweet