Как не стать жертвой хакеров: 6 ошибок при построении системы киберзащиты бизнеса
Комплексная система защиты информации – это не панацея, но пока лучшего средства защиты данных никто не придумал. Поэтому в систему кибербезопасности стоит инвестировать, а при ее построении нужно учитывать несколько важных факторов, чтобы она работала эффективно.
Защита информации – необходимая инвестиция. К сожалению, иногда украинский бизнес воспринимает ее, как формальность. Именно из-за такого подхода защита "не работает", что провоцирует появление домыслов, слухов и мифов. Однако я постараюсь развенчать эти мифы и рассеять сомнения.
Комплексная система защиты информации (КСЗИ) – это ряд организационных и технических мер по защите информации в конкретной системе. Если такая система хорошо построена с учетом потребностей конкретного бизнеса, она не может быть неэффективной.
Прежде чем перейти к другим типичным ошибкам при построении КСЗИ, из-за которых система может работать неэффективно, хочу напомнить: в области киберзащиты нет решений, которые дают 100% гарантию, особенно если не инвестировать в поддержку. Но ее наличие – это уже гораздо больше, чем ничего.
Миф 1: "Меня хакерская атака не коснется"
Согласно данным Глобального индекса защиты данных Dell Technologies, хакеры проводят кибератаки каждые 39 секунд. От таких атак хотя бы раз пострадали 86% организаций во всем мире. По оценкам McAfee и Центра стратегических и международных исследований, в 2020 году потери от кибератак составили 1% мирового ВВП. А это – более $1 трлн.
То, что пострадавшие стараются не говорить о своих потерях публично, не означает, что ничего страшного не происходит. Бизнес молчит, потому что не хочет портить репутацию. А некоторые вообще не знают, что их взломали.
Даже после атаки вируса NotPetya в Украине многие считают, что их эта проблема не коснется. К безопасности на всех уровнях относятся как к чему-то ненужному. Но это ошибка. Государственный центр киберзащиты Госспецсвязи фиксирует киберинциденты еженедельно и по данным Центра, количество киберинцидентов растет примерно на 10-12% ежемесячно.
Миф 2: "Не обязательно учитывать требования законодательства при построении системы"
Самая распространенная ситуация: организация построила систему киберзащиты, но не может получить для нее Аттестат соответствия КСЗИ. Так бывает, когда система изначально строится без учета требований действующего законодательства.
С прошлого года украинское законодательство (в частности, Закон Украины "О защите информации в информационно-телекоммуникационных системах") дает возможность защищать бизнес не только по стандартам КСЗИ, но и по международному стандарту ISO 27000, если компания не работает со служебной информацией или информацией, составляющей государственную тайну. А если компания работает с информацией с ограниченным доступом, она обязана строить КСЗИ. Однако часто в таких случаях бизнес ищет обходные пути, и в этом им "помогает" миф третий…
Миф 3: "Лучше всего защищает "бумага"
"Бумажный" подход к построению КСЗИ, когда все документы существуют и хранятся только на бумаге, – весьма формален, а потому дает формальный результат. Это приводит к неэффективной работе системы защиты данных.
Чтобы система работала, должен быть реализован функциональный профиль защищенности. В этом профиле есть конкретные требования к уровню услуг и защите. Фактически, это набор услуг, которые должны быть реализованы в компонентах конкретной информационно-телекоммуникационной системы (ИТС) с помощью штатных или специализированных средств защиты. Речь идет о проектных решениях, все механизмы которых должны быть соответствующим образом настроены и описаны. Только тогда информацию можно считать защищенной. Если это сделано, проведена комплексная аналитическая работа и вложены соответствующие инвестиции, в том числе и в технологии, это одна ситуация. Стопка бумаг – это другая ситуация, кардинально противоположная.
Миф 4: "Получить аттестат КСЗИ — весьма сложно"
Кстати, по поводу того, что Госспецсвязи годами не выдает аттестатов КСЗИ — это тоже миф. Дело в том, что служба только регистрирует результаты экспертизы, а самих аттестатов она действительно не дает. Это делает компания, имеющая соответствующую лицензию (лицензиат). Если компания выбрала ненадежного лицензиата или такого, для которого ее деятельность не является профильной, с регистрацией документа действительно могут возникнуть проблемы.
Некоторые лицензиаты небрежно относятся к построению комплексной системы защиты, и мы не можем зарегистрировать результат их работы. Об этой проблеме Госспецсвязи известно. Мы работаем над тем, чтобы найти пути ее решения, ведь фактически нет законодательной основы для лишения лицензии по требованию регулятора. То есть реальной возможности лишить кого-либо лицензии у нас нет.
Миф 5: "Анализировать риски незачем — система сработает, когда надо"
КСЗИ сама по себе не обеспечивает защиту информации. Чтобы система работала, начинать ее создание нужно с анализа рисков для обрабатываемых ИТС активов, моделирования угроз и определения, насколько эти угрозы релевантны (актуальны) для этой ИТС. На основании этого анализа формируются требования к организационно-техническим средствам защиты. После этого они внедряются и проходят государственную экспертизу.
Если построенная система не соответствует модели угроз или модель угроз сформирована неадекватным образом, недостаточно глубоко проведен анализ рисков и т.п., КСЗИ не поможет.
Миф 6: "Система киберзащиты работает "на автомате"
К сожалению, многие не осуществляют поддержку систем в процессе эксплуатации. Также часто выясняется, что некоторые процедуры, определенные проектной документацией, не поддерживаются владельцем системы. Некоторые компании вообще не имеют в штате людей для сопровождения системы. Но защиту нельзя построить один раз и забыть о ней. Это – процесс. В компании должен быть ответственный человек и специалисты, которые могут поддерживать существующую защиту.
Нехватка кадров – это сейчас проблема всего рынка. Что делать? Инвестировать в развитие персонала так же, как в технические средства. Или отдавать эти процессы на аутсорс.
Подтипом этой ошибки является неправильная настройка. Это случай, когда все условия построения были выполнены, однако из-за отсутствия необходимой настройки системы защита не работает как следует. Следовательно, всем, кто строит КСЗИ, я советую не относиться к этому формально. Да, стандарты защиты информации в Украине нуждаются в обновлениях, мы работаем над этим. Как уже отмечалось, новые стандарты должны появиться вскоре. Это длительный процесс, требующий много работы. В то же время я очень прошу относиться к этим задачам и делать все от вас зависящее для защиты собственного бизнеса.
Недавно Госспецсвязи приняла новый подход для защиты критической информационной инфраструктуры, он также базируется на подходах NIST, в частности CyberSecurity Framework. Этот документ вводит новый подход к киберзащите – риск-ориентированный. Для построения таких систем объекты критической инфраструктуры все равно должны использовать один из стандартов защиты информации.
Украина движется вперед по вопросам защиты информации, и КСЗИ – это полноценная часть этого будущего.