Як не стати жертвою хакерів: 6 помилок у процесі побудови системи кіберзахисту бізнесу

Комплексна система захисту інформації – це не панацея, але поки що кращого засобу захисту даних ніхто не придумав. Тому в систему кібербезпеки варто інвестувати, а у процесі її побудові потрібно враховувати кілька важливих факторів, щоб вона ефективно працювала.

Фото: Колаж: Фокус
Related video

Захист інформації – необхідна інвестиція. На жаль, іноді український бізнес сприймає її як формальність. Саме через такий підхід захист "не працює", що провокує появу домислів, чуток та міфів. Однак я намагатимусь розвінчати ці міфи і розсіяти сумніви.

Комплексна система захисту інформації (КСЗІ) – це низка організаційних та технічних заходів щодо захисту інформації у конкретній системі. Якщо така система добре побудована з урахуванням потреб конкретного бізнесу, вона може бути неефективною.

Перш ніж перейти до інших типових помилок під час побудови КСЗІ, через які система може працювати неефективно, хочу нагадати: у сфері кіберзахисту немає рішень, які дають 100% гарантію, особливо якщо не інвестувати в підтримку. Але її наявність – це вже набагато більше ніж нічого.

Міф 1: "Мене хакерська атака не торкнеться"

Згідно з даними Глобального індексу захисту даних Dell Technologies, хакери проводять кібератаки кожні 39 секунд. Від таких атак бодай раз постраждали 86% організацій у всьому світі. За оцінками McAfee та Центру стратегічних та міжнародних досліджень, у 2020 році втрати від кібератак становили 1% світового ВВП. А це – понад $1 трлн.

Те, що постраждалі намагаються не говорити про свої втрати публічно, не означає, що нічого страшного не відбувається. Бізнес мовчить, бо не хоче псувати репутацію. А дехто взагалі не знає, що їх зламали.

Навіть після атаки вірусу NotPetya в Україні багато хто вважає, що їх ця проблема не торкнеться. До безпеки на всіх рівнях ставляться як до чогось непотрібного. Але це помилка. Державний центр кіберзахисту Держспецзв'язку фіксує кіберінциденти щотижня і, за даними Центру, кількість кіберінцидентів зростає приблизно на 10-12% щомісяця.

Міф 2: "Не обов'язково враховувати вимоги законодавства щодо побудови системи"

Найпоширеніша ситуація: організація побудувала систему кіберзахисту, але не може отримати для неї атестат відповідності КСЗІ. Так буває, коли система спочатку будується без урахування вимог чинного законодавства.

З минулого року українське законодавство (зокрема, Закон України "Про захист інформації в інформаційно-телекомунікаційних системах") дає можливість захищати бізнес не лише за стандартами КСЗІ, а й за міжнародним стандартом ISO 27000, якщо компанія не працює зі службовою інформацією чи інформацією, що становить державну таємницю. А якщо компанія працює з інформацією з обмеженим доступом, вона має будувати КСЗІ. Однак часто в таких випадках бізнес шукає обхідні шляхи, і у цьому їм допомагає міф третій…

Міф 3: "Найкраще захищає "папір"

"Паперовий" підхід до побудови КСЗІ, коли всі документи існують і зберігаються тільки на папері, — дуже формальний, а тому дає формальний результат. Це призводить до неефективної роботи системи захисту даних.

Щоб система працювала, має бути реалізований функціональний профіль безпеки. У цьому профілі є конкретні вимоги до рівня послуг та захисту. Фактично це набір послуг, які мають бути реалізовані в компонентах конкретної інформаційно-телекомунікаційної системи (ІТС) за допомогою штатних або спеціалізованих засобів захисту. Йдеться про проєктні рішення, всі механізми яких мають бути відповідним чином налаштовані та описані. Тільки тоді інформацію можна вважати захищеною. Якщо це зроблено, проведено комплексну аналітичну роботу та вкладено відповідні інвестиції, зокрема й у технології, це одна ситуація. Стос паперів – це інша ситуація, кардинально протилежна.

Міф 4: "Отримати атестат КСЗІ — дуже складно"

До речі, щодо того, що Держспецзв'язку роками не видає атестатів КСЗІ, це теж міф. Справа у тому, що служба лише реєструє результати експертизи, а самих атестатів вона справді не дає. Це робить компанія, яка має відповідну ліцензію (ліцензіат). Якщо компанія обрала ненадійного ліцензіата або такого, для якого її діяльність не є профільною, із реєстрацією документа справді можуть виникнути проблеми.

Деякі ліцензіати недбало ставляться до побудови комплексної системи захисту, і ми не можемо зареєструвати результат їхньої роботи. Про цю проблему Держспецзв'язку відомо. Ми працюємо над тим, щоб знайти шляхи її вирішення, адже фактично немає законодавчої основи для позбавлення ліцензії на вимогу регулятора. Тобто реальної можливості позбавити когось ліцензії у нас немає.

Міф 5: "Аналізувати ризики нема чого — система спрацює, коли треба"

КСЗІ сама собою не забезпечує захист інформації. Щоб система працювала, починати її створення потрібно з аналізу ризиків для оброблюваних ІТС активів, моделювання загроз та визначення, наскільки ці загрози є релевантними (актуальними) для цієї ІТС. На підставі цього аналізу формуються вимоги до організаційно-технічних засобів захисту. Після цього вони впроваджуються та проходять державну експертизу.

Якщо побудована система не відповідає моделі загроз або модель загроз сформована неадекватним чином, недостатньо глибоко проведений аналіз ризиків тощо, КСВД не допоможе.

Міф 6: "Система кіберзахисту працює "на автоматі"

На жаль, багато хто не забезпечує підтримку систем у процесі експлуатації. Часто з'ясовується, що деякі процедури, визначені проєктною документацією, не підтримуються власником системи. Деякі компанії взагалі не мають у штаті людей для супроводу системи. Але захист не можна збудувати один раз і забути про нього. Це – процес. У компанії має бути відповідальна людина та фахівці, які можуть підтримувати захист, що вже існує.

Нестача кадрів – це зараз проблема всього ринку. Що робити? Інвестувати у розвиток персоналу так само, як у технічні засоби. Або віддавати ці процеси на аутсорс.

Підтипом цієї помилки є неправильне налаштування. Це випадок, коли всі умови побудови були виконані, проте через відсутність необхідної установки системи захист не працює як слід. Відтак усім, хто будує КСЗІ, я раджу не ставитися до цього формально. Так, стандарти захисту інформації в Україні потребують оновлень, ми працюємо над цим. Як зазначалося, нові стандарти мають з'явитися невдовзі. Це тривалий процес, що потребує багато роботи. Водночас я дуже прошу ставитися до цих завдань і робити все, що від вас залежить для захисту власного бізнесу.

Нещодавно Держспецзв'язку прийняла новий підхід для захисту критичної інформаційної інфраструктури, він також базується на підходах NIST, зокрема CyberSecurity Framework. Цей документ вводить новий підхід до кіберзахисту – ризик-орієнтований. Для побудови таких систем об'єкти критичної інфраструктури все одно мають використовувати один із стандартів захисту інформації.

Україна рухається вперед із питань захисту інформації, і КСЗІ – це повноцінна частина цього майбутнього.