вход
Донецкая Народная Республика
tel.: +7 949 488 31 29
Telegram: @george_fromc
e-mail: ua-izvekov@mail.ru
Руководители предприятий часто задают мне один и тот же вопрос: «Что Вы можете посоветовать, чтобы обеспечить безопасность наших данных?»
Конечно, в каждом конкретном случае ответ отличается. Но всегда с чего-то надо начинать.
В этой статье речь не пойдет о каких-то малопонятных уязвимостях в ядрах систем. Честное слово, слабо представляю себе некоего «хакера», который с помощью хитроумных программных и аппаратных средств скачивает конфиденциальные данные вашего предприятия лишь благодаря уязвимости какого-нибудь драйвера. Это для шпионских фильмов и модных блогеров от ИБ.
Речь пойдет о вполне понятных вещах. Об информации и ее категориях. О защите той категории информации, к которой должен быть ограничен доступ.
В сферу информационных технологий я окунулся еще в юношеском возрасте в конце восьмидесятых годов, когда мало кто знал, что такое персональный компьютер. И так уж впоследствии сложилось, что большая часть моей служебной и трудовой деятельности была связана с вопросами негласного съема и защиты информации. Вопросами, как теоретического, так и практического характера.
И вот чем больше я живу и наблюдаю за ситуацией в этой сфере, тем больше понимаю, что стремительное развитие информационных технологий не приводит к более надежной защите информации. Напротив, количество умышленных утечек во всем мире растет с каждым годом. Такой вот парадокс.
Короткая, но емкая статья на эту тему:
Сравниваются 2022 и 2023 года, но задайте вопрос поисковику и посмотрите на графики. Ситуация ухудшается постоянно.
И вот что интересно. В упомянутой выше статье Россия выглядит очень даже неплохо в сравнении с остальным миром. Там говорится о неких «действенных мерах противодействия». Ни в коем случае не стал бы спорить со специалистами, но всё-таки, лично я вижу причину в другом. В нашем цифровом пространстве без поллитры не разберешься. Куда уж там буржуйским хакерам. Я уже молчу о тоннах макулатуры с той самой конфиденциальной информацией. Мы, действительно, непобедимы.
Но сосредоточить внимание мне бы хотелось на следующих изысканиях авторов той же статьи:
«Существенные изменения произошли и в структуре утечек по размеру организаций. Так, если в 2022 году более половины инцидентов произошли в крупных компаниях, то по итогам прошлого года их доля составила всего 35,5%. Таким образом, произошло перераспределение рисков в сторону малых организаций, доля которых в общем распределении утечек информации увеличилась с 15,6% до 35,6%. Аналитики отмечают, что это связано с более низким уровнем защищенности небольших компаний и отсутствием у многих из них достаточных средств для усиления ИБ. В результате малый бизнес в 2023 году стал более легкой мишенью для злоумышленников.»
Что же делать этим самым малым организациям? И так ли много требуется затрат для наведения порядка в этих вопросах?
Хочу подчеркнуть, дальше речь пойдет именно о предприятиях, которые на законодательном уровне никто не обязывает следовать каким бы то ни было требованиям, но сами руководители хотели бы навести порядок.
С относительно важными и крупными предприятиями вопрос более-менее понятен. На большинство из них распространяется (или же к ним вполне применим) Указ Президента Российской Федерации от 01.05.2022 г. № 250.
А вот предприятия, далекие от категории - «субъекты критической информационной инфраструктуры» никто сзади «по-дружески» не пинает. И, как следствие, они блуждают в информационном пространстве, как овцы, не имеющие пастыря.
По этой причине первое, что необходимо сделать – определить человека, который будет отвечать за безопасность информации. Разумеется, это должен быть человек, способный вникнуть в суть вопроса и готовый настойчиво доносить требования информационной безопасности, как до всего персонала, так и до руководства предприятия.
Следующее – на первый взгляд, несложный процесс, но на практике – очень тяжело достижимый. . Здесь очень простой принцип. Если вы хотите защитить всё, вы не защитите ничего.
Проблемы тут возникают не из-за технической сложности процесса. Это тот момент, с которого руководителю надо осознать, что .
Договора, техническая документация, распоряжения… любая информация – может быть общедоступной, а может быть с ограниченным доступом.
Какого рода информация относится к ограниченному распространению, и кто к чему может иметь доступ, должен утвердить руководитель предприятия. Так, чтобы любой сотрудник, составляя какой-либо документ, мог понимать – к какой категории этот документ будет отнесен.
Далее:
• документы с ограниченным доступом должны иметь соответствующую отметку и не должны храниться вместе с общедоступными документами;
• Доступ к информации, в соответствии с категорией, должен регулироваться:
на физических носителях – службой безопасности (при отсутствии таковой – ответственным лицом).
в цифровом пространстве - IT-специалистами. Тут же – настройки файрволлов и антивирусной защиты, создание резервных архивов и т.п.
Конечно же, на малом предприятии все эти функции может выполнять один человек, но он должен быть компетентен и в вопросах физической безопасности, и в информационных технологиях.
• сотрудники, имеющие доступ к конфиденциальной информации, должны пользоваться ей только в рамках выполнения должностных обязанностей и помнить о нераспространении.
Все вышеуказанные меры – минимальный, скажем так, базовый набор мер, позволяющий вполне эффективно заботиться о сохранности важной информации. Это то, с чего можно начать.
Но есть нечто, что погубит любые ваши усилия в этом направлении, если вы не предпримите решительные меры. И это не технические уязвимости, дыры в брандмауэре или что-то в этом духе.«Хакеры», конечно же, специалисты в своем деле. Но они находятся за пределами вашей внутренней сети. Наличие файрволла даже с базовыми настройками – это уже серьезная преграда на их пути. И для проникновения внутрь они очень нуждаются в вашей глупости, надменности и в вашем беспорядке.
Дело было с Государственной автоматизированной системой «Правосудие», которую злоумышленники здо́рово потрепали. Некая хакерская группа тогда в своем телеграм-канале опубликовала следующее:
«Спонсорами сегодняшнего праздника выступили: разработчики ГАС «Правосудие», «Лаборатория Касперского», компания Positive Technologies, разработчики программно-аппаратного комплекса ИВК «Кольчуга-К», а также АО «РТКомм РУ».
Но это, похоже, в большей степени - бахвальство. А вот дальше:
«…особая благодарность заместителю начальника отдела системного администрирования телекоммуникаций …(ФИО)… и команде системных администраторов …(ФИО)… Они не только открыли нам ворота, но и не захотели делать бэкапы, про что говорят любезно предоставленные нам результаты аудита»
уже похоже на нечто конкретное и правдоподобное.
Разумеется, всё это не имеет точного подтверждения. Разумеется, я не имею никакого отношения к этой конкретной ситуации, чтобы как-то ее оценивать. Но уж очень это знакомо. Знакомо не из фильмов, а из реальной жизни.
Увы, всё это банально, повсеместно присутствует, и именно это нужно злоумышленникам.
Среди вас есть сотрудник, который всегда и во всем стремится показать свою важность? Можете сколько угодно называть его амбициозным, но если он имеет отношение к конфиденциальной информации или тем более к безопасности ваших данных – ждите беды. То же самое с теми, кто считает себя выше установленных правил и рамок.
Любая безопасность – это, прежде всего, дисциплина и ответственность.
Итак, из всего, что я тут написал, вы можете сделать следующий вывод:
• защита ваших данных – процесс не только (и не столько) технологический, сколько – организационный;
• этот процесс не требует особо больших затрат и существенного расширения штата;
• главное – это организованность, компетентность, дисциплинированность и ответственность всего персонала, начиная с главного руководителя.
