Мандруючи сайтами можна натрапити на багато статей, блогів, навіть анімацію щодо інформаційної безпеки. Чи це справді тема, яка потребує уваги і розуміння, чи просто розкручений хід для привернення уваги аудиторії?

Я сам багато років працюю в сфері інформаційної безпеки і розумію прикрість IT-спеціалістів, які не можуть знайти спільну мову з керівництвом та іншими співробітниками тільки через нерозуміння глобальності цього напрямку, а саме — інформаційної безпеки.

Ми всі старанно зберігаємо приватну інформацію. Кому з нас буде приємно бачити, що хтось риється в нашому телефоні чи ноуті? Впевнений, жодному з нас.

Для керівника підприємства інформація — це як гаманець зі скарбом, втративши який, можна втратити все. А яка ціна такого скарбу? Велика в будь-якому випадку. А головна проблема в тому, що цінність інформації, зазвичай, розуміють тільки після того, як відбувся витік. Причому  можливі як примітивні випадки, коли будь-який співробітник залишає десь робочий ноутбук чи телефон, так і професійні хакерські атаки.

Поширена хибна думка, що для протекції достатньо завантажити антивірус і вуаля — все під надійним захистом. Ні, не так все просто. А чи замислювалися ви, панове керівники, що інформаційна безпека — це величезний механізм, питання застосування IT-можливостей в якому — лише один з етапів захисту інформації. Це навіть не технічне питання, а швидше, ідеологічне. Тут підключаються політика про нерозповсюдження інформації, складання посадової інструкції, безперервної роботи з персоналом. Як мінімум, не забувати паролі та не залишати папірці з ними на відкритому столі. Просто, але це реальний факт недбалості працівників. Найголовніше — це розуміння теми керівником. Хоча б для того, щоб запросити правильних спеціалістів та грамотно спілкуватися з аудиторами.

Деякі компанії зіткнуться з сертифікацією pci dss, pa dss, стратегією р2ре. Ці питання ми розглянемо детально в найближчих випусках. Розуміння та правильна стратегія управління на цій важливій платформі збереже бюджет вашої компанії та зміцнить її позицію на ринку. Все у ваших можливостях!

Теми блогу:

• Вірусні листи
• Людський фактор
• ІT-департамент
• Соціальна інженерія
• Переживаємо "Маски-Шоу" (рейдерські вторгнення). Технічні рішення
• "Маски-шоу": законодавчі аспекти матеріал очікується
• Персональна відповідальність: документація матеріал очікується
• Робота з персоналом: тестування матеріал очікується
• Міжнародні стандарти. Сертифікація pci dss матеріал очікується
• Міжнародні стандарти. Сертифікація DA dss матеріал очікується

Напевно, немає людини, яка б не чула про електронні листи, що містять шкідливі файли, які псують роботу персонального комп’ютера чи взагалі уражають інфраструктуру компанії. Розглянемо детальніше цей багаторічний і досить дієвий спосіб загрози безпеки інформації.

Вірусні листи — це чи не найстаріший спосіб розповсюдження вірусів за допомогою вкладених файлів. Як правило, сам лист не є шкідливим, тобто не завдає шкоди під час відкриття. Від отримувача очікується додаткова дія — перейти за посиланням чи відкрити вкладений файл.

Користувачі набувають досвіду та вже розрізняють корисні листи і шкідливі, тому способи атакування теж вдосконалюються. Отже, порівняймо давнішні методи вірусного листування із сучасними:

Дуже поширений вид атак, коли в листі міститься посилання на той чи інший, здавалося б, безпечний ресурс. Але насправді в посиланнях є фейкові назви, які помітні неодразу. Таким чином ви потрапляєте на небезпечний сайт, який «захопить» всю інформацію, на яку був запрограмований.

Також часто використовують листи нібито від технічної підтримки з проханням підтвердити свій акаунт з посиланням на сайт. Алгоритм дій такий:
• ви потрапляєте на сайт, де підтверджуєте свій логін та пароль;
• на моніторі нічого не змінюється, ви думаєте, що нічого не відбулося. Насправді в цей час копіюються всі ваші персональні дані на комп’ютер атакувальника.

Варто зауважити, що одразу атакувальник може отримати доступ до багатьох сайтів жертви, адже користувачі здебільшого користуються одним і тим же своїм логіном та паролем (щоб не забути). Це стосується і таких платіжних шлюзів, як PayPal, iPay.

Для переконливості щодо ефективності цього способу ділюся з вами нещодавньою подією: більше 10 млн акаунтів TeamViewer було вкрадено саме таким чином. Отже, грабіжник отримав безконтрольний доступ до віддалених комп’ютерів усіх цих користувачів.

Ось ще приклад: ви отримуєте вітальний лист з пропозицією завантажити флеш-листівку, в якій, окрім вітання, міститься активний компонент. Він буде завдавати шкоди комп’ютеру в такий спосіб, на який запрограмував його креативний хакер.

Але найбільш небезпечними є вкладення. Причому такі програми, як Excel і Word містять макроси та активні компоненти, що вміють самостійно завантажувати будь-що з інтернету, передавати дані без відома користувача.

Часто використовуються засоби соціальної інженерії. Користувачі власноруч запускають шкідливий файл навіть попри попередження про загрозу антивірусної програми.

Нещодавно відбулася масова атака на HR-відділи компаній. Вірус-шифрувальник був вбудований в резюме. Він шифрував весь диск, не залишаючи ключів шифрування та не передаючи його третім особам. Як результат — неможливість відновлення інформації з носія. Дуже часто подібні віруси використовуються засобами соціальної інженерії.

Дам невелику рекомендацію: якщо ви не чекаєте від певного контакту вкладення, посилання, але воно надійшло, ніколи не клікайте на них. Тому що навіть візуально безпечний файл може заподіяти величезних збитків вашому підприємству (наприклад, в бухгалтерії — це рахунки, у відділі управління персоналом — резюме).

Фішингові листи — хитрий вид вірусних листів, які, на перший погляд, абсолютно безпечні. Це може бути як лист від ділового партнера, причому буквально «з середини» компанії, з використанням корпоративних символів в оформленні листа. Але при цьому там будуть міститися посилання на шкідливий контент.

Хакери вміло використовують свій креатив, тому варто знати інструменти протистояння вірусним атакам. Насамперед — потрібно проводити роз’яснювально-ознайомчу роботу з персоналом (тренінги), запроваджувати технічні засоби перевірки і вживати безпечні способи обміну інформацією, наприклад, аж до заборони вкладень при листуванні.

Будь-яка компанія, яка складається більше ніж з однієї особи — це колектив. Здорова атмосфера в колективі, в якої рівень довіри до співробітників сягає 100 % — це, звичайно, мрія, але, на жаль, нездійсненна. З ростом штату компанії відсоток довіри до колективу сягає нуля.

Багаторічний досвіт вказує на те, що кожна людина потенційно може винести інформацію з компанії, і це потрібно приймати як здійсненний факт. Які швидкі висновки можна з цього зробити? А такі, що кожен працівник має доступ до конфіденційної інформації в межах своєї компетенції та згідно зі своїми функціональними обов’язками.

Часто в компанії ніхто в цілому не знає, в якому обсязі інформація доступна працівникам. Щоб володіти ситуацією, повинна бути чітка структуризація  повноважень та контроль за доступом до інформації.

Найпростіша річ — людські взаємовідносини — є прямою причиною витоку інформації (дружба колег з різних департаментів). Що ж робити? Ну, звичайно, сварити колег між собою — аж ніяк не вихід. Натомість кожен керівник має підписати з підлеглими договір про нерозголошення інформації.

У великих компаніях з персоналом працює HR-відділ, у невеликих (до 10 працівників) ініціатором договору може виступати керівник компанії.

Оскільки ми живемо в період процвітання IT-технологій, каталізатором збереження інформації є IT-департамент. А тому лояльність до компанії з боку працівників, відповідальних за збереження інформації, повинна бути на першому місці. Адже немає нічого гіршого за те, коли адмін, який звільнився через власні непорозуміння з керівництвом, розкладає «пасхальні яйця» (зливає інформацію). Часто буває, що керівництво не асоціює адміністратора системи з людиною, яка повністю володіє технічною інформацією. Але при цьому кожен працівник може винести дані, до яких у нього є доступ.

Важливо знайти тонку межу між захистом інформації та комфортом співробітників в офісі. Чим більше закритої інформації, тим більший дискомфорт та навпаки. Парадокс, що вирішується компромісом у взаємовідносинах керівництва з підлеглими.

Розумний підхід, коли доступ до найбільш важливої інформації розподіляється між колегами. Навіть може бути розподілений пароль доступу. Такі вимоги компанії, звичайно, повинні компенсуватися гарним ставленням до підлеглих та забезпеченні максимально комфортної атмосфери на роботі.

Можливо, якісь керівники зі мною не погодяться та оберуть шлях тотального контролю. Але тоді потрібно бути готовими до накладних витрат та зниження продуктивності праці.

Як правило, безпека не підвищується лінійно з вкладеними у неї коштами. Кожен керівник має для себе вирішити, в який момент настає баланс між вартістю та достатністю безпеки.

Стартовий аудит просто необхідний для розуміння ситуації. Головне, щоб він проводився зовнішньою незалежною структурою. Але це окрема тема :)

Тема здається зрозумілою: безпека інформації, тож  наймаємо айтішника, хай працює. Проте захист інформації — це не стільки технічне питання, скільки адміністративне. І ніхто інший як керівник, повинен бути обізнаний в цьому.

Розумне керівництво має не тільки контролювати якість роботи свого сисадміна, а й інвестувати в його кваліфікацію. Так, саме інвестувати. Тому що «якісний» IT-спеціаліст повинен постійно вдосконалюватися, адже прогрес на місці не стоїть і хакерські атаки також вдосконалюються.

А от в підході до загальної безпеки, потрібно не тільки опрацьовувати технічні аспекти захисту даних, а й прописувати алгоритми та правила для працівників підрозділів компанії.  Абсолютно різних правил для кожного відділу бути не може. Потрібно розробляти загальні правила з деякими нюансами, беручи до уваги специфіку роботи кожного відділу. Між підрозділами повинен бути встановлений постійний зв’язок.

Чим кваліфікованіший IT-спеціаліст, тим більше додаткових засобів безпеки він пропонує, наприклад, алгоритм письмового підтвердження права доступу працівника до даних.

У великих компаніях працює цілий відділ IT-спеціалістів. Але на малих підприємствах керівники не вважають за потрібне брати більше одного працівника цієї сфери. Все ж потрібно мати як мінімум двох фахівців та розподіляти між ними обов’язки з інформаційної безпеки. Наприклад, один фахівець технічно забезпечує безпеку даних, інший бере на себе контроль за цим процесом.

Багато керівників (власників) вважають занадто витратним вкладання в інформаційну безпеку. Це хибна позиція, адже кваліфікація IT-працівників, їх кількість — це не витрати, а інвестиція. Якісний підхід до цього питання забезпечить збереження прибутку компанії у великих масштабах. І саме цю ініціативу має впроваджувати керівник (власник), а не працівник IT-департаменту.   

Контроль за безпекою периметру — це не разова акція, а регулярна практика. Протоколи повинні прописуватися заздалегідь. Тобто адміністративної роботи ані трохи не менше, ніж технічної. Отже, хочете безпеку — вмійте нею керувати.

А головною персоною є людина, яка займає позицію контролера інформації. Адже він має абсолютний доступ усюди. До такої людини повинна бути лояльність керівництва. Але разом з тим і великі вимоги. Нема нічого страшнішого за працівника, який звільнився та прихопив з собою великий шмат інформації. Авгієві конюшні можна чистити довго :)

Сьогодні зануримося в одну з найцікавіших тем. Тому що вона найменше пов’язана з ІТ-технологіями. Та-дам: соціальна інженерія. Гарна назва? Так! Соціальна інженерія поєднує низку методів управління людьми без (!!!) використання технічних атрибутів. Так, це професійна психологія. Хакери, які працюють на злам систем методами соціальної інженерії є першокласними знавцями людської психології.

Все, що людина пише та каже онлайн, може бути використане проти неї. Великі платформи, такі я к Google, Facebook і подібні стежать за нами всіма цілодобово. Але люди часто полегшують роботу мережам, буквально добровільно видаючи цінну інформацію (про приватне життя, звички, роботу). Отримуючи цю інформацію, зламщики можуть відстежити подробиці життя людини аж до розкладу дня.

Відштовхуючись від найдрібніших деталей про людину, можна «ввімкнути» прикладну психологію та прорахувати, з якого боку до людини легше «підкачуватися». Це може бути «випадковий дзвінок», досить переконливий електронний лист чи «випадковий» друг в соцмережі, який просто повинен «підштовхнути» людину на контакт.

Як правило, від жертви вимагають надати інформацію або жертва повинна зробити якісь кроки, що призводять до втрати інформації чи до можливості проникнення в захищений периметр. Чим більше інформації є про жертву, тим простіше та багатовекторніше можна проводити атаку. За приклад можна взяти електронні листи з банку, служби технічної підтримки. Причому зміст листа, все формулювання, дизайн листа буде такий самий, як оригінал. І це все для того, щоб у людини не виникло зайвих питань. Класичний приклад соціальної інженерії — дзвінки з неіснуючими акціями з проханням назвати код картки для поповнення рахунку.

Дуже легко можна вплинути на людину, щоб витягнути інформацію, коли вона на відпочинку (тобто в розслабленому стані, не дуже пильна і не зібрана, як зазвичай). Спонтанний дзвінок з проханням підказати пароль може застати зненацька будь-кого. Велике вітання всім, хто полюбляє чекінитися в аеропортах, ресторанах, готелях та клубах.  Посміхніться, вас викрили ;).

Елементом соціальної інженерії можна сміливо назвати лінь. Саме через неї користувачі встановлюють однаковий, причому часто дуже примітивний, пароль на різні акаунти. Включаючи платіжні шлюзи. Це апріорі ласий шматочок для зламщиків. Ви допомагаєте їм навіть не усвідомлюючи цього. Google якось склав рейтинг найрозповсюдженіших паролей. Сумно, що тисячі користувачів намагаються такими паролями зберегти дуже цінні дані.

Треба завжди пам’ятати, що IT-технології — лише інструменти в руках профі з соціальної інженерії.
Як засіб протидії більш ефективними будуть не стільки технічні, скільки соціально-психологічні. засоби. Проінформований — озброєний. Тренінгами для профілактики можуть бути фітингові листи. А ля навчальна тривога. Це ефективно налаштовує людей на уважність при збереженні даних. Проінформованість, додатковий інструктаж, власний мозок тощо допомагають подолати масу спроб атак за допомогою соціальної інженерії.

Незважаючи на те що «міліцію» перейменували в «поліцію», їх методи та підхід до справ не змінилися. Отже, «маски-шоу» можуть влаштувати з будь-якого приводу. Від цього ніхто не застрахований: ані великі, ані малі компанії. Тому правилом гарного тону вважається робота на випередження (якби через місяць вони з’явилися). Це означає, що все, що містить важливу інформацію про роботу, має бути винесене за територію України та сховано так, щоб рішенню суду знайти зв’язок між вашою компанією та даними було максимально складно.
Ця тема дуже болісна абсолютно для всіх. Тому без зайвих відволікань просто назву обов’язкові дії, які потрібно чинити для запобігання викрадення інформації.

Готувати потрібно не тільки технічну частину, а й персонал

Люди повинні знати такі елементарні базові речі, як запаролені комп’ютери: покидаючи робоче місце, комп’ютер потрібно блокувати, інформацію потрібно зашифровувати. Тому що конфісковану інформацію практично неможливо потім повернути назад. Вся критично важлива інформація повинна бути перенесена чи в «хмару» або винесена за межі офісу. При наявності претензій до виробництва, проводиться клонування системи. Працюють з системою на місці, але існує актуальна репліка в «хмарі». Доступ до ключів шифрування дисків має бути поза офісом.

Допити

Не треба забувати, що під впливом грубої фізичної сили будь-який адміністратор видасть всю інформацію. Так, мова йде про допити, які, на жаль, все ще актуальні в наших реаліях. Як мінімум три людини  повинні мати знання та вміти вчасно вимкнути критичну інфраструктуру, яка містить інформацію. Коли адмін. за наказом генерального директора передасть паролі правоохоронним органам, вони не повинні підібратися ні до чого. Всі співробітники повинні бути готовими та проінструктованими. Вкрай важливо переконатися, що всі дані вилучаються за межі офісу. Тому що після набігу компанія повинна мати можливість продовжувати обслуговувати клієнтів, інакше вона збанкротує. І ось тут якраз знадобиться «хмара», яка міститиме заздалегідь збережену інформацію.

Адміни повинні надати можливість термінальним сесіям віддаленого доступу для неперервної роботи. Там піднімається вся необхідна для функціонування фірми інфраструктура. Це є допомогою для безперебійної роботи. Будьте пильними!