Новости

Эксперты: Ошибки и невнимательность — одна из основных причин атак и взломов

Сегодня мировой рынок решений в области информационной безопасности оценивается примерно в $150 млрд, а уже к 2022 году он, предположительно, может вырасти до $225 млрд

Тема информационной безопасности (ИБ) не теряет актуальности на протяжении многих лет, и в уходящем году с ней так или иначе была связана большая часть новостей из сферы IT.

Рынок решений в этой области год от года растет как технологически, так и финансово. По оценкам, представленным в ходе недавно состоявшейся тематической конференции Profit Security Day, сегодня мировой рынок решений в области информационной безопасности оценивается примерно в $150 млрд, а уже к 2022 году он, предположительно, может вырасти до $225 млрд.

Итоги года: от Wanna Cry до PetyaA

Однако рост финансирования и появление новых технических решений не спасают от кибератак, и под прицелом злоумышленников все чаще оказывается бизнес. Согласно выводам экспертов, свыше 60% специалистов в области информационной безопасности считают атаку на их компанию делом времени, а общий экономический ущерб, нанесенный глобальной кибератакой, может превысить $50 млрд. Что касается результатов конкретных инцидентов, то потери от атаки Wanna Cry составили $1 млрд (Казахстан вошел в ТОП-15 стран по уровню ущерба, нанесенному данной атакой), а потери от атаки Petya-A превысили $850 млн, при этом большая часть заражений пришлась на Украину.

Как отмечает специалист по продажам в области сетевой безопасности компании Cisco Владимир Илибман, своего рода инновацией года в области кибератак стало использование злоумышленниками внутренних каналов доставки зловредов. «В случае с той же атакой Petya-A злоумышленники использовали шифровальщика и червя, чтобы обеспечить быстрое и масштабное заражение, а в качестве канала доставки зловреда в организацию — бухгалтерское ПО, которому доверяли все сотрудники. Мы не знаем, какие угрозы ждут нас, например, с развитием интернета вещей. Возможно, в шутке о том, что «умный» холодильник, зараженный шифровальщиком, не откроется, пока не получит денег, содержится лишь доля шутки, ведь увеличение площади атаки увеличивает площадь риска», — утверждает г-н Илибман. В большой компании всегда будут взломы, отмечает эксперт, но создание надежной цепи, объединяющей технологии, отлаженные процессы и компетентных сотрудников, может сделать последствия этих атак менее болезненными.

Люди, которые не соблюдают правила

В современном мире, считает эксперт по информационной безопасности, главный редактор Ассоциации по вопросам защиты информации Олег Седов, все подвержены киберугрозам. В свою очередь, все, независимо от уровня технологической готовности к отражению этих угроз, находятся в зависимости от человеческого фактора, вследствие которого происходит более половины инцидентов в сфере ИБ.

В ряде европейских государств причиной серьезных инцидентов, связанных с утечкой данных госслужащих, оказалась элементарная забывчивость: чиновники забывали в кафе, аэропортах и других местах общего пользования флэшки или ноутбуки, хранившиеся на которых данные позже становились добычей киберпреступников. «Влияние человеческого фактора обусловлено тем, что люди не любят соблюдать правила, и задача специалистов в сфере информационной безопасности — объяснить, почему эти правила важны. Абсолютной безопасности не существует, и тот, кто верит, что волшебным образом можно защититься от всех угроз, ошибается; можно говорить лишь о вероятности и компромиссах. Людям, в том числе специалистам в области информационной безопасности, свойственно ошибаться, но чем лучше построена система контроля, информирования, тем меньше вероятность ошибок. Любые действия, направленные на снижение угрозы, повышают безопасность», — уверен Илья Борисов, менеджер по информационной безопасности по странам СНГ международной компании Thyssenkrupp Industrial Solutions.

Компании могут использовать дорогостоящие системы предотвращения вторжений и защиты периметра, но все инвестиции в информационную безопасность не принесут результата в случае некомпетентных действий сотрудников. Напротив, осведомленные и бдительные работники могут информировать об угрозе раньше, чем это сделает система. По словам экспертов, 90% фишинговых писем обнаруживают сами пользователи, информирующие руководство компаний об угрозах раньше, чем дорогостоящие системы. Старая истина «осведомлен — значит, вооружен» на 100% оправдывает себя применительно к информационной безопасности, и не случайно во многих корпоративных стандартах сегодня появились требования, касающиеся повышения осведомленности сотрудников об угрозах в области ИБ. Построение системы защиты, базирующейся на компетентности пользователей, заложено в основу востребованных сегодня программ Security Awareness. Одна из основных задач таких программ заключается в том, чтобы информационная безопасность дошла до каждого, чтобы каждый сотрудник, включая руководство, осознал цену невнимательности, осознал, что угрозы и таргетированные атаки — это серьезно. Когда речь идет о защите от кибератак, позиция руководства и его готовность следовать установленным правилам имеет определяющее значение, и пока первые руководители не торопятся следовать установленным в компаниях запретам на использование мобильных устройств или флэш-носителей, говорить о внедрении культуры ИБ сложно.

В вопросах информационной безопасности первые руководители многих компаний придерживаются, по выражению заместителя генерального директора Первого кредитного бюро Андрея Воякина, «милицейской» точки зрения: если за несколько лет не произошло никаких инцидентов, значит, служба ИБ не работает. Ситуация, когда руководство компании не осознает значения служб информационной безопасности, а сотрудникам этих служб не хватает квалификации, чтобы восполнить пробелы в знаниях начальства, встречается не так уж редко. Практика показывает, что предприятия всерьез задумываются над вопросами ИБ (и то не всегда), лишь почувствовав непосредственную угрозу. До тех пор вопрос предотвращения кибератак и защиты данных возникает лишь теоретически, а поскольку с правовой точки зрения эта область недостаточно урегулирована, то и о безопасности можно говорить условно.

Как в Европе

Ситуация может измениться после того, как в ЕС заработает норма GDPR, которая придет на смену ныне действующей директиве о защите персональных данных от 1995 года, которая никак не регулировала вопросы кибербезопасности. Новый документ, рассказала эксперт по цифровой безопасности в СНГ компании Microsoft Дарья Брашкина, является самой свежей и прогрессивной юридической разработкой, которая изменит подход компаний к защите персональных данных своих сотрудников. Если существующие локальные законодательства разработаны на базе ныне действующей директивы, то и норма GDPR станет новым образцом для подражания.

По словам Дарьи Брашкиной, GDPR предполагает больший набор прав для граждан как субъектов персональных данных. «Предполагается, что резидент ЕС в любой момент сможет получить доступ к своим данным, удалить или изменить их, понять, для чего их обрабатывают. Оператор этих данных обязан будет в течение 72 часов уведомить субъекта о любом происшествии в отношении этих данных или об атаке. GDPR диктует и новые требования к внутренним политикам, они должны быть более подробными, четкими и прозрачными», — отмечает эксперт. Новая норма носит экстерриториальный характер, и казахстанские компании, работающие с персональными данными субъектов ЕС, должны будут построить систему защиты, функционирующую в рамках GDPR — это требование распространяется на компании, имеющие офисы в Евросоюзе, или работающие дистанционно, и несоблюдение повлечет серьезные штрафы. «Если компания не может предоставить такой защиты, если права гражданина ЕС в области обработки личных данных будут нарушены, штраф составит 10 млн евро или 2% от общей выручки компании за один случай нарушения. Это не только финансовые потери, но и репутационные риски, даже если у компании нет активов в Европе», — рассказывает г-жа Брашкина. Хотя GDPR вступит в действие весной следующего года, крупные компании переходят на новую норму уже сегодня, чтобы впоследствии не столкнуться с проблемами при обработке данных клиентов.

Создание системы защиты, соответствующей требованиям новой европейской нормы, потребует финансовых вложений, технологической подготовки, объединения усилий участников рынка, и готовиться к предстоящей работе в условиях грядущей реальности необходимо уже сегодня.