Новые киберугрозы для бизнеса
Экспертное мнение
Ежегодно специалистами проводятся исследования в области киберугроз и их опасности для бизнеса. Год от года эти киберугрозы только растут. При этом многие считают, что целевые атаки являются проблемой лишь крупных компаний, особенно тех, которые обеспечивают работу особо важных для страны объектов инфраструктуры. Но ведь абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников, поэтому в действительности мишенью злоумышленников может оказаться любая организация.
Ни для кого не секрет, что защита информации зиждется на трех китах — конфиденциальности, целостности и доступности. Причем работа любой организации в настоящее время сопряжена как с работой на корпоративных ресурсах, где хранится часто конфиденциальная информация (КИ), так и с использованием BYOD-устройств*, где также хранится КИ. Электронная почта, облачные сервисы, сайт-компании — основные атрибуты современного бизнеса любого уровня. Все это — объекты для злоумышленников. Сами угрозы из года в год трансформируются, приобретая новые формы исполнения. Это и так называемые «зловреды» (вредоносное ПО), и DDOS-атаки, отказ в обслуживании, незакрытые уязвимости в приложениях (JAVA-уязвимости, Adobe Reader).
Так, по последним данным, в мире 91% компаний сталкивались с киберугрозами за последние 12 месяцев. Причем 48% считают киберугрозы одним из трех наиболее значимых рисков для бизнеса. При этом все равно можно утверждать, что на сегодняшний день абсолютное большинство компаний недооценивают масштабы современных киберугроз. Так, например, в 2013 году «Лаборатория Касперского» провела опрос среди крупных компаний о частоте появления новых вредоносных программ. Близкую к реальным показателям оценку дали лишь 4% опрошенных, в то время как около 95% занизили цифру. А между тем ежедневно в мире появляется около 200 тыс. вредоносных программ.
Руководствуясь только этими данными, сложно дать объективную оценку готовности компаний к защите от инцидентов информационной безопасности. Тем не менее адекватная оценка уровня угроз может оказать серьезное влияние на решения, которые компания принимает при выборе средств для защиты своей IT-инфраструктуры. Действительно, антивирусная защита — наиболее распространенная мера для обеспечения информационной безопасности IT-инфраструктуры в компаниях любых размеров по всему миру. Но это далеко не всё.
Сегодня, например, большинство современных компаний хранят свои данные в «облаке», что позволяет значительно экономить средства. Плюс такого хранения также в том, что это дает гибкость для работы с данными (доступ в любое время из любой точки мира и с любого устройства), но и мишенью злоумышленников облачные сервисы становятся всё чаще. Необходимо понимать, что организации могут использовать сторонние ресурсы для обработки и хранения информации, но все равно продолжают нести полную ответственность за свои данные.
«Облака» подвержены широкому спектру атак: подмена метаданных, wrapping attack, вредоносные инъекции в код, вредоносные инъекции в базы данных, межсайтовый скриптинг, DDoS-атаки и DNS-атаки. Особенно облачные сервисы чувствительны к DDoS-атакам. Атаки на отказ в облуживании — это возможность сделать компьютерные ресурсы недоступными для пользователей, для которых они предназначены. Достаточно сложно отличить легитимный трафик от нежелательного. Определение и фильтрация атак — это достаточно весомая задача в такой среде, как облачные вычисления, где все виртуализировано. Нет ни одной технологии, которая полностью может отфильтровать DDoS-атаку. Если системы провайдера услуг будут взломаны и произойдет утечка информации, то ответственность за утрату данных будет лежать на компании. Следовательно, предприятия должны оценивать потенциальные риски хранения данных на стороне точно так же, как если бы они хранили данные в пределах собственной IT-инфраструктуры. Одно из самых немаловажных значений имеет фактическое местонахождение серверов, на которых хранятся данные организации, и соответствующая юрисдикция, под которую они при этом подпадают.
Также на безопасность бизнеса серьезно влияет растущая популярность смартфонов. IT-службам теперь приходится обеспечивать безопасность разнообразных устройств в составе корпоративной сети: ПК, ноутбуков и смартфонов различных моделей. Проблема усугубляется тем, что многие сотрудники используют одно и то же устройство как в личных, так и в рабочих целях — тенденция BYOD (Bring Your Own Device). В связи с этим утеря мобильного устройства и хранящихся на нем данных грозит серьезными последствиями не только для самого владельца смартфона, но и для организации, в которой он работает. Речь идет об утечке конфиденциальных данных, а также возможном ущербе для репутации компании. Таким образом, потенциальные риски связаны не только с угрозами, исходящими от вредоносных программ, но и с возможной утечкой данных в результате утери или кражи мобильного устройства сотрудника. Несомненным преимуществом компании МТС было внедрение сервисов безопасности для абонентов, а именно — антиDDoS, «Родительский контроль», «Чистый интернет», управляемые межсетевые экраны, managed VPN, антивирус, антиСПАМ, антиФРОД и т.п. Принятие превентивных мер на собственных или корпоративных смартфонах сегодня играет немаловажную роль. Необходимо формирование зоны безопасности вокруг каждого сотрудника, независимо от того, откуда и с какого устройства он работает. А защитные инструменты, используемые в организации, должны быть достаточно гибкими для успешного применения такой политики «индивидуальной защиты».
Не сделаю открытие, если скажу, что современные угрозы в высшей степени сложны. Однако часто целевая атака начинается с обмана и втирания в доверие к конкретному сотруднику той или иной компании, что сразу ставит под угрозу всю компанию. Киберпреступники часто собирают необходимую им информацию в соцсетях, а затем используют ее, чтобы проникнуть в корпоративную сеть, зная о наличии конкретных барьерных методах защиты. Социальная инженерия процветает активно, сотрудники просто не осознают существующую опасность, а это значит, что человеческий фактор активно процветает и при постановке вопроса о киберугрозах. Данный фактор обязательно нужно учитывать при формировании стратегии ИБ. А начинать нужно с повышения осведомленности сотрудников в вопросах информационной безопасности.