Не секрет, что каждое предприятие имеет свои особенности и специфику деятельности. Под них адаптировано управление, кадровая политика, юридическое и бухгалтерское сопровождение. Поэтому неудивительно, что и политика информационной безопасности учитывает эти особенности и подстраивает свой инструментарий под каждую отрасль и отдельное предприятие. Предлагаем сегодня вместе с аналитиками Falcongaze исследовать тему «Правила информационной безопасности на предприятии».
Информация на предприятии представлена в виде большого пула данных о бизнес-процессах, сотрудниках, партнерах, бухгалтерской, юридической, финансовой отчетностей, внутренних и внешних коммуникаций, инновационной деятельности и так далее. Все эти данные имеют свою ценность для компании, а значит, и для конкурентов или мошенников, которые будут предпринимать разнообразные попытки воздействовать на эту информацию или получить ее. Необходимо прибегать к инструментам защиты своих данных и устанавливать правила информационной безопасности на предприятии.
Причинами для внедрения правил безопасности на предприятии являются:
Необходимость защиты коммерческой информации от утечки, кражи, изменения, подделки.
Необходимость защиты бизнес-процессов от стороннего внедрения и воздействия.
Необходимость защиты продукции/услуг и их качества.
Необходимость защиты конституционных прав на сохранность персональных данных сотрудников.
Необходимость исполнения внутригосударственных и международных требований по обеспечению информационной безопасности и др.
Каждая отрасль и административная единица на предприятии обладают своими индивидуальными характеристиками. И универсифицированный подход ко всем объектам не обеспечивает достаточный уровень управления безопасностью данных. Необходимо учитывать риски, характерные для конкретных областей, и адаптировать инструменты защиты к ним.
Рассмотрим на примере DLP-системы. Подход к настройке политик безопасности и отчетов для сотрудников отдела маркетинга и сотрудников отдела кадров будет разным. Так, частое использование социальных сетей для маркетолога — это не инцидент безопасности, а производственная необходимость. При этом в мониторинге активности сотрудников отдела кадров эти действия уже расцениваются как нарушение трудового распорядка. И ситуация наоборот: использование сайтов для поиска работы в отделе маркетинга — повод задуматься о лояльности сотрудников, а в отделе кадров — стандартный инструмент для найма.
Рассмотрим правила информационной безопасности для различных функциональных областей.
Работа в офисе — все еще популярная модель организации трудового коллектива и размещения сотрудников, даже несмотря на обилие дистанционных решений. Такой подход обеспечивает большую оперативность управленческих и производственных решений, готовность коллектива к быстрым действиям и сплоченность вокруг профессиональных задач. К офисным сотрудникам относятся работники юридического отдела, бухгалтерии, отдела управления кадрами, разработчики программного обеспечения, менеджеры проектов, бизнес-аналитики, дизайнеры, системные администраторы и так далее. Возможны и другие варианты специальностей, которые чаще всего работают в офисе.
Какие риски информации могут возникнуть в действиях офисных сотрудников?
Инсайдерская атака или утечка конфиденциальной информации.
Риск внедрения вредоносного ПО.
Риск получения доступа к персональной информации через рабочую станцию.
Атака со стороны конкурентов.
Фишинг.
Ошибки из-за человеческого фактора и так далее.
Офисные сотрудники являются удобной целью для воздействия, поскольку имеют доступ к критичной информации предприятия: финансовой и бухгалтерской отчетностям, стратегическому планированию, информации о продажах и инструментах продвижения товара, технологическим ноу-хау, инновациям и др.
Основные способы защиты информации, которые применяются для работников офиса, представлены ниже.
1. Своевременное информирование. Уполномоченные сотрудники должны своевременно проводить мероприятия по обучению и актуализации информации об инструментах защиты пользователей корпоративной сети.
2. Создание эффективной системы идентификации сотрудников в корпоративной сети. Логины и пароли должны быть уникальными для каждого сотрудника офиса, периодически обновляться, никогда не передаваться другим пользователям.
3. Разделение корпоративной и личной почты, мессенджеров, социальных сетей. В целях обеспечения защиты коммерческих данных сотрудникам нельзя использовать личные аккаунты для передачи информации, ведь невозможно гарантировать сохранность и безопасность своих аккаунтов.
4. Применение правил цифровой гигиены. Отказ от необдуманного серфинга в интернете и посещения сомнительных сайтов, минимизация переходов по ссылкам.
5. Отказ от использования облачных сервисов для хранения критичной информации, отчетности для минимизации вероятности утечки данных из-за взлома облачного сервиса.
6. Повышение осведомленности о фишинг-атаках и обучение распознаванию этих атак.
7. Реализация инструкции по обращению с печатными носителями информации и их утилизации.
8. Использование двухфакторной авторизации для сотрудников, которые обладают доступом к чувствительной и критичной для бизнеса информации.
9. Архивирование и отчетность для информации за предыдущие периоды.
10. Обеспечение внутренней и внешней коммуникации по официальным каналам связи, передача данных только после официального запроса и т. д.
Эти доступные правила существенно укрепят контур безопасности и сократят риски утечки конфиденциальной информации компании.
Современная компания использует услуги удаленных сотрудников, что стало особенно актуальным в последнее пятилетие. Работодатель получает дополнительные плюсы от дистанционного сотрудника — повышенную лояльность, привлечение высококвалифицированных кадров, международного опыта, снижение затрат на оборудование и офисное обеспечение, минимизацию больничных листов и так далее. Однако вместе с лояльностью возникает и дополнительная нагрузка на информационную безопасность компании, ведь удаленный сотрудник должен быть обеспечен надежным каналом связи и безопасностью информационного оборота.
Какие риски информации могут возникнуть в результате удаленного формата работы?
Фишинг. Популярная проблема при работе дистанционно, т. к. сотрудник может снизить внимание и осторожность при работе вне офиса и стать жертвой мошенников.
Обмен файлами через незашифрованные сервисы (почтовые службы, мессенджеры).
Проблема с паролями, слабая защита. Сотрудники на удаленке могут допустить несанкционированное подключение к своему аккаунту из-за ненадежного пароля, который нетрудно взломать. К таким паролям относятся простые наборы цифр, букв, имена и даты рождения.
Небезопасное интернет-соединение. Сотрудник может использовать общедоступные сети Wi-Fi или домашние сети, которые сами по себе являются источником распространения вредоносного ПО.
Социальная инженерия. Дистанционные сотрудники подвержены большему давлению с помощью инструментов социальной инженерии, поскольку мошенники могут выполнить таргетированную атаку на пользователя благодаря возможности доступа к персональным данным и личной информации сотрудника. К тому же здесь также влияет большая восприимчивость из-за внешней среды и отвлечение на внешние факторы.
Опыт взаимодействия с дистанционными сотрудниками для компании крайне полезен, даже если сейчас в планах нет вывода своих сотрудников на такую форму работы. При этом необходимо понимать, какие инструменты и методы обеспечения безопасности информации в компании станут полезными и действенными для удаленных работников.
Для безопасности информации в этом случае можно использовать:
1. Усиление сетевой безопасности через VPN-подключение для незащищенных домашних сетей.
2. Оборудование компании для того, чтобы сотрудник не использовал личные устройства в работе и не подвергал риску безопасность информации компании. К тому же оборудование компании будет с установленным заранее актуальным софтом для безопасности: антивирусами, безопасными приложениями для обмена файлами, общения и видеоконференций.
3. Сервисы для проверки ссылок на фишинг. Перед переходом по ссылке для подключения к конференции лучше проверить ее на фишинг с помощью специального приложения.
4. При использовании устройств сотрудника перед началом работы необходимо обновить программное обеспечение, антивирусы до последних версий. Разработчики ПО в обновлениях кроме расширения функционала обновляют и протоколы защиты, что укрепит контур безопасности информации.
5. Установка DLP-системы. Это программное обеспечение создаст надежную защиту от утечек данных, а также обеспечит мониторинг эффективности рабочего времени удаленного сотрудника.
Объемная и интересная тема для исследования, особенно в разрезе информационной безопасности, поскольку производство не всегда оценивается как источник информации. В то же время для информационной безопасности на предприятии существует множество рисков:
1. Кибератаки с помощью вредоносного ПО. Вирусы, DDoS-атаки, трояны, шпионские программы могут проникнуть в производственные системы и нанести ущерб данным и оборудованию.
2. Злоупотребление, ошибки и халатность при физическом доступе. Сотрудники могут намеренно или случайно использовать свои полномочия для несанкционированного доступа к информации. Или сработает человеческий фактор, включающий случайное удаление данных или неправомерное обращение с информацией.
3. Физические угрозы. Сюда можно отнести кражи, подмену и вандализм с оборудованием предприятия, которое может являться источником информации.
4. Природные катастрофы, стихийные бедствия, которые могут повлиять или уничтожить физические носители данных и оборудование, тем самым нарушив производственные процессы.
5. Технические сбои, отказ оборудования и программного обеспечения. Примером такого риска на предприятии может являться отказ серверов, жестких дисков и другого оборудования, а также отключение интернет-сообщения, электричества, блокировка программного обеспечения, что может привести к отказу средств защиты, повреждению систем и потере данных.
6. Отсутствие или недостаток резервного копирования. Утрата данных из-за отсутствия актуальных резервных копий.
7. Ошибки в программировании и устаревшие версии ПО. Баги и уязвимости в программном обеспечении из-за устаревшей версии могут негативно повлиять на информационную безопасность и использоваться злоумышленниками для атак.
9. Проблемы с подрядчиками и поставщиками. Недостаточный контроль за информационной безопасностью у подрядчиков и поставщиков может привести к утечкам данных или кибератакам.
Производственные процессы управляются специализированным программным обеспечением — системами управления производственными процессами (ICS, SCADA). Поэтому основные атаки, как и основная защита, должны быть сконцентрированы на этих объектах. Можно применять следующие средства защиты информации.
Защиту промышленных систем управления (ICS/SCADA). С помощью разделения сетей информационных и операционных технологий, создания зон безопасности с межсетевыми экранами между этими сетями.
Ограничение физического доступа и видеонаблюдение. Эффективно также применение ограничения и контроля доступа сотрудников к системам управления, с закреплением персональной ответственности. Плюс к контролю доступа многие компании дополнительно устанавливают системы видеонаблюдения, чтобы осуществлять мониторинг среды в режиме нон-стоп.
Мониторинг и поиск аномалий. Постоянный мониторинг сетевого трафика и логов в системах управления производством обеспечит своевременное обнаружение аномалий и подозрительной активности, которые, в свою очередь, являются признаками риска для безопасности.
Резервное копирование и защита данных. Для защиты чувствительной информации о производственных процессах возможно применение шифрования данных для их дальнейшего хранения и передачи. Это обеспечит доступность и конфиденциальность процессов обмена информацией. А резервное копирование сохранит данные на случай критического инцидента безопасности.
Регулярное обновление программного обеспечения и операционных систем на всех производственных устройствах обеспечивает использование актуальной защиты от уязвимостей, предложенное поставщиками ПО.
Специальное обучение сотрудников по вопросам безопасности производственных систем, включая правила работы с оборудованием и ПО, а также регулярные тренировки по действиям в случае инцидента безопасности позволят подготовить сотрудников и минимизировать человеческий фактор в программно-информационном обеспечении производства.
Риск-менеджмент. Менеджмент на производстве должен учитывать риски информационной безопасности и составлять четкие инструкции по реагированию на инциденты, в том числе кто и в каком порядке выполняет все действия по реагированию на риск ИБ.
Контроль сторонних поставщиков. Для минимизации негативного воздействия на информационную безопасность предприятия необходимо обеспечить проверку соблюдения стандартов безопасности сторонними поставщиками и подрядчиками, которые непосредственно участвуют в производственных процессах.
Политика использования мобильных устройств. При использовании личных мобильных устройств в производственных зонах могут возникнуть риски информационной безопасности. Поэтому предприятие должно ограничить использование таких устройств. Например, с помощью MDM (Mobile Device Management) для контроля и защиты мобильных устройств, используемых в производственных процессах. Это специализированное технологичное решение по централизованному управлению смартфонами, планшетами, ноутбуками и другими типами мобильных устройств, которые используются в производстве, а также личными устройствами, которые могут иметь доступ к корпоративным данным.
Рынок информационной безопасности сегодня достаточно насыщен специализированным оборудованием и программным обеспечением, которое может использоваться для защиты информации. Основной задачей для компании выступает создание оптимального комплекса аппаратных и программных инструментов, которые обеспечат максимальную защиту данных. Примерами элементов такого комплекса защиты могут являться следующие системы.
SIEM-системы (управление информацией и событиями безопасности) — это комплексный подход к управлению информацией и событиями безопасности в организации. SIEM-системы объединяют функции управления событиями безопасности (Security Event Management, SEM) и управления информацией о безопасности (Security Information Management, SIM) в одной платформе и выполняют функции сбора данных, корреляции, мониторинга, оповещения о событиях безопасности, составления отчетности и анализа.
IDS (система обнаружения вторжений) — это система, предназначенная для выявления несанкционированного доступа или аномальной активности в компьютерной сети или на отдельных устройствах. Распространены два типа IDS: сетевая IDS (NIDS) для мониторинга сетевого трафика и анализа его на предмет подозрительных действий или известных атак и хостовая IDS (HIDS) на отдельных устройствах (хостах) для анализа журнала событий, системных файлов и сетевого трафика на наличие признаков атак или вредоносной активности.
Системы обнаружения вторжений используются для некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей). Положительно влияют на качество информационной безопасности как на предприятиях производственного характера, так и на другие организационные формы.
Пароли это кодовые идентификаторы, которые используются для подтверждения легитимности доступа в систему и использования конфиденциальных данных. А еще получение пароля злоумышленниками — это одна из частых проблем информационной безопасности не только на производстве, но и большинстве организаций разного типа. Основные риски возникают в системе ИБ из-за:
Использования неактуальных паролей. Сюда можно отнести простые пароли, которые легко подбираются даже вручную. Например, такие шаблонные связки, как 1122334455, qwerty, 12345! и так далее.
Использования паролей к корпоративным сервисам для авторизации на других ресурсах. Это может привести к утечке информации организации, если другой ресурс с тем же паролем взломали.
Нерегулярного обновления паролей. Специалисты ИБ советуют менять пароли для авторизации с периодичностью 90-120 дней в году, чтобы снизить риск утечки данных.
Отсутствия менеджмента управления паролями. Организация должна позаботиться о создании централизованного управления паролями и их обновлении, иначе этот процесс приобретает хаотичный характер.
Какие действия необходимо предпринять в организации для улучшения управления паролями:
Стандартизировать управление. Необходимо описать для сотрудников правила создания и обновления паролей, с подробными рекомендациями, что можно использовать, а какие фразы, темы, знаки не рекомендуются.
Отказаться от использования паролей второй раз. Сотрудники должны быть осведомлены о недопустимости повторного использования паролей, особенно для авторизации в личных аккаунтах.
Ввести график смены паролей и закрепить ответственных за это действие сотрудников.
Установить двухфакторную авторизацию, которая обеспечит дополнительное подтверждение доступа к конфиденциальным данным.
Управлять актуальным списком учетных данных. Необходимо синхронизировать процессы найма и увольнения сотрудников с доступами в контур безопасности предприятия для того, чтобы своевременно блокировать доступ в личный кабинет для уволенных и предоставлять доступ для принятых сотрудников и другие правила безопасности.
Современная компания нуждается в постоянном и безопасном интернет-соединении, ведь множество производственных процессов используют сеть для передачи команд и данных. И обеспечение компании безопасным Wi-Fi — одна из приоритетных задач специалистов, ведь незащищенная или минимально защищенная беспроводная сеть для передачи данных это легкая цель для хакера.
Какие риски могут возникнуть при использовании производственной Wi-Fi сети:
Риск внедрения сотрудников, не относящихся к производственной части, например, получение доступа к данным офисными сотрудниками.
Риск заражения сети, обслуживающей производство, вредоносным ПО. В этом случае могут пострадать все производственные процессы и устройства, подключенные к ней.
Риск внедрения извне. Если хакер использует возможности Wi-Fi сети по передаче или получении информации, ему достаточно находиться территориально рядом с предприятием — и даже не входить в его пределы.
Кроме стандартной защиты сети Wi-Fi паролем, организации могут использовать и другие средства обеспечения информационной безопасности на производстве. К ним относятся:
Разграничение сетевого доступа между производственной и офисной сетями. Для этого используются файерволы (межсетевые экраны, обеспечивающие сетевую безопасность путем контроля входящего и исходящего трафика).
Использование частных виртуальных сетей. Установка VPN-серверов для контроля прохождения данных и безопасного доступа между устройствами на производстве и веб-сетью.
Усложнение паролей доступа к Wi-Fi сети. Применяется тот же принцип, что был описан в пункте «Правила информационной безопасности для применения паролей». Предприятие должно использовать надежные пароли для подключения к Wi-Fi сети, обновлять, оптимизировать и не допускать утечки этих данных.
Серфинг в интернете может являться источником опасности для вашей информации. И это очевидно, ведь пользователи проводят большую часть времени в сети именно на многочисленных сайтах, профессионального или частного толка. Поэтому мошенники используют этот тип соединения для внедрения. Какие риски несет сетевой серфинг и использование интернет-браузеров:
Риск потери персональных данных. Фишинг с целью получения частной информации пользователя, финансовых данных — один из действенных инструментов внедрения в информационное поле.
Вредоносное ПО. Часто может загружаться в скрытом режиме вместе со скачанными данными. Может привести к потере конфиденциальной информации.
Риск потери финансовых данных: номер и код банковской карты, логины и пароли цифровых кошельков, бирж.
Какие правила безопасности действуют при использовании браузеров и сайтов? Рекомендуется:
Проводить регулярные обновления браузеров. Часто разработчики в обновлениях не только добавляют новый функционал, но и исправляют баги и уязвимости.
Применять актуальные пароли для доступа к сайтам и расширениям. Отказ от дублирования паролей и простых комбинаций.
Использовать безопасное соединение. Обращайте внимание на использование HTTPS вместо HTTP. HTTPS шифрует данные, передаваемые между вами и сайтом, что делает их недоступными для посторонних.
Внимательно использовать электронную почту. Фишинг-рассылки могут имитировать реальные сайты и подписки, и пользователь по невнимательности легко переходит по ссылкам мошенников.
Устанавливать только безопасные расширения браузера. Для сохранения информационной безопасности необходимо устанавливать браузерные расширения только из официальных магазинов расширений, а также лучше минимизировать количество таких сервисов.
Не оставлять личную информацию на сайтах, если она противоречит предлагаемому сервису или может быть использована мошенниками.
Ограничить права доступа сайтам и приложениям. Заблокировать возможность подключения веб-камеры, микрофона, мониторинга GPS-данных.
Использовать официальные сайты и сток-сервисы для скачки фото и видеоконтента. Часто вместе с цифровым контентом скачивается и вредоносное ПО.
Цифровая гигиена. Необходимо придерживаться правил корректного и тактичного использования сети. Не посещать подозрительные сайты, сайты с незаконным, запрещенным контентом.
Электронная почта выступает одним из самых популярных источников фишинг-атак на пользователей. Мошенники используют множество писем и то, что адресаты ведут себя невнимательно из-за большого объема переписки. К рискам использования электронной почты также можно отнести целевой и нецелевой спам, фишинг организаций, почтовую бомбардировку.
Какие средства защиты информации от рисков использования электронной почты существуют:
Минимизирование использования авторизации через почтовые службы. По возможности обеспечить подключение через логины и пароли, авторизацию через смартфон.
Отказ от e-mail-рассылки. Минимизирование рекламного спама уменьшит вероятность перехода по мошенническим ссылкам. К тому же могут возникнуть проблемы с информационной безопасностью у компании, которая запросила ваш почтовый адрес, и тогда персональная информация будет доступна мошенникам.
Мобильные сервисы продолжают расширяться и использоваться не только частными пользователями, но и в производственных задачах. Поэтому безопасность приложений и социальных сетей также важна. Основные риски, которым могут быть подвержены пользователи:
Получение доступа к логину и паролю к приложению или социальной сети. Захват аккаунта с разными целями: от получения данных до финансового мошенничества.
Deepfake-атака. Современные технологии позволяют создавать псевдоавторский контент от имени известных персон — для повышения доверия к поставляемой информации. Особенно успешно это осуществляется с помощью технологии deepfake и ИИ-генераторов.
Зеркалирование официальных приложений. Даже официальные магазины Google Play и AppStore не гарантируют безопасность приложений, которые там реализуются. Часто на верхних строчках магазина продается не оригинальное приложение, а сервис-зеркало мошенников.
Какие решения могут быть использованы для информационной безопасности приложений и социальных сетей:
Используйте оригинальные пароли для авторизации и двухфакторную аутентификацию для защиты аккаунта. Эти действия минимизируют возможность несанкционированного доступа по классическим причинам использования подобранного или полученного в результате утечки данных пароля.
Критический подход к контенту. Исследуйте логичность публикуемого контента, насколько предложенные преференции оправданы и могут исходить от данного пользователя.
Исследуйте отзывы, количество скачиваний, рейтинг приложений, которые скачиваются из официальных магазинов. Как правило, зеркальные сервисы имеют низкий рейтинг и небольшое количество скачиваний (несколько тысяч).
Использование банковских карт априори сопровождается риском информационной безопасности, поскольку это легкий путь получения доступа к финансовой информации пользователя. Это основной риск безопасности в данном процессе.
Как защитить финансовую информацию от утечки:
Запрещено предоставлять сторонним лицам, сайтам, приложениям данные банковских карт, особенно СVV- или CVC-код подтверждения подлинности.
Запрещено передавать сторонним пользователям логины и пароли от банковских приложений, в которых происходит управление картами.
Необходимо подключить дополнительную верификацию операций с карты, например, СМС- или пуш-сообщения. Это обеспечит дополнительный уровень защиты банковских операций и подтверждения их подлинности.
Использовать только собственные гаджеты для осуществления оплаты через банковскую карту. Никто не сможет гарантировать, что персональная финансовая информация будет находиться в безопасности на стороннем устройстве.
В современном мире множество форм мошенничества в интернете: фишинг, вредоносное ПО, атаки на цифровые сети и др. То, что объединяет всех участников цифровой среды, это потребность в защите от этих атак и возможность использовать актуальные инструменты обеспечения безопасности. Независимо от того, где находится объект защиты: производство, офис, частное предприятие, цель будет одна — создать максимальную безопасность данных и обеспечить надежный контур безопасности объекта.