Как спасти бизнес от утечки: 5 шагов

Аудит информационной безопасности компании – это один из надёжных инструментов проверки текущего состояния информационной защиты бизнеса, управления рисками, выявления потенциальных угроз и уязвимостей компании. Регулярный аудит ИБ компании позволяет убедиться в защищённости информационных активов бизнеса и проанализировать дальнейшие меры по защите данных.

По недавно опубликованной статистике за первое полугодие 2022-го года (CISCO), более 54% компаний не проводят аудит ИБ регулярно, более 25% - не проводят вообще, а 73% представителей среднего и крупного бизнеса признали, что им следовало бы озаботиться общей информационной безопасностью и сохранностью конфиденциальных данных компании гораздо раньше.

В этой статье мы расскажем о 5-ти ошибках в аудите ИБ бизнеса. К сожалению, некачественный аудит, как и отсутствие аудита вовсе, влечёт за собой риски кибератак и утечек информации.

1. Вы проводите внутренний аудит ИБ компании, но забываете про внешний

Когда мы говорим про «аудит ИБ компании», мы по умолчанию подразумеваем внутренний аудит. Внутренний аудит регулируется внутренними органами и службами компании, внутренними документами и уставами и проводится на регулярной основе по графику, утверждённому руководством.

Внешний аудит ИБ компании – проверка инфраструктуры ИБ независимыми специалистами, которым даётся доступ к внутренней сети компании по условиям договора, заключённого с компанией. Внешний аудит проводится реже, чем внутренний, чаще всего по требованию руководства, госорганов, акционеров, будущих владельцев компании при покупке. Привлечение профессионалов для внешнего аудита ИБ – это репутационная состоятельность и стабильность компании. В больших компаниях существует штат квалифицированных аудиторов, которые имеют соответствующие лицензии на проведение аудита по запрашиваемому направлению, компании поменьше нанимают аудиторов извне.

2. Потратьте время на разработку подхода к установке ПО и его обновлений

С начала 2022 года на российские компании пришлось на 60% больше кибератак, чем за аналогичный период прошлого года, причём атаки совершаются как на государственные, так и на частные компании. Например, недавно «Почта России» подтвердила факт массовой утечки данных пользователей, также в сеть попали личные данные 25 миллионов (!) клиентов СДЭК, DDoS-атаки на ПМЭФ в июне велись с мощностью 140 гигабайт в секунду, Сбербанк подвергся крупнейшей кибератаке за всю историю, а хакеры из группировки Conti похитили данные более чем 850 российских частных компаний, - и это лишь малая часть инцидентов за июнь-июль 2022-го.

После расследования этих кибератак эксперты пришли к выводу, что утечки можно было бы избежать, будь в компании установлена обновлённая версия защитного ПО. В крупных компаниях перед установкой ПО или обновления следует проверить, не сломает ли новая версия что-то важное из ИБ-инфраструктуры, ведь если ИБ специалист будет необдуманно ставить всё подряд, это может привести к серьёзным последствиям, особенно компании, зависимые от IT-систем.

В компании должен быть разработан процесс установки обновлений ПО и приложений с указанием владельца процесса, ответственных за контроль установки, должен быть составлен график обновления и остановки с указанием чётких временных рамок, а также приоритетность обновления ИБ систем компании.

3. Наладьте процесс управления учётных записей сотрудников и внешней технической поддержки

Многие компании работают с системами, работа которых поддерживается не внутри компании, а внешними подрядчиками. В таком случае, эти «ворота», которые используются для доступа внешних служб, становятся привлекательной мишенью для хакеров. Зачастую администратор ИБ компании списывает подозрительные моменты в работе системы как раз на активность нанятых служб.

Для минимизации риска проникновения злоумышленника через подрядчиков компании, необходимо:

А) настроить управление учётных записей сотрудников и подрядчиков;

Б) разработать план информирования о необходимости блокировки учётных записей аутсорсеров/подрядчиков в случае прекращения сотрудничества;

В) внедрить систему управления работами подрядчиков, предоставления доступа к корпоративной сети для работы;

Г) внедрить механизмы многофакторной аутентификации для внешних подключений.

4. Проводите регулярные тренинги по ИБ для сотрудников НЕ из отдела безопасности

А вы знали, что более 90% атак и утечек информации происходят из-за человеческой ошибки? В настоящее время большинство компаний оснащены технологически настолько, что можно говорить о почти полной защите от утечек данных, однако самым уязвимым местом является конечный пользователь – сотрудник компании. Работники отделов, связанных с информационной безопасностью, технический отдел – пошагово знают, как вести себя при риске утечки, какими данными можно и нельзя делиться, какое ПО использовать в какой ситуации. А сотрудники, например, отдела продаж или связей с общественностью могут и не вникать в тонкости работы с данными и пересылать по внешним каналам коммуникации конфиденциальные данные компании, кликать на подозрительные ссылки и приложения с неизвестных адресов и тд.

При проведении внутреннего и внешнего аудитов компании выводится общее процентное соотношение защищённости ИБ-систем. В «защищённость» входит также и уровень осведомлённости сотрудников о рисках работы с данными и плане реагирования на киберинциденты. Поэтому если вы не владелец IT-бизнеса, где абсолютное большинство сотрудником так или иначе имеют представление о рисках кибератак, следует регулярно проводить тренинги по инфобезопасности среди сотрудников, где будет рассказываться об актуальных угрозах и методах работы злоумышленников, включая тестирования, имитирующие кибератаку.

5. Вы забываете мониторить внешние сетевые порты

Не стоит упускать из виду порты, которые используются для управления сервисами (например, SSH = порт 22, TELNET = порт 23, RDP = порт 3389 и т.д.). Многие инструменты для тестирования ИБ-систем компаний на уязвимости находятся в бесплатном доступе, причём абсолютное большинство не требует особых навыков для работы, поэтому злоумышленнику, по сути, не требуется много времени и усилий, чтобы внедриться в систему.

Как это работает? Если, например, открыт порт SSH, можно воспользоваться программой подбора пароля и войти в систему. А дальнейший ущерб зависит от подготовки хакера. Что предпринять?

А) ИТ-специалисты компании должны убедиться, что сетевые порты для удалённого управления системами недоступны или переопределить порт доступа со стандартного на другой, или перейти с парольного доступа на доступ с помощью ключей.

Б) Убедиться, что все пользователи с административными правами назначены руководством и лишних людей, имеющих расширенный доступ, нет.

В) Установлено надёжное ПО против утечек данных, такое, как DLP-система. Например, в популярной DLP-системе SecureTower от Falcongaze полный контроль корпоративной информации достигается за счет мониторинга максимального числа коммуникационных каналов и протоколов передачи данных. После анализа перехваченных данных, если есть нарушение правила безопасности, система автоматически уведомляет об инциденте со всей информацией о нём.

Вывод:

Аудит информационной безопасности компании должен быть максимально всеобъемлющим мероприятием, где вся инфраструктура бизнеса проверяется на прочность. В настоящее время ни одна компания полностью не застрахована от утечек, поэтому полноценный аудит – это инструмент, который поможет сильно минимизировать риск атаки. Назначая аудит ИБ, убедитесь, что вы не забыли про неочевидные ошибки, которые мы упомянули в этой статье.