автор: Виталий Исаков, независимый эксперт по безопасности бизнеса дата: 11.04.2018 + +1 -

Как не потерять бизнес за 28 секунд

Цифровая экономика способствует развитию новых интересных форм бизнеса, но в то же время несет определенные угрозы, которые надо понимать и учитывать в ведении бизнеса. Именно об этом расскажет Виталий Исаков, независимый эксперт по безопасности бизнеса.


По опыту проведения проверок безопасности бизнеса одной из наиболее уязвимых и проблемных сфер практически каждой компании является IT. В непростое экономическое время, когда вопросам безопасности в бизнесе уделяется малое финансирование, когда обостряется конкуренция и нечистоплотные компании используют всевозможные методы получения преимущества на рынке, особенно активен становится рынок услуг кибермошенников.

Сейчас такие предложения доступны практически каждому, были бы деньги. В интернете можно приобрести весь спектр: от банальных вирусов-шифровальщиков до полномасштабной информационной атаки на ресурсы компании. Если злоумышленник получит возможность контролировать информационные потоки организации, то он сможет нанести гигантский ущерб бизнесу, вплоть до его уничтожения (кража денежных средств, придание огласке конфиденциальной информации и т.д.).

Сколько стоит написание вируса-шифровальщика на заказ? 100, 1000 долларов? Вот и нет. Если злодей-инсайдер захочет нанести ущерб компании, то это в ряде случаев даже не будет ему стоить финансовых затрат. Существуют предложения, где злоумышленники берут себе 50 % выкупа, а вирус пишут бесплатно (работают по принципу RaaS — ransomware as a service).

Как правило, в средней компании обслуживание всей информационной инфраструктуры организации возложено на плечи одного или нескольких IT-специалистов. Вопросы информационной безопасности также находятся в их ведении. Все бы хорошо, но есть одно «но»: это не их профиль. В сфере технологий, так же как и, например, в медицине, много специальностей и узких сфер. Если неожиданно человек травмирует глаз, то он пойдет к профильному специалисту — окулисту, а не к ветеринару. Последний тоже понимает в проблемах органов зрения, но на среднем уровне и в отношении животных. Общие знания примерно те же, а вот специальные — совершенно другие. Вряд ли кто-то решится на такой эксперимент в реальной жизни.

Такую же аналогию можно провести и с IT-персоналом компании. Их задача — поддерживать работу информационных систем компании, а не следить за безопасностью, ведь это совершенно другой профиль и другие знания и навыки. Конечно, если поручить задачу, то они ее выполнят, но не всегда хорошо — и не потому, что плохие специалисты, а потому, что специалисты в другой сфере.

Пример из практики. После ряда компьютерных атак типа «отказ в обслуживании» на интернет-ресурсы компании «А» IT-отделу поручили вопросы информационной безопасности, не снимая прежних задач и не добавляя новых сотрудников. В итоге из-за большой нагрузки, отсутствия необходимых компетенций новоиспеченные безопасники не смогли корректно настроить внешний периметр защиты, чем и воспользовались злоумышленники, заразив систему компании «банк-клиент» вредоносным ПО и украв более 4,5 млн руб. со счетов организации. Злодеев найти так и не смогли, как и вернуть денежные средства фирмы. Кто имеет полный и практически бесконтрольный доступ ко всей информации, циркулирующей в компании, особенно финансовой? Кто настраивает и обслуживает компьютеры сотрудников и различные гаджеты руководства? Все тот же IT-специалист.

Таким образом, целью злоумышленников может стать не только информационная инфраструктура сама по себе, но и человек, ее обслуживающий, ведь перетянув его на свою сторону, можно контролировать почти всю жизнедеятельность организации. Тем более что часто труд IT-специалиста не оценивается должным образом в компании, и его лояльность бизнесу, мягко говоря, не на высшем уровне. 

Что делать для повышения защищенности бизнеса 

  1. Любой руководитель (собственник бизнеса) должен сам иметь полное представление об основных слабостях и уязвимостях своей компании. Ни один нанятый специалист никогда не будет так радеть за благополучие бизнеса, как его хозяин.
  2. Определиться с уровнем доверия к сотрудникам по крайней мере для себя. Помнить, что верный вчера сотрудник, завтра сможет оказаться куда менее лояльным в силу разных причин (обида, подкуп, зависть и прочее). Абсолютно вечно верных не бывает!
  3. Привлекать сторонних специалистов для анализа защищенности как IT-инфраструктуры, так и безопасности компании в целом. Свои сотрудники часто не видят или не хотят видеть дыр безопасности (в силу корыстного интереса, непонимания проблематики, недостатка компетенций и т.д.).
  4. Использовать успешный зарубежный опыт и передавать часть инфраструктуры на аутсорсинговое обслуживание юрлицу или ИП. Ведь договорные отношения между компаниями защищены куда лучше, чем отношения между работодателем и работником в плане ответственности и страхования рисков. Кроме того, собственный сотрудник далеко не Леонардо да Винчи во всех аспектах IT, в то время как профильная компания держит целый штат компетентных специалистов.
  5. Подготовить сценарии реагирования на инциденты информационной безопасности, ведь часто счет идет на минуты.
  6. Использовать так называемые «маячки безопасности», которые позволят выявить нарушителя среди своих сотрудников. Ведь самая большая угроза часто исходит от «своего».

Конечно, каждая компания сама по себе уникальна по многим показателям, поэтому в вопросах безопасности также надо подходить индивидуально. Каждый руководитель, с одной стороны, должен отчасти держать в голове, что даже близкие люди могут стать угрозой для бизнеса. Но эта «паранойя» не должна зашкаливать. С другой стороны, не надо бояться обращаться к специалистам и профессионалам за решением вопросов по IT-безопасности.


    автор: Виталий Исаков, независимый эксперт по безопасности бизнеса дата: 11.04.2018 + +1 -

    Оставить комментарий: