Az üzleti információbiztonság mint rendszer. Információbiztonság a vállalatban. Az üzleti információ védelmének alapvető módszerei
Bármely cég vagy vállalkozás létezése, legyen az akármekkora vagy kicsi, lehetetlen bizonyos típusú adatok jelenléte nélkül, amelyek nem hozzáférhetők közzétételre vagy kívülállók számára. Ide tartoznak a dolgozók személyes adatai, az ügyfélkör, az egyedi fejlesztések, és természetesen a pénzügyi ill számviteli dokumentumok. Az üzleti információ biztonsága magában foglalja ezen adatok védelmét az illetéktelen személyek illetéktelen hozzáférésével, másolásával, megsemmisítésével, nyilvánosságra hozatalával stb. Önállóan biztosítsa a megfelelő szintet információ biztonság Szinte lehetetlen, ezért ebben a kérdésben jobb, ha szakemberek segítségét kéri.
Az információbiztonsági problémák veszélyt jelentenek az üzleti életre
Valójában az üzleti információbiztonságot nem csak a támadók célzott intézkedései veszélyeztethetik. Nagyon gyakran az információszivárgás hanyagságból és figyelmetlenség alkalmazottak. Ezért nagyon fontos feltárni az információbiztonsági rendszer gyenge pontjait, és csak ezt követően biztosítani a megfelelő adatvédelmet minden szinten.
Minden kis- és nagyvállalat rendelkezik olyan információtömbökkel, amelyek a sikeres üzletfejlesztés alapját képezik. Ez mindenekelőtt az ügyfélbázis, a technológiai jellemzők gyártási folyamat, pénzforgalmi és anyagi adatok technikai eszközökkel a számvitelben, pénzügyi mutatók stb.
A vállalat fejlődésének eredménye, versenyképessége és jövedelmezősége attól függ, hogy ezen információk mozgásának csatornái mennyire megbízhatóak a kiszivárgás ellen. Ezért érdemes szakemberekhez fordulni egy megbízható információbiztonsági rendszer kialakítása érdekében.
Rendeljen üzleti információbiztonságot
A BZPT professzionális szolgáltatásokat nyújt az információbiztonság területén. Gyorsan és hatékonyan elvégezzük a vállalati biztonsági auditot, és csak ezután választjuk ki és telepítjük a szükséges védelmi módszereket.
Hogyan dolgozunk
- Kérjen vagy hívjon
- Személyes találkozó, részletek tisztázása
- Költségszámítás és szerződéskötés
- A munka befejezése
- Jelentés benyújtása
- Fizetés
Miért válassza szolgáltatásainkat
- 100% bizalmas
- Azonnal
- A vonatkozó jogszabályok betartása
- Ingyenes konzultációk
Miért érdemes szakemberekre bízni az üzleti biztonságot?
Az üzleti biztonság minden kereskedelmi területen az egyik legfontosabb terület. Ezzel akár maga a vezető, akár egy erre kijelölt személy vagy egy egész osztály foglalkozhat. Ma már nagyon népszerűvé vált egy külső cég szolgáltatásainak igénybevétele. Vállalkozása biztonságát teljes mértékben felügyeljük, ha olyan tapasztalt szakemberekhez fordul, akik ismerik a bonyodalmakat, és készek garantálni minden elvégzett tevékenység megbízhatóságát. Ezért racionálisabb megoldás a szakemberekhez fordulni?
A gyakorlat azt mutatja, hogy a teljes munkaidőben foglalkoztatottak nem képesek hatékonyan felépíteni a vállalat védelmi rendszerét az elégtelen hozzáértés, a képzettség és a speciális ismeretek hiánya miatt. Ezenkívül a tapasztalat azt mutatja, hogy gyakran azután, hogy valamilyen problémás helyzet állt elő, amely pénzügyi veszteségekhez vezetett. Ennek elkerülése érdekében kellő időben gondoskodni kell a biztonsági rendszerről, amelynek tárgyai az eszközök és a pénzügyi források, az alkalmazottak és adminisztratív személyzet tevékenysége, anyagi erőforrások, információs források stb.
Üzleti információbiztonsági szolgáltatások Moszkvában
Amikor egy vállalat információbiztonságának biztosításáról beszélnek, gyakran külső fenyegetésekre gondolnak, hackelésre, hackertámadásokra stb. A „kémek” ilyen akciói azonban nagyon ritkán adnak eredményt. A legtöbb esetben a szivárgás a cég alkalmazottainak szándékos vagy véletlen hibájából következik be. A bennfentes cselekedetekből származó kár mértéke sok tekintetben attól függ, hogy mennyire alábecsülték az ilyen fenyegetést. Ezért az üzleti információbiztonság olyan kérdés, amelyet a szakemberekre kell bízni. Csak cégünk tapasztalt és képzett munkatársai képesek felmérni az összes lehetséges kockázatot és hozzáértő védelmi rendszert telepíteni.
Az üzleti titkok biztonsága
Meg akarod védeni a kereskedelmi titok? Gyanítja, hogy versenytársai illegális módszereket alkalmaznak? Ma már minden lehetőségünk megvan ahhoz, hogy vállalkozását biztosítsuk. Mára számos ügyfelünk értékelte az információbiztonság terén szerzett óriási tapasztalatunkat, valamint a nem szabványos és összetett problémák megoldásának képességét. Partnerek, beszállítók és forgalmazók adatbázisa, számviteli jelentések, üzleti levelezés, az egyedi technológiákkal és üzleti stratégiákkal kapcsolatos információkat cégünk szakemberei megbízhatóan védik.
A bizalmas információk egyik fajtájaként az üzleti titok, mint intézmény, nem közvetlen jogszabályi utasításokon alapul, hanem az információ birtoklásához (mint tulajdonhoz) való jogon, amely a vállalkozás gazdagodásához és kárához vezethet. Ezért, ha az üzleti titkokról van szó, az üzleti titkok a kötelező tevékenységek szerves részévé válnak ebben az irányban. Különösen meghatározzák bizonyos információkhoz való hozzáférés módját, és megakadályozzák azok jogosulatlan használatát.
Oktatási és Tudományos Minisztérium Orosz Föderáció
szövetségi állam költségvetése oktatási intézmény
felsőfokú szakmai végzettség
"PERM NEMZETI KUTATÁS
POLITECHNIKAI EGYETEM"
fegyelem szerint
A VÁLLALKOZÁS INFORMÁCIÓBIZTONSÁGA
Téma: "Információbiztonság az üzleti életben az Alfa Bank OJSC példáján"
Tanuló fejezte be
FC-11B csoport:
Smyshlyaeva Maria Sergeevna
A tanár ellenőrizte:
Shaburov Andrej Szergejevics
Perm – 2013
Bevezetés
Következtetés
Bibliográfia
Bevezetés
A legtöbb vállalat információs forrásai a legértékesebb erőforrásaik közé tartoznak. Emiatt a kereskedelmi, bizalmas információkat és személyes adatokat megbízhatóan védeni kell a visszaélésekkel szemben, ugyanakkor könnyen hozzáférhetővé kell tenni az ezen információk kezelésében részt vevő vagy a rábízott feladatok ellátása során felhasználó szervezetek számára. Az ehhez szükséges speciális eszközök alkalmazása hozzájárul a cég üzletmenetének fenntarthatóságához és életképességéhez.
Amint azt a gyakorlat mutatja, az üzletvédelem megszervezésének kérdése modern körülmények között vált a legrelevánsabbá. Az online boltokat „nyitják” és kiürítik a vásárlók hitelkártyáit, zsarolják a kaszinókat és fogadóirodákat, a vállalati hálózatok alá kerülnek. külső vezérlés, a számítógépeket „zombizálják” és beépítik a botnetekbe, az ellopott személyes adatok felhasználásával elkövetett csalás pedig nemzeti katasztrófává válik.
Ezért a vállalatvezetőknek meg kell érteniük az információbiztonság fontosságát, meg kell tanulniuk előre jelezni az ezen a területen tapasztalható trendeket és kezelni azokat.
A munka célja az üzleti információbiztonsági rendszer előnyeinek és hátrányainak azonosítása az Alfa Bank példáján keresztül.
Az OJSC "Alfa-Bank" tevékenységének jellemzői
Az Alfa-Bank 1990-ben alakult. Az Alfa-Bank egy univerzális bank, amely a pénzügyi szolgáltatások piacán minden fő banki műveletet végez, beleértve a magán- és vállalati ügyfelek kiszolgálását, a befektetési banki tevékenységet, a kereskedelemfinanszírozást és a vagyonkezelést.
Az Alfa-Bank székhelye Moszkvában található, a bank összesen 444 fiókja és fiókja nyílt meg Oroszország régióiban és külföldön, köztük egy leánybank Hollandiában, valamint pénzügyi leányvállalatok az USA-ban, Nagy-Britanniában és Ciprus. Az Alfa-Bank mintegy 17 ezer alkalmazottat foglalkoztat.
Az Alfa-Bank a legnagyobb orosz magánbank a mérlegfőösszeg alapján, teljes tőkeés a betétek nagysága. A bank nagy ügyfélkörrel rendelkezik mind vállalati, mind pedig magánszemélyek. Az Alfa-Bank univerzális bankként fejlődik a főbb területeken: vállalati és befektetési üzletágban (beleértve a kis és közepes üzlet(kkv), kereskedelem és strukturált finanszírozás, lízing és faktoring), kiskereskedelmi üzletág(beleértve a bankfiókok, autóhitelek és jelzáloghitelek rendszerét). Kiemelt figyelmet fordítanak a tömeges és kkv szegmensben a vállalati banki termékek fejlesztésére, valamint a távoli önkiszolgáló csatornák és az internetes akvizíció fejlesztésére. Az Alfa-Bank stratégiai prioritásai közé tartozik az oroszországi vezető magánbank státuszának megőrzése, a stabilitás megerősítése, a jövedelmezőség növelése, valamint a technológia, a hatékonyság, az ügyfélszolgálat minősége és a működési koherencia terén iparági szabványok felállítása.
Az Alfa-Bank az egyik legaktívabb orosz bank a globális tőkepiacokon. A vezető nemzetközi hitelminősítő intézetek az egyik legmagasabb minősítést az orosz magánbankok közül az Alfa-Banknak adják. Az Ügyfélélmény-index tanulmányában négyszer egymás után az első helyen végzett. A lakossági bankszektor a pénzügyi válság után", amelyet a Senteo és a PricewaterhouseCoopers végzett. Szintén 2012-ben az Alfa-Bank elismerésben részesült a legjobb internet A GlobalFinance magazin szerint a Tőzsdei Résztvevők Országos Szövetsége (NAUFOR) által a legjobb elemzésnek járó bank lett a legjobb orosz magánbank a Romir Research Holding által számított bizalmi index alapján.
A Bank ma 83 értékesítési pontból álló szövetségi szintű hálózattal rendelkezik. Az Alfa Bank a kereskedelmi bankok közül az egyik legnagyobb hálózattal rendelkezik, amely 55 irodából áll és 23 várost fed le. A hálózatbővítés eredményeként a Bank rendelkezik további jellemzők az ügyfélkör bővítése, a banki termékek körének és minőségének bővítése, interregionális programok megvalósítása, a rendszerszinten fontos ügyfelek átfogó kiszolgálása a legnagyobb vállalkozások közül.
Az üzleti információbiztonság kérdéskörének elméleti alapjainak elemzése
Relevanciaaz információbiztonság biztosításának problémája pedig a következő tényezőknek köszönhető:
· Az információbiztonsági eszközök jelenlegi fejlettségi szintje és üteme jelentősen elmarad az információs technológiák fejlettségi szintjétől és ütemétől.
· Magas flottanövekedési ráta személyi számítógépek, amelyet az emberi tevékenység különböző területein használnak. A Gartner Dataquest kutatása szerint jelenleg több mint egymilliárd személyi számítógép van a világon.
információbiztonsági üzleti bank
· A számítási erőforrásokhoz és adatkészletekhez közvetlen hozzáféréssel rendelkező felhasználók körének éles bővülése;
Jelenleg jelentősen megnőtt a bankokban tárolt információk jelentősége, fontos és gyakran titkos információk a pénzügyi és gazdasági aktivitás sok ember, cég, szervezet, sőt egész állam. A bank értékes információkat tárol és dolgoz fel, amelyek nagyszámú ember érdekeit érintik. A bank fontos információkat tárol ügyfeleiről, ami kiterjeszti az ilyen információk ellopásában vagy megrongálásában érdekelt potenciális támadók körét.
Az összes bűncselekmény több mint 90%-a automatizált banki információfeldolgozó rendszerek használatával függ össze. Következésképpen az ISIS létrehozása és korszerűsítése során a bankoknak kiemelt figyelmet kell fordítaniuk annak biztonságára.
A fő figyelmet a bankok számítógépes biztonságára kell fordítani, pl. Az automatizált banki információfeldolgozó rendszerek biztonsága, mint a banki információbiztonság területén a leglényegesebb, összetett és legégetőbb probléma.
Az információs technológia rohamos fejlődése új lehetőségeket nyitott meg az üzleti élet előtt, de új veszélyek megjelenéséhez is vezetett. Modern szoftver termékek A verseny miatt hibákkal és hiányosságokkal kerülnek eladásra. A fejlesztőknek, beleértve mindenféle funkciót termékeikbe, nincs idejük a létrehozott szoftverrendszerek kiváló minőségű hibakeresésére. Az ezekben a rendszerekben fennmaradó hibák és hiányosságok az információbiztonság véletlen és szándékos megsértéséhez vezetnek. Például a legtöbb véletlen információvesztés oka a szoftver és a hardver működésének meghibásodása, és a legtöbb számítógépes rendszert ért támadás a szoftverben talált hibákon és hibákon alapul. Például a Microsoft Windows szerver operációs rendszer megjelenése utáni első hat hónapban 14 sebezhetőséget fedeztek fel, amelyek közül 6 kritikus. Annak ellenére, hogy idővel a Microsoft szervizcsomagokat fejleszt, amelyek kiküszöbölik a felfedezett hibákat, a felhasználókat már sikerül elszenvedniük a fennmaradó hibák miatt fellépő információbiztonsági megsértésektől. Amíg ez a sok egyéb probléma meg nem oldódik, az információbiztonság elégtelen szintje komoly akadálya lesz az információs technológia fejlődésének.
Alatt információ biztonságaz információ és a támogató infrastruktúra védelme olyan természetes vagy mesterséges természetű véletlen vagy szándékos hatásoktól, amelyek elfogadhatatlan károkat okozhatnak az információs kapcsolatok alanyainak, beleértve az információ és a támogató infrastruktúra tulajdonosait és felhasználóit.
A modern üzleti világban migrációs folyamat zajlik tárgyi eszközök az információs felé. A szervezet fejlődésével egyre összetettebbé válik információs rendszere, melynek fő feladata az üzleti tevékenység maximális hatékonyságának biztosítása a folyamatosan változó piaci versenyfeltételek mellett.
Az információt áruként tekintve elmondható, hogy az információbiztonság biztosítása általánosságban jelentős költségmegtakarítást, az abban okozott kár pedig anyagköltséget eredményez. Például egy eredeti termék gyártási technológiájának nyilvánosságra hozatala hasonló termék megjelenéséhez vezet, de más gyártótól, és az információbiztonság megsértése következtében a technológia tulajdonosa, esetleg a szerző. , elveszíti a piac egy részét stb. Másrészt az információ az ellenőrzés tárgya, változása katasztrofális következményekkel járhat a vezérlőobjektumban.
A GOST R 50922-2006 szerint az információbiztonság biztosítása olyan tevékenység, amelynek célja az információszivárgás, a védett információk jogosulatlan és nem szándékos befolyásolása. Az információbiztonság mind a vállalatok, mind a kormányzati szervek számára fontos. Az információs erőforrások átfogó védelme érdekében az információbiztonsági rendszerek kiépítése és fejlesztése folyik.
Számos oka lehet, amely súlyosan befolyásolhatja a helyi és globális hálózatok működését, és értékes információk elvesztéséhez vezethet. Köztük a következők:
Jogosulatlan hozzáférés kívülről, információk másolása vagy megváltoztatása, véletlen vagy szándékos cselekmények, amelyek:
adatok eltorzítása vagy megsemmisítése;
illetéktelen személyek bank-, pénzügyi vagy államtitkot képező információk megismertetése.
A szoftver nem megfelelő működése, amely az adatok elvesztéséhez vagy megsérüléséhez vezethet a következők miatt:
hibák az alkalmazásban vagy a hálózati szoftverben;
rendszerek számítógépes vírusokkal való megfertőzése.
A műszaki berendezések meghibásodása a következők miatt következett be:
áramszünet;
lemezrendszerek és adatarchiváló rendszerek meghibásodása;
szerverek, munkaállomások, hálózati kártyák, modemek működésének zavarai.
Karbantartó személyzet hibái.
Természetesen nincs olyan univerzális megoldás, amely a fenti okok mindegyikét kizárná, azonban számos szervezet kidolgozott és alkalmazott technikai és adminisztratív intézkedéseket az adatvesztés vagy az azokhoz való jogosulatlan hozzáférés kockázatának minimalizálására.
Ma már az Alfa-Banknál is alkalmazott információbiztonsági módszerek nagy arzenálja van:
· a felhasználók azonosításának és hitelesítésének eszközei (az úgynevezett komplex 3A);
· Számítógépeken tárolt és hálózatokon továbbított információk titkosítására szolgáló eszközök;
· tűzfalak;
· virtuális magánhálózatok;
· Tartalomszűrő eszközök;
· eszközök a lemez tartalmának sértetlenségének ellenőrzéséhez;
· vírusvédelmi eszközök;
· hálózati sebezhetőséget észlelő rendszerek és hálózati támadáselemzők.
A "3A komplexum" magában foglalja a hitelesítést (vagy azonosítást), az engedélyezést és az adminisztrációt. Azonosításés az engedélyezés kulcsfontosságú elemei az információbiztonságnak. Amikor megpróbál hozzáférni bármely programhoz, az azonosítási funkció választ ad a következő kérdésre: „Ki vagy?” és „Hol vagy?”, Ön jogosult a program felhasználója. Az engedélyezési funkció felelős azért, hogy egy adott felhasználó mely erőforrásokhoz férhet hozzá. Az adminisztrációs funkció az, hogy egy adott hálózaton belül bizonyos azonosítási jellemzőket biztosítson a felhasználónak, és meghatározza a számára engedélyezett műveletek körét. Az Alfa-Bankban a programok megnyitásakor minden alkalmazott jelszavát és bejelentkezési adatait bekérik, és bármilyen művelet elvégzésekor bizonyos esetekben engedélyre van szükség a fiókvezetőtől vagy helyettesétől.
Titkosító rendszereklehetővé teszi a veszteségek minimalizálását a merevlemezen vagy más adathordozón tárolt adatokhoz való jogosulatlan hozzáférés esetén, valamint az információk elfogása esetén, amikor azokat a email vagy hálózati protokollon keresztül történő átvitel. Ennek a védelmi eszköznek a célja a titoktartás biztosítása. A titkosítási rendszerekkel szemben támasztott fő követelmények a magas szintű kriptográfiai erősség és a felhasználás jogszerűsége Oroszország (vagy más államok) területén.
Tűzfalolyan rendszer vagy rendszerek kombinációja, amely védőkorlátot képez két vagy több hálózat között, és megvédi a hálózatba belépő vagy onnan kilépő jogosulatlan adatcsomagokat. A tűzfalak működésének alapelve. minden egyes adatcsomag ellenőrzése, hogy a bejövő és kimenő IP-címek megfelelnek-e az engedélyezett címek adatbázisának. Így a tűzfalak jelentősen kibővítik az információs hálózatok szegmentálásának és az adatforgalom szabályozásának lehetőségeit.
Amikor a titkosításról és a tűzfalakról beszélünk, meg kell említenünk a biztonságos virtuális magánhálózatokat (VPN). Használatuk lehetővé teszi a nyílt kommunikációs csatornákon továbbított adatok bizalmas kezelésével és integritásával kapcsolatos problémák megoldását.
A bizalmas információk elvesztésével szembeni védelem hatékony eszköze. A bejövő és kimenő e-mailek tartalomszűrése. Magának az e-mail üzeneteknek és mellékleteiknek a szervezet által meghatározott szabályok alapján történő szűrése is segít megvédeni a cégeket a peres felelősségtől, és megvédi dolgozóikat a spamektől. A tartalomszűrő eszközök lehetővé teszik az összes általános formátumú fájlok vizsgálatát, beleértve a tömörített és grafikus fájlokat is. Ugyanakkor a hálózati átviteli sebesség gyakorlatilag változatlan marad.
Modern vírusirtóA technológiák szinte az összes már ismert vírusprogram azonosítását teszik lehetővé, ha egy gyanús fájl kódját összehasonlítják a víruskereső adatbázisban tárolt mintákkal. Emellett olyan viselkedésmodellező technológiákat fejlesztettek ki, amelyek lehetővé teszik az újonnan létrehozott vírusprogramok észlelését. Az észlelt objektumok kezelhetők, elkülöníthetők (karanténba helyezhetők) vagy törölhetők. A vírusvédelem telepíthető munkaállomásokra, fájl- és levelezőszerverekre, szinte minden elterjedt operációs rendszer alatt futó tűzfalra (Windows, Unix és Linux rendszerek, Novell) különféle processzorokon. A spamszűrők jelentősen csökkentik a levélszemét elemzésével összefüggő improduktív munkaerőköltségeket, csökkentik a forgalmat és a szerverterhelést, javítják a csapat pszichológiai hátterét, és csökkentik annak kockázatát, hogy a vállalati alkalmazottak csalárd tranzakciókba keveredjenek. Emellett a levélszemétszűrők csökkentik az új vírusokkal való fertőzés kockázatát, mivel a vírusokat tartalmazó üzeneteken (még azokon is, amelyek még nem szerepelnek a vírusirtó programok adatbázisában) gyakran vannak spam jelei, és kiszűrik őket. Igaz, a spamszűrés pozitív hatása tagadható, ha a szűrő a kéretlen üzenetekkel együtt eltávolítja vagy spamként jelöli meg a hasznos üzleti vagy személyes üzeneteket.
Számos legjellemzőbb típus és módszer létezik információs fenyegetések:
Az üzleti titkok titkosságának feloldása és eltulajdonítása. Ha korábban rejtett helyeken, hatalmas széfekben, megbízható fizikai és (később) elektronikus védelem alatt őrizték a titkokat, ma már sok dolgozó fér hozzá az irodai adatbázisokhoz, amelyek gyakran nagyon érzékeny információkat tartalmaznak, például ugyanazokat az adatokat az ügyfelekről.
Kompromittáló anyagok forgalmazása. Vagyis az alkalmazottak szándékos vagy véletlenszerű olyan információ felhasználása az elektronikus levelezésben, amely árnyékot vet a bank hírnevére.
A szellemi tulajdon megsértése. Fontos, hogy ne felejtsük el, hogy bármelyik okos termék, mint minden szervezethez, a bankokban gyártott, hozzátartozik, és a dolgozók (ideértve a szellemi értékek generálóit és szerzőit is) csak a szervezet érdekeit szolgálják. Mindeközben Oroszországban gyakran adódnak konfliktusok ebben a kérdésben a szervezetek és az alkalmazottak között, akik igényt tartanak az általuk megalkotott szellemi termékre, és azt személyes érdekeik érdekében, a szervezet rovására használják. Ez gyakran a vállalkozás homályos jogi helyzete miatt történik, amikor munkaszerződés Nincsenek egyértelműen meghatározott szabályok és előírások, amelyek körvonalazzák a munkavállalók jogait és kötelezettségeit.
Nem titkos, de a versenytársak (más bankok) számára hasznos belső információk (gyakran nem szándékos) terjesztése.
A versengő bankok weboldalainak felkeresése. Napjainkban egyre több cég használ olyan programokat a nyitott weboldalain (különösen a CRM-hez tervezetteket), amelyek lehetővé teszik a látogatók felismerését és az útvonalak részletes nyomon követését, rögzítik a weboldalak megtekintésének idejét és időtartamát. A versenytársak webhelyei az elemzések és előrejelzések értékes forrásai voltak és maradtak is.
Az irodai kommunikáció személyes célú visszaélése (zene és egyéb nem munkához kapcsolódó tartalmak hallgatása, megtekintése, irodai számítógép letöltése) nem jelent közvetlen veszélyt az információbiztonságra, de további terhelést jelent a vállalati hálózaton, csökkenti a hatékonyságot, zavarja a kollégák munkájával.
És végül a külső fenyegetések - illetéktelen behatolás stb.
A bank által elfogadott szabályoknak meg kell felelniük az állam- és üzleti titok, a személyes és magánjellegű adatok védelmére vonatkozó nemzeti és nemzetközileg elismert szabványoknak.
Szervezeti információbiztonság az Alfa-Banknál
Az Alfa Bank OJSC egy szelektív hozzáférés-vezérlési módszeren alapuló biztonsági politikát vezetett be. Az OJSC Alfa Bank ilyen kezelését az adminisztrátor által meghatározott engedélyezett hozzáférési kapcsolatok jellemzik. A hozzáférési mátrixot közvetlenül a vállalat rendszergazdája tölti ki. A szelektív információbiztonsági politika alkalmazása megfelel a menedzsment követelményeinek, valamint az információbiztonsági és hozzáférés-ellenőrzési, elszámoltathatósági követelményeknek, és a szervezeti költsége is elfogadható. Az információbiztonsági politika végrehajtása teljes mértékben az Alfa Bank OJSC rendszergazdájára van bízva.
A meglévő biztonsági politika mellett az Alfa Bank OJSC speciális hardver- és szoftverbiztonsági eszközöket használ.
A használt biztonsági hardver Cisco 1605. A router két Ethernet interfésszel van felszerelve (az egyik TP és AUI interfésszel, a másik csak TP) helyi hálózatés egy bővítőhely a Cisco 1600 sorozatú útválasztók egyik moduljának telepítéséhez.. Ezenkívül a Cisco IOSFirewallFeatureSet szoftver a Cisco 1605-R-t ideális rugalmas útválasztó/biztonsági rendszerré teszi kis irodák számára. A telepített modultól függően az útválasztó mind az ISDN-n keresztül, mind a betárcsázós vonalon vagy bérelt vonalon keresztül tud kapcsolatot létesíteni 1200 bps-tól 2 Mbps-ig, FrameRelay, SMDS, x.25.
Az információk védelme érdekében a LAN tulajdonosának biztosítania kell a hálózat „peremét”, például úgy, hogy a belső hálózat és a külső hálózat találkozásánál irányítást hoz létre. A Cisco IOS nagyfokú rugalmasságot és biztonságot nyújt olyan szabványos szolgáltatásokkal, mint a fejlett hozzáférési listák (ACL), a blokkolórendszerek (dinamikus ACL-ek) és az útválasztási jogosultság. Ezenkívül az 1600-as és 2500-as sorozatú útválasztókhoz elérhető Cisco IOS FirewallFeatureSet átfogó biztonsági funkciókat kínál, beleértve:
Contextual Access Control (CBAC)
Java blokkolás
hajónapló
támadások felderítése és megelőzése
azonnali értesítést
Ezenkívül az útválasztó támogatja a virtuális átfedő hálózatokat, alagutakat, prioritáskezelő rendszert, erőforrás-foglalási rendszert és különféle módszerekútvonalkezelés.
A KasperskyOpenSpaceSecurity megoldást szoftverbiztonsági eszközként használják. A KasperskyOpenSpaceSecurity teljes mértékben reagál modern követelményeknek a vállalati hálózatbiztonsági rendszerek követelményei:
megoldás minden típusú hálózati csomópont védelmére;
védelem minden típusú számítógépes fenyegetés ellen;
hatékony technikai támogatás;
„proaktív” technológiák a hagyományos aláírás-alapú védelemmel kombinálva;
innovatív technológiák és új víruskereső motor, amely javítja a teljesítményt;
használatra kész védelmi rendszer;
központosított irányítás;
a hálózaton kívüli felhasználók teljes védelme;
kompatibilitás harmadik féltől származó megoldásokkal;
hatékony használat hálózati erőforrások.
A fejlesztés alatt álló rendszernek teljes körű ellenőrzést, automatizált könyvelést és biztonsági elemzést kell biztosítania Személyes adat, lehetővé teszi az ügyfélszolgálati idő csökkentését, az információbiztonsági kódokról és a személyes adatokról való tájékoztatást.
A fejlesztés alatt álló rendszerrel szemben támasztott követelmények megfogalmazásához meg kell fogalmazni az adatbázis szervezésére és a fejlesztés alatt álló rendszer információs kompatibilitására vonatkozó követelményeket.
Az adatbázis-tervezésnek egy adott szervezet végfelhasználóinak elképzelésén – a rendszerrel szemben támasztott elvi követelményeken – kell alapulnia.
Ebben az esetben az IS a cég alkalmazottairól tartalmaz adatokat. Az egyik olyan technológia, amely jelentősen szemlélteti az információs rendszer működését, a dokumentumokhoz tartozó dokumentumfolyamat-ábra kidolgozása.
A kifejlesztett rendszer funkciói számítástechnika és szoftverek használatával valósíthatók meg. Tekintettel arra, hogy a banki szakemberek tevékenységében az információk, információk és számviteli bizonylatok keresése a munkaidő mintegy 30%-át teszi ki, az automatizált könyvelési rendszer bevezetése jelentősen felszabadítja a képzett szakembereket, megtakarítást eredményezhet a béralapban, létszámcsökkentést, hanem az üzemeltető személyzeti osztályának bemutatását is eredményezheti, akiknek feladatai közé tartozik majd a folyamatban lévő üzleti folyamatokkal kapcsolatos információk bevitele: a személyes adatok könyvelési bizonylatai és belépési kódjai.
Megjegyzendő, hogy a kifejlesztett rendszer bevezetése csökkenti, ideális esetben teljesen kiküszöböli a személyes adatok és biztonsági kódok rögzítésének hibáit. Így az automatizált menedzser munkaállomás bevezetése jelentős gazdasági hatás, a létszám 1/3-ával való csökkentése, a bérek megtakarítása, a munka termelékenységének növelése.
Az Alfa-Bank, mint minden bank, kidolgozott egy Információbiztonsági szabályzatot, amely egy nézetrendszert határoz meg az információbiztonság biztosításának problémájáról, és a védelem céljainak és célkitűzéseinek szisztematikus megfogalmazása, mint egy vagy több szabály, eljárás, gyakorlatok és iránymutatások az információbiztonság területén.
A politika figyelembe veszi a Bank informatikai fejlesztésének jelenlegi állapotát és közvetlen kilátásait, céljait, célkitűzéseit, ill. jogi alap működésüket, működési módjukat, valamint a Bank információs kapcsolatainak objektumaira és alanyaira vonatkozó biztonsági fenyegetések elemzését is tartalmazza.
Jelen dokumentum főbb rendelkezései és követelményei a Bank valamennyi strukturális részlegére vonatkoznak, beleértve a további irodákat is. Főbb kérdések A Szabályzat vonatkozik a Bankkal kapcsolatban álló egyéb szervezetekre és intézményekre is, mint a Bank információforrásainak szállítója és fogyasztója.
Ennek az irányelvnek a jogalkotási alapja az Orosz Föderáció alkotmánya, a polgári és büntető törvénykönyvek, törvények, rendeletek, határozatok stb. előírások az Orosz Föderáció hatályos jogszabályai, az Orosz Föderáció elnöke mellett működő Állami Műszaki Bizottság, az Orosz Föderáció elnöke alá tartozó Kormányzati Kommunikációs és Információs Szövetségi Ügynökség dokumentumai.
A politika módszertani alapja a következőknek:
· egységes politika kialakítása és megvalósítása a Bank információbiztonságának biztosítása terén;
· vezetői döntések meghozatala és gyakorlati intézkedések kidolgozása az információbiztonsági politika végrehajtásához, valamint olyan elfogadott intézkedések kidolgozása, amelyek célja a végrehajtás következményeinek azonosítása, tükrözése és megszüntetése különféle típusok az információbiztonságot fenyegető veszélyek;
· tevékenységek koordinálása szerkezeti felosztások Bank az információs technológiák létrehozásával, fejlesztésével és üzemeltetésével kapcsolatos munkák során az információbiztonsági követelményeknek megfelelően;
· javaslatok kidolgozása a Bank információbiztonságának jogi, szabályozási, technikai és szervezeti támogatásának javítására.
Rendszerszemléletű az információbiztonsági rendszer kiépítése a Bankban magában foglalja mindazon egymással összefüggő, egymással kölcsönhatásban lévő és időben változó elemek, feltételek és tényezők figyelembevételét, amelyek a Bank információbiztonsági problémájának megértése és megoldása szempontjából jelentősek.
Az információbiztonság biztosítása- a Bank vezetése, információbiztonsági osztályai és munkatársai által minden szinten végrehajtott folyamat. Ez nem csak és nem is annyira egy bizonyos időn belül végrehajtott eljárás vagy politika, vagy védőintézkedések összessége, hanem sokkal inkább egy folyamat, amelynek a Bankon belül minden szinten folyamatosan végbe kell mennie, és minden banki alkalmazottnak meg kell tennie. részt ebben a folyamatban. Az információbiztonságot szolgáló tevékenységek a Bank mindennapi tevékenységének szerves részét képezik. Hatékonysága pedig attól függ, hogy a Bank vezetősége részt vesz-e az információbiztonság biztosításában.
Ezen túlmenően a legtöbb fizikai és technikai védelmi eszköz folyamatos szervezeti (adminisztratív) támogatást igényel funkcióinak hatékony ellátásához (a nevek, jelszavak, titkosítási kulcsok időben történő megváltoztatása, helyes tárolásának és használatának biztosítása, hatáskörök újradefiniálása stb.). A biztonsági intézkedések működésének megszakításait a támadók felhasználhatják az alkalmazott védelmi módszerek és eszközök elemzésére, speciális szoftveres és hardveres „könyvjelzők” bevezetésére, valamint a biztonság leküzdésére szolgáló egyéb eszközökre.
Személyes felelősségmagában foglalja az információ és feldolgozási rendszerének biztonságának biztosításáért való felelősséget az egyes munkavállalókra a saját hatáskörén belül. Ennek az elvnek megfelelően a munkavállalók jogainak és kötelezettségeinek megosztása úgy történik, hogy bármilyen jogsértés esetén a tettesek köre egyértelműen ismert legyen, vagy minimálisra csökkenjen.
Az Alfa-Bankban az ellenőrzést folyamatosan gyakorolják, bármely felhasználó tevékenységét, az egyes védelmi eszközöket és bármely védelmi objektumot az operatív ellenőrzési és nyilvántartási eszközök használata alapján kell végrehajtani, és ki kell terjednie mind a jogosulatlan, mind a védelmi eszközökre. a felhasználók engedélyezett tevékenységei.
A bank az alábbi szervezeti és adminisztratív dokumentumokat dolgozta ki:
· Az üzleti titokról szóló rendeletek. A meghatározott Szabályzat szabályozza a Bank üzleti titkát képező információkkal való munkavégzés rendjét, az ezen információ birtokában lévő munkavállalók feladatait és felelősségét, a Bank üzleti titkát képező információt tartalmazó anyagok államba (kereskedelmi ) intézmények és szervezetek;
· A hivatali és kereskedelmi titkot képező információk listája. A lista meghatározza a bizalmasnak minősített információkat, a védett információkhoz való hozzáférés korlátozásának biztosításának szintjét és időzítését;
· Az információbiztonsági rendszer létrehozására vonatkozó utasítások és utasítások:
· lehetővé teszi a munkavállalók számára, hogy korlátozott információkkal dolgozzanak;
· adminisztrátorok és a korlátozott információkkal való munkavégzésért felelős személyek kijelölése a vállalati információs rendszerben;
· Utasítások és funkcionális felelősségek alkalmazottak:
· a biztonság és a beléptetés szervezéséről;
· az irodai munka megszervezéséről;
· a vállalati információs rendszer információforrásainak kezeléséről;
· egyéb szabályozó dokumentumok.
Következtetés
Ma az információbiztonság megszervezésének kérdése bármilyen szintű szervezetet érint - a nagyvállalatoktól a jogi személyiséggel nem rendelkező vállalkozókig. A verseny a modern piaci viszonyok között korántsem tökéletes, és gyakran nem a legtörvényesebb módon zajlik. Az ipari kémkedés virágzik. De gyakran előfordulnak olyan esetek is, amikor egy szervezet üzleti titkával kapcsolatos információkat nem szándékosan terjesztenek. Itt általában a munkavállalók hanyagsága, a helyzet megértésének hiánya, más szóval az „emberi tényező” játszik szerepet.
Az Alfa-Bank az alábbi információk védelmét biztosítja:
kereskedelmi titok
személyes adatok (ügyfelek, banki alkalmazottak)
banktitok
banki dokumentumok (Biztonsági osztály jelentései, éves banki becslések, banki alkalmazottak jövedelmére vonatkozó információk stb.)
A bankban lévő információkat olyan fenyegetések védik, mint:
Természetes
· Mesterséges fenyegetések (az információs rendszer és elemeinek tervezési hibáiból, a személyzet hibáiból stb. előidézett nem szándékos (nem szándékos, véletlen) fenyegetések; az emberek önző, ideológiai vagy egyéb törekvéseihez kapcsolódó szándékos (szándékos) fenyegetések (támadók).
Magát az információs rendszert fenyegető veszélyforrások lehetnek külső és belső is.
Bibliográfia
1. Az Orosz Föderáció elnökének 2008. március 17-i, 351. sz. rendelete „Az Orosz Föderáció információbiztonságának biztosítására irányuló intézkedésekről a nemzetközi információcsere információs és távközlési hálózatainak használata során”;
Galatenko, V.A. Az információbiztonság alapjai. Internetes Információs Technológiai Egyetem. INTUIT. ru, 2008;
Galatenko, V.A. Információbiztonsági szabványok. Internetes Információs Technológiai Egyetem. INTUIT. ru, 2005;
Lopatin, V.N. Oroszország információbiztonsága: ember, társadalom, állam. Sorozat: Az ember és a társadalom biztonsága. M.: 2000. - 428 s;
Shangin, V.F. Számítógépes információk védelme. Hatékony módszerek és eszközök. M.: DMK Press, 2008. - 544 p.
Scserbakov, A. Yu. Modern számítógépes biztonság. Elméleti alap. Gyakorlati szempontok. M.: Könyvvilág, 2009. - 352 p.
Magazin Legal Times , 2013. október 21-i kiadás
Útmutató a bizalmas dokumentumokkal való munkavégzéshez a Banknál
Korrepetálás
Segítségre van szüksége egy téma tanulmányozásához?
Szakértőink tanácsot adnak vagy oktatói szolgáltatásokat nyújtanak az Önt érdeklő témákban.
Nyújtsa be jelentkezését a téma megjelölésével, hogy tájékozódjon a konzultáció lehetőségéről.
A vállalatok gyakran figyelmen kívül hagyják a kiberbiztonsági kérdéseket, és emiatt több millió dolláros veszteséget szenvednek el. Az oldalon egy új speciális projektben a szakértők elmondják, hogyan lehet megakadályozni a behatolók támadásait anélkül, hogy megsértenék az alkalmazottak szabadságát.
A vállalkozásokat folyamatos kibertámadások érik a támadók részéről, akiknek célja a cég számláinak kiürítése vagy az ügyfelek adatainak ellopása.
15:33 15.07.2019
Sok orosz cég megfeledkezik ipari eszközei alapvető kiberbiztonsági intézkedéseiről, és hatalmas összegeket kénytelen költeni a támadások következményeinek kezelésére, bár vannak egyszerűbb megoldások is.
Egy évvel ezelőtt számos orosz és külföldi cég vált nagyszabású kibertámadások áldozatává a WannaCry és az ExPetr miatt. Azóta nem volt ilyen eset – ez azt jelenti, hogy a vállalkozások felelősségteljesebbé váltak a kiberbiztonsággal kapcsolatban, vagy más módon változott a helyzet? A Kaspersky Industrial CyberSecurity vezetője beszélt róluk.
Fontos megérteni, hogy ezek a támadások nem az ipar ellen irányultak, hanem „akasztották”. A nagy horderejű kibertámadások általában több tényező kombinációja miatt következnek be. Ebben az esetben az igen gyakori Windows operációs rendszerek sérülékenységének nyilvánosságra hozatala játszott szerepet, valamint az, hogy a felhasználók nem voltak hajlandók azt vállalati szinten gyorsan kijavítani. Az ilyen esetek hiányának most semmi köze ahhoz, hogy a vállalatok felelősségteljesebbé váltak a biztonságukért.
Azok a vállalkozások, amelyeket érintett a WannaCry, vagy ahol kivizsgáltuk az incidenseket, és javaslatokat tettünk a biztonságuk megerősítésére, meghoztak bizonyos intézkedéseket. Nagy valószínűséggel kijelenthetjük, hogy többé nem lesz ugyanaz a támadásuk.
Ám a legtöbb cégnél semmi sem változott, pedig tisztában vannak a kockázatokkal, és volt már elég incidens.
Jó hír a számára Orosz vállalkozások- a No. 187-FZ „A kritikus információs infrastruktúra" Ez vonatkozik az ipari folyamatok automatizálási rendszereire is. Oroszországban ez a törvény a legerősebb hajtóerő a valódi védelmi rendszerek kiépítésében. 2018 elején lépett hatályba, 2019–2021. Máris a biztonság növekedését fogjuk látni.
Milyen fenyegetések tekinthetők most kulcsfontosságúnak?
Az ipari infrastruktúrákban a fertőzések leggyakoribb oka a gyakori rosszindulatú programok. Alapvetően ezek „trójaiak”, akik véletlenül kerülnek oda. Nem kell célpontnak lenned ahhoz, hogy áldozat legyél.
Van egy nyilvánvaló ellentmondás: amikor törvényeket hoznak, és általában a kiberbiztonságról beszélnek, főként a motivált és képzett támadók támadásaitól tartanak, és félnek a célzott támadásoktól. De az ipari kiberbiztonság mára már olyan érett, hogy a vállalatok lehetővé teszik a tömegesen előállított rosszindulatú programok általi általános fertőzéseket.
Fel tudná sorolni az ilyen furcsa támadásokat?
A rosszindulatú programokat emberek írják, és nem mindig jó minőségűek – vannak benne hibák.
Az ipari hálózatokban az incidensek leggyakrabban véletlen fertőzés miatt következnek be: a vállalkozó egy vírusos laptopot csatlakoztatott biztonságos hálózatra, egy alkalmazott távoli hozzáférést kapott... A vírus szolgáltatásmegtagadást, berendezés meghibásodását vagy leállását okozhatja. technológiai folyamatok, bár ez nem szándékosan történik .
Például a WannaCry három verziója közül az egyik nem tudott titkosítani, de nagyon rosszul kompatibilis a Windows XP-vel, ami miatt a rendszer összeomlott a Blue Screen of Death-re. Számos esetben ezzel kellett küzdeni, nem pedig az ipari hálózaton történő titkosítással.
Milyen óvintézkedéseket tesznek az ilyen események valószínűségének minimalizálására?
Minél tudatosabbak az alkalmazottak egy adott típusú kibertámadásról, annál könnyebb elkerülni azokat.
8-10 évvel ezelőtt, amikor az ipari vállalkozások legtöbb szakembere képzett volt, az ipari rendszereket ritkábban támadták meg - általában elszigetelték a külvilágtól. Az utóbbi években azonban az üzleti igények miatt az ipari hálózatokat integrálták a vállalati hálózatokkal, például a rendeléskezelés és az ellátási lánc menedzsment céljából. A vállalkozók hozzáférést kapnak a technológiai hálózatokhoz, hogy gyorsan szolgáltatásokat nyújthassanak az ipari vállalkozásoknak. A hálózatok a kiberfenyegetések széles skálájának vannak kitéve.
Ezekkel a veszélyekkel a vállalati szegmensben sikeresen küzdenek, de mérnökök és metrológusok még nem találkoztak velük.
Érdemes elmondani nekik az alapvető kérdéseket: hogyan néz ki egy hamis levél vagy vírus a pendrive-on, miért nem lehet tölteni mobiltelefon a gép kezelőpaneljéről, miért kell „biztonsági őrt” hívni, ha távelérést biztosít egy vállalkozónak...
Ha az alkalmazottak tisztában lennének a lehetséges behatolási vektorokkal és azok következményeivel, egyszerűen nem tennének ilyen dolgokat. Ez az egyik kiemelt, gyors és nagyon olcsó intézkedés.
Mi a Kaspersky Labnál nemcsak a támadások megelőzésére vagy észlelésére alkalmas termékek fejlesztésében látjuk a célunkat, hanem abban is szakképzés. Ennek érdekében partneri kapcsolatokat kezdeményezünk a mérnökök nyelvét „beszélő” képzési központokkal és egyetemekkel. Oroszországban partnerünk az Abiroy cég, amely évek óta oktat szakmailag az ipari környezetben, és most már a kiberbiztonság területén is. Európában néhány hónapja jelentettük be, hogy partnerséget kötöttünk a Fraunhofer IOSB Intézettel, immár az ő portfóliójukban elérhetők információbiztonsági tanfolyamaink, amelyek még mélyebb megértést adnak az iparág sajátosságairól.
Végül nem szabad megfeledkeznünk az alapvető technikai intézkedésekről. A víruskeresők, a távoli elérési eszközök és a hálózati szegmentálás nagyon hatékonyak a védelemben.
Mennyire energia- és pénzügyi költségesek a megoldások az ipari kiberkockázatok leküzdésére?
A tervezési nehézségek valódi problémát jelentenek. Képzeljünk el egy nyolc éve épített ipari hálózatot, amely távelérés vagy adatátvitel céljából csatlakozik egy vállalati hálózathoz. Lehetséges, hogy áthatolhat rajta, eljuthat a programozható logikai vezérlők szintjére, megváltoztathatja a folyamatvezérlési logikát és letilthatja azokat. De gyakran az alacsonyabb szintű ipari hálózatok nem menedzselt hálózati berendezésekre épülnek, amelyekről lehetetlen a forgalom tükrözését megszervezni egy behatolásérzékelő rendszer csatlakoztatása érdekében. Ennek eredményeként be lehet jutni egy ilyen hálózatba, de az ilyen támadások észlelése nagyon nehéz.
Sok esetben az összes védelmi intézkedés végrehajtásához a teljes hálózatot újra kell tervezni. De az ipari világnak megvannak a maga szabályai: „működik, ne avatkozz be”.
Saját korszerűsítési ciklussal rendelkezik, a hálózat új, védett szabályok szerint 5-10, de akár 15 év alatt is kiépíthető. A régi infrastruktúra korszerű eszközökkel rendkívül nehezen védhető: 50 ezer dollárért behatolásjelző eszköz telepítéséhez további 500 ezer dollárért hálózatkorszerűsítési projektet kell vállalni.
A második nehézséget a szakképzett személyzet jelenti. Kevés az ICS információbiztonsági szakember a világon, és még inkább az orosz régiókban, ahol főleg vannak ipari vállalkozások. A modern kiberbiztonsági rendszerek használata meglehetősen bonyolult, és megkövetelik a fenyegetések fejlődésének megértését.
Természetesen vannak anyagi gondok is. Az első projektek nagyszámú, már kiépített infrastruktúra védelmére drágák: szolgáltatások, felmérések, tervezés, kivitelezés, új személyzet... Oroszországban számos állami tőkével rendelkező cég van, amely nem tudja olyan könnyen emelni szolgáltatásaik és áruik árait. Az energiaszektorban például a kiberbiztonságba való túlzott befektetés végső soron hatással lehet villanyszámláinkra.
De bízom benne, hogy túl leszünk ezen, és a biztonság új szintjére lépünk. A kulcs a kiberbiztonság megfelelő szintjének folyamatos fenntartása, ahogy a rendszer fejlődik.
Európában a véletlenszerű fertőzési kísérleteknek kitett számítógépek száma sokkal kisebb, mint Oroszországban. BAN BEN fejlett országok a vállalatok szolgáltatási modellt használnak az ipari infrastruktúrák karbantartására: egy automatizálási rendszer beszállítója vagy integrátora folyamatosan, lépésről lépésre karbantartja ezeket a rendszereket, beleértve a kiberbiztonsági intézkedéseket is. Így a nyugati cégek biztonságosabb infrastruktúrával rendelkeznek sokkköltségek nélkül, több évre elosztva. Cégeink saját ipari infrastruktúrájukért felelősek, és a „ha működik a rendszer, akkor nincs szükség korszerűsítésre” elve szerint működnek. Így halmozódik fel a lemaradás, amit elég „fájdalmas” megszüntetni.
Általános szabály, hogy a kész megoldások megfelelőek az ügyfelek számára, vagy egyedi projektekre van szükségük a nem szabványos paraméterek miatt?
Az ügyfeleknek egyedi projektekre van szükségük, amelyek kész megoldások „blokkjait” tartalmazzák. Nagyon fontosak az integrációs munkák, a védelmi rendszer felmérése, tervezése, de nincs értelme az egyes rendszerek ipari védelmét újratervezni.
Most egységesítik az ipart: szabványosított adatátviteli protokollok, azonos operációs rendszerek... Igen, néha nagyon szokatlan ipari hálózatok is találkoznak, de általában kiderül, hogy a következő években modernizálni fogják őket.
Ha meg kell védeni egy egyedi infrastruktúrát, akkor egy átfogó elemzés után világossá válik, hogy ezt a korszerűsítéssel együtt két év múlva olcsóbb és korrektebb lesz megtenni, előtte pedig bármilyen kompenzációs intézkedést alkalmazni.
Kevés vezető ismeri fel, hogy a munkavállaló a „belépési pont” a cégébe. Hogyan lehet új szintre emelni az üzleti kiberbiztonságot úgy, hogy a munkavállalók ne tekintsék a szabadság korlátozásának?
Az üzleti információbiztonság egyik kulcsproblémája az alkalmazottak rossz kockázattudata. Hogyan növelhető egyszerű módszerekkel?
Ebben a témában a legfontosabb ismereteket osztja meg a regionális vállalati értékesítési osztály vezetője. Kaspersky Lab»:
Azoknak, akik keveset tudnak a fenyegetésekről, még meg kell tanulniuk a kiberbiztonság alapjait, hogy biztonságban érezzék magukat. Végül is meg kell értened, mely e-maileket nem szabad megnyitni, mely linkekre kattintani, mely programokat nem szabad letölteni.
Ugyanakkor kevés vezető veszi észre, hogy a munkavállaló a „belépési pont” a cégbe: különösen akkor, ha hozzáfér a dokumentumokhoz, ill. ügyfélbázisok. Az ember mindig a leggyengébb láncszem.
A hagyományos kiberbiztonsági képzés így néz ki: az ember meghallgat egy egy-három napig tartó képzést, aláír egy dokumentumot az elvégzett képzésről, és munkába áll. Legjobb esetben a megszerzett tudás 10%-a a fejben raktározódik el, ha nem alkalmazzák és nem gyakorolják.
Ez nem egészen helyes megközelítés. Minden alkalmazottnak tisztában kell lennie a kiberbiztonsági szabályokkal, és alkalmaznia kell azokat. Szemléletünk az online tanulást foglalja magában, hiszen ma a tanulás legegyszerűbb módja az interneten van. "" kifejlesztett egy online tanfolyamot, amely ingyenesen letölthető, ha ötnél kevesebb alkalmazottja van, és licenc alapján megvásárolható, ha több van. Egyetlen vezérlőközpontban nyomon követheti az előrehaladást.
A kurzus összesen 32 modult tartalmaz. A Levelezés modulban a munkavállaló egy levélmintát lát, amely leírja a lehetséges fenyegetéseket és a kiberbiztonsági intézkedéseket (például PIN-kódot és CVV-kódot nem adhat meg, még akkor sem, ha a bank kéri őket). Miután a személy elolvasta a levelet, felkérik, hogy tegyen tesztet a címen játékforma. Ha a munkavállaló a helyes választ választja, akkor bátorítják, ha pedig rossz választ választ, elmagyarázzák, mit és miért hibázott.
Az ilyen gyakorlati feladatok heti 15 percet igényelnek, és alig vonják el a munkavállaló figyelmét a fő feladatairól.
Miután a munkavállaló befejezte a képzési modult, az ellenőrző pont üzenetet kap, és néhány héttel később ütemezzük a felülvizsgálatot. Ha valaki nem kattint rosszindulatú hivatkozásokra vagy nem tölt le kétes programokat, akkor megtanulta a leckét.
Ha egy alkalmazott ugyanazokat a hibákat követi el, akkor az irányítóközpont jelzést kap, hogy a munkavállalónak meg kell ismételnie a leckét, és újra meg kell tennie a tesztet. Ez a képzés egy éven keresztül zajlik, nagyon hozzáférhető és kényelmes.
Milyen arányban kell elsajátítaniuk az alapokat, és mekkora azoknak az aránya, akik a képzés során először sajátítják el az anyagot?
Statisztikáink szerint a dolgozók 85%-a mindent elsőre megtanul. Úgy gondolom, hogy ez a program mindenki számára hasznos lesz. A fejlesztést a Kaspersky Lab munkatársain tesztelték. Soha egyetlen modult sem fejeztem be 100%-osan helyesen, pedig 12 éve dolgozom az információbiztonsági piacon. Néhány kérdés csak elérhetőnek és egyszerűnek tűnik.
Gyanús linkek megnyitása - legegyszerűbb példa. Nem titok, hogy mindenki használja közösségi hálózatok V munkaidő. Képzelje el, hogy egy személy kap egy hivatkozást a következőre érdekes videó egy baráttól: az emberek 99%-a munkahelyi számítógépen nyitja meg, és egyáltalán nem csökkentett módban. Senki nem tudja, mi lesz letöltve a videóval párhuzamosan.
A kisvállalkozások körülbelül 30%-a nem szakemberekre bízza a kiberbiztonsági kérdéseket. Milyen eszközökkel növeljék biztonságukat?
Már az is jó, ha egy ilyen cég vett egy legális vírusirtót. Eddig még ezt sem mindenki használja. A kisvállalkozásoknak pedig legalább teljes munkaidőre van szükségük Rendszergazda, amely biztosítaná az összes számítógép működését és megvédené a vírusoktól és az esetleges támadásoktól.
A vírusirtót gyakran csodaszerként kezelik: mivel van, nem igazán kell a biztonságra gondolni, azt mondják, mindent magától megtesz.
Sajnos nem az. A víruskereső egy golyóálló vasajtóhoz hasonlítható. Kulcsok vannak hozzá, és ha elvesztetted, vagy odaadtad valakinek, a védelem nem fog működni. Az információik biztonságáért valóban aggódó vállalatok számára több megoldás is létezik magas szint- a célzott támadások elleni védekezésre. Amikor egy támadó szándékosan meg akar nyitni egy értékpapírt, általában nem hangos módszereket alkalmaz, hanem nagyon halkan dolgozik: titokban megközelíti azt a helyet, ahol a szükséges információkat megszerezheti. Nem előnyös számára, ha felfedezik, amíg el nem érte a célját. Nagyon hasonló helyzet figyelhető meg a kibertérben. A nagy cégeknél hónapokig várhatnak a támadók.
A szándékos vagy nem szándékos támadások gyakoribbak?
Feltételezzük, hogy a magasan képzett támadások az összes fenyegetés 1%-át teszik ki. De nagyon jelentősek: például az ExPetr vírus bizonyos cégeket céloz meg, és ugyanakkor több ezer másik vállalkozást érintett. A világ tele van információs technológiákkal, és a különböző struktúrákból származó emberek kommunikálnak és kölcsönhatásba lépnek egymással.
Milyen egyéb intézkedések lehetnek hatékonyak a szándékos beavatkozás elleni küzdelemben? Mindig észlelhető ez a folyamat, vagy előfordul, hogy az emberek hónapok, évek múltán értesülnek róla?
A folyamat valóban felfedezhető, ha megcsinálja. Vannak speciális szolgáltatások a vállalati hálózatok ellenőrzésére. Átlagosan egy magasan képzett támadás hat hónapig tart: először a támadó behatol a cégbe, körülnéz, majd néhány hónappal később például titkosítja az összes számítógépet, és ezzel egyidejűleg pénzt vesz fel a számlákról.
A célzott támadások elleni védekezés érdekében szakembereink, ha az ügyfél kívánja, megtekintik az online forgalmat, bejelentik a gyanús tevékenységeket, és megkérdezik, mit lehet tenni velük: blokkolhatja a támadó tevékenységét, vagy létrehozhatja a rendszeren belüli infrastruktúra utánzatát. hogy megtudja a támadó szándékait. A szakértők ugyanakkor nyomozást folytatnak, és keresik a támadás forrását.
Gyakrabban kis- vagy nagyvállalatok érik az ilyen támadásokat?
Mindkettő előfordul. De egy nagy cég megtámadásához szakembereket kell vonzani, akiknek a munkája drága. És nagy üzlet van egy egész kiberbiztonsági rendszer. A kisvállalkozások számára a védelem korlátja gyakran egy vírusirtó. Néha a támadók megtámadják beszállítóikat, hogy egy nagy szervezethez jussanak.
Gyakran a támadások, nem feltétlenül hangosak, elégedetlen volt alkalmazottaktól vagy esetleg vállalkozóktól származnak. Valószínűleg még akaratlanul is.
Ha a vállalat rendelkezik biztonsági rendszerrel, az ilyen esetek minimalizálhatók. De a gyakorlatban van példa arra, hogy egy kirúgott rendszergazdát nem blokkolták a hozzáférésben. Például egy nagy logisztikai központban korábbi alkalmazott blokkolt minden nyomtatót: a központ csaknem egy napig nem tudott árut küldeni és átvenni, mivel egyetlen dokumentumot sem tudtak kinyomtatni.
A biztonsági intézkedéseknek elő kell írniuk, hogy a munkavállaló távozásakor a rendszerhez való hozzáférését blokkolják, és a fontos rendszerek jelszavait módosítsák.
Vannak egyedi esetek: egy pénzügyi vállalkozás A jelszót havonta egyszer kellett megváltoztatni. A hétköznapi alkalmazottak számára ez szükségtelen gesztus, és az emberek 95% -a a „hónap és év” séma szerint adta meg a jelszót. Ez megengedte korábbi alkalmazott kihasználni egy kiskaput és behatolni a vállalat belső hálózatába.
Mellesleg, a Kaspersky Lab online tanfolyamának egyik modulja, hogy ne állítsunk be olyan jelszavakat, mint az „12345”, ahogy sokan még mindig teszik.
Emlékeznünk kell a kiberbiztonság alapjaira: ne használjunk közösségi hálózatokat munkahelyi számítógépről, hacsak a munkához nem szükségesek. Változtassa meg a jelszavakat, esetleg korlátozza az internet-hozzáférést azokra az alkalmazottakra, akiknek nincs rá közvetlenül szükségük. Tiltsa meg a flash meghajtók és más cserélhető eszközök használatát.
De a hétköznapi irodai dolgozók mindezeket az intézkedéseket a személyes szabadság korlátozásaként érzékelik. Egyrészt helyesek ezek az intézkedések, másrészt az információs technológia olyan gyorsan fejlődik, hogy soha nem leszünk képesek mindent teljesen kontrollálni. Nem zárhatja be az egész vállalkozást egy dobozba - akkor semmi sem fog működni. Még a védelmi vállalkozásoknál is, ahol zárt hálózatok vannak, és nem lehet Wi-Fi-t, Bluetooth-ot és flash meghajtókat használni, vannak olyan emberek, akik figyelik a rendszert és az összes paraméter megfelelőségét. Unják a 12 órás üldögélést, és sikerül filmet indítani vagy internetezni.
Az ember mindig megtalálja a módját, hogy megkerülje a korlátozásokat, ezért a legjobb megoldás a számítógépes ismeretek fejlesztése.
A vállalkozásokat folyamatos kibertámadások érik a támadók részéről, akiknek célja a cég számláinak kiürítése vagy az ügyfelek adatainak ellopása. A cégek, különösen a kicsik, gyakran fukarkodnak az információbiztonságon (IS), és az IS-igazgatók fele biztos abban, hogy ennek ára anyagi veszteség lesz.
Hogyan előzheti meg a támadásokat, és mire kell figyelnie vállalkozása védelmében? – mondja a Kaspersky Lab kis- és középvállalkozási ügyfelek értékesítési osztályának vezetője.
Az információbiztonsági vezetők gyakran megértik a fenyegetések közelségét, de költségvetési korlátokkal szembesülnek. Mekkora ez a probléma, és hogyan kezelhetik a vállalkozások?
Sajnos Oroszországban a kiberbiztonság valóban alulfinanszírozott.
Ennek valószínűleg az az oka, hogy sok vezető és cégtulajdonos alábecsüli a kiberincidensek által okozott veszteségek mértékét.
Fontos, hogy józanul felmérjük, milyen veszteségek érik a céget, ha több napig leáll – ha a weboldal vagy az összes vállalati számítógép leáll. Egy füzetben könyveket tartó virágárusnak persze nem okoz komoly gondot a számítógép két napra való blokkolása. Az adatokhoz való hozzáférés azonban rendkívül fontos egy utazási irodának, biztosítótársaságnak vagy kiskereskedőnek, amely elektronikusan vezeti a könyvelési nyilvántartásokat, hitelre szállít árut, és rögzíti a jövőbeni kifizetéseket és tartozásokat. Ezek mind valós esetek a gyakorlatunkból.
A soron következő kifizetések és pénzeszközök, amelyek még nem érkeztek be a társaság számláira, az éves forgalom 20-30%-át tehetik ki.
Amikor egy vállalkozó megérti, mennyit veszíthet, van hozzávetőleges elképzelése arról, hogy mennyit hajlandó befektetni a zavartalan működésbe, megőrzésbe szellemi tulajdon a céget és hírnevét – vagyis a kiber- és informatikai biztonság biztosítását. Egyrészt ezek kissé mulandó számítások – hogyan lehet megbecsülni a hírnév értékét? Másrészt teljesen nyilvánvalóak. Például, ha egy légitársaság nem tud jegyeket eladni online, az ügyfelek nem várnak sokáig, és egyszerűen más fuvarozótól vásárolnak jegyeket.
Az adatvesztés nehézségeket okoz a vállalat éves forgalmának legalább 20-30%-ához való hozzáférésben
A kiberbiztonságra és információbiztonságra szánt költségvetés jellemzően a teljes informatikai költségvetés 10-15%-a. A mobileszközök, számítógépek, patronok és az internet költségei átlagosan 30-50 ezer rubel. alkalmazottonként évente. És egy munkahely kiváló minőségű védelme a kis- és középvállalkozásokban - 1 ezer és 3,5 ezer rubel között.
Ezért az IT-biztonság megtakarítása a mérkőzések megtakarítását jelenti. A kávé, a WC-papír és az irodaszerek irodai költségei magasabbak lehetnek.
Fontos megérteni, hogy az információbiztonság kritikus kiadás, amelyet nem szabad elhanyagolni.
A kis- és középvállalkozások ma már a támadók figyelme alatt állnak – egyes esetekben a kibertámadások akár vállalkozások csődjéhez is vezettek.
A kiberbűnözők keresik a módját, hogy beszivárogjanak egy szervezetbe. Leggyakrabban erre a számviteli osztályra, majd a jogi, személyzeti és marketing osztályra küldenek levelet.
Az e-mailek rosszindulatú programokat tartalmazhatnak, vagy adathalász oldalra hívhatják meg Önt. A fertőzés után a támadók különféle adatokat kezdenek gyűjteni: nyomon követik a billentyűzet billentyűleütéseit, az egér mozgását, tanulmányozzák a levelezést, a levélküldők kapcsolatait és pozícióit stb.
A vállalati folyamatok tanulmányozása után a támadók célzott adathalász e-mailt hozhatnak létre egy adott alkalmazottnak.
Például írjon egy HR-alkalmazottnak azzal a kéréssel, hogy tekintse át önéletrajzát, csatolva egy Word formátumú fájlt.
A cég alkalmazottai minden nap használnak ilyen dokumentumokat, de tartalmazhatnak olyan végrehajtható szkriptet, amely vírust indít el, és megkezdi az adatok titkosítását a vállalaton belül – minden olyan helyen, ahol az alkalmazott hozzáfér. A hagyományos antivírusok, amelyek csak aláírási módszerrel működnek, nem tudják követni az ilyen zsarolóprogramokat.
A titkosítók a jelenlegi idők csapása. Aktivitásuk az év negyedik negyedévében növekszik, amikor a legaktívabb az értékesítés, valamint március végétől júniusig, amikor a cégek adóbevallást nyújtanak be az elmúlt időszakra vonatkozóan. Milyen fenyegetések lehetnek az illetékes hatóságok részéről, ha nem nyújtja be időben az adóbevallását?
Most képzelje el, hogy a szervereken lévő összes adat titkosítva volt, és egyszerűen nem lehetett hozzáférni a könyvelési és számviteli programokhoz.
A cég kénytelen kifizetni a támadókat, vagy értesíteni az adóhivatalt, hogy nem tud feljelentést tenni. Ezért a váltságdíj összege növekszik a csúcsidőszakokban.
Vannak-e statisztikák arról, hogy a megtámadott cégek melyik része vállalja a fizetést, és melyik része próbálja megfejteni az adatokat és harcolni a támadókkal?
Egy modern ransomware támadás után titkosítási kulcs nélkül lehetetlen visszaállítani az adatokat. Míg korábban egy univerzális kulcs volt az összes érintett számítógéphez, a modern rosszindulatú programok minden egyes géphez létrehoznak kulcsokat.
A zsarolóprogramok elleni védelem nem a hagyományos vírusirtók, hanem egy többrétegű kiberbiztonsági rendszer alkalmazása lesz. Tartalmaznia kell a programok, a felhasználók tevékenységének figyelését, a heurisztikát viselkedéselemzés, képes 100%-ban megakadályozni a ransomware futását.
Ha ellenőrzi a bejövő üzeneteket a levelezőszervereken, akkor a rosszindulatú fájlokat tartalmazó mellékletek nem is jutnak el az alkalmazott számítógépére
A második védelmi vonal az alkalmazott munkahelyén van: a programindítási vezérlő ellenőrzi az összes használt fájlt. A harmadik akadály a webes vezérlés: a hálózati rendszergazda „fehér” listákat állít össze az oldalakról, amelyek felsorolják az engedélyezett erőforrásokat, és az összes többi tiltottnak minősül.
Kiberbiztonsági kérdésekben maximális figyelmet kell fordítani a könyvelők, ügyvédek, pénzügyi és vezérigazgatók – a cég pénzéhez hozzáférő személyek – munkaállomásainak védelmére. Leggyakrabban érzékenyek a behatolók célzott támadásaira.
A ransomware elleni védelem következő szintje a titkosításgátló vagy rendszerfigyelés. A titkosításgátló figyeli a felhasználó viselkedését: ha hirtelen elkezdi titkosítani az adatokat, amit korábban még soha, akkor a gyanús tevékenységet felfüggeszti, és a számítógépet leválasztja a hálózat többi részéből. Az adatok egy része biztonsági másolatba kerül későbbi visszaállítás céljából. Ily módon megakadályozzuk, hogy ügyfeleink ellen ransomware támadásokat fejlesszenek ki.
- Az egyik leghírhedtebb rosszindulatú program -Buhtrap. Hogyan küzdhetsz ellene?
A Buhtrap egy rosszindulatú program, amely lehetővé teszi az elektronikus bankhoz való hozzáférést és a pénzügyi tranzakciók lebonyolítását egy vállalaton belül.
Egyre kifinomultabbak a támadók azon próbálkozásai, hogy olyan embereket találjanak, akik képesek ilyen műveleteket végrehajtani. Szakosított médiumok weboldalai, amelyeket leggyakrabban könyvelők és pénzügyi igazgatók, cégvezetők és cégtulajdonosok által látogatott oldalak.
Egyes esetekben a hackerek érdekes tartalommal rendelkező erőforrásokat is létrehoznak, hogy speciálisabb felhasználókat vonzanak.
- Milyen következményekkel jár a Buhtrap fertőzés?
A kár mértéke orosz cégek Az ilyen kártevők költségét csak tavaly több tízmillió dollárra becsülik. Lehet kezelni a Buhtrapet, de nem a támadás következményeivel, hanem az eredeti forrásával kell foglalkozni.
A minősített megoldások, mint például a Kaspersky Lab megoldásai, lehetővé teszik a rosszindulatú hírforrások észlelését, amelyeken keresztül a Buhtrap eléri a munkaállomásokat, és teljesen blokkolja azokat a kártevőkkel együtt.
A kis- és középvállalkozások kiberbiztonságát néha nem szakemberek kezelik. Hogyan tudja egy cégvezető felismerni ennek a feladatnak a fontosságát, és megfelelő kezekbe helyezni?
A közép- és kisvállalkozások számára készült speciális megoldások, például a Kaspersky Small Office Security, lehetővé teszik a 25-nél kevesebb munkaállomással rendelkező vállalatok védelmét. Ez a termék pénzügyi tranzakciók védelmét, jelszókezelőt, mobileszközök, szerverek és munkaállomások védelmét tartalmazza. A program olyan technológiákat használ, amelyeket többek között a nagyvállalatok védelmére fejlesztettek ki.
Egy nagyobb szegmensben a Kaspersky Security Cloud megoldása lesz érdekes. Legfeljebb 250 főt foglalkoztató cégek számára alkalmas.
Ugyanakkor a védelmet nem csak a munkahelyéről kezelheti, hanem a világ bármely pontjáról, ahol van internet-hozzáférés.
Vagyis egy alkalmazott nyaralni mehet Balira, és onnan figyelheti a cég kiberbiztonságát. A konzol intuitív, és nem szakemberek számára is adaptált Főkönyvelő vagy üzletvezető.
- Bízhat-e egy vállalkozás ingyenes megoldásokban a pénzügyi fenyegetésekkel szemben?
Az otthoni eszközökhöz készült megoldásokhoz hasonlóan ezek sem alkalmasak vállalati felhasználók számára, mert nem a szervezetek védelmét szolgálják. A támadók pedig fejlesztik munkamódszereiket. Többnyire ingyenes verziók csak alapvető védelmet tartalmaznak a rosszindulatú programok ellen, nem tudják biztosítani az online pénzügyi tranzakciók biztonságát, nem blokkolják a csalárd linkeket, nem segítik az erőforrások és programok használatának ellenőrzését stb.
Meg tudja védeni adatait a ransomware ellen? Interaktív játék
Hogyan védekezhetnek a kisvállalkozások a rosszindulatú támadások ellen, és hogyan akadályozhatják meg a rosszindulatú programok terjedését, mielőtt az problémává válna?
„Túl kicsik vagyunk ahhoz, hogy támadás célpontjai lehessünk” – ez a véleménye sok kisvállalkozási vezetőnek. A Kaspersky Lab statisztikái szerint a kiberbűnözők áldozatainak 58%-a kisvállalkozás, és az SMB szegmens vállalatai számára egy sikeres támadás által okozott átlagos kár 4,3 millió rubel.
Hogyan védhetik meg a kis- és középvállalkozások alkalmazottaikat a behatolók támadásaitól? Milyen védelmi intézkedéseket kell alkalmazni? – mondja , a Kaspersky Lab vezető termékmarketing-menedzsere.
Mikor veszi észre a vállalkozás vezetése, hogy valamilyen védőintézkedést kell tenni?
A legtöbb esetben az első esemény után. Sajnos egy kisvállalkozásban az informatikai biztonság csak akkor válik nagyon fontossá, ha a vállalatot először megtámadta egy zsarolóvírus. A vállalkozás tulajdonosa amennyire csak lehetséges, további kiadásokat takarít meg, hacsak nem haladó felhasználó.
A hiba ára nagyon magas. Egy nagy szervezet újraoszthatja infrastruktúráját és folytathatja működését. De ha egy kisvállalkozás teljes hálózata leesik egy rosszindulatú program támadása miatt, egyszerűen leállítja a szolgáltatásnyújtást – a cég munkája teljesen leáll. A verseny pedig igen nagy: a statisztikák szerint a támadás áldozatává váló kisvállalkozások fele hat hónap után kirepül a piacról, mert nem tudták időben helyreállítani az erőforrásaikat.
A praxisomban volt egy nagyon nehéz eset. A támadók tudtak a vállalat kiberbiztonságának hiányosságairól, a „rosszindulatú programokkal” célozták meg a szervezet adatait, és fokozatosan ellopták ügyfeleit. Valószínűleg egy borravaló alapján cselekedtek. De a cég fejlett embereket talált, akik képesek voltak felismerni a célzott támadást és megmenteni a céget – ez rendkívül ritka.
A legtöbb esetben a támadások széles körben elterjedtek, és mindig az alkalmazottak a gyenge láncszem. Munkahelyi számítógépekről keresnek információkat, letöltik a munkához szükséges programot, és hibázhatnak. Ha nincs szakember, aki ezt felügyeli, akkor senki sem irányítja a helyzetet a cégben.
A kisvállalkozások minimális védelme segít elkerülni az ilyen hibák negatív következményeit. Képzelje el, hogy adathalász támadással kell szembenéznie. Ha 50-100 ember van a szervezetben, akkor nem mindegy, hogy közülük hányan kattintanak a linkre – egy kattintás is elegendő a hálózat megfertőzéséhez. A kisvállalkozások számára készült megoldások célja, hogy megakadályozzák a rosszindulatú programok terjedését, mielőtt az problémává válna.
Általában a nagyvállalatok kiképezik alkalmazottaikat, hogy azonosítsák a behatolóktól származó fájlokat és hivatkozásokat e-mailben. Megvédik a kis cégek dolgozóikat az ilyen fenyegetésektől?
A kisvállalkozások sok időt és energiát fordítanak alapvető tevékenységeikre. A befektetett eszközöket mindig olyan területekre fektetik be, amelyek potenciálisan növelhetik a vállalat bevételét. A folyamatok támogatására minimális forrás marad, így az informatika és az informatikai biztonság finanszírozása nem prioritás, ezen szolgáltatások kiválasztásánál fontos a könnyű kezelhetőség és az automatikus működés. Vagyis a döntéseknek minimális odafigyelést kell igényelniük.
Ezenkívül a személyi problémák mindig akutak a kisvállalkozásoknál. Egy kis cég gyakran nem teljes munkaidős alkalmazottat, hanem vendég rendszergazdát alkalmaz. Kicsit nagyobb cégeknél egy-egy szakember felelhet mind az informatikai, mind az információbiztonságért.
A kis- és középvállalkozások vezetői az e téren szerzett kellemetlen tapasztalataik alapján fordítanak figyelmet az informatikai biztonságra. Ha nagyjából tisztában vannak a fenyegetések spektrumával, találkoztak már ilyen incidensekkel, vagy tudatában vannak annak, hogy hatalmas kibertámadások után meg kell védeni a vállalatot, akkor automatikusan működő védelmet keresnek.
A Kaspersky Lab éppen ilyen megoldásokat kínál – a Kaspersky Endpoint Security for Business. Az ilyen termékeket „Install and Forget”-nek nevezzük, azaz telepítsd és felejtsd el. Maximális automatikus védelmet biztosítanak – a kisvállalkozások gyakran nem rendelkeznek speciális alkalmazottakkal a program konfigurálásához.
Az adathalász e-mailek elleni védelemnek is automatikusnak kell lennie, hogy az ilyen levelek egyáltalán ne érjenek el a felhasználókhoz.
A kisvállalatok alkalmazottai nagyobb valószínűséggel kapnak ilyen leveleket, mint a nagyvállalatoké?
A kisvállalkozások vezetőinek veszélyes tévhitük van, miszerint nem ők célpontjai a kiberbűnözőknek, és nem „finomság” számukra. De a statisztikák szerint a szervezett bűnözői csoportok áldozatai az esetek 50%-ában kis- és középvállalatok. Az olyan globális rajongói támadások esetében, mint a WannaCry, mindenki megkapja: vállalatok, kis cégek és magánfelhasználók.
A célzott támadások inkább arról szólnak nagyvállalatok, amikor a támadók megértik potenciális „zsákmányuk” méretét. De emlékeim szerint voltak olyan esetek, amikor ilyen támadásokat hajtottak végre az online áruházak és a nagykereskedelmi szektor középvállalatai ellen.
A támadás esélye megnő, ha a támadók valamilyen módon rájönnek, hogy a cég nem foglalkozik információval és kiberbiztonsággal – a kisvállalkozások gyakran a véletlenre hagyatkoznak.
Kiszervezik-e az ilyen vállalkozók az informatikai biztonságot a bejövő alkalmazottakra vagy egyetlen alkalmazottra, vagy az automatikus védelem szerepe növekszik?
A mikrovállalkozásokban az informatikai kérdésekkel gyakran a legfejlettebbek foglalkoznak, akiknek a fő feladata máshol van - néha még a logisztikában és az értékesítésben is. De ha kiderül, hogy az ember ért az információs rendszerekhez, akkor magára vállalja többek között a számítógépvédelmet és a kiberbiztonságot. A minimum, amit tennie kell, egy víruskereső szoftver telepítése. Ráadásul üzleti megoldásokra van szüksége, nem otthonvédelemre.
Olyan megoldásokat kínálnak, amelyeket az átlagember nem ért. Csak haladó informatikai szintre van szüksége a védelem telepítéséhez.
Többben nagy cég, ahol van bejövő vagy akár házon belüli admin, ott is követelmény az ellenőrzés. Ez azt jelenti, hogy a vállalat felismeri, hogy minimális biztonsági irányelveket kell bevezetnie ahhoz, hogy megértse, mi történik, és csökkentse a kockázatok és fenyegetések körét. Készek vagyunk egyre fejlettebb megoldásokat kínálni, ahogy a cég érik.
Kifizetődőbb a felhővédelem használata, mint a rendszeres látogató szakember szolgáltatásai?
Az informatikusnak továbbra is szüksége van eszközökre: ez a megoldás nem helyettesíti, hanem eszközzé válik, amellyel megvédi a szervezetet. A Kaspersky Small Office egy „csináld magad” megoldás. Ezzel a szervezet képes lesz megvédeni magát az aktuális fenyegetésektől, és még nem folyamodik szakember segítségéhez.
Mi a legfontosabb különbség az Endpoint Security Cloud és mik a felhőmegoldás előnyei?
Nem felhővédelem van telepítve a szerveren – ehhez magasan képzett szakemberre van szükség. Technikailag hozzáértő személynek kell lennie egy végpont-megoldás kiszolgálón történő üzembe helyezéséhez, ügynökök telepítéséhez, mindezek összekapcsolásához, biztonsági házirend konfigurálásához és így tovább. A felhőmegoldás lehetővé teszi a gyors védelem megszerzését: nem kell szervert vásárolnia és karbantartania – vagyis nincs hardver karbantartási költsége. Pénzt és időt takaríthat meg a teljes munkaidős alkalmazottak számára.
A felhőmegoldás letöltése és telepítése néhány perc alatt megtörténik, a teljes feladat nem tart tovább egy óránál. Ennek a módszernek a fő előnye a gyorsaság: a védelem néhány percen belül hatni kezd.
Kisvállalkozásoknak szánt megoldásaink menedzsment szempontból a lehető legegyszerűbbek. A Small Office Security egyáltalán nem követeli meg, hogy bejelentkezzen a webkonzolba. A Kaspersky Endpoint Security Cloudban a konzol nagymértékben leegyszerűsödött: minden beállítás automatikusan alkalmazásra kerül a védelemhez csatlakoztatott új eszközökön. Bár kívánság szerint az adminisztrátor kézzel is hozzáadhat valamit. Ráadásul mindkét megoldás felhő alapú, és nem igényel hardvert vagy szervert.
Általában a fejlettebb szervezetek folyamodnak ilyen megoldásokhoz, vagy nem feltétlenül?
Itt fontos a szervezet, a vezető és az informatikus érettségi foka, ha van ilyen. Általánosságban elmondható, hogy Oroszországban az IT-kompetencia szintje meglehetősen magas. Előfordulhat, hogy a szervezet egésze egy modern infrastruktúra felé mozdul el, és néhány vállalat eltávolodik a házon belüli hardvertől, hogy rugalmasabb és agilisabb legyen.
A felhőmegoldások nagyon egyszerűen méretezhetők. Ha új értékesítési pontot nyit, ill új iroda, majd a Kaspersky Endpoint Security Cloud segítségével percek alatt védhető. Vállalkozásának méretezésének és növekedésének sebessége nincs a saját infrastruktúrájához kötve. Az irodák szétszórtan helyezkednek el az országban, és Ön mindent távolról csinál, mert minden megoldás a felhőben található. Azok a vállalatok, amelyek elkötelezettek a növekedés iránt, és megértik a méretezéssel kapcsolatos problémákat, kezdetben a felhőt választják, mert a hagyományos megoldások nem teszik lehetővé számukra a gyors változást.
Milyen fontos trendet lát még a kisvállalkozások biztonságában?
Egy másik trend a mobileszközökön történő munkavégzés. A nagy szervezeteknek vannak vállalati mobilitási programjai: központilag vásárolják meg az eszközöket, együttműködési eszközöket, biztonsági funkciókat telepítenek rájuk stb. Mindezt a biztonsági őr ellenőrzi, és elvileg nem lehet csatlakozni a cég infrastruktúrájához.
A kisvállalkozásokban pedig senki sem érti, hogy ez az eszköz személyes-e vagy sem. Az ember kiválasztja a legkényelmesebb eszközt, hogy gyorsabban és hatékonyabban tudjon megbirkózni a munkájával. Készek vagyunk támogatni az ilyen vállalkozásokat és védelmet nyújtani, beleértve a mobileszközöket is. Ha egy cég még nem használ felhővédelmet, az később aktiválható. És nem számít, hol van az ember – minden védelem távolról telepíthető.
"A mobileszköz felügyeleti eszközzé válik, és ezt a megfigyelést alapvetően engedélyezi a cég." Hogyan teremtenek rést az alkalmazottak személyes okostelefonjai és laptopjai az üzleti információbiztonságban?
A kis cégek nem mindig engedhetik meg maguknak, hogy megvásárolják az összes szükséges eszközt az alkalmazottak számára, például munkahelyi okostelefonokat és laptopokat. Ugyanakkor ösztönzik a személyes eszközök munkavégzési célú használatát, hogy a munkavállaló mindig kapcsolatban legyen.
Így alakult ki a BYOD (bring your own device) névre keresztelt irányzat, amely egyre inkább terjed a közép- és kisvállalkozásokban.
„A BYOD-nak köszönhetően a cég rengeteg pénzt takarít meg a hardver vásárlásán és karbantartásán, és kiküszöböli a mobileszközök elvesztésének és károsodásának kockázatát. Ez pedig jelentős pénz” – kommentálja Viktor Csebisev , vírusirtó szakértő" Kaspersky Lab».
Maga a BYOD koncepció azonban ellentmondásos. A munkavállaló személyes eszközének a vállalat belső kerületéhez való hozzáférése kényelmes magának a munkavállalónak, de az adatszivárgás és az információkhoz való ellenőrizetlen hozzáférés kockázatával jár.
Ebben az esetben a BYOD megközelítés bonyolító tényező, és a támadók „belépési pontjává” válhat a vállalatba. Ezért a szervezetnek úgy kell konfigurálnia a hozzáférést és a bemeneti vezérlést, hogy az ne legyen mindig kényelmes a felhasználó számára.
A BYOD megközelítés kockázatainak csökkentése érdekében számos adatvédelmi intézkedést kell tenni. A személyzet személyes eszközei általában kevésbé védettek, mint a vállalati eszközök, és érzékenyebbek a kiberfenyegetésekre és a veszteségekre. A Kaspersky Lab tanulmánya szerint a kkv-szektorban (1-249 fős személyzettel) működő vállalatok 35%-a találkozott azzal a ténnyel, hogy az alkalmazottak munkavégzésére használt kütyük rosszindulatú programokkal fertőződtek meg. A szervezetek 28%-ának alkalmazottai elvesztették a vállalati információkat tartalmazó személyes eszközöket és adathordozókat: okostelefonokat, laptopokat, külső merevlemezeket, flash meghajtókat. A kis- és középvállalkozási szegmensből származó sikeres támadás átlagos kárát pedig 4,3 millió rubelre becsülték.
Az üzleti életben dolgozó alkalmazottak személyes eszközei: mik a veszélyek?
A fenyegetések súlyossága attól függ, hogy a vállalat informatikai részlege hogyan figyeli a dolgozók mobileszközeinek biztonságát. Itt több megoldás is használható:
1.MDM profilok. A mobileszköz-kezelés (mobile device management) olyan szolgáltatások és technológiák összessége, amelyek biztosítják a vállalat kütyüjének és alkalmazottainak vezérlését és védelmét. Az MDM egyik része az alkalmazott moduljára van telepítve, a másik pedig egy „vezérlőközpont” a távoli eszközkezeléshez.
2. Korlátozó irányelvek. Nem minden alkalmazottnak van szüksége bizonyos erőforrásokhoz. Például miért kell egy könyvelőnek munkahelyi eszközökről hozzáférnie a közösségi hálózatokhoz? Ez veszélyes lehet, ha a modul bizalmas dokumentumokat tartalmaz, és egy alkalmazott véletlenül rosszindulatú internetes hivatkozásra kattint. Ezért a közösségi hálózatokhoz vagy más programokhoz vagy erőforrásokhoz való hozzáférési jogok rugalmas konfigurálása nagyon fontos és szükséges döntés.
3. Központilag vezérelt vírusirtó, amely védelmet nyújt a rosszindulatú programok ellen. Ezek a megoldások lehetővé teszik a fertőzött eszköz azonnali elkülönítését a vállalat infrastruktúrájától, és az incidens kivizsgálását.
Ha ezen módszerek egyikét sem alkalmazzák, akkor a vállalat jelentős kiberbiztonsági kockázatokkal néz szembe – figyelmeztet Viktor Csebisev. Elmondása szerint, ha egy mobileszköz fertőzött, több forgatókönyv lehetséges:
1. A rosszindulatú program minden adatot begyűjt a mobileszközről – valójában kémkedik. Ebben az esetben elfoghat fontos fájlokat a készülék memóriájában, beszélgetéseket rögzíthet a beépített mikrofon segítségével, képeket készíthet a kamerával stb. A mobileszköz felügyeleti eszközzé válik, és ezt a megfigyelést a cég alapvetően engedélyezi.
2. A kártevő úgynevezett alagutat hoz létre. A mobiltelefon két hálózati interfésszel rendelkezik - WIFI és 3G/4G/LTE. A világ bármely pontján elhelyezkedő támadó ezeken a hálózati interfészeken keresztül férhet hozzá a cég belső infrastruktúrájához, hiszen a mobiltelefon folyamatosan online, a cég belső WIFI hálózatai pedig elérhetőek a BYOD számára. Egy ilyen fertőzés következményei olyan szomorúak lehetnek, amennyire csak akarja.
A laptopokon lévő adatok ellenőrzése külön kérdés. A személyi számítógépen lévő védtelen információk, amelyek elveszhetnek a repülőtéren vagy elfelejthetők egy kávézóban, tipikus rémálom egy informatikai osztály számára.
E fenyegetés elkerülése érdekében számos cég engedélyezi alkalmazottainak, hogy csak irodai számítógépeken dolgozzanak, amelyek adatátviteli képességei erősen korlátozottak, és a flash meghajtók USB-portjai le vannak tiltva. De ez a megközelítés nem működik egy BYOD-orientált vállalatnál – figyelmeztet Viktor Csebisev. A védelem olyan korlátozásokat foglal magában, amelyeket nem minden felhasználó tud elfogadni.
Hogyan biztosíthatják a vállalkozók a vállalati információkat a személyes kütyükön?
A BYOD koncepciónak több alapvető adatvédelmi módszert kell alkalmaznia. „Nem szabad elhanyagolni őket: a hanyag hozzáállás ára még a teljes védelem árával is aránytalan lehet” – mondja Viktor Csebisev.
Soha ne hagyja figyelmen kívül a mobil kütyük védelmét (a fő munkaeszközök - számítógépek mellett). Használjon átfogó védelmet számítógépek, fájlszerverek, táblagépek és okostelefonok számára az internetes támadások, az online pénzügyi csalások, a zsarolóprogramok és az adatvesztés ellen. Ilyen védelmet biztosít például a program Kaspersky Small Office Security , kifejezetten a legfeljebb 25 főt foglalkoztató kisvállalatok számára, ill Kaspersky Endpoint Security Cloud , amely segít megvédeni a kisvállalkozásokat anélkül, hogy további terhet jelentene az IT erőforrásokra, időre és pénzügyekre.
Az átfogó védelem részeként aktiválja a speciális lopásgátló modult Android-eszközökhöz. Ezzel a funkcióval távolról blokkolhat egy elveszett eszközt, törölheti rajta az adatokat, vagy meghatározhatja a helyét a térképen.
Alkalmazza a vállalati adatok teljes vagy részleges titkosítását. Ekkor még ha elveszíti vagy ellopják laptopját vagy USB-meghajtóját, akkor sem férhet hozzá jelszó nélkül a rajta található információkhoz.
A biztonsági mentési technológiák megmentik vállalkozását. A biztonsági mentés segítségével mindig lesz egy biztonsági mentési tárolója az értékes munkahelyi információk legfrissebb verziójával, például egy ransomware vírus sikeres támadása esetén.
A rendszergazdáknak mindig tudniuk kell, hogy az alkalmazottak milyen eszközöket használnak munkájuk során, és rendelkezniük kell egy távoli „biztosítékkal” (távirányítóval) a vállalati adatok számára az ilyen eszközökön arra az esetre, ha elvesznek, ellopják vagy a tulajdonos elhagyja a céget.
Általában azonban nem szabad megengedni, hogy titkos dokumentumok kiszivárogjanak a vállalat határain kívülre, még a felhőalapú tárolókba sem, mint például a Yandex.disk és a Google.drive – és akkor nem kell semmit megsemmisítenie.
A személyes üzenetküldőkben a vállalati témákkal kapcsolatos levelezés biztosítására több ajánlás is adható. Először is, a mobileszközön telepíteni kell az operációs rendszer legújabb verzióját. Másodszor, mindig használjon biztonsági megoldást - különben az eszközt nem lehet beengedni a vállalat területére.
Az ellenintézkedések közé tartoznak a Kaspersky Security for Business és a Kaspersky Small Office Security termékcsalád megoldásai. Ezek közé tartozik a vállalati és személyi számítógépek, valamint a mobil eszközök egyformán hatékony védelme, ami különösen fontos a kisvállalkozások számára. A Kaspersky Small Office Security lehetővé teszi a tulajdonosok számára, hogy üzleti tevékenységükre összpontosítsanak, mivel könnyen használható, és nem igényel speciális IT-adminisztrációs ismereteket a vállalat hálózatának védelméhez.
Az alkalmazottak személyes eszközeinek használata biztonságosabbá teszi a vállalat számára?
A BYOD-koncepció kiberbiztonsági kérdésének technikai oldala javulni fog, és egyre több cég utasítja el az eszközök beszerzését – biztos benne Viktor Csebisev. Valószínűleg csak azok a cégek követik a régi módszereket, amelyek meghatározott mobileszközöket használnak, például ütésálló és vízálló.
„Az eszközprofilok logikája a mobil operációs rendszerekben minden bizonnyal bonyolultabb lesz. Vagyis a mobileszköz maga dönti el, hogy mit tegyen Ebben a pillanatban a tulajdonos a munkahelyén tartózkodik, és blokkolja azokat a tevékenységeket, amelyek fertőzésveszélyt jelentenek, vagy a készülék tiltott területekre való bejutását. Ezzel párhuzamosan fejlődnek a vállalati hálózatban a személyes eszközök figyelésére szolgáló mechanizmusok, és belátható időn belül olyan gépi tanuláson alapuló megoldások is megjelennek, amelyek észlelik a BYOD eszközök anomáliáit. A jövő az ilyen rendszereké” – összegzi a Kaspersky Lab víruskereső szakértője.
Az információbiztonság szerepe az üzletmenet folytonosságának biztosításában
Alekszandr Antipov
Az információbiztonsági stratégiát szorosan be kell építeni az átfogó vállalati üzletmenet-folytonossági programba
A modern üzlet attól függ információs technológiaés sürgősen gondoskodni kell a folyamatok zavartalanságáról: a hitel-, pénzügyi vagy telekommunikációs cégeknél a szolgáltatások egyórás leállása is hatalmas veszteségekhez vezethet. Folytonosság üzleti tevékenység közvetlenül kapcsolódik az IT-hez, és minden szervezet számára kritikus fontosságú, legyen szó nagy kereskedőkről, repülőjegy-ügynökségekről vagy kormányzati szervekről. Az iparban, infrastruktúra üzemekben ill közlekedési ágazat minden még súlyosabb: a digitális technológiák bevezetésével az informatikai szolgáltatások meghibásodásai nemcsak anyagi veszteségekhez, hanem ember okozta katasztrófákhoz is vezethetnek. Természetesen a kis cégeknek általában nincs értelme a folytonossági tervek megvalósításának, informálisan oldják meg a problémákat. De érte nagy üzlet a kockázatok összehasonlíthatatlanul nagyobbak.
Kirándulás a történelembe
Először a múlt század ötvenes éveiben gondoltak az emberek az üzletmenet folytonosságára – a mérnökök komolyan foglalkoztak az incidensek utáni katasztrófa utáni helyreállítás problémájával. Ennek a gyakorlatnak a végső kialakulása a nyolcvanas években következett be, és a következő évtized a technológia rohamos fejlődésével az alkalmazott megközelítések összetettségét növelte.
A kilencvenes évek második felében a katasztrófa utáni helyreállítást felváltotta az üzletmenet-folytonosság vagy BCM (Business Continuity Management) fogalma, de sok szakértő még mindig összekeveri ezeket a dolgokat. Ma már nem elég az adatmentés, a hideg vagy meleg biztonsági mentés helye. Az egész szervezet zavartalan működésének problémája érinti gyártási eszközés technológiai folyamatok, kommunikáció, személyzet és még sok más. Elsősorban az informatikai rendszerekre koncentrálunk, hiszen ezek meghibásodása teljesen megbéníthatja a cég tevékenységét.
Szabványok és eszközök
Számos nemzetközi szervezet foglalkozik üzletmenet-folytonossági kérdésekkel. A leghíresebb a BS25999 szabvány, amelyet a BSI (British Standard Institute) fejlesztett ki. Érdemes megemlíteni a brit BCI (Business Continuity Institute), valamint az amerikai DRI (Katasztrófa-helyreállítási Intézet) és a SANS (SysAdmin, Audit, Network, Security Institute) legjobb gyakorlatait, valamint az Ausztrál Nemzeti Ellenőrzési Ügynökség vezetését ( ANAO).
Itt különféle nemzeti, iparági és akár belső vállalati előírásokat is hozzáadhat - könnyű belefulladni ebbe az információtengerbe. A legrosszabb az, hogy az elméleti alapokat leíró dokumentumok nem adnak választ arra az egyszerű kérdésre: „Hogyan oldjuk meg a problémát a gyakorlatban?”
Kezdeményezzük a projektet
Igyekszünk a rendelkezésre álló módszereket összefogni, és az üzleti folyamatok folyamatosságának projektként való biztosítását - lépésről lépésre - mérlegelni fogjuk. Fontos megérteni, hogy végrehajtása folyamatos ciklikus folyamat, amely figyelembe veszi az üzleti életben bekövetkezett változásokat, az orosz és a nemzetközi jogszabályokat, valamint a technológiai újításokat.
Projektünk célja egy vállalati üzletmenet-folytonosság menedzsment (BCM) program létrehozása és megvalósítása. Először is meg kell fogalmaznia a tartalmát, és meg kell alkotnia lépésről lépésre terv végrehajtás. Ezután - határozza meg a csapattagok szerepét, a projekt céljait és gondolja át, hogyan végezze el a monitoringot és az ellenőrzést. A projekt elakadásának megelőzése érdekében érdemes létrehozni egy külön bizottságot az összes érdekelt fél képviselőiből - ennek rendszeresen össze kell ülnie, hogy megvitassák a munka előrehaladását és a felmerülő problémákat.
A terv elkészítésekor fontos megérteni, hogy a projekthez szükség lesz-e külső tanácsadók bevonására, vagy önállóan is kezelheti. Érdemes még üzletmenet-folytonossági menedzsert is megbízni a projekt irányításával – céges alkalmazottat vagy kihelyezett tanácsadót.
Az üzletre gyakorolt hatás elemzése
Első lépés: részletes vizsgálatot végzünk a vállalat üzleti folyamatairól (Business Environment Analysis, BEA), és meghatározzuk a folytonossági követelményeket.
Leggyakrabban a projektért felelős tanácsadó interjúkat készít a projekt által érintett osztályok vezetőivel. Összeállítják a folyamatok listáját, és megkezdődik a munka a tulajdonosaikkal: meg kell határozni a folyamat vállalkozásra gyakorolt hatásának típusát, az IT-függőségének mértékét, valamint a maximálisan megengedhető állásidőt (Maximum Allowable Outage, MAO ), amely után fennáll a szervezet életképességének elvesztésének veszélye.
Miután minden üzleti folyamathoz meghatározta a MAO-t, meg kell adnia az elfogadható helyreállítási időt (helyreállítási idő célkitűzés, RTO) és célpont helyreállítási pont cél (RPO) - általában ez az az időtartam, amely a vészhelyzet bekövetkezte előtti időszak, amelyre vonatkozóan adatok elveszhetnek. Vészhelyzetekben érdemes elfogadható teljesítményszinteket (Level of Business Continuity, LBC) kijelölni - általában a normál működés százalékában.
A Business Impact Analysis (BIA) a folyamatok hatását elemzi a teljes üzletág egészére. Ennek eredményeként össze kell állítani egy listát a kritikus folyamatokról és azok kölcsönös függőségeiről, valamint meg kell határozni a leállási és helyreállítási időszakokat mind maguknak a folyamatoknak, mind a hozzájuk kapcsolódó információs rendszereknek. Ezt követően kockázatelemzésre (RA) lesz szükség, amelynek során felmérik a sebezhetőségeket, a folyamatok folytonosságát fenyegető veszélyeket és ezek megelőzésének hatékonyságát.
Azáltal, hogy azonosítjuk azokat a folyamatokat, amelyek megzavarhatják a vállalat működését, illetve az esetleges károkat, előre jelezhetjük a potenciális veszélyeket, a veszélyforrásokat és a saját sebezhetőségeinket.
Stratégia és tervek
Második lépés: kidolgozzuk a megfelelő üzletmenet-folytonossági stratégiát (Business Continuity Strategy definíció), amely a vállalat tevékenységének minden aspektusát érinti.
Minden területhez külön szakasz készül, amely leírja a lehetséges műszaki és szervezési megoldásokat az üzleti folyamatok gyors helyreállítására. Az alkalmazott informatikai megoldások főként hideg- és melegmentési helyek, dinamikus terheléselosztó eszközök, valamint mobil oldalak és külső szolgáltatók kapacitása (outsourcing). Főleg költségükben és helyreállítási idejükben különböznek egymástól.
Szükséges üzletmenet-folytonossági tervek (Business Continuity Plan (BCP)) és vészhelyzeti infrastruktúra-helyreállítás (Katasztrófa-helyreállítási Terv (DRP) készítése, valamint műszaki ill. szervezeti rendszer BCM. A tervek általában a folytonosság helyreállításának három fázisát foglalják magukban: reagálnak egy incidensre, végrehajtják az üzleti szempontból kritikus folyamatokat vészhelyzetben, és visszatérnek a normál működéshez.
Megvalósítás és karbantartás
Harmadik lépés: megvásároljuk és megvalósítjuk a kiválasztott megoldásokat.
A megvalósítás összetett folyamat, amelyhez külső vállalkozó bevonására is szükség lehet. De még a befejezés után sem szabad belenyugodni a babérjain – az üzletmenet folytonosságának biztosítása folyamatos és ciklikus folyamat.
A vállalati BCM programot nemcsak folyamatosan fejleszteni kell, hanem integrálni kell a vállalati kultúrába is. Nem korlátozhatjuk magunkat a tervek elkészítésére – ezeket tesztelni kell, akár asztali ellenőrzésekkel (Tabletop), szimulációkkal (utánzat), akár teljes üzletmenet-folytonossági teszteléssel. A teszteredmények alapján jelentéseket készítenek az alkalmazott forgatókönyvekről és a kapott eredményekről, valamint javaslatokat tesznek a meglévő tervek javítására. Általában évente frissítik őket, és néha gyakrabban - például az informatikai infrastruktúra vagy a jogszabályok jelentős változása esetén.
Kommunikáció az információbiztonsággal
A szakértők megosztják az üzletmenet-folytonossági terveket és a katasztrófa utáni helyreállítási terveket, de az információbiztonsági politika szerepe a BCM-programokban nem mindenki számára nyilvánvaló.
A közelmúlt egyik esete a moszkvai felvonón történt incidens, amelynek tevékenysége teljesen megbénult egy kibertámadás következtében. Bármilyen jó is volt ebben az esetben a katasztrófa-helyreállítási terv, nem segített gyorsan javítani a vállalati működést – a biztonsági másolatból visszaállított szerverek is ki lesznek téve a sebezhetőségeknek. Éppen ezért az üzletmenet-folytonossági terveknek tartalmazniuk kellett egy listát az IT-infrastruktúra elleni sikeres támadás esetén végrehajtandó intézkedésekről, amelyek az utasok kockáztatása nélkül csökkentik az állásidőt.
Az iparban sokkal több veszély fenyeget. Ha például az Oroszországban leginkább automatizáltnak tartott olaj- és gázipart vesszük, akkor a termelési, feldolgozó- és értékesítési vállalkozások technológiai folyamatait valójában számítógépek vezérlik. Senki sem veszi le az analóg műszerek leolvasását kézzel, helyettük digitális érzékelők és intelligens felügyeleti rendszerek kerültek.
A tolózárak, szelepek és egyéb működtetők szintén digitálisak lettek. Ha az automatizált folyamatirányító rendszer elleni sikeres támadás megszakad technológiai folyamat Ez néhány másodpercre a vállalat több órára vagy hétre tartó leállásához, drága berendezések meghibásodásához és akár súlyos ember okozta katasztrófákhoz is vezethet. Egészen a közelmúltig úgy vélték, hogy a technológiai rész nyilvános hálózatoktól való elszigetelése lehetetlenné tette az automatizált folyamatirányító rendszerek elleni hackertámadásokat, de a termelés digitalizálásának fejlődésével ez az elszigeteltség csökken, a fenyegetések száma pedig nő. Az ipar mellett más tevékenységi területek is vannak, és nem különíthető el minden üzleti szempontból kritikus szolgáltatás.
A fő elv az, hogy az információbiztonsági stratégiát szorosan integrálni kell az átfogó vállalati üzletmenet-folytonossági programba. Ehhez olyan átfogó megoldásokra van szükség, amelyek egyesíthetik az erőforrások rendelkezésre állását és a hackertámadásokkal szembeni védelmet, a titkosságot és az adatok sértetlenségét biztosító eszközöket, valamint a forráskód és az alkalmazások biztonságának automatizált vezérlését. A kockázatelemzés és az üzleti hatásvizsgálat szakaszaiban figyelembe kell venni a behatolók támadásaira hajlamos információs rendszerek sérülékenységeinek lehetséges jelenlétét, és az üzletmenet-folytonossági tervnek tartalmaznia kell a naprakész adatok megszerzésére vonatkozó eljárásokat. az informatikai infrastruktúrát fenyegető veszélyekről, azok kritikusságáról és a javítások elérhetőségéről. Az üzletmenet-folytonossági stratégiának tartalmaznia kell a szolgáltatások sikeres támadások utáni helyreállítására vonatkozó eljárásokat is.
Mielőtt arról beszélnék, milyen információbiztonsági kockázatok várhatnak Önre a munkahelyén, bemutatkoznék: a nevem Kamila Iosipova. Az ICL Services IT cég vezető információbiztonsági menedzsere vagyok, és 5 éve dolgozom ebben a szervezetben. Emellett CISA Certified Information Systems Auditor vagyok (az ISACA tanúsítvány a Certified Information Systems Auditor rövidítése).
2018-ban 5%-kal nőtt a cégeknél kiszivárogtatott adatmennyiség. Az emberi tényező az információbiztonsági incidensek egyik fő oka. Gondatlanság, figyelmetlenség, indíték, szándékosság – ezek az okok, amelyek miatt cége alkalmazottai akarva-akaratlanul is a mélypontra tudják juttatni az üzletet. Az alábbiakban elmondom, hogyan védheti meg magát és ügyfeleit, mit kell tennie az adatokkal való munkavégzés kultúrájának kialakítása érdekében az alkalmazottak körében, és milyen módszereket kell alkalmazni.
Terv az információbiztonság területén végzett munka megalapozására
Ha globálisan nézzük, akkor látható, hogy az információbiztonság területén egy bizonyos minta nyomon követhető: az információbiztonságra való odafigyelés nagymértékben függ a vállalat tevékenységétől. Például a kormányzati szerveknél vagy a bankszektorban szigorúbb követelmények vannak érvényben, ezért nagyobb figyelmet fordítanak az alkalmazottak képzésére, így fejlettebb az adatokkal való munkavégzés kultúrája. Ma azonban mindenkinek oda kell figyelnie erre a problémára.
Íme tehát néhány gyakorlati lépés, amelyek segítenek az információbiztonsági munkában:
1 lépés. Olyan általános információbiztonsági politikát dolgozzon ki és valósítson meg, amely tartalmazza a vállalati munka alapelveit, céljait és célkitűzéseit az információbiztonság menedzsment területén.
2. lépés. Adja meg az osztályozási irányelveket és az adatvédelmi szinteket.
Ebben az esetben nem csak egy dokumentumot kell írni, amelyhez a munkavállaló a nap 24 órájában hozzáférhet, hanem különféle képzési eseményeket is kell tartani, és beszélni kell a változásokról. Kövesse a szabályt: az előre figyelmeztetett az előfegyverzett. Hadd folytassa a cég Teljes munkaidős állás ebben az irányban.
3. lépés. Proaktív megközelítés kialakítása.
Ez olyan, mint a megelőzés az orvostudományban. Egyetértek, sokkal olcsóbb és könnyebb megelőző vizsgálatot végezni, mint egy előrehaladott betegséget kezelni. Cégünknél például a proaktív megközelítés így működik: a kereskedelmi projektekben való információkezeléshez kidolgoztunk egy információbiztonsági menedzsment szabványt projektekben, amely tartalmazza a szükséges minimális információbiztonsági követelményeket az információk bizonyos szintű érettségének biztosításához. biztonsági folyamatok egy kereskedelmi projektben. Leírja, hogy mit kell tenni a biztonságkezelési folyamat bizonyos szintű érettségének fenntartásához. Ezt a szabványt megvalósítottuk a projektekben, és most évente hajtjuk végre belső auditok: ellenőrizzük, hogy a projektek megfelelnek-e ezeknek a követelményeknek, azonosítjuk az információbiztonsági kockázatokat és a legjobb gyakorlatokat, amelyek segíthetnek más projektmenedzsereknek.
Az auditokon kívül jól működik a Tudásmegosztás. Ha valamelyik projektben „mennydörgés” támadt, jó, ha a többiek is tudnak róla, és van idejük megtenni a szükséges intézkedéseket.
4. lépés. A szabályokat magyarázó összes dokumentum legyen strukturált, érthető és tömör.
A gyakorlat azt mutatja, hogy senki sem olvas hosszú, többoldalas szövegeket. A dokumentumot érthető nyelven kell megírni. Ezenkívül összhangban kell lennie az üzleti célokkal, és a felső vezetésnek jóvá kell hagynia – ez erősebb érv lesz az alkalmazottak számára, hogy miért kell ezeket a szabályokat betartani.
5. lépés. Tartson tréningeket, beszélgetéseket, üzleti játékokat és hasonlókat.
Nagyon gyakran az emberek nem értik, hogy bizonyos szabályok hogyan kapcsolódnak konkrét munkájukhoz, ezért példákat kell hoznia, el kell magyaráznia, meg kell mutatnia, hogyan tudják alkalmazni. Itt fontos bemutatni, hogy milyen következményekkel jár az üzletvesztésig, és milyen konkrét következmények várnak a munkavállalóra, egészen a büntetőjogi felelősségig.
A fentiek megvalósításához egy cégben erőforrásokra van szükség, anyagi és emberi erőforrásokra egyaránt. Ezért mára sok cégnél kezdett megjelenni a Chief Information Security Officer (CISO) poszt. Ennek a pozíciónak köszönhetően közvetíteni lehet a cégvezetők számára a döntések elősegítésének, a források elosztásának stb. A CISO minden szinten képes előmozdítani az információbiztonságot a vállalatnál.
Az általa vállalt feladatok széleskörűek: kommunikáció a felső vezetéssel, egyes döntések indoklása, kommunikáció a folyamattulajdonosokkal a biztonság megvalósítása érdekében minden területen. A kiberfenyegetések szemszögéből ő a kapcsolattartási pont, ahol irányít, stratégiákat határoz meg a kiberfenyegetésekre való reagáláshoz, és koordinálja a támadásokra adott választ.
Munkavállalói képzés: nehéz, időigényes, de szükséges
Mielőtt azonban bizonyos szabályokat megtanítasz az embereknek, egy dolgot meg kell értened: nem lehet megállni az emberi tényezőnél, valami más állhat mögötte - forráshiány, tudás vagy technológia. Itt van a legtöbb hatékony módszer– elemezni a valódi okokat, eljutni a kiváltó okig.
Amikor emberekkel dolgozik, szó szerint mindenkinek meg kell találnia a kulcsot. Minden ember más, ezért különböző módszereket kell alkalmazni. Az egyik alkalmazottal készült interjún a szakember azt mondta: csak akkor fogok tenni valamit, ha tudom, mit kapok, ha nem teszem eleget a követelménynek. És fordítva, egyesekre csak a pozitív motiváció hat, mint például a munka minőségének jó értékelése, a képzés sikeres elvégzésére való ösztönzés.
Egyes vélemények szerint az információbiztonsági szakemberek gyakran fékezik az innovációt, különösen akkor, ha korlátozzák az új technológiák és üzleti modellek alkalmazását. Ez valóban így is lehet, azonban fontos észben tartani a következőket: „A biztonság olyan, mint a fékek az autón. Feladatuk, hogy lelassítsák. De az a céljuk, hogy gyorsan haladj. Dr. Gary Hinson" ("A biztonság olyan, mint a fékek az autón. Az a funkciójuk, hogy lelassítsák. De a céljuk az, hogy lehetővé tegyék a gyors haladást.") Fontos megérteni, hogy e szabályok nélkül lehetetlen előrelépni, mert egy bizonyos ponton egyszerűen nem lesz képes fejleszteni vállalkozását, ha nem védi meg magát a kiberfenyegetésektől és nem kezeli az információbiztonsági kockázatokat. Az egyensúly megteremtése érdekében cégünk az ISO 27001 szabvány alapját képező kockázatalapú megközelítést alkalmazza, amely lehetővé teszi számunkra, hogy kiválaszthassuk a ránk vonatkozó követelményeket és azokat a biztonsági intézkedéseket, amelyek szükségesek ahhoz, hogy megvédjük magunkat a veszélyektől. amelyek relevánsak számunkra. Ezzel a megközelítéssel pénzügyi szempontból is választhatunk: mennyire célszerű bizonyos intézkedéseket alkalmazni. Például minden tárgyalóterembe telepíthetünk biometrikus szkennert, de mennyire van rá szükségünk, milyen értéket hoz, milyen kockázatokat csökkent? A válasz nem mindig egyértelmű.
Mi, az ICL Servicesnél tisztában vagyunk azzal, hogy fontos számunkra azoknak az információknak a bizalmas kezelése, amelyekkel dolgozunk, ehhez titkosítjuk a laptopokat, mert a laptop elvesztése esetén sem kerül behatolók kezébe az információ. Ez kritikus, és készek vagyunk erre pénzt költeni.
Meggyőződésem, hogy csak így lehet egyensúlyt teremteni a biztonság és az üzleti érték között: válasszon, tartson lépést az innovációval, és mindig mérje fel a kockázatokat (hogyan viszonyul a kockázat megvalósításának költsége egy adott biztonsági megoldás megvásárlásának költségeihez).
Az integrált megközelítés az ideális információbiztonsági recept
Véleményem szerint a biztonsággal való munka integrált megközelítése a leghatékonyabb, mert az információbiztonság az emberi tudatosság, magatartás és az üzleti folyamatok helyes megszervezése, a biztonsági követelmények figyelembe vétele. Az incidensek leggyakrabban az alkalmazottak miatt történnek: az emberek hibáznak, elfáradnak, rossz gombot nyomnak meg, így itt a siker felét technikai korlátok jelentik, véletlenszerű véletlen eseményekből, a másik fele az egyes dolgozók biztonsági kultúrája.
Ezért fontos a megelőző beszélgetések, tréningek lebonyolítása. A mai világban a kiberfenyegetések az embereket célozzák: ha adathalász e-mailt kapunk, az mindaddig ártalmatlan, amíg a linkhez nem nyúl, és rá nem kattint. Cégünknél hangsúlyt kap a munkatársak tudatossága, az emberekkel való munka, a tudatosság. Nos, a harmadik pont szervezési, az embereknek ismerniük kell a szabályokat, le kell írni a szabályokat, kell egy bizonyos szabályzat, amit mindenkinek be kell tartania.
Ne feledje: a kiberfenyegetések nagyon gyakoriak a világon, és a támadások következményei nagyon súlyosak - akár teljes üzletvesztésig, csődig. A kérdés természetesen napirenden van. A biztonság korunkban egyszerűen része kell, hogy legyen vállalati kultúra, és a felső vezetés az első érdekelt fél ebben a kérdésben, hiszen ő irányítja az üzletet, és elsősorban a kockázatok realizálása esetén viseli a felelősséget.
Íme néhány tipp, amelyek segítségével munkatársai elkerülhetik az információbiztonsági incidenseket:
- Nem követheti a nem ellenőrzött linkeket;
- Bizalmas információ nem terjeszthető;
- Nem írhatja fel a jelszót egy papírra, és nem ragaszthat rá matricát;
- Ne használjon olyan USB-meghajtókat, amelyekben nem biztos (a támadó olyan helyen hagyhatja a fertőzött fizikai eszközt, ahol az áldozat biztosan megtalálja azt);
- Weboldalakon történő regisztrációkor a telefonszám és levelezési cím, alaposan nézze meg, miért van szükség ezekre az információkra, talán így feliratkozik egy fizetős hírlevélre.
Remélem, hogy idővel a biztonság minden vállalatnál a vállalati kultúra kulcselemévé válik.
A karon sajátíthatja el az információbiztonság területén való munkavégzés készségeit.