Bezpieczeństwo informacji biznesu jako system. Bezpieczeństwo informacji w przedsiębiorstwie. Podstawowe metody ochrony informacji biznesowych
Istnienie jakiejkolwiek firmy czy przedsiębiorstwa, bez względu na to, jak duże czy małe, jest niemożliwe bez obecności pewnego rodzaju danych, które nie są dostępne do ujawnienia lub przekazania osobom nieupoważnionym. Obejmuje to dane osobowe pracowników, bazę klientów, unikatowe zmiany oraz oczywiście dokumenty finansowe i księgowe. Bezpieczeństwo informacji biznesowych oznacza ochronę wszystkich tych danych przed nieuprawnionym dostępem osób nieuprawnionych, kopiowaniem, zniszczeniem, ujawnieniem itp. Zapewnienie odpowiedniego poziomu bezpieczeństwa informacji we własnym zakresie jest prawie niemożliwe, dlatego lepiej skorzystać z pomocy profesjonalistów w tej kwestii.
Problemy bezpieczeństwa informacji – zagrożenie dla biznesu
W rzeczywistości bezpieczeństwo informacji firmy może być zagrożone nie tylko przez celowe działania intruzów. Bardzo często do wycieku informacji dochodzi z powodu zaniedbania i beztroska postawa pracowników. Dlatego bardzo ważne jest zidentyfikowanie słabych punktów w systemie bezpieczeństwa informacji, a dopiero potem zapewnienie właściwej ochrony danych na wszystkich poziomach.
W każdej dużej czy małej firmie istnieją takie bloki informacji, które stanowią podstawę pomyślnego rozwoju biznesu. To przede wszystkim baza klientów, cechy technologii proces produkcji, dane dotyczące przepływu środków pieniężnych i materiałów środki techniczne w rachunkowości, wynikach finansowych itp.
Wyniki rozwoju firmy, jej konkurencyjność i rentowność zależą od tego, jak niezawodnie zabezpieczone są kanały przepływu tych informacji przed wyciekiem. Dlatego, aby stworzyć niezawodny system bezpieczeństwa informacji, powinieneś skontaktować się z profesjonalistami.
Zamów bezpieczeństwo informacji biznesowych
BZPT świadczy profesjonalne usługi w zakresie bezpieczeństwa informacji. Szybko i sprawnie wykonamy audyt bezpieczeństwa przedsiębiorstwa, a dopiero potem dobierzemy i zainstalujemy niezbędne metody ochrony.
Jak pracujemy
- Aplikacja lub zadzwoń
- Spotkanie osobiste, doprecyzowanie szczegółów
- Kalkulacja kosztów i zawarcie umowy
- Zakończenie pracy
- Dostarczenie raportu
- Zapłata
Dlaczego warto wybrać nasze usługi
- 100% poufne
- Natychmiast
- Zgodność z obowiązującymi przepisami
- Bezpłatne konsultacje
Dlaczego warto powierzyć bezpieczeństwo biznesu profesjonalistom?
Bezpieczeństwo biznesu to jeden z najważniejszych obszarów w każdej dziedzinie handlu. Może się nią zajmować zarówno sam kierownik, jak i specjalnie wyznaczona osoba lub cała jednostka. Dziś dość popularne stało się korzystanie z usług firmy zewnętrznej. Bezpieczeństwo Twojego biznesu będzie w pełni kontrolowane, jeśli zwrócisz się do doświadczonych specjalistów, którzy znają wiele subtelności i są gotowi zagwarantować niezawodność wszelkich zdarzeń. Dlatego zwrócenie się do profesjonalistów jest bardziej racjonalnym wyjściem?
Jak pokazuje praktyka, pracownicy etatowi nie są w stanie skutecznie zbudować systemu bezpieczeństwa firmy z powodu niewystarczających kompetencji, braku przeszkolenia i specjalistycznej wiedzy. Ponadto doświadczenie pokazuje, że często po wystąpieniu jakiejś problematycznej sytuacji, która doprowadziła do strat finansowych. Aby temu zapobiec, konieczne jest terminowe dbanie o system bezpieczeństwa, którego przedmiotem są aktywa i środki finansowe, działalność pracowników i personelu administracyjnego, baza materialna, zasoby informacyjne itp.
Usługi bezpieczeństwa informacji biznesowych w Moskwie
Często mówiąc o zapewnieniu bezpieczeństwa informacji przedsiębiorstwa mają na myśli zewnętrzne zagrożenia w postaci włamań, ataków hakerskich itp. Jednak takie działania „szpiegów” bardzo rzadko dają im jakiekolwiek rezultaty. W większości przypadków do wycieku dochodzi z winy umyślnej lub przypadkowej pracowników firmy. Pod wieloma względami wysokość szkód spowodowanych działaniami wtajemniczonych zależy od tego, jak bardzo takie zagrożenie zostało niedoszacowane. Dlatego bezpieczeństwo informacji biznesowych to kwestia, której należy zaufać profesjonalistom. Tylko doświadczeni i wykwalifikowani pracownicy naszej firmy są w stanie ocenić wszystkie potencjalne zagrożenia i zainstalować kompetentny system ochrony.
Bezpieczeństwo tajemnic handlowych
Chcesz chronić swoją tajemnicę handlową? Czy podejrzewasz, że konkurenci stosują nielegalne metody? Już dziś mamy wszystkie możliwości, aby zapewnić Twojemu biznesowi. Do tej pory nasze ogromne doświadczenie w dziedzinie bezpieczeństwa informacji, a także umiejętność rozwiązywania niestandardowych i skomplikowanych zadań zostały docenione przez naszych licznych klientów. Twoja baza danych partnerów, dostawców i dystrybutorów, raporty księgowe, korespondencja biznesowa, informacje o unikalnych technologiach i strategiach biznesowych będą bezpiecznie chronione przez ekspertów naszej firmy.
Będąc jednym z rodzajów informacji poufnych, tajemnica przedsiębiorstwa jako instytucja nie opiera się na bezpośrednich instrukcjach legislacyjnych, ale raczej na prawie do posiadania informacji (jako własności), co może prowadzić do wzbogacenia i szkody dla przedsiębiorstwa. W związku z tym tajemnica handlowa staje się integralną częścią obowiązkowych środków w ten kierunek. W szczególności określany jest tryb dostępu do niektórych informacji i blokowane jest ich nieuprawnione wykorzystanie.
Ministerstwo Edukacji i Nauki Federacja Rosyjska
budżet państwa federalnego instytucja edukacyjna
wyższe wykształcenie zawodowe
„PERM BADANIA KRAJOWE
POLITECHNIKA"
przez dyscyplinę
BEZPIECZEŃSTWO INFORMACJI PRZEDSIĘBIORSTWA
Temat „Bezpieczeństwo informacji w biznesie na przykładzie Alfa-Banku”
Ukończone przez studenta
Grupa FK-11B:
Smyshlyaeva Maria Siergiejewna
Sprawdzone przez nauczyciela:
Szaburow Andriej Siergiejewicz
Perm - 2013
Wstęp
Wniosek
Bibliografia
Wstęp
Zasoby informacyjne większości firm należą do najcenniejszych zasobów. Z tego powodu informacje handlowe, poufne i dane osobowe muszą być niezawodnie chronione przed niewłaściwym wykorzystaniem, ale jednocześnie łatwo dostępne dla podmiotów zajmujących się przetwarzaniem tych informacji lub wykorzystywaniem ich w procesie wykonywania powierzonych zadań. Wykorzystanie do tego specjalnych narzędzi przyczynia się do zrównoważonego rozwoju firmy i jej rentowności.
Jak pokazuje praktyka, kwestia organizacji ochrony biznesu w nowoczesnych warunkach stała się najistotniejsza. Sklepy internetowe są „otwierane”, a karty kredytowe klientów są opróżniane, kasyna i loterie są szantażowane, sieci korporacyjne ulegają zarządzanie zewnętrzne, komputery są „zombifikowane” i włączane do botnetów, a oszustwa z wykorzystaniem skradzionych danych osobowych stają się katastrofą na skalę krajową.
Dlatego liderzy firm muszą być świadomi znaczenia bezpieczeństwa informacji, nauczyć się przewidywać i zarządzać trendami w tym obszarze.
Celem pracy jest identyfikacja zalet i wad systemu bezpieczeństwa informacji biznesowej na przykładzie Alfa-Banku.
Charakterystyka działalności Alfa-Bank OJSC
Alfa-Bank powstał w 1990 roku. Alfa-Bank jest bankiem uniwersalnym, który wykonuje wszystkie główne rodzaje operacji bankowych na rynku usług finansowych, w tym obsługę klientów indywidualnych i korporacyjnych, bankowość inwestycyjną, finansowanie handlu oraz zarządzanie aktywami.
Centrala Alfa-Banku znajduje się w Moskwie, w sumie w Rosji i za granicą otwarto 444 oddziały i oddziały banku, w tym bank-córkę w Holandii i filie finansowe w USA, Wielkiej Brytanii i na Cyprze. Alfa-Bank zatrudnia około 17 000 pracowników.
Alfa-Bank jest największym rosyjskim prywatnym bankiem pod względem sumy aktywów, całkowitego kapitału i depozytów. Bank posiada dużą bazę klientów zarówno korporacyjnych, jak i osoby fizyczne. Alfa-Bank rozwija się jako bank uniwersalny w głównych obszarach: biznesu korporacyjnego i inwestycyjnego (w tym małych i średni biznes(MŚP), handel i finansowanie strukturalne, leasing i faktoring), działalność detaliczna (w tym bankowość oddziałowa, kredyty samochodowe i hipoteczne). Szczególną uwagę przywiązuje się do rozwoju produktów bankowych dla biznesu korporacyjnego w segmencie masowym i MSP, a także rozwoju zdalnych kanałów samoobsługowych i akwizycji internetowej. Strategiczne priorytety Alfa-Banku to utrzymanie statusu wiodącego prywatnego banku w Rosji, wzmacnianie stabilności, zwiększanie rentowności oraz wyznaczanie standardów branżowych w zakresie technologii, wydajności, obsługi klienta i pracy zespołowej.
Alfa-Bank jest jednym z najbardziej aktywnych rosyjskich banków na światowych rynkach kapitałowych. Czołowe międzynarodowe agencje ratingowe przyznają Alfa-Bankowi jedne z najwyższych ocen wśród rosyjskich banków prywatnych. Zajęła pierwsze miejsce w rankingu Customer Experience Index cztery razy z rzędu. Sektor Bankowości Detalicznej po Kryzysie Finansowym, przeprowadzonym przez Senteo wspólnie z PricewaterhouseCoopers.Również w 2012 roku Alfa-Bank został uznany za najlepszy bank internetowy przez magazyn GlobalFinance, nagrodzony za najlepszą analitykę przez Krajowe Stowarzyszenie Uczestników Giełdy (NAUFOR), został najlepszym rosyjskim bankiem prywatnym według indeksu zaufania obliczonego przez holding badawczy Romir.
Dziś Bank posiada sieć o zasięgu federalnym, obejmującą 83 punkty sprzedaży. Alfa Bank posiada jedną z największych sieci wśród banków komercyjnych, składającą się z 55 biur i obejmującą 23 miasta. W wyniku rozbudowy sieci Bank ma dodatkowe możliwości powiększania bazy klientów, poszerzania oferty i jakości produktów bankowych, realizacji programów międzyregionalnych oraz kompleksowej obsługi klientów szkieletowych spośród największych przedsiębiorstw.
Analiza podstaw teoretycznych zagadnienia bezpieczeństwa informacji biznesowej
Stosownośća waga problemu zapewnienia bezpieczeństwa informacji wynika z następujących czynników:
· Współczesne poziomy i tempo rozwoju narzędzi bezpieczeństwa informacji pozostają daleko w tyle za poziomami i tempem rozwoju technologii informatycznych.
· Wysokie tempo wzrostu parku komputerów osobistych wykorzystywanych w różnych sferach działalności człowieka. Według badań przeprowadzonych przez Gartner Dataquest na świecie jest obecnie ponad miliard komputerów osobistych.
bank biznesowy zajmujący się bezpieczeństwem informacji
· Gwałtowne poszerzenie kręgu użytkowników o bezpośredni dostęp do zasobów obliczeniowych i macierzy danych;
Obecnie znacznie wzrosło znaczenie informacji przechowywanych w bankach, skoncentrowano ważne i często tajne informacje o charakterze finansowym i działalność gospodarcza wiele osób, firm, organizacji, a nawet całych państw. Bank przechowuje i przetwarza cenne informacje mające wpływ na interesy dużej liczby osób. Bank przechowuje ważne informacje o swoich klientach, co poszerza krąg potencjalnych intruzów zainteresowanych kradzieżą lub uszkodzeniem takich informacji.
Ponad 90% wszystkich przestępstw związanych jest z wykorzystaniem systemów automatycznego przetwarzania informacji banku. Dlatego tworząc i modernizując ASOIB, banki muszą zwracać szczególną uwagę na zapewnienie jego bezpieczeństwa.
Główną uwagę należy zwrócić na bezpieczeństwo komputerowe banków, m.in. bezpieczeństwo systemów zautomatyzowanego przetwarzania informacji banku, jako najistotniejszy, złożony i pilny problem w dziedzinie bezpieczeństwa informacji bankowej.
Szybki rozwój technologii informatycznych otworzył nowe możliwości biznesowe, ale także doprowadził do pojawienia się nowych zagrożeń. Ze względu na konkurencję, nowoczesne oprogramowanie sprzedawane jest z błędami i niedociągnięciami. Deweloperzy, w tym różne funkcje w swoich produktach, nie mają czasu na wykonywanie wysokiej jakości debugowania tworzonych systemów oprogramowania. Błędy i wady pozostawione w tych systemach prowadzą do przypadkowych i celowych naruszeń bezpieczeństwa informacji. Na przykład przyczyną większości przypadkowej utraty informacji są awarie w działaniu oprogramowania i sprzętu, a większość ataków na systemy komputerowe opiera się na błędach i wadach znalezionych w oprogramowaniu. Na przykład w ciągu pierwszych sześciu miesięcy po wydaniu systemu operacyjnego Microsoft Windows dla serwerów wykryto 14 luk w zabezpieczeniach, z których 6 jest krytycznych. Chociaż z biegiem czasu Microsoft opracowuje dodatki Service Pack, które usuwają zidentyfikowane błędy, użytkownicy już teraz cierpią z powodu naruszeń bezpieczeństwa informacji z powodu pozostałych błędów. Dopóki nie zostanie rozwiązanych wiele innych problemów, niewystarczający poziom bezpieczeństwa informacji będzie poważnym hamulcem rozwoju technologii informatycznych.
Pod bezpieczeństwo informacjirozumiane jest zabezpieczenie infrastruktury informacyjnej i pomocniczej przed przypadkowymi lub umyślnymi oddziaływaniami o charakterze naturalnym lub sztucznym, które mogą wyrządzić niedopuszczalne szkody podmiotom relacji informacyjnych, w tym właścicielom i użytkownikom infrastruktury informacyjnej i pomocniczej.
We współczesnym świecie biznesu zachodzi proces migracji aktywów materialnych w kierunku informacyjnych. Wraz z rozwojem organizacji jej system informatyczny staje się coraz bardziej złożony, którego głównym zadaniem jest zapewnienie maksymalnej efektywności biznesowej w stale zmieniającym się konkurencyjnym otoczeniu rynkowym.
Traktując informację jako towar, można powiedzieć, że zapewnienie bezpieczeństwa informacji w ogóle może prowadzić do znacznych oszczędności kosztów, a wyrządzone jej szkody prowadzą do kosztów materiałowych. Np. ujawnienie technologii wytwarzania oryginalnego produktu doprowadzi do pojawienia się produktu podobnego, ale pochodzącego od innego producenta, a w wyniku naruszenia bezpieczeństwa informacji właściciel technologii, a być może autor, straci część rynku itp. Z drugiej strony informacja jest przedmiotem kontroli, a jej zmiana może prowadzić do katastrofalnych konsekwencji w przedmiocie kontroli.
Według GOST R 50922-2006 zapewnienie bezpieczeństwa informacji jest działaniem mającym na celu zapobieganie wyciekom informacji, nieautoryzowanemu i niezamierzonemu wpływowi na chronione informacje. Bezpieczeństwo informacji jest istotne zarówno dla przedsiębiorstw, jak i agencji rządowych. W celu kompleksowej ochrony zasobów informacyjnych prowadzone są prace nad budową i rozwojem systemów bezpieczeństwa informacji.
Istnieje wiele przyczyn, które mogą poważnie wpłynąć na działanie sieci lokalnych i globalnych, prowadząc do utraty cennych informacji. Wśród nich są następujące:
Nieuprawniony dostęp z zewnątrz, kopiowanie lub zmiana informacji przypadkowe lub celowe działania prowadzące do:
zniekształcenie lub zniszczenie danych;
zapoznawanie osób nieuprawnionych z informacjami stanowiącymi tajemnicę bankową, finansową lub państwową.
Nieprawidłowe działanie oprogramowania, prowadzące do utraty lub uszkodzenia danych z powodu:
błędy w aplikacji lub oprogramowaniu sieciowym;
infekcja wirusem komputerowym.
Awarie urządzeń technicznych spowodowane:
brak prądu;
awaria systemów dyskowych i systemów archiwizacji danych;
zakłócenia pracy serwerów, stacji roboczych, kart sieciowych, modemów.
Błędy personelu serwisowego.
Oczywiście nie ma jednego uniwersalnego rozwiązania, ale wiele organizacji opracowało i wdrożyło środki techniczne i administracyjne, aby zminimalizować ryzyko utraty danych lub nieautoryzowanego dostępu.
Na dzień dzisiejszy istnieje duży arsenał metod zapewniających bezpieczeństwo informacji, który jest również wykorzystywany w Alfa-Banku:
· środki identyfikacji i uwierzytelniania użytkowników (tzw. kompleks 3A);
· sposoby szyfrowania informacji przechowywanych na komputerach i przesyłanych przez sieci;
· zapory sieciowe;
· wirtualne sieci prywatne;
· narzędzia do filtrowania treści;
· narzędzia do sprawdzania integralności zawartości dysków;
· środki ochrony antywirusowej;
· systemy wykrywania podatności sieci i analizatory ataków sieciowych.
„Kompleks 3A” obejmuje uwierzytelnianie (lub identyfikację), autoryzację i administrację. Identyfikacjai autoryzacja są kluczowymi elementami bezpieczeństwa informacji. Gdy próbujesz uzyskać dostęp do dowolnego programu, funkcja identyfikacji daje odpowiedź na pytanie: „Kim jesteś?” oraz „Gdzie jesteś?”, czy jesteś autoryzowanym użytkownikiem programu. Funkcja autoryzacji odpowiada za to, do jakich zasobów ma dostęp dany użytkownik. Funkcją administracji jest zapewnienie użytkownikowi określonych cech identyfikacyjnych w ramach danej sieci oraz określenie zakresu dozwolonych dla niego czynności. W Alfa-Banku przy otwieraniu programów wymagane jest podanie hasła i loginu każdego pracownika, a przy wykonywaniu jakichkolwiek operacji w niektórych przypadkach wymagana jest autoryzacja kierownika lub jego zastępcy w dziale.
Systemy szyfrującepozwalają zminimalizować straty w przypadku nieuprawnionego dostępu do danych przechowywanych na dysku twardym lub innym nośniku, a także przechwycenia informacji przesyłanych za pośrednictwem e-mail lub transmisja przez protokoły sieciowe. Celem tego narzędzia bezpieczeństwa jest zapewnienie poufności. Główne wymagania dla systemów szyfrowania to wysoki poziom siły kryptograficznej i legalność użytkowania w Rosji (lub innych państwach).
Zaporato system lub kombinacja systemów, która tworzy barierę ochronną między dwiema lub większą liczbą sieci, która zapobiega przedostawaniu się lub opuszczaniu sieci przez nieautoryzowane pakiety danych. Podstawowa zasada działania zapór ogniowych. sprawdzenie każdego pakietu danych pod kątem dopasowania przychodzącego i wychodzącego adresu IP do dozwolonej bazy adresów. Tym samym zapory znacznie rozszerzają możliwości segmentacji sieci informacyjnych i kontrolowania obiegu danych.
Mówiąc o kryptografii i firewallach, należy wspomnieć o bezpiecznych wirtualnych sieciach prywatnych (Virtual Private Network - VPN). Ich zastosowanie pozwala na rozwiązanie problemów poufności i integralności danych podczas ich transmisji otwartymi kanałami komunikacyjnymi.
Skuteczny środek ochrony przed utratą poufnych informacji. Filtrowanie treści dla poczty przychodzącej i wychodzącej. Weryfikacja wiadomości e-mail i ich załączników w oparciu o zasady ustalone przez organizację pomaga również chronić firmy przed odpowiedzialnością w procesach sądowych oraz chronić ich pracowników przed spamem. Narzędzia do filtrowania treści umożliwiają skanowanie plików we wszystkich popularnych formatach, w tym skompresowanych i graficznych. Jednocześnie przepustowość sieci pozostaje praktycznie niezmieniona.
Nowoczesny środek przeciwwirusowytechnologie umożliwiają wykrycie prawie wszystkich znanych już programów wirusowych poprzez porównanie kodu podejrzanego pliku z próbkami przechowywanymi w antywirusowej bazie danych. Ponadto opracowano technologie modelowania zachowań w celu wykrywania nowo tworzonych programów wirusowych. Wykryte obiekty można wyleczyć, odizolować (poddać kwarantannie) lub usunąć. Ochronę antywirusową można zainstalować na stacjach roboczych, serwerach plików i poczty, zaporach sieciowych działających w prawie każdym z popularnych systemów operacyjnych (Windows, Unix i Linux_systems, Novell) na różnych typach procesorów. Filtry antyspamowe znacznie zmniejszają nieproduktywne koszty pracy związane z analizowaniem spamu, redukują ruch i obciążenie serwera, poprawiają przygotowanie psychologiczne w zespole oraz zmniejszają ryzyko zaangażowania pracowników firmy w oszukańcze transakcje. Ponadto filtry spamu zmniejszają ryzyko infekcji nowymi wirusami, ponieważ wiadomości zawierające wirusy (nawet te, które nie zostały jeszcze uwzględnione w antywirusowych bazach danych) często wykazują oznaki spamu i są odfiltrowywane. To prawda, że pozytywny efekt filtrowania spamu można przekreślić, jeśli filtr wraz ze śmieciami usunie lub oznaczy jako spam i wiadomości przydatne, służbowe lub osobiste.
Istnieje kilka najbardziej typowych typów i metod zagrożenia informacyjne:
Odtajnienie i kradzież tajemnic handlowych. Podczas gdy wcześniej tajemnice były trzymane w tajnych miejscach, w ogromnych sejfach, pod niezawodną fizyczną i (później) elektroniczną ochroną, dziś wielu pracowników ma dostęp do biurowych baz danych, często zawierających bardzo wrażliwe informacje, na przykład te same dane klientów.
Dystrybucja materiałów kompromitujących. Oznacza to celowe lub przypadkowe wykorzystanie przez pracowników w korespondencji elektronicznej takich informacji, które rzucają cień na reputację banku.
Naruszenie własności intelektualnej. Ważne jest, aby nie zapominać, że każdy produkt intelektualny wytworzony w banku, jak w każdej organizacji, należy do niego i nie może być używany przez pracowników (w tym twórców i autorów wartości intelektualnych), chyba że w interesie organizacji. Tymczasem w Rosji często dochodzi do konfliktów w tej kwestii między organizacjami i pracownikami, którzy twierdzą, że stworzony przez siebie produkt intelektualny i wykorzystują go do celów osobistych, ze szkodą dla organizacji. Wynika to często z niejasnej sytuacji prawnej w przedsiębiorstwie, gdy umowa o pracę nie zawiera jasno określonych norm i reguł określających prawa i obowiązki pracowników.
Dystrybucja (często niezamierzona) informacji poufnych, które nie są tajne, ale mogą być przydatne dla konkurencji (innych banków).
Wizyty na stronach konkurencyjnych banków. Teraz coraz więcej firm korzysta z programów na swoich otwartych witrynach (w szczególności przeznaczonych do CRM), które pozwalają rozpoznawać odwiedzających i szczegółowo śledzić ich trasy, rejestrować czas i czas przeglądania stron w witrynie. Witryny konkurencji były i pozostają cennym źródłem analiz i prognoz.
Nadużywanie komunikacji biurowej do celów osobistych (słuchanie, oglądanie muzyki i innych treści niezwiązanych z pracą, pobieranie komputera biurowego) nie stanowi bezpośredniego zagrożenia dla bezpieczeństwa informacji, ale dodatkowo obciąża sieć firmową, zmniejsza wydajność i zakłóca z pracą kolegów.
I wreszcie zagrożenia zewnętrzne - nieautoryzowane włamania itp.
Zasady przyjęte przez bank muszą być zgodne zarówno z krajowymi, jak i międzynarodowymi standardami ochrony tajemnicy państwowej i handlowej, informacji osobistych i prywatnych.
Ochrona organizacyjna informacji w Alfa-Banku
Alfa Bank OJSC wdrożył politykę bezpieczeństwa opartą na selektywnej metodzie kontroli dostępu. Takie zarządzanie w Alfa Bank OJSC charakteryzuje się zestawem dozwolonych relacji dostępu określonych przez administratora. Macierz dostępu jest wypełniana bezpośrednio przez administratora systemu firmy. Stosowanie selektywnej polityki bezpieczeństwa informacji jest zgodne z wymaganiami kierownictwa oraz wymaganiami dotyczącymi bezpieczeństwa informacji i kontroli dostępu, rozliczalności, a także ma akceptowalny koszt jej organizacji. Wdrożenie polityki bezpieczeństwa informacji w całości powierzone jest administratorowi systemu Alfa Bank OJSC.
Wraz z istniejącą polityką bezpieczeństwa Alfa Bank OJSC korzysta ze specjalistycznego sprzętu i oprogramowania zabezpieczającego.
Sprzęt zabezpieczający to Cisco 1605. Router wyposażony jest w dwa interfejsy Ethernet (jeden z interfejsami TP i AUI, drugi tylko z TP) dla sieci LAN oraz jedno gniazdo rozszerzeń do instalacji jednego z modułów dla routerów serii Cisco 1600. Dodatkowo, Oprogramowanie Cisco IOSFirewallFeatureSet sprawia, że Cisco 1605-R jest idealnym elastycznym routerem/rozwiązaniem bezpieczeństwa dla małego biura. W zależności od zainstalowanego modułu router może obsługiwać połączenia zarówno przez ISDN, jak i łącze wdzwaniane lub dzierżawione od 1200 bps do 2 Mbps, FrameRelay, SMDS, x.25.
Aby chronić informacje, właściciel sieci LAN musi zabezpieczyć „obwód” sieci, na przykład ustanawiając kontrolę na styku sieci wewnętrznej z siecią zewnętrzną. Cisco IOS zapewnia wysoką elastyczność i bezpieczeństwo dzięki obu standardowym funkcjom, takim jak: rozszerzone listy dostępu (ACL), systemy blokowania (dynamiczne listy ACL) i autoryzacja routingu. Ponadto zestaw funkcji Cisco IOS FirewallFeatureSet dostępny dla routerów z serii 1600 i 2500 zapewnia kompleksowe funkcje zabezpieczeń, w tym:
kontekstowa kontrola dostępu (CBAC)
blokada java
dziennik okrętowy
wykrywanie i zapobieganie atakom
natychmiastowe powiadomienie
Ponadto router obsługuje wirtualne sieci nakładkowe, tunele, system zarządzania priorytetami, system rezerwacji zasobów oraz różne metody kontroli routingu.
Rozwiązanie KasperskyOpenSpaceSecurity służy jako narzędzie ochrony oprogramowania. KasperskyOpenSpaceSecurity jest w pełni responsywny nowoczesne wymagania dla systemów bezpieczeństwa sieci korporacyjnych:
rozwiązanie do ochrony wszystkich typów węzłów sieciowych;
ochrona przed wszystkimi rodzajami zagrożeń komputerowych;
efektywny pomoc techniczna;
„proaktywne” technologie połączone z tradycyjną ochroną opartą na sygnaturach;
innowacyjne technologie i nowy silnik antywirusowy poprawiający wydajność;
gotowy do użycia system ochrony;
scentralizowane zarządzanie;
pełna ochrona użytkowników poza siecią;
kompatybilność z rozwiązaniami firm trzecich;
efektywne wykorzystanie zasobów sieciowych.
Opracowany system powinien zapewniać pełną kontrolę, zautomatyzowaną księgowość i analizę ochrony danych osobowych, skrócić czas obsługi klienta, otrzymywać informacje o kodach bezpieczeństwa informacji i danych osobowych.
Aby sformułować wymagania dla tworzonego systemu, konieczne jest sformułowanie wymagań dotyczących organizacji bazy danych, kompatybilności informacyjnej dla tworzonego systemu.
Projekt bazy danych powinien opierać się na poglądach użytkowników końcowych danej organizacji - wymagania koncepcyjne dla systemu.
W takim przypadku IS zawiera dane o pracownikach firmy. Jedną z technologii, która w znaczący sposób obrazuje działanie systemu informatycznego, jest opracowanie schematu obiegu dokumentów.
Funkcje opracowanego systemu można osiągnąć dzięki wykorzystaniu technologii komputerowej i oprogramowania. Biorąc pod uwagę, że poszukiwanie informacji, informacji i dokumentów księgowych w działalności specjalistów bankowych to około 30% czasu pracy, wprowadzenie zautomatyzowanego systemu księgowego znacznie uwolni wykwalifikowanych specjalistów, może prowadzić do oszczędności w funduszu płac, zmniejszając pracowników, ale może również doprowadzić do wprowadzenia do personelu działu komórki kadrowej operatora, do której obowiązków będzie należało wprowadzanie informacji o realizowanych procesach biznesowych: dane osobowe, dokumenty księgowe oraz kody dostępu.
Należy zauważyć, że wprowadzenie opracowanego systemu ograniczy, a najlepiej całkowicie wyeliminuje błędy w księgowaniu danych osobowych i kodów zabezpieczających. Tym samym wprowadzenie zautomatyzowanego miejsca pracy dla menedżera przyniesie znaczący efekt ekonomiczny, redukcję personelu o 1/3, oszczędności w funduszu płac i wzrost wydajności pracy.
Alfa-Bank, jak każdy inny bank, opracował Politykę Bezpieczeństwa Informacji, która określa system poglądów na problem zapewnienia bezpieczeństwa informacji i jest systematycznym zestawieniem celów i zadań ochrony, jako jednej lub więcej zasad, procedur, praktyk oraz wytyczne w zakresie bezpieczeństwa informacji.
Polityka uwzględnia aktualny stan i najbliższe perspektywy rozwoju technologii informatycznych w Banku, cele, założenia i ramy prawne ich działania, tryby działania, a także zawiera analizę zagrożeń bezpieczeństwa obiektów i podmiotów informacji relacje Banku.
Główne postanowienia i wymagania niniejszego dokumentu dotyczą wszystkich pionów strukturalnych Banku, w tym dodatkowych biur. Kluczowe zagadnienia Polityka dotyczy również innych organizacji i instytucji współpracujących z Bankiem jako dostawców i konsumentów zasobów informacyjnych Banku w takim czy innym charakterze.
Podstawą prawną niniejszej Polityki jest Konstytucja Federacji Rosyjskiej, kodeksy cywilne i karne, ustawy, dekrety, uchwały itp. przepisy prawne aktualne ustawodawstwo Federacji Rosyjskiej, dokumenty Państwowej Komisji Technicznej przy Prezydencie Federacji Rosyjskiej, Federalnej Agencji ds. Komunikacji i Informacji Rządowej przy Prezydencie Federacji Rosyjskiej.
Polityka jest metodologiczną podstawą dla:
· tworzenie i wdrażanie jednolitej polityki w zakresie bezpieczeństwa informacji w Banku;
· podejmowanie decyzji zarządczych i opracowywanie praktycznych środków realizacji polityki bezpieczeństwa informacji oraz opracowanie zestawu skoordynowanych działań mających na celu identyfikację, odstraszanie i eliminowanie skutków wdrażania różnego rodzaju zagrożeń bezpieczeństwa informacji;
· koordynacja działań podziały strukturalne Bank przy prowadzeniu prac nad tworzeniem, rozwojem i działaniem technologii informatycznych zgodnie z wymogami zapewnienia bezpieczeństwa informacji;
· opracowywanie propozycji poprawy bezpieczeństwa prawnego, regulacyjnego, technicznego i organizacyjnego informacji w Banku.
Podejście systemowe budowanie systemu bezpieczeństwa informacji w Banku polega na uwzględnieniu wszystkich powiązanych ze sobą, wzajemnie oddziałujących i zmiennych w czasie elementów, warunków i czynników, które są istotne dla zrozumienia i rozwiązania problemu zapewnienia bezpieczeństwa informacji Banku.
Zapewnienie bezpieczeństwa informacji- proces realizowany przez Zarząd Banku, jednostki bezpieczeństwa informacji oraz pracowników wszystkich szczebli. To nie tylko i nie tyle procedura czy polityka, która jest wdrażana w określonym czasie lub zestaw środków zaradczych, ale proces, który musi trwać nieustannie na wszystkich szczeblach w Banku i każdy pracownik Banku musi w nim uczestniczyć w tym procesie. Czynności związane z bezpieczeństwem informacji stanowią integralną część codziennej działalności Banku. A jego skuteczność zależy od udziału kierownictwa Banku w zapewnieniu bezpieczeństwa informacji.
Ponadto większość fizycznych i technicznych środków ochrony wymaga stałego wsparcia organizacyjnego (administracyjnego) w celu efektywnego wykonywania swoich funkcji (terminowa zmiana i zapewnienie prawidłowego przechowywania i używania nazw, haseł, kluczy szyfrujących, redefinicja uprawnień itp.). Przerwy w działaniu narzędzi ochronnych mogą być wykorzystywane przez atakujących do analizy stosowanych metod i środków ochrony, wprowadzania specjalnych „zakładek” programowych i sprzętowych oraz innych sposobów na pokonanie ochrony.
Osobista odpowiedzialnośćprzejmuje odpowiedzialność za zapewnienie bezpieczeństwa informacji i systemu ich przetwarzania każdemu pracownikowi w granicach jego uprawnień. Zgodnie z tą zasadą podział praw i obowiązków pracowników jest budowany w taki sposób, aby w przypadku jakiegokolwiek naruszenia krąg sprawców był wyraźnie znany lub zminimalizowany.
Alfa-Bank stale monitoruje działania każdego użytkownika, każde narzędzie zabezpieczające oraz w odniesieniu do dowolnego przedmiotu ochrony powinno odbywać się w oparciu o wykorzystanie narzędzi kontroli operacyjnej i rejestracji oraz obejmować zarówno nieautoryzowane, jak i autoryzowane działania użytkowników.
Bank opracował następujące dokumenty organizacyjno-administracyjne:
· Przepisy dotyczące tajemnic handlowych. Niniejszy Regulamin reguluje organizację, tryb pracy z informacjami stanowiącymi tajemnicę handlową Banku, obowiązki i zakres odpowiedzialności pracowników dopuszczonych do tych informacji, tryb przekazywania państwu (handlowej) materiałów zawierających informacje stanowiące tajemnicę handlową Banku. instytucje i organizacje;
· Wykaz informacji stanowiących tajemnicę urzędową i handlową. Wykaz określa informacje sklasyfikowane jako poufne, poziom i czas ograniczenia dostępu do informacji chronionych;
· Rozkazy i dyrektywy w sprawie ustanowienia reżimu bezpieczeństwa informacji:
· dopuszczenie pracowników do pracy z zastrzeżonymi informacjami;
· wyznaczenie administratorów i osób odpowiedzialnych za pracę z informacjami zastrzeżonymi w korporacyjnym systemie informacyjnym;
· Instrukcje i obowiązki dla pracowników:
· w sprawie organizacji systemu bezpieczeństwa dostępu;
· w sprawie organizacji pracy biurowej;
· administrowanie zasobami informacyjnymi korporacyjnego systemu informacyjnego;
· inne dokumenty regulacyjne.
Wniosek
Dziś kwestia organizacji bezpieczeństwa informacji dotyczy organizacji każdego szczebla – od dużych korporacji po przedsiębiorców bez tworzenia osobowości prawnej. Konkurencja we współczesnych stosunkach rynkowych jest daleka od doskonałości i często nie jest realizowana w najbardziej legalny sposób. Szpiegostwo przemysłowe kwitnie. Ale przypadki nieumyślnego rozpowszechniania informacji dotyczących tajemnicy handlowej organizacji nie są rzadkie. Z reguły rolę odgrywa tu zaniedbanie pracowników, ich niezrozumienie sytuacji, czyli „czynnik ludzki”.
Alfa-Bank zapewnia ochronę następujących informacji:
tajemnica handlowa
dane osobowe (klienci, pracownicy banku)
tajemnica bankowa
dokumenty bankowe (sprawozdania Departamentu Ochrony, kosztorys roczny banku, informacje o dochodach pracowników banku itp.)
Informacje w banku są chronione przez takie zagrożenia jak:
Naturalny
· Zagrożenia sztuczne (niezamierzone (niezamierzone, przypadkowe) zagrożenia spowodowane błędami w konstrukcji systemu informacyjnego i jego elementów, błędami w działaniu personelu itp.; celowe (celowe) zagrożenia związane z egoistycznymi, ideologicznymi lub innymi dążeniami ludzi ( intruzów).
Źródła zagrożeń w odniesieniu do samego systemu informatycznego mogą być zarówno zewnętrzne, jak i wewnętrzne.
Bibliografia
1. Zarządzenie Prezydenta Federacji Rosyjskiej „W sprawie środków zapewniających bezpieczeństwo informacyjne Federacji Rosyjskiej przy korzystaniu z sieci informacyjnych i telekomunikacyjnych międzynarodowej wymiany informacji” z dnia 17 marca 2008 r. nr 351;
Galatenko, V.A. Podstawy bezpieczeństwa informacji. Internetowa Wyższa Szkoła Informatyki. INTUICYJNA. ru, 2008;
Galatenko, V.A. Standardy bezpieczeństwa informacji. Internetowa Wyższa Szkoła Informatyki. INTUICYJNA. ru, 2005;
Lopatin, V.N. Bezpieczeństwo informacyjne Rosji: człowiek, społeczeństwo, państwo. Seria: Bezpieczeństwo człowieka i społeczeństwa. M.: 2000r. - 428 s.;
Shangin, V.F. Ochrona informacji komputerowych. Skuteczne metody i środki. M.: DMK Press, 2008. - 544 s.
Shcherbakov, A.Yu. Nowoczesne zabezpieczenia komputerowe. Podstawy teoretyczne. Aspekty praktyczne. M.: Kniżny Mir, 2009. - 352 s.
Dziennik Legalne czasy , wydanie z 21 października 2013 r.
Instrukcja pracy z dokumentami poufnymi w Banku
Korepetycje
Potrzebujesz pomocy w nauce tematu?
Nasi eksperci doradzą lub zapewnią korepetycje z interesujących Cię tematów.
Złożyć wniosek wskazanie tematu już teraz, aby dowiedzieć się o możliwości uzyskania konsultacji.
Firmy często zaniedbują kwestie cyberbezpieczeństwa i w rezultacie ponoszą wielomilionowe straty. W nowym specjalnym projekcie eksperci z serwisu podpowiedzą, jak zapobiegać atakom intruzów bez naruszania wolności pracowników.
Firma jest poddawana ciągłym cyberatakom intruzów, których celem jest opróżnienie kont firmy lub kradzież danych jej klientów.
15:33 15.07.2019
Wiele rosyjskich firm zapomina o podstawowych środkach bezpieczeństwa cybernetycznego swoich aktywów przemysłowych i jest zmuszonych do wydawania ogromnych sum, aby poradzić sobie z konsekwencjami ataków, choć istnieją prostsze rozwiązania.
Rok temu wiele rosyjskich i zagranicznych firm padło ofiarą cyberataków WannaCry i ExPetr na dużą skalę. Od tego czasu takich przypadków nie było – czy to oznacza, że biznes stał się bardziej odpowiedzialny za cyberbezpieczeństwo, czy też sytuacja zmieniła się w jakiś inny sposób? Opowiedział o nich szef Kaspersky Industrial CyberSecurity.
Ważne jest, aby zrozumieć, że ataki te nie były wymierzone w branżę, ale ją „zaczepiły”. Zwykle głośne cyberataki mają miejsce w wyniku połączenia kilku czynników. W tym przypadku pewną rolę odegrało publiczne ujawnienie luki w bardzo popularnych systemach operacyjnych Windows oraz niechęć użytkowników do szybkiego jej naprawy na skalę przedsiębiorstwa. Brak takich przypadków nie ma obecnie nic wspólnego z tym, że firmy stały się bardziej odpowiedzialne za swoje bezpieczeństwo.
Firmy, które zostały dotknięte przez WannaCry lub w których zbadaliśmy incydenty i przedstawiliśmy zalecenia dotyczące poprawy ochrony, podjęły pewne działania. Z dużym prawdopodobieństwem możemy powiedzieć, że nie będą mieli ponownie tego samego ataku.
Jednak w większości firm nic się nie zmieniło, chociaż doskonale zdają sobie sprawę z zagrożeń, a incydentów było już wystarczająco dużo.
Dobrą wiadomością dla rosyjskich przedsiębiorstw jest pojawienie się nr 187-FZ „O bezpieczeństwie krytycznej infrastruktury informatycznej”. Dotyczy to również systemów automatyki procesów przemysłowych. W Rosji to prawo jest najpotężniejszym czynnikiem wpływającym na budowanie rzeczywistych systemów ochrony. Weszło w życie na początku 2018 roku oraz w latach 2019-2021. zobaczymy już wzrost bezpieczeństwa.
Jakie są teraz główne zagrożenia?
Najczęstszą przyczyną infekcji w infrastrukturach przemysłowych jest banalne złośliwe oprogramowanie. Zasadniczo są to „trojany”, które dostają się tam przez przypadek. Nie musisz być celem, aby być ofiarą.
Sprzeczność jest oczywista: kiedy uchwalają przepisy i mówią ogólnie o cyberbezpieczeństwie, najczęściej martwią się atakami zmotywowanych i wykwalifikowanych napastników, boją się ataków ukierunkowanych. Ale teraz dojrzałość cyberbezpieczeństwa przemysłowego jest taka, że firmy pozwalają na banalne infekcje masowym złośliwym oprogramowaniem.
Czy mógłbyś wymienić takie ciekawe ataki?
Złośliwe oprogramowanie jest pisane przez ludzi i nie zawsze wysokiej jakości - ma błędy.
Incydenty w sieciach przemysłowych najczęściej następują w wyniku przypadkowej infekcji: kontrahent podłączył laptopa z wirusem do bezpiecznej sieci, pracownik otrzymał zdalny dostęp... Wirus może wywołać odmowę usługi, awarie sprzętu, zatrzymanie procesów, chociaż nie dzieje się to celowo.
Na przykład jedna z trzech wersji WannaCry nie mogła zaszyfrować, ale była bardzo słabo kompatybilna z Windows XP, w wyniku czego system uległ awarii i wyświetlał niebieski ekran śmierci. W wielu przypadkach trzeba było sobie z tym poradzić, a nie z szyfrowaniem w sieci przemysłowej.
Jakie środki ostrożności można podjąć, aby zminimalizować prawdopodobieństwo takich zdarzeń?
Im wyższa świadomość pracowników na temat konkretnego rodzaju cyberataku, tym łatwiej ich uniknąć.
8-10 lat temu, kiedy większość specjalistów w przedsiębiorstwach przemysłowych otrzymywała wykształcenie, systemy przemysłowe były atakowane rzadziej - z reguły izolowano je od świata zewnętrznego. Jednak w ostatnich latach na zlecenie biznesu integruje się sieci przemysłowe z korporacyjnymi, np. w celu zarządzania zamówieniami i łańcuchem dostaw. Wykonawcy uzyskują dostęp do sieci technologicznych w celu szybszej obsługi przedsiębiorstw przemysłowych. Sieci stają się narażone na szereg zagrożeń cybernetycznych.
Zagrożenia te są skutecznie zwalczane w segmencie korporacyjnym, ale inżynierowie i metrolodzy wcześniej się z nimi nie spotkali.
Warto opowiedzieć im o podstawowych pytaniach: jak wygląda fałszywy list lub wirus na pendrive'ie, dlaczego nie można naładować telefon komórkowy z panelu sterowania maszyny, dlaczego konieczne jest wezwanie „ochroniarza” przy udzielaniu zdalnego dostępu kontrahentowi...
Gdyby pracownicy byli świadomi potencjalnych wektorów penetracji i ich konsekwencji, po prostu nie robiliby takich rzeczy. To jeden z pierwszych, szybkich i bardzo tanich środków.
W Kaspersky Lab naszą misję widzimy nie tylko w opracowywaniu produktów, które pozwalają nam zapobiegać atakom lub je wykrywać, ale także w kształcenie zawodowe. W tym celu nawiązujemy partnerstwa z ośrodkami szkoleniowymi i uczelniami, które „mówią” językiem inżynierów. W Rosji naszym partnerem jest firma Abiroy, która od wielu lat zawodowo szkoli się w środowisku przemysłowym, a teraz także w zakresie cyberbezpieczeństwa. W Europie kilka miesięcy temu ogłosiliśmy partnerstwo z Instytutem Fraunhofer IOSB, teraz nasze kursy bezpieczeństwa informacji są dostępne w ich portfolio i dają nam jeszcze głębsze zrozumienie specyfiki branży.
Na koniec nie powinniśmy zapominać o podstawowych środkach technicznych. Antywirusy, narzędzia zdalnego dostępu, segmentacja sieci są bardzo skuteczne w ochronie.
Jak drogie i finansowo są rozwiązania do zwalczania zagrożeń cybernetycznych w przemyśle?
Trudności projektowe to prawdziwy problem. Wyobraźmy sobie sieć przemysłową zbudowaną osiem lat temu, która jest podłączona do sieci korporacyjnej w celu zdalnego dostępu lub transmisji danych. Potencjalnie można go przeniknąć, dostać się do poziomu programowalnych sterowników logicznych, zmienić logikę sterowania procesami i je wyłączyć. Jednak często sieci przemysłowe na niższym poziomie są budowane na niezarządzanym sprzęcie sieciowym, z którego nie można zorganizować dublowania ruchu w celu podłączenia systemu wykrywania włamań. W efekcie możliwa jest penetracja takiej sieci, ale wykrycie takich ataków jest bardzo trudne.
W wielu przypadkach, aby zaimplementować wszystkie środki ochrony, trzeba przebudować całą sieć. Ale świat przemysłowy rządzi się swoimi prawami: „to działa – nie musisz się wspinać”.
Ma własny cykl modernizacji, a sieć można zbudować według nowych, bezpiecznych zasad w ciągu 5-10, a nawet 15 lat. Niezwykle trudno jest chronić starą infrastrukturę za pomocą nowoczesnych środków: aby zainstalować narzędzie do wykrywania włamań za 50 000 USD, trzeba wykonać projekt modernizacji sieci za kolejne 500 000 USD.
Druga trudność to wykwalifikowany personel. Na świecie nie ma tylu specjalistów w dziedzinie bezpieczeństwa informacji przemysłowych systemów sterowania, a tym bardziej w regionach Rosji, gdzie są one głównie zlokalizowane przedsiębiorstwa przemysłowe. Nowoczesne systemy Systemy cyberbezpieczeństwa są dość złożone w użyciu i wymagają zrozumienia, w jaki sposób będą ewoluować zagrożenia.
Oczywiście są też kwestie finansowe. Pierwsze projekty mające na celu ochronę dużej liczby już zbudowanych infrastruktur są kosztowne: usługi, badania, projektowanie, wdrażanie, nowy personel... W Rosji jest wiele firm z kapitałem państwowym, które nie mogą łatwo podnieść cen za swoje usługi i towary. Na przykład w sektorze energetycznym przeinwestowanie w cyberbezpieczeństwo może ostatecznie znaleźć odzwierciedlenie w naszych rachunkach za energię elektryczną.
Ale jestem pewien, że przezwyciężymy to i przejdziemy na nowy poziom bezpieczeństwa. Najważniejsze jest ciągłe utrzymywanie odpowiedniego poziomu cyberbezpieczeństwa w miarę rozwoju ich systemów.
W Europie liczba komputerów poddawanych przypadkowym próbom infekcji jest znacznie mniejsza niż w Rosji. W krajach rozwiniętych firmy korzystają z modelu usługowego utrzymania infrastruktury przemysłowej: dostawca lub integrator systemów automatyki stale utrzymuje te systemy, krok po kroku, w tym wdrażając środki cyberbezpieczeństwa. W ten sposób zachodnie firmy mają bezpieczniejszą infrastrukturę bez kosztów szokowych rozłożonych na kilka lat. W naszym kraju firmy same odpowiadają za swoją infrastrukturę przemysłową i działają w myśl zasady „jeśli system działa, nie ma potrzeby go modernizować”. W ten sposób gromadzą się zaległości, których wyeliminowanie jest dość „bolesne”.
Czy z reguły gotowe rozwiązania są odpowiednie dla klientów, czy potrzebują indywidualnych projektów ze względu na niestandardowe parametry?
Klienci potrzebują indywidualnych projektów zawierających „cegiełki” gotowych rozwiązań. Praca integratora, inspekcja i projektowanie systemu ochrony są bardzo ważne, ale nie ma sensu przeprojektowywać ochrony przemysłowej dla każdego systemu.
Teraz branża się ujednolica: ustandaryzowane protokoły przesyłania danych, identyczne systemy operacyjne... Tak, czasami spotykają się bardzo nietypowe sieci przemysłowe, ale z reguły okazuje się, że będą one w najbliższych latach modernizowane.
Jeśli trzeba chronić unikalną infrastrukturę, to po kompleksowej analizie staje się jasne, że taniej i bardziej poprawnie będzie to zrobić za dwa lata, wraz z jej modernizacją, a wcześniej zastosować wszelkie środki kompensacyjne.
Niewielu menedżerów zdaje sobie sprawę, że pracownik jest „punktem wejścia” do swojej firmy. Jak podnieść cyberbezpieczeństwo biznesu na nowy poziom, aby pracownicy nie uważali tego za ograniczenie wolności?
Jednym z kluczowych problemów bezpieczeństwa informacji biznesowych jest niska świadomość pracowników na temat zagrożeń. Jak w prosty sposób można go zwiększyć?
Kluczową wiedzą na ten temat dzieli się z kierownikiem regionalnego działu sprzedaży korporacyjnej” Kaspersky Lab»:
Osoby, które niewiele wiedzą o zagrożeniach, nadal muszą nauczyć się podstaw cyberbezpieczeństwa, aby czuć się chronionym. W końcu powinieneś zrozumieć, których liter nie należy otwierać, których linków nie należy klikać, jakich programów nie należy pobierać.
Jednocześnie niewielu menedżerów zdaje sobie sprawę, że pracownik jest „punktem wejścia” do firmy: zwłaszcza jeśli ma dostęp do dokumentów i bazy klientów. Człowiek jest zawsze najsłabszym ogniwem.
Tradycyjne szkolenie z cyberbezpieczeństwa wygląda tak: osoba słucha szkolenia, które trwa od jednego do trzech dni, podpisuje dokument o szkoleniu i idzie do pracy. W głowie co najwyżej 10% zdobytej wiedzy jest deponowane, jeśli nie są stosowane i praktykowane w praktyce.
To nie jest właściwe podejście. Każdy pracownik powinien być świadomy zasad cyberbezpieczeństwa i je stosować. Nasze podejście polega na uczeniu się online, ponieważ dziś najłatwiej jest uczyć się przez Internet. Firma „” opracowała kurs online, który można pobrać bezpłatnie, jeśli masz mniej niż pięciu pracowników, i uzyskać licencję, jeśli masz więcej. Możesz śledzić postępy w jednym centrum sterowania.
Kurs zawiera łącznie 32 moduły. W module Poczta pracownik widzi przykładowy list, który mówi o potencjalnych zagrożeniach i środkach cyberbezpieczeństwa (np. nie możesz podać kodu PIN i kodu CVV, nawet jeśli bank tego zażąda). Po przeczytaniu listu osoba ta jest proszona o przystąpienie do testu w forma gry. Jeśli pracownik wybierze poprawną odpowiedź, to jest zachęcany, a jeśli wybierze niewłaściwą, to wyjaśniają, co i dlaczego zrobił źle.
Takie praktyczne zadania wymagają 15 minut tygodniowo i prawie nie odwracają uwagi pracownika od jego głównych obowiązków.
Po przejściu przez pracownika modułu szkoleniowego do punktu kontrolnego dociera wiadomość, a po kilku tygodniach planowana jest kontrola. Jeśli dana osoba nie klika złośliwych linków ani nie pobiera podejrzanych programów, to znaczy, że wyciągnęła lekcję.
Jeśli pracownik popełni te same błędy, do centrum sterowania wysyłany jest sygnał, że pracownik musi powtórzyć lekcję i ponownie przystąpić do testu. Takie szkolenie odbywa się przez cały rok, jest bardzo przystępne cenowo i wygodne.
Jaki jest odsetek pracowników, którzy muszą nauczyć się podstaw, a jaki odsetek osób, które z powodzeniem uczą się materiału po raz pierwszy w procesie uczenia się?
Według naszych statystyk 85% pracowników uczy się wszystkiego za pierwszym razem. Myślę, że ten program przyda się każdemu. Rozwój został przetestowany na pracownikach Kaspersky Lab. Nigdy nie zdałem poprawnie ani jednego modułu w 100%, chociaż pracuję na rynku bezpieczeństwa informacji od 12 lat. Niektóre pytania tylko wydają się przystępne i proste.
Otwieranie podejrzanych linków — najprostszy przykład. Nie jest tajemnicą, że wszyscy się cieszą portale społecznościowe w czas pracy. Wyobraź sobie, że dana osoba otrzymuje od znajomego link do interesującego filmu: 99% osób otworzy go na komputerze służbowym, a nie w trybie awaryjnym. Co jest pobierane równolegle z filmem, nikt nie wie.
Około 30% małych firm powierza kwestie cyberbezpieczeństwa niespecjalistom. Jakich środków powinni użyć, aby zwiększyć swoje bezpieczeństwo?
Już dobrze, jeśli taka firma kupiła legalny program antywirusowy. Do tej pory nie wszyscy używają nawet tego. A małe firmy potrzebują przynajmniej pełnoetatowego administratora systemu, który zapewniłby działanie wszystkich komputerów i chronił je przed wirusami i ewentualnymi atakami.
Antywirus jest często traktowany jako panaceum: skoro istnieje, tak naprawdę nie można myśleć o bezpieczeństwie, mówią, że zrobi wszystko sam.
Niestety tak nie jest. Program antywirusowy można porównać do kuloodpornych żelaznych drzwi. Są z niego klucze, a jeśli je zgubiłeś lub komuś podarowałeś, to zabezpieczenie nie zadziała. Dla firm, które naprawdę troszczą się o bezpieczeństwo swoich informacji, istnieją rozwiązania więcej wysoki poziom- ochrona przed atakami ukierunkowanymi. Gdy napastnik celowo chce otworzyć ochronę, zwykle nie używa głośnych metod, ale pracuje bardzo cicho: potajemnie zakrada się do miejsca, w którym może zdobyć potrzebne informacje. Nie opłaca się go odkrywać, dopóki nie osiągnie swojego celu. Bardzo podobną sytuację obserwujemy w cyberprzestrzeni. W dużych firmach napastnicy mogą czekać miesiącami.
Czy częściej zdarzają się zamierzone czy niezamierzone ataki?
Zakładamy, że wysoko wykwalifikowane ataki stanowią 1% wszystkich zagrożeń. Ale są one bardzo znaczące: na przykład wirus ExPetr był wymierzony w określone firmy i jednocześnie dotknął tysiące innych przedsiębiorstw. Świat jest nasycony technologiami informacyjnymi, a ludzie z różnych struktur komunikują się i wchodzą ze sobą w interakcję.
Jakie inne środki mogą być skuteczne w zwalczaniu celowej ingerencji? Czy zawsze da się ten proces wykryć, czy zdarza się, że dowiadują się o nim miesiące i lata później?
Proces jest naprawdę wykrywalny, jeśli to zrobisz. Istnieją specjalne usługi sprawdzania sieci firmowej. Średnio wykwalifikowany atak trwa sześć miesięcy: najpierw atakujący wchodzi do firmy, rozgląda się, a kilka miesięcy później, na przykład, szyfruje wszystkie komputery i jednocześnie pobiera pieniądze z kont.
Aby chronić się przed atakami ukierunkowanymi, nasi specjaliści, jeśli klient sobie tego życzy, przeglądają ruch online, zgłaszają podejrzane działania i pytają, co z nimi zrobić: możesz zablokować działania napastnika lub stworzyć symulację infrastruktury wewnątrz systemu, aby znaleźć ujawnić intencje napastnika. Równolegle eksperci badają i szukają źródła ataku.
Czy małe lub duże firmy są bardziej narażone na takie ataki?
Zdarza się to i tamto. Ale żeby zaatakować dużą firmę, trzeba przyciągnąć fachowców, których praca jest droga. A wielki biznes ma cały system cyberbezpieczeństwa. W przypadku małych firm często ograniczeniem ochrony jest program antywirusowy. Czasami, aby dostać się do dużej organizacji, napastnicy atakują swoich dostawców.
Nierzadko zdarza się, że ataki, niekoniecznie głośne, pochodzą od obrażonych byłych pracowników lub być może kontrahentów. Prawdopodobnie nawet niechcący.
Jeśli firma zbudowała system bezpieczeństwa, takie przypadki można zminimalizować. Ale w praktyce są przykłady, w których zwolniony administrator systemu nie został zablokowany. Na przykład w dużym centrum logistycznym były pracownik zablokował wszystkie drukarki: przez prawie dzień w centrum nie mógł wysyłać i odbierać towarów, ponieważ nie mógł wydrukować ani jednego dokumentu.
Niezbędne jest zapisanie w środkach bezpieczeństwa, że w przypadku zwolnienia pracownika dostęp do systemu jest dla niego blokowany, zmieniane są hasła ważnych systemów.
Są wyjątkowe przypadki: na jednym przedsiębiorstwo finansowe Hasło musiało być zmieniane raz w miesiącu. Dla zwykłych pracowników jest to dodatkowy gest, a 95% osób wpisało hasło według schematu „miesiąc i rok”. To pozwoliło Były pracownik wykorzystać lukę i przeniknąć do wewnętrznej sieci firmy.
Nawiasem mówiąc, jednym z modułów kursu internetowego firmy Kaspersky Lab nie jest ustawianie haseł takich jak „12345”, jak wiele osób nadal to robi.
Należy pamiętać o podstawach cyberbezpieczeństwa: nie korzystaj z portali społecznościowych z komputera służbowego, jeśli nie są one potrzebne do pracy. Zmieniaj hasła, być może ogranicz dostęp do Internetu tym pracownikom, którzy go bezpośrednio nie potrzebują. Zabroń używania dysków flash i innych urządzeń wymiennych.
Ale zwykli pracownicy biurowi wszystkie te środki postrzegają jako ograniczenie wolności osobistej. Z jednej strony te środki są prawidłowe, z drugiej technologie informacyjne rozwijają się tak szybko, że nigdy nie będziemy w stanie w pełni kontrolować wszystkiego. Nie możesz zamknąć całego przedsięwzięcia pod pudełkiem - wtedy nic nie zadziała. Nawet w przedsiębiorstwach obronnych, gdzie istnieją zamknięte sieci i Wi-Fi, Bluetooth i dyski flash nie mogą być używane, są ludzie, którzy monitorują system i zgodność wszystkich parametrów. Znudziło im się siedzenie przez 12 godzin i udaje im się uruchomić film lub surfować po Internecie.
Osoba zawsze znajdzie sposób na obejście ograniczeń, więc najlepszą opcją jest poprawa umiejętności obsługi komputera.
Firma jest poddawana ciągłym cyberatakom intruzów, których celem jest opróżnienie kont firmy lub kradzież danych jej klientów. Firmy, zwłaszcza małe, często oszczędzają na bezpieczeństwie informacji (IS), a połowa dyrektorów ds. bezpieczeństwa informacji jest przekonana, że ceną za to będą straty finansowe.
Jak można zapobiegać atakom i co należy wziąć pod uwagę, aby chronić biznes? Tells, szef sprzedaży dla małych i średnich klientów biznesowych w Kaspersky Lab.
Często liderzy cyberbezpieczeństwa rozumieją nieuchronność zagrożeń, ale borykają się z brakiem budżetów. Jak duży jest ten problem i jak firmy mogą sobie z nim radzić?
Niestety cyberbezpieczeństwo w Rosji jest rzeczywiście niedofinansowane.
Wynika to prawdopodobnie z faktu, że wielu menedżerów i właścicieli firm nie docenia skali strat, do których mogą prowadzić cyberincydenty.
Ważne jest, aby trzeźwo ocenić, jakie straty poniesie firma, jeśli będzie bezczynna przez kilka dni – jeśli witryna lub wszystkie komputery firmowe przestaną działać. Oczywiście dla kwiaciarni prowadzącej księgowość w zeszycie dwudniowe zablokowanie komputera nie będzie poważnym problemem. Jednak dostęp do danych ma kluczowe znaczenie dla biura podróży, firmy ubezpieczeniowej, sprzedawcy detalicznego, który prowadzi ewidencję w formie elektronicznej, dostarcza towary na kredyt i prowadzi ewidencję przyszłych płatności i długów. To wszystko są prawdziwe przypadki z naszej praktyki.
Wielkość nadchodzących płatności i środków, które nie wpłynęły jeszcze na konta firmy, może wynosić 20-30% rocznego obrotu.
Kiedy przedsiębiorca rozumie, ile może stracić, z grubsza wyobraża sobie, ile jest gotów zainwestować w nieprzerwaną działalność, zachowanie własności intelektualnej firmy i jej reputacji – czyli zapewnienie cyberbezpieczeństwa i bezpieczeństwa IT. Z jednej strony jest to trochę efemeryczna kalkulacja – jak oszacować koszt reputacji? Z drugiej strony są dość oczywiste. Na przykład, jeśli linia lotnicza nie może sprzedawać biletów online, klienci nie będą długo czekać i po prostu kupią bilety od innego przewoźnika.
Utrata danych doprowadzi do trudności, przynajmniej z dostępem do 20-30% rocznych obrotów firmy
Zazwyczaj budżet na cyberbezpieczeństwo i bezpieczeństwo informacji wynosi 10-15% całkowitego budżetu IT. Koszt urządzeń mobilnych, komputerów, wkładów, Internetu wynosi średnio 30-50 tysięcy rubli. na pracownika rocznie. I wysokiej jakości ochrona jednego miejsca pracy w małych i średnich firmach - od 1 tys. Do 3,5 tys. Rubli.
Dlatego oszczędzanie na bezpieczeństwie IT to oszczędzanie na meczach. Wydatki biurowe na kawę, papier toaletowy i artykuły biurowe mogą być wyższe.
Ważne jest, aby zrozumieć, że bezpieczeństwo informacji to koszt o znaczeniu krytycznym, którego nie należy lekceważyć.
Małe i średnie firmy są teraz pod obserwacją atakujących – w niektórych przypadkach cyberataki doprowadziły nawet do bankructwa przedsiębiorstw.
Cyberprzestępcy szukają sposobów na infiltrację organizacji. Najczęściej pisma trafiają do działu księgowości, a następnie do działu prawnego, personalnego i marketingu.
E-maile mogą zawierać złośliwe oprogramowanie lub oferować przejście do strony phishingowej. Po infekcji atakujący zaczynają zbierać różne dane: śledzą naciśnięcia klawiszy na klawiaturze, ruchy myszy, studiują korespondencję, kontakty i pozycje nadawców listów itp.
Po przestudiowaniu procesów w firmie atakujący mogą stworzyć ukierunkowany list phishingowy skierowany do konkretnego pracownika.
Na przykład napisz do pracownika działu personalnego z prośbą o rozważenie CV, dołączając plik w formacie Word.
Pracownicy firm korzystają z takich dokumentów na co dzień, ale mogą one zawierać wykonywalny skrypt, który uruchomi wirusa i zacznie szyfrować dane wewnątrz firmy – we wszystkich lokalizacjach, do których pracownik ma dostęp. Konwencjonalne antywirusy, które działają tylko z metodą sygnatur, nie mogą śledzić takiego oprogramowania ransomware.
Kryptografowie to plaga obecnych czasów. Ich aktywność wzrasta w czwartym kwartale roku, kiedy następuje najaktywniejsza sprzedaż, oraz od końca marca do czerwca, kiedy firmy składają deklaracje podatkowe za miniony okres. Jakie mogą być zagrożenia ze strony właściwych organów, jeśli nie złożysz w terminie zeznania podatkowego?
Teraz wyobraź sobie, że wszystkie dane na serwerach zostały zaszyfrowane i po prostu nie ma dostępu do programów księgowych i księgowych.
Firma jest zmuszona zapłacić napastnikom lub poinformować organy podatkowe, że nie może składać raportów. Dlatego kwota okupu wzrasta w okresach szczytu.
Czy istnieją statystyki dotyczące tego, jaka część zaatakowanych firm zgadza się zapłacić, a jaka część próbuje odszyfrować dane i walczyć z napastnikami?
Nie da się odzyskać danych bez klucza szyfrującego po ataku nowoczesnego programu szyfrującego. Jeśli wcześniej istniał jeden uniwersalny klucz dla wszystkich komputerów, których dotyczy problem, nowoczesne złośliwe oprogramowanie tworzy klucze dla każdego komputera z osobna.
Ochrona przed oprogramowaniem ransomware nie będzie polegała na wykorzystaniu konwencjonalnych programów antywirusowych, ale na wielowarstwowym systemie cyberbezpieczeństwa. Powinno obejmować monitorowanie aktywności programów, użytkowników, heurystyczną analizę behawioralną, możliwość 100% zapobiegania uruchomieniu ransomware.
Jeśli sprawdzisz wiadomości przychodzące na serwerach pocztowych, załączniki ze złośliwymi plikami nie dotrą nawet do komputera pracownika
Druga linia obrony znajduje się w miejscu pracy pracownika: kontrola uruchamiania programu sprawdza wszystkie używane pliki. Trzecią barierą jest kontrola sieci: administrator sieci tworzy „białe” listy witryn, na których wymienione są dozwolone zasoby, a wszystkie inne są uważane za zabronione.
Maksymalną uwagę w kwestiach cyberbezpieczeństwa należy poświęcić ochronie stanowisk pracy księgowego, prawnika, dyrektora finansowego i prezesa – osób, które mają dostęp do pieniędzy firmy. Najczęściej są one celem ataków ukierunkowanych przez intruzów.
Kolejnym poziomem ochrony przed oprogramowaniem ransomware jest antykryptor lub monitorowanie systemu. Antykryptor monitoruje zachowanie użytkownika: jeśli nagle zacznie szyfrować dane, czego nigdy wcześniej nie robił, wówczas podejrzana aktywność zostanie zawieszona, a komputer zostanie odcięty od reszty sieci. Część danych zostanie umieszczona w kopii zapasowej do późniejszego odzyskania. W ten sposób zapobiegamy rozwojowi ataków ransomware na naszych klientów.
- Jedno z najbardziej znanych złośliwych programów -Pułapka. Jak możesz z nim walczyć?
Buhtrap to złośliwy program, który pozwala uzyskać dostęp do banku elektronicznego, do możliwości przeprowadzania transakcji finansowych w firmie.
Próby znalezienia osób, które mogą przeprowadzić takie operacje, stają się coraz bardziej wyrafinowane. Zainfekowane są strony wyspecjalizowanych mediów, które najczęściej odwiedzają księgowi i dyrektorzy finansowi, witryny odwiedzane przez kadrę kierowniczą firmy, właścicieli firm.
W niektórych przypadkach hakerzy tworzą nawet zasoby z ciekawą zawartością, aby przyciągnąć bardziej wyspecjalizowanych użytkowników.
- Jakie są konsekwencje zakażenia Buhtrapem?
Ilość szkód Rosyjskie firmy z podobnych szkodliwych programów tylko w zeszłym roku szacuje się na dziesiątki milionów dolarów. Możesz poradzić sobie z Buhtrapem, ale musisz poradzić sobie nie z konsekwencjami ataku, ale z jego pierwotnym źródłem.
Kwalifikowane rozwiązania, takie jak rozwiązania firmy Kaspersky Lab, umożliwiają wykrywanie szkodliwych zasobów informacyjnych, których Buhtrap używa do dostania się na stacje robocze i całkowite blokowanie ich wraz ze szkodliwym oprogramowaniem.
Czasami cyberbezpieczeństwem w małych i średnich firmach zajmują się niespecjaliści. Jak lider biznesu może uświadomić sobie wagę tego zadania i przekazać je we właściwe ręce?
Wyspecjalizowane rozwiązania dla małych i średnich firm, takie jak Kaspersky Small Office Security, pomagają chronić firmy posiadające mniej niż 25 stacji roboczych. Ten produkt obejmuje ochronę transakcji finansowych, menedżera haseł, ochronę urządzeń mobilnych, serwerów i stacji roboczych. Program wykorzystuje technologie, które zostały opracowane m.in. w celu ochrony dużych firm.
W większym segmencie interesujące będzie rozwiązanie Kaspersky Security Cloud. Nadaje się dla firm zatrudniających do 250 pracowników.
Jednocześnie ochroną można zarządzać nie tylko z miejsca pracy, ale z dowolnego miejsca na świecie, gdzie jest dostęp do Internetu.
Oznacza to, że pracownik może wyjechać na wakacje na Bali i stamtąd monitorować cyberbezpieczeństwo firmy. Konsola jest intuicyjna i dostosowana dla osób nie będących specjalistami – nawet główny księgowy lub menedżer biznesowy może dobrać ustawienia.
- Czy firmy mogą polegać na darmowych rozwiązaniach do ochrony przed zagrożeniami finansowymi?
Podobnie jak rozwiązania dla urządzeń domowych, nie są one odpowiednie dla użytkowników korporacyjnych, ponieważ nie są przeznaczone do ochrony organizacji. A atakujący poprawiają się w swoich metodach pracy. Większość darmowych wersji zawiera tylko podstawową ochronę przed złośliwym oprogramowaniem, nie mogą zabezpieczać transakcji finansowych online, nie blokują fałszywych linków, nie pomagają kontrolować wykorzystania zasobów i programów itp.
Czy możesz chronić swoje dane przed oprogramowaniem ransomware? Gra interaktywna
W jaki sposób małe firmy mogą chronić się przed złośliwymi atakami i zapobiegać rozprzestrzenianiu się „złośliwego oprogramowania”, zanim stanie się ono problemem?
Jesteśmy zbyt mali, by być celem” — uważa wielu dyrektorów małych firm. Według statystyk firmy Kaspersky Lab 58% ofiar cyberprzestępców to małe firmy, a średnie szkody spowodowane udanym atakiem dla firm z segmentu SMB to 4,3 mln rubli.
Jak małe i średnie firmy mogą chronić swoich pracowników przed atakami intruzów? Jakiego sprzętu ochronnego należy używać? Mówi, starszy menedżer ds. marketingu produktów w Kaspersky Lab.
Kiedy kierownictwo przedsiębiorstwa rozumie, że konieczne jest podjęcie jakichkolwiek środków ochronnych?
W większości przypadków po pierwszym zdarzeniu. Niestety, w małej firmie priorytet bezpieczeństwa IT staje się bardzo wysoki dopiero po pierwszym zaatakowaniu firmy przez wirusa ransomware. Właściciel firmy zaoszczędzi jak najwięcej na dodatkowych wydatkach, jeśli nie jest zaawansowanym użytkownikiem.
Koszt błędu jest bardzo wysoki. Duża organizacja może redystrybuować swoją infrastrukturę i dalej działać. Ale jeśli w małej firmie cała sieć padnie ofiarą ataku „złośliwego oprogramowania”, po prostu przestaje świadczyć usługi – praca firmy zostaje całkowicie zatrzymana. A konkurencja jest bardzo duża: według statystyk połowa małych firm, które padły ofiarą ataku, po sześciu miesiącach wylatuje z rynku, ponieważ nie była w stanie na czas odbudować swoich zasobów.
W mojej praktyce był bardzo trudny przypadek. Osoby atakujące wiedziały o naruszeniu cyberbezpieczeństwa firmy, zamieniły „złośliwe oprogramowanie” w kradzież danych organizacji i stopniowo wykradały jej klientów. Najprawdopodobniej działali „na napiwku”. Ale firma znalazła zaawansowanych ludzi, którzy byli w stanie rozpoznać atak ukierunkowany i uratować firmę - jest to niezwykle rzadkie.
W większości przypadków ataki są masowe, a pracownicy są zawsze słabym ogniwem. Szukają informacji z komputerów roboczych, pobierają program potrzebny do pracy i mogą popełnić błąd. Jeśli nie ma specjalisty, który to monitoruje, to nikt nie kontroluje sytuacji w firmie.
Minimalna ochrona dla małych firm pozwala uniknąć negatywnych konsekwencji takich właśnie błędów. Wyobraź sobie, że masz do czynienia z atakiem phishingowym. Jeśli masz w swojej organizacji 50-100 osób, bez względu na to, ile z nich kliknęło w link – wystarczy jedno kliknięcie, aby zainfekować sieć. Rozwiązania dla małych firm mają na celu zapobieganie rozprzestrzenianiu się „złośliwego oprogramowania”, zanim stanie się ono problemem.
Z reguły duże firmy szkolą pracowników w zakresie identyfikowania plików i linków w wiadomościach e-mail od intruzów. Czy małe firmy chronią swoich pracowników przed takimi zagrożeniami?
Małe firmy poświęcają dużo czasu i wysiłku na swoją podstawową działalność. Środki trwałe są zawsze inwestowane w te obszary, które mogą potencjalnie zwiększyć przychody firmy. Niewiele środków pozostaje na wsparcie procesów, więc finansowanie IT i bezpieczeństwa IT nie jest priorytetem, a przy wyborze tych usług ważna jest łatwość obsługi i automatyzacja obsługi. Oznacza to, że decyzje powinny wymagać minimum uwagi.
Ponadto w małych firmach problemy kadrowe są zawsze dotkliwe. Mała firma często ma przychodzącego administratora systemu, a nie pracownika na pełen etat. W nieco większych firmach jeden specjalista może odpowiadać zarówno za bezpieczeństwo IT, jak i informacji.
Liderzy małych i średnich firm skupiają się na bezpieczeństwie IT w oparciu o złe doświadczenia w tej dziedzinie. Jeśli generalnie reprezentują szereg zagrożeń, doświadczyli już takich incydentów lub są świadomi potrzeby zabezpieczenia firmy po masowych cyberatakach, będą szukać ochrony, która działa automatycznie.
Kaspersky Lab oferuje właśnie takie rozwiązania - Kaspersky Endpoint Security for Business. Takie produkty nazywamy „Zainstaluj i zapomnij”, czyli zainstaluj i zapomnij. Zapewnią maksymalną automatyczną ochronę — małe firmy często nie zatrudniają specjalnych pracowników do konfiguracji programu.
Ochrona przed wiadomościami phishingowymi również powinna być automatyczna, aby takie maile w zasadzie nie docierały do użytkowników.
Czy pracownicy małych firm częściej otrzymują takie e-maile niż duże firmy?
Liderzy małych firm mają niebezpieczne złudzenie, że nie są celem cyberprzestępców i „smakołykiem” dla nich. Jednak według statystyk ofiarami zorganizowanych grup przestępczych w 50% przypadków są małe i średnie firmy. W przypadku globalnych ataków fanów, takich jak WannaCry, każdy dostaje: korporacje, małe firmy i prywatnych użytkowników.
Ataki ukierunkowane są bardziej odpowiednie dla dużych przedsiębiorstw, gdy atakujący rozumieją rozmiar swojej potencjalnej „ofiary”. Ale w mojej pamięci były przypadki, kiedy takie ataki były przeprowadzane na sklepy internetowe i średniej wielkości firmy z handlu hurtowego.
Szansa ataku wzrasta, jeśli atakujący w jakiś sposób dowie się, że firma nie zajmuje się bezpieczeństwem informacji i cyberbezpieczeństwa – małe firmy często polegają na przypadku.
Czy ci przedsiębiorcy pozostawiają bezpieczeństwo IT na łasce przychodzących pracowników lub pojedynczego pracownika, czy może rośnie rola automatycznej ochrony?
W mikrofirmach zagadnieniami IT często zajmuje się najbardziej zaawansowana osoba, której głównym zajęciem jest gdzie indziej – czasem nawet w logistyce i sprzedaży. Ale jeśli okazałoby się, że dana osoba rozumie systemy informatyczne, to m.in. zajmuje się ochroną komputerów i cyberbezpieczeństwem. Minimum, co musi zrobić, to zainstalować antywirusy. I potrzebuje rozwiązań biznesowych, a nie ochrony domu.
Podejmują decyzje, których przeciętna osoba nie rozumie. Aby zainstalować tę ochronę, potrzebuje zaawansowanego poziomu IT.
W większej firmie, gdzie jest przychodzący lub nawet własny administrator, jest jeszcze jeden wymóg kontroli. Oznacza to, że przedsiębiorstwo jest świadome, że musi wdrożyć minimalne polityki bezpieczeństwa, aby zrozumieć, co się dzieje, zmniejszyć zakres ryzyka i zagrożeń. Wraz z dojrzewaniem firmy jesteśmy gotowi oferować coraz bardziej zaawansowane rozwiązania.
Czy korzystanie z ochrony w chmurze jest bardziej opłacalne niż usługi zwykłego przyjeżdżającego specjalisty?
Informatyk wciąż potrzebuje narzędzi: to rozwiązanie go nie zastępuje, ale staje się środkiem, dzięki któremu będzie chronił organizację. Kaspersky Small Office to rozwiązanie typu „zrób to sam”. Dzięki niemu organizacja będzie mogła chronić się przed aktualnymi zagrożeniami i nie uciekać się jeszcze do pomocy profesjonalisty.
Jaka jest kluczowa różnica między Endpoint Security Cloud i jakie są zalety rozwiązania w chmurze?
Na serwerze zainstalowana jest ochrona bez chmury - wymaga to wysoce wyspecjalizowanego specjalisty. Aby wdrożyć rozwiązanie Endpoint na serwerze, zainstalować agentów, połączyć to wszystko, skonfigurować politykę bezpieczeństwa i tak dalej, musisz być osobą o znajomości technologii. Rozwiązanie w chmurze pozwala uzyskać szybką ochronę: nie musisz kupować serwera i utrzymywać go - czyli nie ma kosztów utrzymania sprzętu. Oszczędzasz pieniądze i czas pracowników.
Rozwiązanie w chmurze jest pobierane i instalowane w kilka minut, całe zadanie zajmuje nie więcej niż godzinę. Główną zaletą tej metody jest szybkość: ochrona zaczyna działać w ciągu kilku minut.
Nasze rozwiązania dla małych firm są tak proste w zarządzaniu, jak to tylko możliwe. Small Office Security w ogóle nie wymaga logowania do konsoli internetowej. W Kaspersky Endpoint Security Cloud konsola jest znacznie uproszczona: wszystkie ustawienia są automatycznie stosowane do nowych urządzeń podłączonych do ochrony. Chociaż w razie potrzeby administrator może dodać coś ręcznie. Jednocześnie oba rozwiązania działają w chmurze i nie wymagają sprzętu ani serwera.
Z reguły bardziej zaawansowane organizacje sięgają po takie rozwiązania, czy niekoniecznie?
Istotny jest tutaj stopień dojrzałości organizacji, menedżera i ewentualnie informatyka. Ogólnie poziom kompetencji IT w Rosji jest dość wysoki. Organizacja jako całość może dążyć do nowoczesnej infrastruktury: niektóre firmy rezygnują z własnego sprzętu, aby być bardziej elastycznym i dynamicznym.
Rozwiązania chmurowe są bardzo łatwe do skalowania. Jeśli otworzysz nowy punkt sprzedaży lub nowe biuro, a następnie za pomocą Kaspersky Endpoint Security Cloud można go zabezpieczyć w ciągu kilku minut. Szybkość skalowania i rozwoju Twojej firmy nie jest związana z Twoją własną infrastrukturą. Biura mogą być rozsiane po całym kraju, a wszystko robisz zdalnie, bo wszystkie rozwiązania są w chmurze. Firmy, które są nastawione na rozwój i rozumieją problemy związane ze skalowaniem, wybierają na początek chmurę, ponieważ tradycyjne rozwiązania nie pozwolą im na tak szybką zmianę.
Jaki inny ważny trend dostrzegasz w dziedzinie bezpieczeństwa małych firm?
Kolejnym trendem jest praca na urządzeniach mobilnych. Duże organizacje mają korporacyjne programy mobilności: urządzenia są kupowane centralnie, instalują narzędzia do współpracy, narzędzia bezpieczeństwa i tak dalej. Nad tym wszystkim czuwa „ochroniarz” iw zasadzie nie ma możliwości podłączenia się do infrastruktury firmy.
A w małej firmie nikt nie rozumie, czy to urządzenie jest osobiste, czy nie. Osoba wybiera najwygodniejszy gadżet, aby szybciej i wydajniej wykonywać swoją pracę. Jesteśmy gotowi wesprzeć takie przedsiębiorstwa i zapewnić ochronę, w tym dla urządzeń mobilnych. Jeśli firma nie korzysta jeszcze z ochrony w chmurze, można ją podłączyć później. I bez względu na to, gdzie dana osoba się znajduje - wszystkie zabezpieczenia można zainstalować zdalnie.
„Urządzenie mobilne zamienia się w narzędzie do nadzoru, a ten nadzór jest zasadniczo dozwolony przez firmę”. W jaki sposób osobiste smartfony i laptopy pracowników powodują naruszenie bezpieczeństwa informacji biznesowych?
Małe firmy nie zawsze mogą sobie pozwolić na zakup wszystkich niezbędnych gadżetów dla pracowników, takich jak smartfony i laptopy do pracy. Jednocześnie zachęca się do korzystania z urządzeń osobistych do pracy, aby pracownik mógł być zawsze w kontakcie.
W ten sposób powstał trend zwany BYOD (przynieś własne urządzenie lub „przynieś własne urządzenie”), który coraz bardziej rozprzestrzenia się w średnich i małych firmach.
„Dzięki BYOD firma oszczędza dużo pieniędzy na zakupie i konserwacji sprzętu, eliminuje ryzyko utraty i uszkodzenia urządzeń mobilnych. A to są znaczne pieniądze” – komentuje Wiktor Czebyszew , ekspert antywirusowy " Kaspersky Lab».
Jednak sama koncepcja BYOD jest kontrowersyjna. Dostęp osobistego urządzenia pracownika do wewnętrznych granic firmy jest wygodny dla pracownika, ale stwarza ryzyko wycieku danych i niekontrolowanego dostępu do informacji.
W tym przypadku podejście BYOD jest czynnikiem komplikującym i może stać się „punktem wejścia” do firmy dla atakujących. Dlatego organizacja musi skonfigurować dostęp i kontrolę dostępu w taki sposób, aby nie zawsze było to wygodne dla użytkownika.
Aby złagodzić ryzyko związane z podejściem BYOD, należy podjąć wiele środków ochrony danych. Gadżety osobiste personelu są zwykle mniej chronione niż gadżety firmowe i są bardziej podatne na cyberzagrożenia i straty. Według badania przeprowadzonego przez Kaspersky Lab, 35% małych i średnich przedsiębiorstw (zatrudniających od 1 do 249 pracowników) miało do czynienia z faktem, że gadżety pracowników, z których korzystali, w tym do pracy, zostały zainfekowane szkodliwym oprogramowaniem. Pracownicy 28% organizacji stracili urządzenia osobiste i multimedia z informacjami firmowymi: smartfony, laptopy, zewnętrzne dyski twarde, dyski flash. A średnie szkody po udanym ataku na firmę z segmentu małych i średnich przedsiębiorstw oszacowano na 4,3 mln rubli.
Urządzenia osobiste pracowników w biznesie: jakie jest niebezpieczeństwo?
Waga zagrożeń zależy od tego, w jaki sposób dział IT firmy monitoruje bezpieczeństwo urządzeń mobilnych pracowników. Można tu zastosować kilka rozwiązań:
1. Profile MDM. Mobile Device Management (zarządzanie urządzeniami mobilnymi) to zestaw usług i technologii zapewniających kontrolę i ochronę gadżetów firmy i jej pracowników. Jedna część MDM jest zainstalowana na gadżecie pracownika, a druga to „centrum kontroli” do zdalnego zarządzania urządzeniami.
2. Zasady ograniczające. Nie wszyscy pracownicy potrzebują dostępu do określonych zasobów. Na przykład, dlaczego księgowy miałby uzyskiwać dostęp do sieci społecznościowych z urządzeń w pracy? Może to być niebezpieczne, jeśli gadżet zawiera poufne dokumenty, a pracownik przypadkowo kliknie złośliwe łącze internetowe. Dlatego elastyczna konfiguracja praw dostępu do sieci społecznościowych lub innych programów lub zasobów jest bardzo ważną i niezbędną decyzją.
3. Antywirusy ze scentralizowanym zarządzaniem, które chronią przed złośliwym oprogramowaniem. Rozwiązania te natychmiast odetną zainfekowane urządzenie od infrastruktury firmy i zbadają incydent.
Jeśli żadna z tych metod nie jest praktykowana, firma ma poważne zagrożenia dla cyberbezpieczeństwa, ostrzega Wiktor Czebyszew. Według niego, w przypadku zainfekowania urządzenia mobilnego możliwych jest kilka scenariuszy:
1. Złośliwe oprogramowanie zbiera wszystkie dane z urządzenia mobilnego - faktycznie szpiegując. W takim przypadku możesz przechwytywać ważne pliki w pamięci urządzenia, nagrywać rozmowy za pomocą wbudowanego mikrofonu, robić zdjęcia aparatem i tak dalej. Urządzenie mobilne staje się narzędziem do inwigilacji, a ta inwigilacja jest zasadniczo dozwolona przez firmę.
2. Malware tworzy tzw. tunel. Telefon komórkowy posiada dwa interfejsy sieciowe - WIFI oraz 3G/4G/LTE. Atakujący z dowolnego miejsca na świecie może uzyskać dostęp do wewnętrznej infrastruktury firmy za pośrednictwem tych interfejsów sieciowych, ponieważ telefon komórkowy jest stale w trybie online, a wewnętrzne sieci WIFI firmy są dostępne w trybie BYOD. Konsekwencje takiej infekcji mogą być arbitralnie smutne.
Kontrola danych na laptopach to osobna rozmowa. Niezabezpieczone informacje na komputerze osobistym, które można zgubić na lotnisku lub zapomnieć w kawiarni, to typowy koszmar dla działu IT.
Aby uniknąć tego zagrożenia, wiele firm pozwala pracownikom pracować tylko na komputerach biurowych, które mają poważnie ograniczone możliwości przesyłania danych i wyłączone porty USB dla dysków flash. Ale takie podejście nie zadziała w firmie skupionej na BYOD, ostrzega Wiktor Czebyszew. Ochrona obejmuje ograniczenia, do których nie wszyscy użytkownicy mogą przejść.
Jak przedsiębiorcy mogą zabezpieczyć informacje firmowe na osobistych gadżetach?
W koncepcji BYOD warto zastosować kilka podstawowych metod ochrony danych. „Nie należy ich lekceważyć: cena zaniedbania może być niewspółmierna do ceny nawet pełnego zestawu ochrony”, mówi Wiktor Czebyszew.
W żadnym wypadku nie zaniedbuj ochrony gadżetów mobilnych (oprócz głównych urządzeń roboczych - komputerów). Korzystaj z kompleksowej ochrony komputerów, serwerów plików, a także tabletów i smartfonów przed atakami internetowymi, oszustwami finansowymi online, oprogramowaniem ransomware i utratą danych. Taką ochronę zapewnia np. program Kaspersky Small Office Security , stworzony specjalnie dla małych firm zatrudniających do 25 pracowników lub Kaspersky Endpoint Security Cloud , który pomaga chronić małe firmy bez dodatkowego obciążania zasobów IT, czasu i finansów.
Aktywuj specjalny moduł Anti-theft dla urządzeń z systemem Android w ramach kompleksowej ochrony. Ta funkcja pozwala zdalnie zablokować utracone urządzenie, usunąć z niego dane lub zlokalizować je na mapie.
Zastosuj pełne lub częściowe szyfrowanie danych firmowych. Wtedy, nawet w przypadku zgubienia lub kradzieży laptopa lub dysku USB, bez hasła nie będzie można uzyskać dostępu do zawartych na nich informacji.
Technologie tworzenia kopii zapasowych uratują Twój biznes. Dzięki kopii zapasowej zawsze będziesz mieć magazyn kopii zapasowych z najbardziej aktualną wersją cennych informacji roboczych, na przykład na wypadek udanego ataku ransomware.
Administratorzy systemów powinni zawsze mieć świadomość, jakich urządzeń pracownicy używają do pracy i mieć zdalny „detonator” (pilot) danych firmowych w takich urządzeniach na wypadek ich zgubienia, kradzieży lub odejścia ich właściciela z firmy.
Ale ogólnie rzecz biorąc, nie należy dopuszczać do wycieku tajnych dokumentów poza granice firmy, nawet do magazynów w chmurze, takich jak Yandex.disk i Google.drive - a wtedy nie będziesz musiał niczego niszczyć.
Aby zabezpieczyć korespondencję na tematy korporacyjne w komunikatorach osobistych, możesz podać kilka zaleceń. Po pierwsze, urządzenie mobilne musi mieć zainstalowaną najnowszą wersję systemu operacyjnego. Po drugie, zawsze używaj rozwiązania zabezpieczającego - w przeciwnym razie urządzenie nie może zostać wpuszczone na teren firmy.
Środki zaradcze obejmują rozwiązania z linii Kaspersky Security for Business i Kaspersky Small Office Security. Obejmują one równie skuteczną ochronę komputerów firmowych i osobistych oraz urządzeń mobilnych, co jest szczególnie ważne dla małych firm. Kaspersky Small Office Security pozwala właścicielom skupić się na prowadzeniu firmy, ponieważ jest łatwy w użyciu i nie wymaga specjalnej wiedzy z zakresu administracji IT w celu ochrony sieci firmowej.
Czy korzystanie z urządzeń osobistych pracowników stanie się dla firmy bezpieczniejsze?
Viktor Czebyszew jest przekonany, że techniczna strona kwestii cyberbezpieczeństwa w koncepcji BYOD ulegnie poprawie, a coraz więcej firm odmówi zakupu urządzeń. Prawdopodobnie tylko firmy korzystające z określonych urządzeń mobilnych, takich jak wstrząsoodporność i wodoodporność, będą stosować stare metody.
„Logika profili urządzeń w mobilnych systemach operacyjnych z pewnością stanie się bardziej złożona. Oznacza to, że samo urządzenie mobilne zdecyduje, co zrobić ten moment właściciel jest w pracy i blokuje czynności związane z ryzykiem infekcji lub dostępu urządzenia do miejsc dla niego zabronionych. Jednocześnie ewoluują mechanizmy monitorowania urządzeń osobistych w sieci firmowej, a w dającej się przewidzieć przyszłości wprowadzone zostaną rozwiązania oparte na uczeniu maszynowym, które naprawiają anomalie z urządzeń BYOD. Takie systemy to przyszłość” — podsumowuje ekspert ds. antywirusów z Kaspersky Lab.
Rola bezpieczeństwa informacji w ciągłości działania
Aleksander Antipow
Strategia bezpieczeństwa informacji powinna być ściśle zintegrowana z ogólnym programem ciągłości działania firmy.
Współczesny biznes zależy od technologia informacyjna i pilnie potrzebuje zapewnienia ciągłości procesów: nawet godzina przestoju usług w usługach finansowych czy firmach telekomunikacyjnych może prowadzić do ogromnych strat. Ciągłość biznesowa jest bezpośrednio związana z IT i ma kluczowe znaczenie dla każdej organizacji, czy to dużych sprzedawców detalicznych, agencji biletów lotniczych czy agencji rządowych. W przemyśle, w przedsiębiorstwach infrastrukturalnych czy w sektorze transportu wszystko jest jeszcze poważniejsze: wraz z wprowadzeniem technologii cyfrowych awarie usług IT mogą prowadzić nie tylko do strat finansowych, ale także do katastrof spowodowanych przez człowieka. Oczywiście małe firmy zazwyczaj nie mają sensu wdrażać planów ciągłości, rozwiązują problemy nieformalnie. Ale w przypadku dużych firm ryzyko jest nieporównywalnie wyższe.
Wycieczka do historii
Po raz pierwszy o ciągłości działania pomyślano w latach pięćdziesiątych ubiegłego wieku – inżynierowie zaczęli poważnie zajmować się problemem odtwarzania po awarii po awarii. Ostateczne ukształtowanie się tej praktyki nastąpiło w latach osiemdziesiątych, a następna dekada, wraz z szybkim rozwojem technologii, zwiększyła złożoność stosowanych podejść.
Koncepcja ciągłości działania lub BCM (Business Continuity Management) zastąpiła odtwarzanie po awarii w drugiej połowie lat dziewięćdziesiątych, ale wielu ekspertów wciąż myli te rzeczy. Dziś backup danych, zimny lub gorący serwis backupu już nie wystarcza. Problem sprawnego funkcjonowania całej organizacji dotyczy urządzeń produkcyjnych i procesów technologicznych, środków komunikacji, personelu i wielu innych. Skupimy się głównie na systemach informatycznych, gdyż ich awaria może całkowicie sparaliżować działalność firmy.
Normy i narzędzia
Istnieje wiele międzynarodowych organizacji zajmujących się kwestiami ciągłości działania. Najbardziej znany jest uważany za opracowany przez normę BSI (British Standard Institute) BS25999. Warto wspomnieć o najlepszych praktykach brytyjskiego BCI (Business Continuity Institute), a także amerykańskiego DRI (Disaster Recovery Institute) i SANS (SysAdmin, Audit, Network, Security Institute) oraz kierownictwa australijskiego National Audit Office ( ANAO).
Można do tego dodać różne standardy krajowe, branżowe, a nawet wewnętrzne korporacyjne – w tym informacyjnym morzu łatwo się utopić. Co gorsza, dokumenty opisujące podstawy teoretyczne nie odpowiadają na proste pytanie: „Jak rozwiązać problem w praktyce?”.
Inicjujemy projekt
Postaramy się połączyć istniejące metodologie i rozważymy zapewnienie ciągłości procesów biznesowych jako projekt - etapami. Ważne jest, aby zrozumieć, że jego wdrażanie jest ciągłym, cyklicznym procesem, który uwzględnia zmiany w biznesie, prawodawstwo rosyjskie i międzynarodowe oraz innowacje technologiczne.
Celem naszego projektu jest stworzenie i wdrożenie programu zarządzania ciągłością działania przedsiębiorstwa (BCM). Na początek konieczne będzie sformułowanie jego treści i sporządzenie planu wdrażania krok po kroku. Następnie - zdefiniuj role członków zespołu, cele projektu i zastanów się, jak monitorować i kontrolować. Aby projekt nie utknął w martwym punkcie, warto stworzyć specjalną komisję złożoną z przedstawicieli wszystkich zainteresowanych stron – powinna się ona spotykać okresowo w celu omówienia postępów prac i pojawiających się problemów.
Podczas pracy nad stworzeniem planu ważne jest, aby zrozumieć, czy projekt będzie wymagał zaangażowania zewnętrznych konsultantów, czy będzie w stanie samodzielnie zarządzać. Do zarządzania projektem warto nawet wyznaczyć menedżera ciągłości działania – pracownika firmy lub zewnętrznego konsultanta.
Analiza wpływu na biznes
Krok pierwszy: przeprowadzamy szczegółowe badanie procesów biznesowych (Analiza Środowiska Biznesowego, BEA) firmy i określamy wymagania dotyczące ciągłości.
Najczęściej konsultant odpowiedzialny za projekt przeprowadza wywiady z szefami działów, których dotyczy projekt. Opracowywana jest lista procesów i rozpoczyna się praca z ich właścicielami: konieczne jest określenie rodzaju wpływu procesu na biznes, stopnia jego uzależnienia od IT, a także maksymalnego dopuszczalnego przestoju (maksymalna dopuszczalna przestój, MAO ), po czym istnieje zagrożenie utraty rentowności organizacji.
Po ustaleniu MAO dla każdego procesu biznesowego należy wyznaczyć jego akceptowalny cel czasu odzyskiwania (RTO) i cel punktu odzyskiwania (RPO) - zazwyczaj jest to przedział czasowy przed wystąpieniem zagrożenia, dla którego dane mogą zostać utracone. Warto również wyznaczyć akceptowalne poziomy wydajności (Level of Business Continuity, LBC) w sytuacjach awaryjnych – zwykle jako procent normalnej pracy.
Ocena wpływu (Business Impact Analysis, BIA) analizuje wpływ procesów na cały biznes jako całość. W rezultacie należy sporządzić listę krytycznych procesów i ich współzależności, a także czasy przestojów i odzyskiwania zarówno samych procesów, jak i związanych z nimi systemów informatycznych. Ponadto wymagana jest analiza ryzyka (Risk Analysis, RA), podczas której oceniane są podatności, zagrożenia ciągłości procesów oraz skuteczność ich przeciwdziałania.
Identyfikując procesy, które mogą zakłócić działalność firmy, a także ewentualne szkody, będziemy w stanie przewidzieć potencjalne zagrożenia, źródła zagrożeń oraz własne podatności.
Strategia i plany
Krok drugi: opracowanie odpowiedniej strategii ciągłości działania (definicja Strategii Ciągłości Działania), mającej wpływ na wszystkie aspekty firmy.
Dla każdego kierunku tworzona jest osobna sekcja opisująca możliwe rozwiązania techniczne i organizacyjne dla szybkiego przywrócenia procesów biznesowych. Wykorzystywane rozwiązania informatyczne to przede wszystkim witryny typu hot i cold standby, narzędzia do dynamicznego równoważenia obciążenia, a także witryny mobilne i możliwości zewnętrznych dostawców usług (outsourcing). Różnią się głównie kosztem i czasem odzyskiwania.
Niezbędne jest tworzenie planów ciągłości działania (Plan Ciągłości działania, BCP) i odtwarzania infrastruktury w sytuacjach awaryjnych (Plan Odzyskiwania Po awarii, DRP), a także tworzenie technicznych i system organizacyjny BCM. Plany zazwyczaj obejmują trzy fazy przywracania ciągłości: reagowanie na incydent, wykonywanie krytycznych procesów biznesowych w sytuacji awaryjnej oraz przejście do normalnej działalności.
Wdrażanie i wsparcie
Krok trzeci: kupujemy i wdrażamy wybrane rozwiązania.
Wdrożenie to złożony proces, który może wymagać zaangażowania zewnętrznego wykonawcy. Ale nawet po jej ukończeniu nie należy spocząć na laurach – zapewnienie ciągłości biznesowej to proces ciągły i cykliczny.
Korporacyjny program BCM będzie wymagał nie tylko ciągłego doskonalenia, ale także integracji z kulturą korporacyjną. Nie będzie można ograniczyć się tylko do sporządzania planów – trzeba je będzie przetestować, albo poprzez testy desktopowe (Tabletop), imitacje (Imitation) albo pełne testy (Pełne testy ciągłości działania). Na podstawie wyników testów opracowywane są raporty z zastosowanymi scenariuszami i uzyskanymi wynikami, a także z propozycjami poprawy istniejących planów. Są one zazwyczaj aktualizowane corocznie, a czasem częściej – w przypadku istotnych zmian np. w infrastrukturze IT lub w przepisach.
Komunikacja z IS
Eksperci dzielą się planami ciągłości działania i planami odtwarzania po awarii, ale rola polityki bezpieczeństwa informacji w programie BCM nie jest oczywista dla wszystkich.
Jednym z ostatnich przypadków jest incydent na moskiewskiej kolejce linowej, której działalność została całkowicie sparaliżowana w wyniku cyberataku. Bez względu na to, jak dobry był w tym przypadku plan Disaster Recovery, nie pomógł on w szybkim skonfigurowaniu działania przedsiębiorstwa – serwery odtworzone z kopii zapasowej będą narażone na te same podatności. Dlatego plany ciągłości działania musiały zawierać listę działań na wypadek udanego ataku na infrastrukturę IT, aby skrócić czas przestoju bez narażania pasażerów.
Zagrożeń w branży jest znacznie więcej. Jeśli weźmiemy za przykład przemysł naftowy i gazowy, który jest uważany za najbardziej zautomatyzowany w Rosji, to procesy technologiczne w przedsiębiorstwach wydobywczych, przetwórczych i marketingowych są w rzeczywistości kontrolowane przez komputery. Nikt nie wykonuje ręcznych odczytów przyrządów analogowych, zostały one zastąpione czujnikami cyfrowymi i inteligentnymi systemami monitorowania.
Zasuwy, zawory i inne siłowniki również stały się cyfrowe. Jeśli udany atak na ICS zostanie przerwany proces technologiczny na kilka sekund może to doprowadzić do zamknięcia przedsiębiorstwa na wiele godzin lub tygodni, awarii drogiego sprzętu, a nawet poważnych katastrof spowodowanych przez człowieka. Do niedawna uważano, że izolacja części technologicznej od sieci publicznych uniemożliwia ataki hakerskie na przemysłowe systemy sterowania, jednak wraz z rozwojem cyfryzacji produkcji izolacja ta maleje, a liczba zagrożeń rośnie. Oprócz przemysłu istnieją inne obszary działalności, poza tym nie wszystkie usługi o znaczeniu krytycznym dla biznesu można wyodrębnić.
Główny wniosek jest taki, że strategia bezpieczeństwa informacji powinna być ściśle zintegrowana z ogólnym programem ciągłości działania firmy. Wymaga to kompleksowych rozwiązań, które mogą połączyć wszystkie narzędzia zapewniające dostępność zasobów i ochronę przed atakami hakerskimi, poufność i integralność danych, a także zautomatyzowaną kontrolę kodu źródłowego i bezpieczeństwa aplikacji. Na etapach analizy ryzyka i oceny wpływu na biznes konieczne jest uwzględnienie ewentualnej obecności podatności w systemach informatycznych narażonych na atak przez przestępców, a Plan Ciągłości Działania będzie musiał uwzględniać procedury pozyskiwania aktualnych danych o zagrożeniach dla infrastruktury IT, ich krytyczności i dostępności poprawek. Strategia ciągłości działania powinna również obejmować procedury przywracania usług po udanych atakach.
Zanim opowiem o zagrożeniach związanych z bezpieczeństwem informacji, które mogą na Ciebie czekać w pracy, chcę się przedstawić: nazywam się Kamila Iosipova. Jestem starszym kierownikiem ds. bezpieczeństwa informacji w firmie IT ICL Services, pracuję w tej organizacji od 5 lat. Jestem również Certyfikowanym Audytorem Systemów Informacyjnych CISA (certyfikat ISACA oznacza Certyfikowany Audytor Systemów Informatycznych).
W 2018 roku ilość naruszeń danych w firmach wzrosła o 5%. Czynnik ludzki jest jedną z głównych przyczyn incydentów związanych z bezpieczeństwem informacji. Niedbałość, niedbalstwo, motyw, zamiar – to powody, dla których pracownicy Twoich firm mogą celowo lub nieumyślnie sprowadzić biznes na dno. Jak chronić siebie i swoich klientów, co zrobić, aby wypracować wśród pracowników kulturę pracy z danymi oraz jakie metody zastosować w tym przypadku opowiem dalej.
Plan podjęcia prac w zakresie bezpieczeństwa informacji
Patrząc globalnie, można zauważyć, że w dziedzinie bezpieczeństwa informacji można prześledzić pewien wzorzec: dbałość o bezpieczeństwo informacji w dużej mierze zależy od działań firmy. Na przykład w agencjach rządowych czy w sektorze bankowym obowiązują bardziej rygorystyczne wymagania, dlatego większą wagę przywiązuje się do szkolenia pracowników, co oznacza, że kultura pracy z danymi jest bardziej rozwinięta. Jednak dzisiaj każdy powinien zwrócić uwagę na ten problem.
Oto kilka praktycznych kroków, które pomogą Ci wykonać swoją pracę w dziedzinie bezpieczeństwa informacji:
1 krok. Opracowanie i wdrożenie ogólnej polityki bezpieczeństwa informacji, która będzie zawierała podstawowe zasady pracy firmy, cele i zadania w zakresie zarządzania bezpieczeństwem informacji.
2 kroki. Wprowadź politykę klasyfikacji i poziomy prywatności.
Jednocześnie konieczne jest nie tylko napisanie dokumentu, do którego pracownik będzie miał dostęp 24/7, ale także przeprowadzenie różnych szkoleń i opowiedzenie o wprowadzanych zmianach. Trzymaj się zasady: uprzedzony jest uzbrojony. Pozwól firmie prowadzić stała praca w tym kierunku.
3 kroki. Opracuj proaktywne podejście.
To jak profilaktyka w medycynie. Zgadzam się, znacznie taniej i łatwiej jest poddać się badaniu profilaktycznemu niż leczyć zaawansowaną chorobę. Na przykład w naszej firmie proaktywne podejście działa tak: aby pracować z informacjami w projektach komercyjnych, opracowaliśmy standard zarządzania IS w projektach, który zawiera niezbędne minimalne wymagania IS, aby zapewnić określony poziom dojrzałości procesów IS w projekt komercyjny. Opisuje, co należy zrobić, aby zachować pewien poziom dojrzałości procesu zarządzania bezpieczeństwem. Wdrożyliśmy ten standard w projektach i teraz co roku przeprowadzamy audyty wewnętrzne: sprawdzamy zgodność projektów z tymi wymaganiami, identyfikujemy zagrożenia bezpieczeństwa informacji i najlepsze praktyki, które mogą pomóc również innym kierownikom projektów.
Oprócz audytów dobrze sprawdza się dzielenie się wiedzą. Jeśli w jednym z projektów „uderzył piorun”, dobrze, aby reszta o tym wiedziała i miała czas na podjęcie niezbędnych działań.
4 kroki. Przygotuj wszystkie dokumenty wyjaśniające zasady: uporządkowane, jasne i zwięzłe.
Jak pokazuje praktyka, nikt nie czyta długich, wielostronicowych tekstów. Dokument musi być napisany prostym językiem. Musi być również zgodna z celami biznesowymi i zatwierdzona przez najwyższe kierownictwo – będzie to silniejszy argument dla pracowników, dlaczego należy przestrzegać tych zasad.
5 kroków. Prowadź szkolenia, pogadanki, gry biznesowe i tym podobne.
Bardzo często ludzie nie rozumieją, jak pewne zasady mają się do ich konkretnej pracy, dlatego trzeba podać przykłady, wyjaśnić, pokazać, jak mogą to zastosować. Tutaj ważne jest, aby pokazać konsekwencje, aż do utraty biznesu i jakie konkretnie konsekwencje czekają pracownika, aż do odpowiedzialności karnej.
Aby to wszystko zrealizować w firmie, potrzebne są zasoby, zarówno materialne, jak i ludzkie. Dlatego teraz w wielu firmach zaczęło pojawiać się stanowisko Dyrektora ds. Bezpieczeństwa Informacji (CISO). Dzięki tej pozycji możliwe jest przekazanie liderom biznesu wagi promowania wszelkich decyzji, alokacji środków itp. CISO jest w stanie promować bezpieczeństwo informacji w firmie na wszystkich poziomach.
Zadania, które podejmuje są rozległe: komunikacja z kierownictwem najwyższego szczebla, uzasadnianie pewnych decyzji, komunikacja z właścicielami procesów w celu wdrożenia bezpieczeństwa we wszystkich obszarach. W zakresie cyberzagrożeń jest punktem kontaktowym, podczas gdy zarządza, określa strategie reagowania na cyberzagrożenia oraz koordynuje pracę w odpowiedzi na ataki.
Szkolenie pracowników: trudne, długie, ale konieczne
Zanim jednak nauczysz ludzi pewnych zasad, musisz zrozumieć jedną rzecz: nie możesz rozwodzić się nad czynnikiem ludzkim, może kryć się za tym coś jeszcze – brak zasobów, wiedzy lub technologii. Tutaj najskuteczniejszą metodą jest analiza prawdziwych przyczyn, aby dotrzeć do przyczyny źródłowej.
Podczas pracy z ludźmi konieczne jest dobranie klucza dosłownie każdemu. Wszyscy ludzie są różni i dlatego metody, które należy zastosować, są różne. W jednym z wywiadów z pracownikiem specjalista powiedział mi: zrobię coś tylko wtedy, gdy będę wiedział, że dostanę za niespełnienie warunku. I odwrotnie, dla niektórych działa tylko pozytywna motywacja, taka jak dobra ocena jakości pracy, zachęta do pomyślnego ukończenia szkoleń.
Istnieje opinia, że specjaliści ds. bezpieczeństwa informacji często hamują innowacyjność, zwłaszcza gdy ograniczają wykorzystanie nowych technologii i modeli biznesowych. Może tak być, jednak ważne jest, aby pamiętać o następujących kwestiach: „Bezpieczeństwo jest jak hamulce w samochodzie. Ich funkcją jest spowalnianie. Ale ich celem jest umożliwienie ci szybkiego działania. Dr Gary Hinson” („Bezpieczeństwo jest jak hamulce w twoim samochodzie. Ich funkcją jest spowolnienie. Ale ich celem jest umożliwienie ci szybkiej jazdy”). Ważne jest, aby zrozumieć, że bez tych zasad nie da się przejść dalej, ponieważ w pewnym momencie po prostu nie będziesz w stanie rozwijać swojego biznesu, jeśli nie uchronisz się przed zagrożeniami cybernetycznymi i nie zarządzasz ryzykiem bezpieczeństwa informacji. Aby zachować równowagę, nasza firma stosuje podejście oparte na ryzyku, które jest podstawą normy ISO 27001. Takie podejście pozwala nam wybrać wymagania, które nas dotyczą oraz środki bezpieczeństwa, które są niezbędne do ochrony przed zagrożeniami, które są dla nas istotne. Za pomocą tego podejścia możemy również dokonać wyboru z finansowego punktu widzenia: na ile właściwe jest zastosowanie określonych środków. Na przykład skaner biometryczny możemy umieścić w każdej sali konferencyjnej, ale ile go potrzebujemy, jaką wartość niesie, jakie ryzyko zmniejsza? Odpowiedź nie zawsze jest oczywista.
W ICL Services rozumiemy, że poufność informacji, z którymi pracujemy, jest dla nas ważna, w tym celu szyfrujemy laptopy, ponieważ nawet jeśli laptop zostanie zgubiony, informacje nie wpadną w ręce intruzów. To jest krytyczne i jesteśmy gotowi na to wydać pieniądze.
Uważam, że to jedyny sposób na zachowanie równowagi między bezpieczeństwem a wartością biznesową: wybieraj, bądź świadomy innowacji i zawsze oceniaj ryzyko (na ile koszt wdrożenia ryzyka jest porównywalny z kosztem zakupu takiego lub innego rozwiązania bezpieczeństwa ).
Zintegrowane podejście to idealna recepta na bezpieczeństwo informacji
Moim zdaniem zintegrowane podejście do pracy z bezpieczeństwem jest najbardziej efektywne, ponieważ bezpieczeństwo informacji to kwestia świadomości, zachowania i właściwej organizacji procesów biznesowych z uwzględnieniem wymagań bezpieczeństwa. Incydenty najczęściej zdarzają się z powodu pracowników: ludzie popełniają błędy, męczą się, mogą nacisnąć niewłaściwy przycisk, więc tutaj połowa sukcesu to ograniczenia techniczne, z przypadkowych incydentów niezamierzonych, druga połowa to kultura bezpieczeństwa każdego pracownika.
Dlatego ważne jest prowadzenie rozmów profilaktycznych i szkoleń. W dzisiejszym świecie cyberzagrożenia są przeznaczone dla ludzi: jeśli otrzymasz wiadomość phishingową, jest ona nieszkodliwa, dopóki nie dotrzesz do linku i nie klikniesz go. W naszej firmie kładzie się nacisk na świadomość personelu, na pracę z ludźmi, na świadomość. Cóż, trzecia sprawa jest organizacyjna, ludzie muszą znać zasady, zasady muszą być spisane, musi istnieć pewna polityka, której wszyscy muszą przestrzegać.
Pamiętaj: cyberzagrożenia są na świecie bardzo powszechne, a jednocześnie konsekwencje ataków są bardzo poważne – aż do całkowitej utraty biznesu, bankructwa. Oczywiście sprawa jest na porządku dziennym. Bezpieczeństwo w naszych czasach jest po prostu zobligowane do bycia częścią Kultura korporacyjna, a kierownictwo najwyższego szczebla jest pierwszą zainteresowaną stroną w tej sprawie, ponieważ to ona zarządza biznesem, a kiedy zda sobie sprawę z ryzyka, to one poniosą odpowiedzialność w pierwszej kolejności.
Oto kilka wskazówek, które pomogą Twoim pracownikom uniknąć incydentów związanych z cyberbezpieczeństwem:
- Nie możesz śledzić niezweryfikowanych linków;
- Nie rozpowszechniaj informacji poufnych;
- Nie możesz zapisać hasła na kartce papieru i nakleić naklejki;
- Nie używaj nośników USB, co do których nie jesteś pewien (atakujący może zostawić zainfekowane urządzenie fizyczne w miejscu, w którym ofiara na pewno je znajdzie);
- Rejestrując się na stronach, wskazując numer telefonu i adres pocztowy, uważnie szukaj, do czego te informacje są potrzebne, być może w ten sposób subskrybujesz płatny biuletyn.
Mam nadzieję, że z czasem bezpieczeństwo stanie się kluczowym elementem kultury korporacyjnej w każdej firmie.
Umiejętności pracy w obszarze bezpieczeństwa informacji można doskonale opanować na wydziale.