Как выстроить киберзащиту в условиях цифрового хаоса?

Автор: директор по информационной безопасности компании ASTEL Алексей Бойко

Количество кибератак растет год от года, и все чаще они оказываются в центре внимания не только специалистов, но и широкой общественности. О чем свидетельствует недавний взлом информационных систем авиакомпании «Аэрофлот». Почему подходы к информационной безопасности должны измениться и как защититься от атак хакеров?

Киберугрозы появились одновременно с компьютерами и компьютерными сетями. С тех пор они только усиливаются и становятся более многообразными и изощренными. Чем сильнее мы зависим от цифровых сервисов и сетей, тем больше сторон нашей жизни затрагивают вопросы информационной безопасности (ИБ). Сегодня мишенью для атаки хакеров может стать любая организация и даже отдельный человек — просто потому, что в цифровую эпоху все жизненно важные процессы завязаны на информационные системы и ИТ-инфраструктуру.

Атакующие — это профессиональные группировки, вымогатели, интернет-хактивисты, спецслужбы и те, кто просто хочет создать вам проблемы или самоутвердиться за ваш счет. Даже если вы не видите явных проблем в работе своих информационных систем, это еще не значит, что вы не подверглись нападению. Не исключено, что злоумышленники давно проникли в вашу сеть и незаметно собирают конфиденциальную информацию или ждут удачного момента, чтобы нанести решающий удар.

Специалисты по информационной безопасности каждый год отмечают рост числа кибератак. Растет не только их количество, сложность и суммы ущерба, но и значимость для граждан и государств. Особенно серьезным бывает резонанс, когда речь идет о крупных сбоях или утечках, затрагивающих большое число людей. Яркий пример — недавняя атака на «Аэрофлот». Притом, что авиакомпания достаточно быстро смогла возобновить свою работу, затраты на восстановление инфраструктуры и обновление защиты могут составить миллионы долларов. Но главный ущерб — репутационный, так как атака затрагивает многочисленных пассажиров, которые не смогли своевременно улететь, и сотрудников компании, чьи персональные данные могли быть скомпрометированы. Подобные инциденты не только бьют по самой компании и снижают стоимость ее акций, но и снижают доверие к отрасли авиаперевозок в целом. 

Чему учит кейс «Аэрофлота»?

Авиакомпании чрезвычайно зависимы от ИТ-инфраструктуры. Это большие и сложноустроенные предприятия с огромным периметром и широкой географией присутствия, множеством поставщиков услуг и внешних сервисов, с которыми идет обмен данными. Кроме того, авиационная отрасль — важная часть инфраструктуры современной экономики. Все это делает ее привлекательной мишенью для киберпреступников.

Стоит отметить, что «Аэрофлот» далеко не единственная авиакомпания, которая в этом году пострадала от хакеров. Так, в конце июня стало известно об утечке персональных данных 5,7 млн пассажиров авиакомпании Qantas (Австралия). Канадская WestJet Airlines также в июне подверглась атаке, которая вывела из строя часть ИТ-инфраструктуры компании. В марте была атакована немецкая платформа для бронирования авиабилетов Aerticket. Также атакам подверглись аэропорты Лос-Анджелеса, Атланты и Куала-Лумпура.

По данным американской некоммерческой организации Technology Advancement Center, специализирующейся в области информационной безопасности, количество кибератак с использованием программ-вымогателей на организации, связанные с авиационной отраслью, только за последний год выросло на 600%. Важно, что злоумышленники, которые выбирают своей мишенью критическую инфраструктуру, часто движимы не корыстными, а идеологическими мотивами. Они не столько хотят заработать, сколько стремятся создать хаос и нанести ущерб. А значит, откупиться получится не всегда.

Почему же, несмотря на очевидные риски, авиакомпании не предпринимают достаточных усилий для того, чтобы защититься, а инциденты, подобные тому, что произошел с «Аэрофлотом», становятся реальностью?

Проблема в том, что ИТ-инфраструктура таких предприятий обычно имеет длительную историю развития. С годами она расширяется и усложняется, подключаются все новые сервисы, накапливаются устаревшие решения. В таких условиях построить цельную и продуманную архитектуру безопасности оказывается проблематично. Однако делать это все-таки необходимо, пока не случилось непоправимое.

Почему традиционная модель информационной безопасности перестала работать?

Традиционная модель ИБ строилась на защите периметра. Защитить внутреннюю сеть дешевле и проще, чем обеспечить безопасность каждого устройства. И бизнес, руководствуясь соображениями экономии, делает выбор в пользу таких решений.

Но особенности современных цифровых сервисов и ландшафтов ИТ-инфраструктур сделали такой подход неэффективным. Инфраструктура развивается и усложняется, переходит в облака и на гибридные модели, корпоративные сети используют трекеры и IoT-устройства и больше не могут оставаться полностью изолированными. Границы между локальными и публичными сетями становятся все более размытыми. Компании чаще используют внешние сервисы и решения, а сотрудники — работают удаленно, с личных ПК и мобильных устройств.

Защита от внешних вторжений тоже не может быть абсолютной. Подходы злоумышленников к преодолению барьеров совершенствуются. А стоит им проникнуть внутрь периметра — с помощью взлома, подкупа, ПК удаленного сотрудника или социальной инженерии, — они получают полный доступ к чувствительным данным и делают все что угодно, долго оставаясь незамеченными.

Слабые и редко обновляемые пароли, отсутствие шифрования, устаревшие версии операционных систем и приложений, самописный или скачанный из интернета софт, отсутствие эффективных средств защиты, контроля изменений и отслеживания подозрительной активности, несвоевременная реакция на обнаруженные уязвимости ПО, — каждый из этих недостатков, который можно обнаружить практически в любой компании, делает защиту слабее, а доступ хакеров к важным данным более легким.

Условия надежной защиты

Один из ключевых факторов успеха, без которого не выстроить необходимые для повышения зрелости ИБ процессы в организации, — поддержка со стороны руководства. Возвращаясь к кейсу «Аэрофлота» — по информации из СМИ, у руководителя компании несколько лет не менялся пароль. Если это действительно так (в чем мы не можем быть полностью уверены, ведь публикации основаны на сообщениях хакеров), это может говорить о пренебрежительном отношении к вопросам безопасности.

Другая важная составляющая — работа с людьми, обучение, развитие культуры безопасности у сотрудников, что позволит избежать 60–80% рисков. Как распознать угрозу, какие сайты не стоит посещать с рабочего компьютера, как реагировать на подозрительные письма и файлы, почему пароли важны, какие способы злоумышленники используют для того, чтобы завладеть вашими данными, — обо всем этом необходимо рассказывать регулярно.

Еще одно важное условие для эффективной работы подразделения ИБ в компании — его структурная независимость как от ИТ-подразделений, так и от физической безопасности предприятия. С ИТ у информационной безопасности давний неизбежный конфликт интересов: для первых главное — обеспечить доступность ресурсов любым способом, что часто не согласуется с требованиями защиты данных. Что же касается специалистов по физической безопасности бизнеса, они зачастую не разбираются в киберугрозах и сводят задачи ИБ к слежке за сотрудниками.

Не менее важно наличие у такого подразделения собственного, независимого от ИТ и физической безопасности бюджета. Его защита и обоснование — отдельная проблема. Подразделения, которые создают продукты и сервисы - приносят компании прямые доходы. Польза же от затрат на информационную безопасность косвенная и явно не выражена и становится очевидной только тогда, когда выделять средства уже поздно.

Как действовать? С чего начать?

Вот основные шаги, которые необходимо предпринять, чтобы внедрить в компании новую архитектуру безопасности.

1. Создайте политику ИБ. Это небольшой, но очень важный документ, в котором собственники обращаются к работникам компании и провозглашают основные принципы информационной безопасности, перечисляют цели и задачи, подходы и практики, определяют ответственных. Необходимо, чтобы у всех было единое видение проблемы.

2. Разработайте стратегию ИБ. Важно связать ее с актуальной бизнес-стратегией компании: в ней должны быть учтены цели и перспективы развития бизнеса, актуальные риски и текущий уровень зрелости ИБ.

3. Проведите инвентаризацию ИТ-активов. На этом этапе нужно понять, какие процессы для компании ключевые: приносят прибыль, включены в бизнес-стратегию, важны для регуляторов, содержат чувствительную информацию и при нарушении которых предприятие понесет значительные убытки или не сможет достигнуть бизнес-целей. Необходимо определить, какие ИТ-активы в этих процессах задействованы, каковы их ценность и важность, кто из сотрудников за них отвечает и с ними работает. Это позволит выстроить приоритеты по защите и резервированию данных.

4. Разработайте план мероприятий для реализации стратегии. Выделите и реализуйте мероприятия, которые позволят получить наиболее быстрый эффект (quick win), повысить осведомленность персонала, внедрить парольную политику, ограничить доступ по принципу минимальных привилегий, сегментировать сеть, внедрить процессы ИБ и разработать нормативные документы, выбрать решения, сформировать бюджеты и выработать требования по их исполнению.

5. В последующие годы реализуйте более сложные и длительные проекты. Также следует на постоянной основе вести оценку реализации задач и при необходимости корректировать их исходя из текущей ситуации и меняющихся угроз. 

Перспективы безопасности

К сожалению, кейс «Аэрофлота» вряд ли заставит многих пересмотреть подходы к информационной безопасности. Компания слишком велика, значима и заметна — этим люди готовы объяснять то, почему именно ее выбрали в качестве объекта атаки. К тому же и работа была восстановлена достаточно быстро. Однако и гораздо менее заметные инфраструктурные компании могут стать причиной очень серьезных проблем. Так, например, вмешательство злоумышленников в работу водоснабжающего предприятия способно создать реальную угрозу для жизни и здоровья многих людей.

Впрочем, есть и хорошая новость. В последнее время понимание проблемы ИБ на государственном уровне становится все более заметным и системным. Принятие законодательных норм и требований в области информационной безопасности для значимых инфраструктурных компаний способствует тому, чтобы они уделяли этой работе больше внимания и предпринимали необходимые шаги. Так, например, в Казахстане в законе «Об информатизации» четко закреплены права и обязанности государственных структур и собственников организаций, ответственных за разработку, утверждение и реализацию мер по обеспечению ИБ. Определены критерии, по которым организация должна быть отнесена к объектам критически важных информационно-коммуникационных инфраструктур (КВОИКИ), что требует выполнения определенных требований к информационной инфраструктуре. Определены порядок и методики контроля за исполнением норм. Все это принуждает бизнес обращать больше внимания проблеме ИБ и принимать необходимые меры для ее укрепления.