Особливості забезпечення інформаційної безпеки малого і середнього бізнесу
У статті будуть розглянуті основні тенденції розвитку загроз для малого і середнього бізнесу (SMB), статистика різних компаній в оцінюванні кіберзагроз. Також будуть проаналізовані ключові джерела внутрішніх і зовнішніх загроз, а також застосовуються на практиці методи захисту від них.
1. Введення
2. Проблематика забезпечення інформаційної безпеки малого і середнього бізнесу
2.1. внутрішні загрози
2.2. зовнішні загрози
3. Використовувані методи захисту
4. Висновки
Вступ
Пересилання електронних повідомлень, пошук нових клієнтів і партнерів в мережі, використання IM-месенджерів та соціальних мереж для спілкування і, що найважливіше, використання банк-клієнтів для проведення фінансових операцій - так виглядає робочий день в невеликій компанії.
Щорічно кількість кіберзагроз росте в кількісному і якісному відношенні. Зловмисники вдосконалюють технології для зараження більшої кількості комп'ютерів. За даними «Лабораторії Касперського», щодня з'являється близько 200 тисяч нових зразків шкідливого коду.
Бізнес залежимо від інтернету, який таїть в собі безліч небезпек. Не варто забувати і про внутрішні загрози: витік даних, вразливості в програмному забезпеченні, шпигунстві і т.д. Весь спектр зовнішніх і внутрішніх загроз ставить перед невеликими компаніями непросте завдання по створенню системи IT-безпеки, яка дозволить ефективно протистояти сучасним загрозам.
проблематика SMB
Малий і середній бізнес, на відміну від великих компаній, не вважає пріоритетним завдання розробки чіткої стратегії розвитку IT-інфраструктури свого підприємства, на перше місце ставиться продуктова, операційна або маркетингова діяльність. Звідси і виникають проблеми, пов'язані з інформаційною безпекою. Важливою причиною є відсутність кваліфікованого персоналу, в рідкісних випадках невеликі компанії можуть похвалитися наявністю в штаті IT-фахівця. Зазвичай його функції виконує досвідчений користувач з числа штатних співробітників або, в кращому випадку, системний адміністратор. Багато невеликі компанії не мають штатного фахівця з IT, тому про окремий фахівця з ІБ навіть і мови йти не може. Як правило, такі організації працюють за принципом «поки грім не вдарить», адже превентивно оцінювати можливі ризики IT-безпеки просто нікому. У кращому випадку питаннями інформаційної безпеки займається IT-відділ або внутрішня служба безпеки.
Відповідно до недавнього дослідження * «Лабораторії Касперського» і «B2B International» 96% опитаних IT-фахівців невірно оцінюють швидкість появи нових загроз, лише 4% опитаних дали близьку до реальності оцінку.
Малюнок 1. Оцінка фахівцями масштабів появи нових загроз за даними «Лабораторії Касперського»
У невеликих компаніях керівну ланку не надає особливої значущості питань інформаційної безпеки, вважаючи кіберзагрози несуттєвим ризиком для бізнесу, і, як наслідок, виділяє недостатньо часу і коштів на вирішення питань безпеки. Обмеженість бюджету змушує компанії переходити на безкоштовне або неліцензійне програмне забезпечення. Особливо гостро проблема відсутності коштів і використання неліцензійного програмного забезпечення відчувається в регіонах. Тижнями не оновлювані антивірусні бази, зважаючи на блокування ліцензії захисного програмного забезпечення - стандартна картина для маленької фірми. Навчання персоналу компанії основам роботи з IT-системами особливо важливо, тому що людський фактор нерідко грає вирішальну роль при проведенні атаки на компанію. Однак в 2013 році інтерес до інвестицій в навчання персоналу роботі з IT-системами знизився на 7%.
Малюнок 2. Пріоритетні завдання IT-відділів компаній SMB за даними дослідження «Лабораторії Касперського»
внутрішні загрози
Уразливості в програмному забезпеченні, витік даних або крадіжка мобільних пристроїв співробітників компанії приносить великий головний біль фахівцям з інформаційної безпеки. Для мінімізації інцидентів, пов'язаних з внутрішніми загрозами, на середніх і великих підприємствах використовуються програмно-апаратні DLP-системи, які дозволяють здійснювати комплексні заходи щодо запобігання витоку даних з компанії. Шифрування ділового листування, папок і файлів, контроль знімних носіїв - невеликий перелік дій необхідних для мінімізації витоку даних. Управління оновленням програмного забезпечення - один з ключових аспектів внутрішньої безпеки, так як переважна більшість атак починається з експлуатування уразливостей в ПО. Звіт «Лабораторії Касперського» це підтверджує.
Малюнок 3: Динаміка розподілу внутрішніх загроз за даними дослідження «Лабораторії Касперського»
Так в 2010 році, використовуючи уразливість в браузері Internet Explorer, була здійснена атака на ряд відомих світових компаній, в тому числі корпорація Google повідомила про факт отримання кіберзлочинцями доступу до поштових серверів Gmail. Прикладів таких атак маса, зловмисники отримують доступ не тільки до даних клієнтів компаній, але і конфіденційних даних самої компанії.
Цікавою особливістю є той факт, що компанії часто піклуються про новітні вразливості, але забувають про старі дірки, які до сих пір використовуються для атак. Аналіз великих інцидентів в минулому, часто свідчить про те, що в них не були використані уразливості нульового дня. На цю тему було проведено спеціальне дослідження .
Домінуючою концепцією останніх декількох років стає використання особистих мобільних пристроїв співробітників в робочих цілях, так званий BYOD (Bring Your Own Device). Сучасний бізнес заохочує забезпечення мобільності викладацького складу, роблячи їх більш лояльними, дозволяючи перебувати поза офісом і виконувати робочі завдання. Використання власних пристроїв породжує додаткові IT-ризики для компаній, нові пристрої перетворюються в точки доступу до корпоративної інфраструктурі.
Існує кілька підходів для забезпечення безпеки при використанні BYOD:
- VDI (Virtual Desktop Infrastructure) - технологія дозволяє організувати доступ до робочих місць, використовуючи спеціальні програми або операційні системи, запущені в віртуальному середовищі на серверах організації. Підхід забезпечує централізоване адміністрування і зберігання даних.
- MDM (Mobile Device Management) - програмне забезпечення для доступу до корпоративної інфраструктурі з мобільних пристроїв.
- Клієнтське ПЗ безпеки - клієнт на мобільному пристрої користувача, що забезпечує антивірусний захист і фільтрація.
У Росії BYOD розвивається менш активно, ніж у всьому світі. Причина відставання знаходиться в ментальності керівництва, який звик перебувати в офісі і того ж вимагає від своїх підлеглих. Старе загартування далеко не єдина причина: захист BYOD, крім сучасних методів управління, вимагає інвестицій в безпеку, на що малий і середній бізнес реагує неохоче. Деякі компанії практикують тотальну заборону використання мобільних пристроїв. Відповідно до проведених дослідженням , Лідером по впровадженню BYOD виступає - Китай, найзапеклішим противником - Японія.
У невеликих компаніях питання захисту від внутрішніх загроз стоїть гостріше, ніж в середньому і великому бізнесі. Це обумовлено відсутністю IT-відділів, служб безпеки і, як наслідок, призводить до безконтрольності співробітників. Для малого бізнесу існують комплексні рішення, які б поєднували в собі антивірусні компоненти, фільтрацію контента і трафіку, а так само шифрування необхідних даних. До таких рішень пред'являється додаткова вимога - простота установки і настройки, для того, щоб з ним міг розібратися просунутий користувач, який відповідає за IT-процеси в маленьких компаніях. Наявність в мережі компанії привілейованих користувачів, робить мережу вразливою перед діями своїх же співробітників. Привілейовані користувачі нерідко нехтують політиками безпеки компанії, паролі для облікових записів можуть не змінюватися роками. Більш того, зустрічаються ситуації, коли кілька співробітників, які мають адміністративні права, використовують один обліковий запис для внесення змін, в такому випадку неможливо встановити особу, яка допустила витік інформації. Детально проблеми контролю привілейованих користувачів були розглянуті в цієї статті. Для контролю привілейованих користувачів існують спеціальні рішення, наприклад Wallix AdminBastion .
зовнішні загрози
За статистикою «Лабораторії Касперського» 95% російських компаній піддавалися зовнішньої атаці в 2013 році. Причому найбільшу загрозу представляють собою шкідливі програми.
Малюнок 4: Динаміка розвитку зовнішніх загроз за даними «Лабораторії Касперського»
Професійні кіберзлочинці діють виключно в фінансових інтересах, винаходячи нові способи проникнення в комп'ютерні системи. Яскравим прикладом шкідливої програми, націленої на крадіжку фінансової інформації, стала троянська програма Zeus. Багатомодульні програми дозволяє їй здійснювати всебічний шпигунство на зараженій машині, відмінною рисою «Зевса» стало використання мобільної версії, яка відповідає за перехоплення mTAN кодів в SMS від банків. Серед атакованих організацій представлені російські банки і платіжні системи. Малий бізнес в силу своїх особливостей менш захищений, ніж середній і великий бізнес. Будь-системний адміністратор може розповісти безліч історій, як в невеликих організаціях йому доводилося боротися із зараженням і його наслідками. Нерідко в маленьких компаніях користувачі працюють з правами адміністратора. Нічого дивного в цьому немає, але відсутність розуміння необхідності комплексного захисту в таких організаціях грає злий жарт з фінансами компанії. Запобігти зараженню обходитися значно дешевше - нейтралізації і усунення наслідків. На жаль, поки «грім не вдарить» - рідко хто замислюється над цими питаннями.
Популярність спам-атак знижується з кожним роком. Якщо середній бізнес бачить в спам загрозу, яка може паралізувати обмін інформацією в компанії, то представники малого бізнесу скептично ставляться до цієї проблеми, часто в організації відсутній навіть власний поштовий сервер, співробітники користуються публічними сервісами для обміну інформацією.
У кіберзлочинністю світі існує маса угруповань, готових за певну плату зробити DDoS-атаку на сайт неугодної компанії. Атакується ресурс стає недоступним і компанія - жертва несе збитки, пов'язані з недоступністю сервісів. Збиток від атак носить не тільки фінансовий, але і репутаційний характер. Прикладом подібної атаки, що отримала широкий розголос в ЗМІ, стала атака на системи онлайн-бронювання компанії «Аерофлот» в 2010 році. Збиток від атаки компанії «Аерофлот» оцінюється в 146 млн. Рублів, компанії Assist - партнера «Аерофлоту» в 15 млн. Рублів. У липні 2013 року організатор атаки був засуджений на 2,5 року позбавлення волі. Великий бізнес усвідомлює небезпеку DDoS-атак і намагається підготувати і захистити свою інфраструктуру від можливої атаки, проте виходить далеко не завжди. Ботнети, використовувані для атак, здатні генерувати трафік в десятки Gb / s, захист в такій ситуації стає нетривіальним завданням.
Зарекомендував себе в злочинних колах фішинг, активно набирає обертів і застосовується зловмисниками для отримання конфіденційної інформації. Наприклад, за допомогою фішинговою атаки в 2013 році хакер зміг отримати дані 2 млн. Абонентів Vodafone Germany . Співробітники компаній стали частіше використовувати мобільні гаджети для роботи і загроза крадіжки девайса, який має доступ до корпоративної мережі, стає дедалі більше.
методи захисту
Найбільш розповсюдженим засобом забезпечення інформаційної безпеки в компаніях залишається використання антивірусного захисту.
Малюнок 5: Методи, що застосовуються для захисту інформації за даними «Лабораторії Касперського»
Сигнатурних і евристичних методів захисту недостатньо для забезпечення безпеки від новітніх загроз. Для захисту від експлуатування вразливостей в операційній системі і додатках слід використовувати рішення, які включають в себе компоненти аналізу поведінки програм, одним з таких рішень є Kaspersky Small Office Security .
Управлінню оновлення програмного забезпечення приділяється велика роль, адже вразливе програмне забезпечення є одним з основних джерел загроз. Для централізованого оновлення розгортаються спеціальні системи, нехтування якими може обернутися мільйонними втратами. Використання мережевих екранів і IDS укупі з DLP дозволяє ефективно протистояти мережевим атакам, своєчасно виявляти підозрілий трафік в мережі і виявляти витік конфіденційних даних з компанії.
Більшість компаній розмежовує доступ до IT-систем, відповідно до рівня доступу співробітників підприємства. Вибудовування внутрішньої інформаційної безпеки без контролю мобільних пристроїв співробітників, зводить нанівець заходи щодо запобігання витоку інформації. Мобільні пристрої, будь то смартфони або планшети, можуть бути скомпрометовані зловмисниками для отримання доступу до внутрішньої інфраструктурі компанії з її конфіденційною інформацією. Вже зараз існують рішення дозволяють забезпечувати комплексний захист мобільних пристроїв, надійно захищаючи їх від шкідливих програм, спаму та фішингу. Мобільний пристрій може бути втрачено або вкрадено, в цьому випадку необхідно мати можливість віддаленого контролю пристрою. Дистанційне блокування і очищення пристрою, в разі його втрати або крадіжки, реалізована в захисному додатку для мобільних пристроїв, що входить в пакет Kaspersky Small Office Security . При втраті або крадіжці мобільного пристрою такий функціонал стає незамінним, дозволяючи мінімізувати ризик крадіжки конфіденційних даних.
У середніх і великих компаніях застосовується заборона використання знімних носіїв. Принесений на флешці черв'як одним із співробітників миттєво стане надбанням всієї мережі. Черв'як Kido, котрий використовував змінні носії для свого поширення, був в кошмарних снах системним адміністраторам, в мережі яких були дозволені змінні носії. Сучасні рішення для малого бізнесу повинні забезпечувати автоматичний контроль використання пристроїв, що підключаються.
висновки
Більшість компаній недооцінює ризики пов'язані з кіберзагрозами. Компанії повинні інвестувати в навчання співробітників, пояснюючи базові правила безпечної роботи в мережі і підвищуючи рівень обізнаності про нові загрози. Грамотні користувачі на робочих місцях - хороша основа для інформаційної системи безпеки компанії. Концепція BYOD, яка набирає популярність, створює для бізнесу додаткові ризики інформаційної безпеки, для вирішення яких необхідне використання спеціальних політик для мобільних пристроїв і MDM. Питання інформаційної безпеки для невеликих компаній відходять на задній план або взагалі не вирішуються. Співробітники компаній мають права адміністратора, повний доступ до всіх пристроїв і систем, що викликає безконтрольне використання ресурсів організації. Окрема захист потрібно при роботі з системами онлайн-банкінгу та іншими платіжними системами, яка дозволить убезпечити співробітників від введення даних на фішингових сайтах і перехоплення параметрів доступу до рахунків шкідливими програмами. Невеликим компаніям потрібно універсальне рішення за розумну вартість, що відрізняється простотою установки і управління, яке дозволить гнучко налаштувати використання ресурсів компанії, а так само забезпечить комплексний захист від усіх типів загроз. Прикладом такого рішення служить Kaspersky SmallOffice Security .