Кибербезопасность остается главным приоритетом для компаний всех отраслей. Причина понятна. Криминальные и прочие деструктивные элементы имеют доступ к недорогим инструментам и обучающим средствам, которые позволяют им совершать атаки на компании и правительства. Издание New York Times уже сообщало о росте числа вредоносных программ, направленных на вымогательство. Они шифруют данные пользователей, после чего предлагают им заплатить за расшифровку (в противном случае данные будут уничтожены).
Многие организации выделяют на сдерживание хакеров значительные ресурсы. В Google ликвидацией уязвимых мест постоянно занимается команда из десяти специалистов. Чтобы уберечься от существующих угроз, руководители организаций и их технических подразделений озабочены поиском наилучших методов и технологий. Повышение осведомленности персонала о мерах безопасности, увеличение числа специалистов по безопасности и оснащение ИТ-служб соответствующими средствами мониторинга остаются важнейшими составляющими стратегии управления безопасностью в целом.
Проверка сотрудников путем рассылки фишинговых писем
Весьма ограниченные возможности и знания клиентов и персонала, не имеющего отношения к техническим вопросам, – одна из главных угроз в области кибербезопасности. Попытки склонить пользователей к выполнению действий, помогающих злоумышленникам преодолеть заслоны системы безопасности, относятся к сфере социальной инженерии. Тактика социальной инженерии (а точнее, фишинговые письма) была положена в основу взлома в 2011 году технологии RSA SecurID. Событие это вызвало настоящий шок во всем мире, породив недоверие к системам безопасности. Инцидент показал, что даже самые уважаемые компании и технологии безопасности остаются уязвимыми перед лицом угроз социальной инженерии. Поэтому ведущие компании используют для снижения рисков сразу несколько различных подходов.
«У нас имеется программа подготовки персонала, направленная на обеспечение информационной безопасности, – указал Патрик Харбауэр, технический руководитель сервисов Neohapsis PCI DSS компании Cisco Systems. – Ежегодное обучение и компьютерное тестирование играют ключевую роль в привитии персоналу всех необходимых навыков для обнаружения и устранения угроз фишинга и прочих попыток преодоления системы информационной безопасности. Недавно мы, чтобы проверить эффективность обучения, решили посмотреть, как отреагируют сотрудники на разосланные им фишинговые письма. Одно из таких тестовых писем получил и я. Оно было замаскировано под рассылку сервиса Amazon Prime, и распознать его оказалось довольно сложно! Тестирование качества обучения мерам безопасности приобретает все более важное значение, поскольку идентификация фишинговых писем по старым признакам – отсутствию логотипа компании или грамматическим ошибкам – становится все менее эффективной. Теперь во многих фишинговых письмах присутствуют коды, изображения и другие материалы, взятые непосредственно с сайта компании».
«Наш подход к безопасности предусматривает мониторинг признаков действий, сопряженных с высоким риском, – сообщила Анджела Хайзе, вице-президент по коммерческим рынкам в Lockheed Martin, компании, специализирующейся в области авиастроения, авиакосмической техники, судостроения, автоматизации почтовых служб и аэропортовой логистики. – Если, к примеру, к корпоративной сети в три часа ночи подключается сотрудник, прежде никогда этого не делавший, система устанавливает соответствующий флажок. Конечно, сотрудник вполне мог проверить электронную почту, после того как встал ночью к маленькому ребенку, поэтому окончательное решение принимается с учетом всей совокупности факторов».
Битва за таланты в области кибербезопасности
Успех программы кибербезопасности по-прежнему зависит от талантливых специалистов. Ряд исследований показал, что знания в области безопасности пользуются высоким спросом, а наиболее квалифицированные специалисты вполне могут претендовать на зарплату выше 200 тыс. долл. в год. Опрос «Состояние кибербезопасности и ее влияние в 2015 году», проведенный Ассоциацией аудита и контроля информационных систем, показал, что 35% организаций не удается заполнить имеющиеся вакансии в области безопасности.
Lockheed Martin, выпускающая оборудование военного назначения и космическую технику, известна своим умением противостоять угрозам. Со стороны военных заказчиков компании приходится постоянно сталкиваться с очень высокими требованиями к безопасности. Благодаря своей репутации Lockheed Martin предоставляет сегодня большое количество услуг в сфере безопасности и поддерживает много предприятий, входящих в список Fortune 500, в том числе энергетических, финансовых и коммунальных.
Успех Lockheed в области безопасности объясняется ее подходом к привлечению специалистов. «У аналитика по безопасности, приглашаемого нами, есть возможность перемещаться между различными группами: подразделением внутренней безопасности Lockheed, группой, обслуживающей правительственных клиентов, а также работать с коммерческими клиентами, – пояснила Хайзе. – Наши специалисты могут выбирать наиболее удобные для себя инструменты, выбрать направление, которое им интересно. А мы помогаем нашим сотрудникам продвигаться по карьерной лестнице. Представители разных поколений оказывают помощь друг другу. Я видела много организаций, где предпочтение отдают опытным профессионалам. Мы же охотно приглашаем и выпускников вузов. Им есть чему поучиться у грамотных специалистов, которые готовы делиться с ними своими знаниями».
Лучшие решения (передовой опыт) для ИТ-руководителей
Когда происходит инцидент в области безопасности, ИТ-директор или директор по информационной безопасности должен руководить принятием решения. Отвечать на такие инциденты нужно всегда незамедлительно, а ведущие организации стараются проводить еще и упреждающие мероприятия. Обнаружение угроз и управление другими участниками процесса – вот что в первую очередь требуется от ИТ-руководителей.
«Лучшие ИТ-руководители, с которыми мы работаем, для снижения рисков кибербезопасности придерживаются нескольких стратегий мониторинга, – указала Кэролин Холкоум, руководитель направлений защиты данных при страховании рисков и обеспечения конфиденциальности частной жизни PricewaterhouseCoopers. – При управлении поставщиками и партнерами лучше всего придерживаться отчетности SOC2, предполагающей тщательную оценку безопасности, конфиденциальности и других параметров силами независимой организации». SOC2 – отчетность для внутреннего контроля, разработанная Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA) и предназначенная для оценки параметров безопасности, готовности, целостности информации, ее конфиденциальности и защиты сведений личного характера.
Если подход SOC2 по каким-то причинам не устраивает, есть две альтернативы: использование зафиксированного в договоре права на аудит и опросные листы. Право на аудит позволяет аудиторам организации или специалистам в области безопасности проверить поставщика. Более простой и дешевый вариант – направить поставщику опросный лист, который позволит получить сведения о его методах и технологиях обеспечения безопасности. Однако при таком варианте в вашем распоряжении оказывается менее детализированная информация.
ИТ-директор, будучи одним из представителей высшего руководства, располагает весьма ограниченным временем на управление безопасностью. А потому Холкоум рекомендует обращать внимание на наиболее важные аспекты. Чаще всего целью атаки хакеров становятся клиентские данные, информация о слияниях и приобретениях, интеллектуальная собственность, финансовые сведения. Имеет смысл использовать дополнительные средства контроля и защиты этой информации.
Люди и управление – центральное звено стратегии безопасности ИТ
По оценкам Gartner, мировые затраты на услуги ИТ-безопасности в 2015 году превысят 70 млрд долл. Возможность заработать на этом привлекает множество самых разных поставщиков услуг, начиная от стартапов и заканчивая весьма известными игроками, например IBM. С учетом того, что поставщики консультационных услуг в сфере безопасности просто обязаны пользоваться высоким доверием, выбор у ИТ-директоров достаточно широк. Как показывает опыт Lockheed Martin и Cisco, для обеспечения эффективной безопасности важнейшее значение имеет совершенствование соответствующих навыков в масштабах всей организации.
– Bruce Harpham. How Lockheed Martin, Cisco and PWC manage cybersecurity. CIO. November 24, 2015