Киберздоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. У информационных систем (приложений, веб-сайтов, сетей и организаций в целом) я выделяю такие же факторы болезней, как у человеческого организма.
Плохая наследственность
Программное обеспечение или конфигурации часто используют ненадежные и устаревшие компоненты. Это пример технической уязвимости безопасности. Под уязвимостью понимается внутренний недостаток программного продукта, информационной системы или всей организации.
Самые разные уязвимости периодически обнаруживаются везде – от iOS, Android и Chrome до программного обеспечения роутеров, электромобилей и даже промышленного оборудования.
Во многих случаях, особенно когда активировано автоматическое обновление систем, уязвимости быстро устраняются. Но иногда по разным причинам злоумышленникам удается использовать их. Одними из наиболее серьезных уязвимостей в последнее время стали уязвимости Meltdown и Spectre, обнаруженные почти во всех современных микропроцессорах: от телевизоров и смартфонов до серверов и рабочих станций. При этом после выпуска исправлений этих уязвимостей проблемы не закончились, исправления снизили производительность компьютеров и других устройств. Представьте урон современной экономики, вынужденной мириться с замедлением всех цифровых устройств в мире на величину от 5% до 50%!
Мы встречали компании, для которых такое снижение производительности их серверов оказалось настолько критичным, что угрожало выживанию этих компаний из-за замедления технологических операций. И эти компании отказывались от исправления уязвимостей, искали альтернативные обходные пути, чтобы не оказаться взломанными хакерами.
Несоблюдение гигиены, беспорядочные половые связи
Несоблюдение кибергигиены – беспорядочное использование ненадежных веб-сайтов, программных продуктов, компонентов, технологий может привести к инфицированию или созданию «дыры» в безопасности.
Часто бывает, что бухгалтер предприятия использует рабочий компьютер для личных целей, переходит на зараженный веб-сайт, и вредоносное ПО через открытое окно клиент-банка переводит деньги со счета предприятия на счет злоумышленника. Вернуть обратно эти деньги практически невозможно, операции совершаются с использованием цифровой подписи предприятия.
Такое же случается со счетами не только предприятий, но и физических лиц.
Инфицирование и проникновение
Внутри организма постоянно существуют тысячи различных микробов, бактерий и вирусов, которые не вредят человеку. Но при сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться.
Аналогично при сочетании внешних и внутренних обстоятельств (определенные наборы угроз и уязвимостей безопасности) может случиться сбой в системе безопасности. Так же, как человек может умереть от болезни, организация может погибнуть из-за утечки или кражи критически важной информации.
Здесь хочется привести яркие примеры, показывающие, насколько близко связаны кибербезопасность с физической безопасностью. За последние пять лет было несколько случаев хакерских атак на больницы в США и Великобритании. Преступники хотели отключить свидетелей преступлений от аппаратов жизнеобеспечения, подключенных к компьютерным сетям. Некоторые из этих атак получились, и преступники избавились от нежелательных свидетелей, которые усиленно охранялись физически, но недостаточно – в виртуальном мире.
В 2017 году хакеры напали на нефтеперерабатывающее предприятие в Саудовской Аравии. Злоумышленники смогли модифицировать работу промышленного оборудования, вызвали утечку и возгорание нефтепродуктов. В результате погибли люди.
Отсутствие прививок (вакцин)
Разработчики ПО, системные администраторы и специалисты по информационной безопасности обычно имеют опыт работы с техническими уязвимостями, но этот опыт может не охватывать многие специфические уязвимости и угрозы.
Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности. Но просто убрать эти уязвимости не всегда помогает, а часто еще и приносит еще больше проблем.
Например, одна из компаний, разрабатывающая медицинское программное обеспечение, заказала у нас тестирование на проникновение для своей системы. Мы нашли ряд критических уязвимостей и написали отчет о них. Разработчики их исправили и направили систему на повторное тестирование. Оказалось, что при исправлении старых уязвимостей разработчики добавили много новых.
Несбалансированное питание
«Пищеварение» любой организации – это ее бизнес-процессы и технологические процессы. Поэтому здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и так далее.
С другой стороны, лишняя бюрократизация, документирование, санкционирование вредны для бизнеса, потому что тормозят его. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это плохая организация процессов. Почти любой компании очень сложно получить внутреннюю мотивацию выполнять сбалансированное управление бизнес-процессами. Абсолютно аналогично человеку часто сложно придерживаться правильного питания.
Здесь вступают в силу внешние стимулы. В случае с человеком – рекомендации врачей, тренеров и близких. В случае с организациями – требования регуляторов и законы. Примеров достаточно много.
Сегодня многие компании сокращают расходы на IT и передают разработку на аутсорс. Вместе с таким делегированием возрастают риски информационной безопасности, поэтому заказчики разработали набор требований VDA ISA и механизм сертификации ENX TISAX. Компании, которые соответствуют этим требованиям, получают огромные заказы.
Компания в хорошей форме настолько же привлекательна на рынке услуг, насколько и человек в хорошей форме пользуется успехом противоположного пола.
Ослабление организма из-за тяжелых условий работы
Персонал настолько загружен повседневной рутиной, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.
Помните фильм «Как украсть миллион» с Одри Хепберн? Герои фильма, для того, чтобы украсть из музея свою семейную реликвию, воспользовались простейшим бумерангом, который утомил охранников музея срабатыванием сигнализации. Охранники решили, что это опять бумеранг и просто выключили сигнализацию, не стали ничего проверять. Примерно такие же приемы используют хакеры для проникновения в системы организаций. Отвлекающий маневр выполняется совсем не там, где планируется реальная атака.
Однако специалисты по безопасности тоже не так просты. Они пользуются точно такими же стратегиями и создают ханипоты и ханинеты (honeypots and honeynets) – искусственные ловушки. Существует целый класс программного обеспечения класса Deception – обманки.
Хроническая и острая патология
Инциденты безопасности, как и болезни, могут протекать долго и скрытно либо быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом увеличиваться со временем, подрывая общее здоровье системы или организации.
Здесь было бы уместно привести пример классической атаки «ломтик салями». Успешно проникнув в финансовую систему, злоумышленник может один раз украсть много, а может настроить автоматическое регулярное списание небольшой малозаметной суммы. За месяцы и годы работы такой закладки ущерб владельца счета и доход хакера может накапать до весьма больших размеров. Примерно так же хронические заболевания организма долго и незаметно подрывают общее здоровье человека.
Кибергигиена и диагностика
Для профилактики киберзаражений и кибертравм очень важно соблюдать кибергигиену: пользоваться легальным программным обеспечением, скачивать его из надежных источников, не переходить по ненадежным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. На помощь приходят системы безопасности.
Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и так далее – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Особенно когда речь идет о безопасности разработки программного обеспечения.
Пользуясь аналогией, существуют еще «производители оборудования МРТ, УЗИ и рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании, как Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode и другие.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: