logo
12 Mar 2021

Бизнес тоже страдает от болезней и плохой наследственности: вот почему важно воремя позаботиться о кибербезопасности

Андрей Булдыжов BLOG

H-X Technologies, ИТ-директор

Киберздоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. У информационных систем (приложений, веб-сайтов, сетей и организаций в целом) я выделяю такие же факторы болезней, как у человеческого организма.

Плохая наследственность

Программное обеспечение или конфигурации часто используют ненадежные и устаревшие компоненты. Это пример технической уязвимости безопасности. Под уязвимостью понимается внутренний недостаток программного продукта, информационной системы или всей организации.

Самые разные уязвимости периодически обнаруживаются везде – от iOS, Android и Chrome до программного обеспечения роутеров, электромобилей и даже промышленного оборудования.

Во многих случаях, особенно когда активировано автоматическое обновление систем, уязвимости быстро устраняются. Но иногда по разным причинам злоумышленникам удается использовать их. Одними из наиболее серьезных уязвимостей в последнее время стали уязвимости Meltdown и Spectre, обнаруженные почти во всех современных микропроцессорах: от телевизоров и смартфонов до серверов и рабочих станций. При этом после выпуска исправлений этих уязвимостей проблемы не закончились, исправления снизили производительность компьютеров и других устройств. Представьте урон современной экономики, вынужденной мириться с замедлением всех цифровых устройств в мире на величину от 5% до 50%!

Мы встречали компании, для которых такое снижение производительности их серверов оказалось настолько критичным, что угрожало выживанию этих компаний из-за замедления технологических операций. И эти компании отказывались от исправления уязвимостей, искали альтернативные обходные пути, чтобы не оказаться взломанными хакерами.

Несоблюдение гигиены, беспорядочные половые связи

Несоблюдение кибергигиены – беспорядочное использование ненадежных веб-сайтов, программных продуктов, компонентов, технологий может привести к инфицированию или созданию «дыры» в безопасности.

Часто бывает, что бухгалтер предприятия использует рабочий компьютер для личных целей, переходит на зараженный веб-сайт, и вредоносное ПО через открытое окно клиент-банка переводит деньги со счета предприятия на счет злоумышленника. Вернуть обратно эти деньги практически невозможно, операции совершаются с использованием цифровой подписи предприятия.

Такое же случается со счетами не только предприятий, но и физических лиц.

Инфицирование и проникновение

Внутри организма постоянно существуют тысячи различных микробов, бактерий и вирусов, которые не вредят человеку. Но при сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться.

Аналогично при сочетании внешних и внутренних обстоятельств (определенные наборы угроз и уязвимостей безопасности) может случиться сбой в системе безопасности. Так же, как человек может умереть от болезни, организация может погибнуть из-за утечки или кражи критически важной информации.

Здесь хочется привести яркие примеры, показывающие, насколько близко связаны кибербезопасность с физической безопасностью. За последние пять лет было несколько случаев хакерских атак на больницы в США и Великобритании. Преступники хотели отключить свидетелей преступлений от аппаратов жизнеобеспечения, подключенных к компьютерным сетям. Некоторые из этих атак получились, и преступники избавились от нежелательных свидетелей, которые усиленно охранялись физически, но недостаточно – в виртуальном мире.

В 2017 году хакеры напали на нефтеперерабатывающее предприятие в Саудовской Аравии. Злоумышленники смогли модифицировать работу промышленного оборудования, вызвали утечку и возгорание нефтепродуктов. В результате погибли люди.

Отсутствие прививок (вакцин)

Разработчики ПО, системные администраторы и специалисты по информационной безопасности обычно имеют опыт работы с техническими уязвимостями, но этот опыт может не охватывать многие специфические уязвимости и угрозы.

Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности. Но просто убрать эти уязвимости не всегда помогает, а часто еще и приносит еще больше проблем.

Например, одна из компаний, разрабатывающая медицинское программное обеспечение, заказала у нас тестирование на проникновение для своей системы. Мы нашли ряд критических уязвимостей и написали отчет о них. Разработчики их исправили и направили систему на повторное тестирование. Оказалось, что при исправлении старых уязвимостей разработчики добавили много новых.

Несбалансированное питание

«Пищеварение» любой организации – это ее бизнес-процессы и технологические процессы. Поэтому здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и так далее.

С другой стороны, лишняя бюрократизация, документирование, санкционирование вредны для бизнеса, потому что тормозят его. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это плохая организация процессов. Почти любой компании очень сложно получить внутреннюю мотивацию выполнять сбалансированное управление бизнес-процессами. Абсолютно аналогично человеку часто сложно придерживаться правильного питания.

Здесь вступают в силу внешние стимулы. В случае с человеком – рекомендации врачей, тренеров и близких. В случае с организациями – требования регуляторов и законы. Примеров достаточно много.

Сегодня многие компании сокращают расходы на IT и передают разработку на аутсорс. Вместе с таким делегированием возрастают риски информационной безопасности, поэтому заказчики разработали набор требований VDA ISA и механизм сертификации ENX TISAX. Компании, которые соответствуют этим требованиям, получают огромные заказы.

Компания в хорошей форме настолько же привлекательна на рынке услуг, насколько и человек в хорошей форме пользуется успехом противоположного пола.

Ослабление организма из-за тяжелых условий работы

Персонал настолько загружен повседневной рутиной, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.

Помните фильм «Как украсть миллион» с Одри Хепберн? Герои фильма, для того, чтобы украсть из музея свою семейную реликвию, воспользовались простейшим бумерангом, который утомил охранников музея срабатыванием сигнализации. Охранники решили, что это опять бумеранг и просто выключили сигнализацию, не стали ничего проверять. Примерно такие же приемы используют хакеры для проникновения в системы организаций. Отвлекающий маневр выполняется совсем не там, где планируется реальная атака.

Однако специалисты по безопасности тоже не так просты. Они пользуются точно такими же стратегиями и создают ханипоты и ханинеты (honeypots and honeynets) – искусственные ловушки. Существует целый класс программного обеспечения класса Deception – обманки.

Хроническая и острая патология

Инциденты безопасности, как и болезни, могут протекать долго и скрытно либо быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом увеличиваться со временем, подрывая общее здоровье системы или организации.

Здесь было бы уместно привести пример классической атаки «ломтик салями». Успешно проникнув в финансовую систему, злоумышленник может один раз украсть много, а может настроить автоматическое регулярное списание небольшой малозаметной суммы. За месяцы и годы работы такой закладки ущерб владельца счета и доход хакера может накапать до весьма больших размеров. Примерно так же хронические заболевания организма долго и незаметно подрывают общее здоровье человека.

Кибергигиена и диагностика

Для профилактики киберзаражений и кибертравм очень важно соблюдать кибергигиену: пользоваться легальным программным обеспечением, скачивать его из надежных источников, не переходить по ненадежным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. На помощь приходят системы безопасности.

Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и так далее – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Особенно когда речь идет о безопасности разработки программного обеспечения.

Пользуясь аналогией, существуют еще «производители оборудования МРТ, УЗИ и рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании, как Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode и другие.

Этот материал – не редакционныйЭто – личное мнение его автора. Редакция может не разделять это мнение.

По теме:

Вакансии

Разместить вакансиюЕще 14 вакансий

Вакансии компаний

РАЗМЕСТИТЬ ВАКАНСИЮ
ЗА 1600 ГРН

MES software engineer

OLSOM, Киев
$1000-2000

Team Lead (full stack)

OLSOM, Киев
$5000-6000

Middle SEO Specialist в Promodo

Promodo, Харьков
Вилка ЗП от 800$

Rising CMO/Head of Marketing

Jiffsy, Киев
$2000–4000

ЕЩЕ 11 ВАКАНСИЙ

Спецпроект

Вдохновляющие компании-работодатели

Alfa
«БИОСФЕРА»

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: