logo
12 Mar 2021

Бизнес тоже страдает от болезней и плохой наследственности: вот почему важно воремя позаботиться о кибербезопасности

Андрей Булдыжов BLOG

IТ-директор H-X Technologies

Киберздоровье и информационная безопасность систем и организаций аналогичны человеческому здоровью и медицине. У информационных систем (приложений, веб-сайтов, сетей и организаций в целом) я выделяю такие же факторы болезней, как у человеческого организма.

Плохая наследственность

Программное обеспечение или конфигурации часто используют ненадежные и устаревшие компоненты. Это пример технической уязвимости безопасности. Под уязвимостью понимается внутренний недостаток программного продукта, информационной системы или всей организации.

Самые разные уязвимости периодически обнаруживаются везде – от iOS, Android и Chrome до программного обеспечения роутеров, электромобилей и даже промышленного оборудования.

Во многих случаях, особенно когда активировано автоматическое обновление систем, уязвимости быстро устраняются. Но иногда по разным причинам злоумышленникам удается использовать их. Одними из наиболее серьезных уязвимостей в последнее время стали уязвимости Meltdown и Spectre, обнаруженные почти во всех современных микропроцессорах: от телевизоров и смартфонов до серверов и рабочих станций. При этом после выпуска исправлений этих уязвимостей проблемы не закончились, исправления снизили производительность компьютеров и других устройств. Представьте урон современной экономики, вынужденной мириться с замедлением всех цифровых устройств в мире на величину от 5% до 50%!

Мы встречали компании, для которых такое снижение производительности их серверов оказалось настолько критичным, что угрожало выживанию этих компаний из-за замедления технологических операций. И эти компании отказывались от исправления уязвимостей, искали альтернативные обходные пути, чтобы не оказаться взломанными хакерами.

Несоблюдение гигиены, беспорядочные половые связи

Несоблюдение кибергигиены – беспорядочное использование ненадежных веб-сайтов, программных продуктов, компонентов, технологий может привести к инфицированию или созданию «дыры» в безопасности.

Часто бывает, что бухгалтер предприятия использует рабочий компьютер для личных целей, переходит на зараженный веб-сайт, и вредоносное ПО через открытое окно клиент-банка переводит деньги со счета предприятия на счет злоумышленника. Вернуть обратно эти деньги практически невозможно, операции совершаются с использованием цифровой подписи предприятия.

Такое же случается со счетами не только предприятий, но и физических лиц.

Инфицирование и проникновение

Внутри организма постоянно существуют тысячи различных микробов, бактерий и вирусов, которые не вредят человеку. Но при сочетании нескольких внешних (среда) и внутренних (иммунитет) условий инфекция начинает развиваться.

Аналогично при сочетании внешних и внутренних обстоятельств (определенные наборы угроз и уязвимостей безопасности) может случиться сбой в системе безопасности. Так же, как человек может умереть от болезни, организация может погибнуть из-за утечки или кражи критически важной информации.

Здесь хочется привести яркие примеры, показывающие, насколько близко связаны кибербезопасность с физической безопасностью. За последние пять лет было несколько случаев хакерских атак на больницы в США и Великобритании. Преступники хотели отключить свидетелей преступлений от аппаратов жизнеобеспечения, подключенных к компьютерным сетям. Некоторые из этих атак получились, и преступники избавились от нежелательных свидетелей, которые усиленно охранялись физически, но недостаточно – в виртуальном мире.

В 2017 году хакеры напали на нефтеперерабатывающее предприятие в Саудовской Аравии. Злоумышленники смогли модифицировать работу промышленного оборудования, вызвали утечку и возгорание нефтепродуктов. В результате погибли люди.

Отсутствие прививок (вакцин)

Разработчики ПО, системные администраторы и специалисты по информационной безопасности обычно имеют опыт работы с техническими уязвимостями, но этот опыт может не охватывать многие специфические уязвимости и угрозы.

Отсутствие правильной профилактики этих специфических негативных факторов является предпосылкой «заболевания» – инцидента безопасности. Но просто убрать эти уязвимости не всегда помогает, а часто еще и приносит еще больше проблем.

Например, одна из компаний, разрабатывающая медицинское программное обеспечение, заказала у нас тестирование на проникновение для своей системы. Мы нашли ряд критических уязвимостей и написали отчет о них. Разработчики их исправили и направили систему на повторное тестирование. Оказалось, что при исправлении старых уязвимостей разработчики добавили много новых.

Несбалансированное питание

«Пищеварение» любой организации – это ее бизнес-процессы и технологические процессы. Поэтому здесь в качестве аналогии можно представить недостаточную организационную безопасность: беспорядок с документацией, ответственностью, инвентаризацией, управлением изменениями и так далее.

С другой стороны, лишняя бюрократизация, документирование, санкционирование вредны для бизнеса, потому что тормозят его. Поэтому здесь так же важен оптимальный баланс, как и при питании. «Вредное питание» – это плохая организация процессов. Почти любой компании очень сложно получить внутреннюю мотивацию выполнять сбалансированное управление бизнес-процессами. Абсолютно аналогично человеку часто сложно придерживаться правильного питания.

Здесь вступают в силу внешние стимулы. В случае с человеком – рекомендации врачей, тренеров и близких. В случае с организациями – требования регуляторов и законы. Примеров достаточно много.

Сегодня многие компании сокращают расходы на IT и передают разработку на аутсорс. Вместе с таким делегированием возрастают риски информационной безопасности, поэтому заказчики разработали набор требований VDA ISA и механизм сертификации ENX TISAX. Компании, которые соответствуют этим требованиям, получают огромные заказы.

Компания в хорошей форме настолько же привлекательна на рынке услуг, насколько и человек в хорошей форме пользуется успехом противоположного пола.

Ослабление организма из-за тяжелых условий работы

Персонал настолько загружен повседневной рутиной, что жертвует активностью, направленной на безопасность. Эта активность, как и здоровый образ жизни, обычно не приносит быстрого осязаемого результата, поэтому часто недооценивается.

Помните фильм «Как украсть миллион» с Одри Хепберн? Герои фильма, для того, чтобы украсть из музея свою семейную реликвию, воспользовались простейшим бумерангом, который утомил охранников музея срабатыванием сигнализации. Охранники решили, что это опять бумеранг и просто выключили сигнализацию, не стали ничего проверять. Примерно такие же приемы используют хакеры для проникновения в системы организаций. Отвлекающий маневр выполняется совсем не там, где планируется реальная атака.

Однако специалисты по безопасности тоже не так просты. Они пользуются точно такими же стратегиями и создают ханипоты и ханинеты (honeypots and honeynets) – искусственные ловушки. Существует целый класс программного обеспечения класса Deception – обманки.

Хроническая и острая патология

Инциденты безопасности, как и болезни, могут протекать долго и скрытно либо быстро и болезненно. Ущерб от инцидентов может быть незаметен, но при этом увеличиваться со временем, подрывая общее здоровье системы или организации.

Здесь было бы уместно привести пример классической атаки «ломтик салями». Успешно проникнув в финансовую систему, злоумышленник может один раз украсть много, а может настроить автоматическое регулярное списание небольшой малозаметной суммы. За месяцы и годы работы такой закладки ущерб владельца счета и доход хакера может накапать до весьма больших размеров. Примерно так же хронические заболевания организма долго и незаметно подрывают общее здоровье человека.

Кибергигиена и диагностика

Для профилактики киберзаражений и кибертравм очень важно соблюдать кибергигиену: пользоваться легальным программным обеспечением, скачивать его из надежных источников, не переходить по ненадежным ссылкам, создавать длинные сложные пароли и так далее. Чем больше этих правил, тем тяжелее их выполнять, и они снижают удобство работы. На помощь приходят системы безопасности.

Современные именитые антивирусы Norton Symantec, McAfee, Kaspersky и так далее – это как бы набор витаминов, антибиотиков, шприцов, тонометров и ватно-марлевых повязок. Набор довольно широкий, но не универсальный. Особенно когда речь идет о безопасности разработки программного обеспечения.

Пользуясь аналогией, существуют еще «производители оборудования МРТ, УЗИ и рентгеновских аппаратов». Это сегмент специализированной глубокой диагностики. В этом сегменте работаем мы и такие компании, как Qualys, Acunetix, Tenable, Rapid7, IBM, Veracode и другие.

Этот материал – не редакционный, это – личное мнение его автора. Редакция может не разделять это мнение.


Чем заняться на карантине: рекомендации от редакции MC.today

Друзья, время карантина лучше всего использовать для самообразования, чтобы, когда темные дни пройдут и шторм закончится, вы могли с новыми силами и знаниями дать толчок своему бизнесу и карьере.

Мы рекомендуем эти онлайн-курсы и семинары, потому что знакомы с организаторами, учились и уверены в качестве и полезности курсов.

Курсы мечты: вас бесплатно обучат программированию или веб-дизайну, а потом помогут устроиться на работу. Рома Апостол руководил командой разработчиков в нью-йоркском офисе Google, а потом вернулся в Украину и создал Mate Academy. Здесь бесплатно учат фронтенду, Java, веб-дизайну, разработке и QA (тестированию). За курсы вы заплатите, когда устроитесь на работу по новой профессии, в трудоустройстве тоже помогает академия.

Регистрация на курс UI/UX Design здесь, на курс QA тут. На курс Java можно зарегистрироваться по ссылке, на курс Full Stack регистрация тут, а обучиться Frontend можно тут.

В данной статье используются реферальные ссылки на онлайн-образовательные курсы наших партнеров. Создатели курсов не влияли на содержание данной статьи, она готовилась по редакционным стандартам. Если вы решите купить курс, который упоминается в статье, нам заплатят небольшое вознаграждение – так вы получите крутые знания и поддержите нашу редакцию, а мы сможем делать еще больше интересных материалов для вас. В партнерскую программу мы принимаем только те курсы, в качестве которых уверены.

Вакансии компаний

РАЗМЕСТИТЬ ВАКАНСИЮ
ЗА 1600 ГРН

Account Manager

SocialTech, Киев

ЕЩЕ 18 ВАКАНСИЙ

Вдохновляющие компании

S-PRO

Наша компания – о людях и экспертизе. У нас работают крутые IT-специалисты – они делают технологические продукты, которые развивают бизнес.

История IT-компании S-Pro. Стартовали в 2014-м, делаем финтех-решения, сегодня нас 170 человек
GIGAGROUP

«Мы передаем, храним и защищаем данные клиентов – и делаем это лучше всех»

2 вакансии

Вакансии компаний

РАЗМЕСТИТЬ ВАКАНСИЮ
ЗА 1600 ГРН

Account Manager

SocialTech, Киев

ЕЩЕ 18 ВАКАНСИЙ

Спецпроект

Вдохновляющие компании-работодатели

Alfa
ABM Cloud
«БИОСФЕРА»

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: