Newsroom24 12 февраля 2018

В Нижнем Новгороде развенчали популярные мифы информационной безопасности

Фото: Newsroom24
О наиболее популярных заблуждениях в сфере информационной безопасности на международном IТ-Форуме Bit-2018, прошедшем в Нижнем Новгороде 8 февраля, рассказал руководитель по информационной безопасности, ThyssenKrupp Industrial Solutions СНГ Илья Борисов.
Миф 1. В сфере информационной безопасности в России очень много регулирования, что осложняет жизнь всем, особенно бизнесу.
Если взять только тему персональных данных, то можно сразу найти 15-20 нормативно-правовых актов, которые регулируют эту сферу. Каждый из них достаточно объемный, у каждого свои требования, у каждого свой регулятор, который проверяет исполнение этих требований. Однако если мы посмотрим на мировую статистику, то увидим, что лидерами по количеству нормативно-правовых актов являются Северная Америка и Европа, немного отстает Австралия. Россия по количеству регулирующих актов находится в середине этого списка. Это говорит о том, что их количество будет расти. И мы это уже наблюдаем, например, многие уже ощутили на себе действие закона «О безопасности критической информационной инфраструктуры», принятый в середине 2017 года.
Что с этим делать? Использовать комбинацию из нескольких нормативных требований. Выбрать один из базовых международных стандартов, например ISO-2701, а потом — совместимые с ним требования из российской практики.
Миф 2. Оперативная установка обновлений помогает от большинства угроз.
Миф стал популярен в последние два года в связи с атаками различных вирусов. После этого все стали усиленно использовать патчи для защиты от различных шифровальщиков. Патчи стали выпускаться каждую неделю, и многие пользователи столкнулись с проблемами. Например, не все патчи работают на системах нового поколения, в некоторых случаях они вызывают перезагрузки, возникают проблемы при работе с приложениями, многие патчи также часто отзываются, как и выпускаются, поэтому приходится вместо новых возвращать предыдущие — и этот процесс продолжается до сих пор. Т.е. те, кто начал «патчится» вовремя, оказался в сложной ситуации, столкнувшись с многими проблемами.
Что делать? На самом деле, патчи нужны, но:
— они должны тестироваться до их применения, желательно, на какой-нибудь тестовой среде, «которую не жалко».
— читать форумы, где люди делятся своим опытом использования конкретных обновлений патчей. Есть разумное требование: устанавливать обновления патчей не раньше, чем через месяц после их выхода.
— до того, как установить патч, нужно посмотреть, актуальна ли для вас эта угроза. Многие атаки невозможны, если обеспечивается физическая безопасность системы, многие не актаульны для систем, не подключенных к интернету. Т.е. нужно понимать вектор атаки и сценарий, а также использовать контрмеры, не связанные с установкой патчей, например, ограничение доступа, аккаунтов и т.д. В большинстве случаев есть возможность этими способами либо минимизировать, либо полностью исключить опасность.
— часть атак можно исключить, если ставить патчи на браузеры, а не на операционную систему и не на прошивку.
Миф 3. Информационная безопасность — это дорого, долго и сложно.
Большинство исследований говорит о том, что компании недостаточно занимаются своей информационной безопасностью по причине того, что с одной стороны, это дорого, с другой — руководителям кажется, что систему «все равно взломают», поскольку сейчас «взламывают всех».
Здесь работают два фактора. Во-первых, увеличение количества атакующих хакеров, у которых есть преимущество в том, что атаки становятся все дешевле: достаточно скачать готовый пакет с набором инструментов, посмотреть на ютубе пару роликов, подготовленных индийскими друзьями — и ты хакер. Во-вторых, поле деятельности для хакеров растет, потому что бизнес переходит в digital и все больше становится уязвимым для информационных атак: у каждой компании есть свой сайт, онлайн-сервисы, интернет-магазины, личные кабинеты и т.д. Если 10 лет назад ломать было нечего, то сейчас можно перехватывать транзакции — появился целый рынок подобных «услуг», где можно купить dos-атаки, взлом ящиков и т.д. — сейчас это уже индустрия.
С другой стороны, компании сталкиваются с тем, что на них давят регуляторы, которые предписывают свои «стандарты безопасности»: «не надо делать дешево, надо делать, как мы говорим».
Проблемой по-прежнему остается цена программных продуктов. Несмотря на то, что у нас заявлено импортозамещение, отечественные продукты пока занимают не достаточную часть рынка, а иностранные не всегда доступны из-за курсовой разницы.
Кроме того, специалиста по безопасности на кадровом рынке найти сейчас достаточно сложно.
Что делать?
1. Гигиена информационной безопасности: общие правила для всех сотрудников, такие как не записывать пароли на листочке, ставить антивирус, отключать компьютер от интернета, если он не нужен и т.д.
2. Использовать только те сервисы, которые нужны
3. Анализировать риски: выявлять наиболее важные направления возможных атак
4. Сервисные услуги: если нельзя найти специалиста (или это дорого), то можно купить услугу (безопасность как сервис)
5. Найти стандарт и сделать по нему.
Комментарии
Читайте также
Омские приставы проверили пассажиров на железнодорожном вокзале
Скворцова отметила, что число паллиативных коек выросло в РФ почти в 10 раз за пять лет
В Сайгоне ограбили российского дипломата
Обзор московских событий в СМИ за 25 мая