«Девятый вал» киберпреступности

Каждый день мы узнаем о новых инцидентах в сфере информационной безопасности, ущерб от которых исчисляется миллиардами. Кажется, что общество и бизнес захлестнул «девятый вал» киберпреступности, которая четко координируется теневыми сообществами, конкурентами и государствами.

Ситуация на первый взгляд выглядит парадоксальной, так как крупные организации и корпорации вкладывали огромные средства в защиту периметра своих сетей и центров обработки данных, внедряли системы мониторинга. Так в чем же проблема, почему инвестиции оказались неэффективными?

Дмитрий Романченко, руководитель центра технологий безопасности компании IBS. Фото: Пресс-служба IBS

Во-первых, доступ сотрудников компаний и населения к информационным ресурсам, в том числе с использованием широкополосного интернета, стал ничтожно дешевым и повсеместным. Во-вторых, атакующие не используют техники преодоления высокого периметриального «забора», а применяют для атак (как снаружи, так и изнутри) легитимные каналы взаимодействия, встраивая деструктивный контент в повседневные коммуникации. Защита периметра не способна блокировать точечные атаки, так как требуется оперативная эффективная деятельность на уровне отдельных учетных записей, пользователей и информационных ресурсов. В-третьих, повсеместная практика манипулирования потребителями товаров и услуг плавно перекочевала в мир электронной коммуникации.

Отработанные ранее техники защиты IT-инфраструктуры и информационных систем практически не работают в таких условиях, где любой человек внутри защищенного периметра вольно или невольно может стать источником или посредником в организации атаки.

Противодействие этим вызовам лежит не только в плоскости технологии. Ключевую роль играет «культура IT-гигиены». Это как с питанием в приличном обществе — веками складывались определенный этикет, правила приготовления и стандарты качества. В сфере IT стоит столь же масштабная задача включения в корпоративную культуру правил обращения с информацией, системами, социальными сетями и мессенджерами, правил элементарной осмотрительности при получении информации из недостоверных или случайных источников и многого другого.

К сожалению, количество компаний и организаций, которые системно занимаются культурой использования информационной безопасности (ИБ), крайне невелико.

Технологической стороной решения проблем в сфере ИБ является создание и постоянное развитие в компаниях и госструктурах комплексных систем управления доступом к информационным ресурсам. Сегодня такая система должна включать в себя как минимум шесть компонентов. Это электронные удостоверения сотрудников и посетителей в форм-факторе смарт-карты для визуальной идентификации, идентификации в СКУД (система контроля и управления доступом) и в информационных системах, включая систему эмиссии и жизненного цикла удостоверений. Это создание удостоверяющего центра электронной подписи с жизненным циклом ее сертификатов. Это также создание системы обеспечения однократного входа пользователей в IT-инфраструктуру и приложения и маскирования паролей (SSO), а также системы управления жизненным циклом учетных записей пользователей, автоматизации управления правами доступа к информационным ресурсам (IDM). Еще две необходимые системы: система поведенческого анализа пользователей при работе с информационными ресурсами и система мониторинга событий безопасности.

На российском рынке имеется пул в том числе и отечественных продуктов, которые позволяют эффективно строить такие системы, однако сложность их «вживления» в IT-ландшафт современной крупной организации часто пугает CIO (IT-директоров). Более того, на рынке накоплен определенный негативный опыт попыток «кусочного» решения этой задачи.

Однако «серебряных пуль» не существует. В современном мире выживут лишь организации, сумевшие провести тотальную перестройку процессов управления доступом к информационным ресурсам. Альтернативы созданию комплексной и постоянно развивающейся системы информационной безопасности нет.

Но полноценно защищать данный инструмент сможет только в союзе с корпоративной культурой, включающей осознанное и добровольное «IT-гигиеничное» отношение сотрудников к работе в конвергентном информационном пространстве.