Сьогодні багато компаній, зіткнувшись з економічними труднощами, скорочують свої витрати, в тому числі і на інформаційну безпеку. Тим не менше обостряющаяся конкурентна боротьба і низька лояльність співробітників ведуть до збільшення ризиків інформаційної безпеки.
небезпечно конфігурація бездротової мережі
Більшість російських компаній зараз тільки формує процеси управління інформаційної безпекою і на цьому етапі має типові проблеми, що випливають з неефективності існуючих процесів. Які проблеми є найбільш актуальними? Використання будь технологій вимагає підвищеної уваги до питань інформаційної безпеки? Які заходи щодо захисту даних повинні бути прийняті в першу чергу?
Сучасний склад не може обійтися без такої зручної технології, як бездротова мережа. Складські рішення з її застосуванням дозволяють поліпшити продуктивність працівників складу, максимально автоматизувати облік і зменшити число помилок ручного введення. Однак помилки, здійснені при розгортанні та налаштування мережі, можуть дозволити безперешкодно проникати в неї зовнішнім зловмисникам. Найбільш серйозною помилкою є використання уразливого протоколу безпеки.
Для захисту бездротової мережі використовуються спеціальні протоколи, які повинні забезпечувати доступ до мережі тільки тим, кому він дійсно необхідний, а також забезпечувати передачу даних тільки в зашифрованому вигляді. Одним з перших протоколів безпеки бездротової мережі був протокол WEP, який широко використовується зараз як у всьому світі, так і в Росії. Ще в 2001 році в протоколі були виявлені серйозні недоліки, що дозволяють зловмисникам легко отримати пароль для доступу до мережі. Причиною широкого використання цього небезпечного протоколу є те, що він підтримується практично всіма бездротовими пристроями і легко налаштовується.
Приклад. Для отримання доступу до мережі, захищеної протоколом WEP, зловмисникові достатньо лише набрати кілька команд. Незахищена бездротова мережа дозволить зловмисникам непомітно здійснювати проникнення в корпоративну мережа компанії, розмістившись в припаркованому поруч зі складом автомобілі. Опинившись в корпоративній мережі, зловмисники зможуть атакувати сервери критичних інформаційних систем. Отримавши доступ до корпоративних систем, хакери мають можливість зробити все, що завгодно: вкрасти фінансову інформацію, дані клієнтів, внести зміни в дані про товарні залишки, терміни придатності товару, впровадити комп'ютерний вірус. Так, американська мережа оптових супермаркетів BJ Warehouse Club піддалася ряду атак хакерів, що проникали в її мережу, використовуючи уразливості в бездротовій мережі. Результатом злому стало здійснення шахрайських покупок за допомогою даних кредитних карт покупців BJ Warehouse Club на суму понад млн.
Налаштування за замовчуванням
Самою Найпоширенішою серйозною уразливістю є використання паролів, встановлених за замовчуванням. Ця дуже часто зустрічається явище, обумовлене тим, що установники програмного і апаратного забезпечення в великій мірі стурбовані тим, щоб змусити працювати систему так, як належить, і дуже часто при цьому ігнорують інформаційну безпеку. Вони просто забувають змінити паролі для системних облікових записів, що володіють найбільш повними привілеями в системі, залишаючи їх такими, як вони були задані виробником.
Важливо мати можливість проводити розслідування. Захиститися від атак зловмисників на 100% ніколи не вийде, тому необхідно завжди пам'ятати про можливості виникнення інциденту інформаційної безпеки, який потрібно буде розслідувати. Іноді IТ-спеціалісти повністю відключають реєстрацію дій користувачів, так як вона створює додаткове навантаження на систему і вимагає уваги. У подібному випадку компанія може навіть не дізнатися про те, що її мережу була зламана, і конкуренти отримують дані про її діяльність більш оперативно, ніж керівництво самої компанії.
Як управляти інформаційною безпекою
Існування недоліків у системі забезпечення інформаційної безпеки пов'язано в першу чергу з відсутністю процесів управління в ній. Як створити ефективну систему управління?
перше, необхідно заручитися підтримкою керівництва компанії, яке повинне усвідомити можливі наслідки ігнорування питань інформаційної безпеки складу і виділити необхідні ресурси. Наслідками можуть бути фінансові втрати, шкоди іміджу компанії, проблеми з регулюючими органами. Уявіть собі, що буде влаштована атака «³дмова в обслуговуванніВ» на бездротову мережу компанії, систему управління складом, внаслідок чого склад не зможе функціонувати на колишньому рівні? Який збиток, припустимо, від шахрайських операцій, здійснюваних за допомогою складських систем? Чи є у керівництва компанії бажання нести цивільну, кримінальну, адміністративну, дисциплінарну відповідальність за порушення Федерального закону В«Про персональні даніВ»?
друге, необхідно провести класифікацію інформації і зрозуміти, які дані є найбільш критичними та в яких системах вони обробляються. Для кожного виду інформації визначається її критичність - як мінімум за ступенем конфіденційності. Зазвичай компанії використовують такі категорії, як В«Загальнодоступна інформаціяВ», В«Персональні даніВ», В«Комерційна таємницяВ». Керівник складу як власник бізнес-процесів повинен взяти активну участь у процесі класифікації інформації, з якою працюють його підлеглі. Розуміння того, яка інформація і які системи потребують більш серь-езной захисті, дозволять компанії сконцентруватися на найважливішому.
третє, необхідно виявити існуючі в компанії проблеми інформаційної безпеки, для чого необхідне проведення комплексного аудиту. У чому він полягає? Як відомо, у забезпеченні інформаційної безпеки задіяні процеси, технології і люди. Тому в ході аудиту перевіряються всі три складові.
При проведенні аудиту процесів аналізуються існуючі документи по інформаційної безпеки та те, як реально функ-ціоніруют процеси управління інформаційною безпекою в організації. В якості критеріїв аудиту часто використовуються положення міжна-ного стандарту ISO 27001:2005. В ході технічного аудиту виявляються уразливості бездротової мережі, використовуваного компанією програмного і апаратного забезпечення, що дозволяють зловмисникам отримувати несанкціонований доступ до даних. Дуже ефективним є тестування на можливість несанкціонованого проникнення, в ході якого здійснюється імітація дій реальних зловмисників.
В ході комплексного аудиту також перевіряється, наскільки співробітники стійкі до атак зловмисників, що використовують методи соціальної інженерії. Аудитори зв'язуються із співробітниками компанії по електронній пошті, телефону, через соціальні мережі (Сайти В«Однакласснікі.руВ», В«Вконтакте.руВ» та ін) і намагаються обманним способом отримати важливу інформацію (наприклад, паролі для доступу до інформаційних системам). Результатом аудиту є складання переліку існуючих проблем із зазначенням рівня ризику, пов'язаного з кожною з них. Об'єктивно оцінити рівні ризиків можна якраз завдяки проведеній класифікації інформації та розумінню, в якій системі яка інформація обробляється.
Як забезпечити безпеку під час кризи
Інформаційна безпека є витратною статтею бюджету, а зараз на витратах прийнято заощаджувати. У той же час бізнес не хоче втрачати гроші через проблеми з інформаційною безпекою. Які існують можливості розв'язання цих проблем під час кризи?
Процеси управління інформаційною безпекою. Далеко не завжди проблема інформаційної безпеки вирішується покупкою чергового дорогого засобу захисту інформації. Так, основну масу завдань можна вирішити за допомогою впровадження необхідних процесів управління інформаційною безпекою. Найбільше увагу слід приділити процесам інформаційної безпеки, пов'язаних з управлінням логічним доступом до інформаційних систем (процедури надання доступу до інформаці...
