В сфере информационной безопасности традиционно много регламентов, положений и документов. Из-за этого некоторые компании вместо реального обеспечения ИБ фокусируются на соблюдении формальных требований регуляторов. При этом главным риском от действий киберпреступников 61% компаний считают отзыв лицензии, а 37% — отзыв сертификата PCI DSS. Такое отношение повлияло на рост количества инцидентов и размера ущерба от действий злоумышленников. Поэтому среди компаний наметилась тенденция перехода от выполнения требований регуляторов на бумаге к практическим мерам для защиты данных.
Расцвет «бумажной» безопасности
До недавнего времени российские компании недооценивали риски киберугроз. Меры по обеспечению ИБ часто сводились к стремлению избежать рисков санкций за невыполнение требований контролирующих органов. Специалисты разрабатывали политики, инструкции для сотрудников и процедуры. Кибератак было меньше, чем сейчас, и большинство из них были направлены на клиентов, а не на саму компанию.
Однако со временем количество взломов корпоративной информационной инфраструктуры росло. Компании начали массово оцифровывать бизнес, переходить в облака и использовать для работы мобильные устройства. Пандемия и переход на дистанционный или гибридный график работы привели к тому, что компании начали хранить и обрабатывать защищаемую информацию (персональные данные, данные, составляющие коммерческую тайну и др.) на абсолютно разных устройствах.
В результате в 2022 году число утечек данных в российских компаниях выросло в 1,5 раза по сравнению с прошлым годом. Объем «утекших» данных вырос в 16 раз. При этом во всем мире количество утечек данных выросло в 2 раза. Большая часть инцидентов вызвана нарушениями правил информационной безопасности. Если в компании не налажено обучение сотрудников основам ИБ, они могут переходить по ссылкам из незнакомых источников, хранить пароли в открытом виде и совершать другие ошибки. Еще одна причина утечек данных — злонамеренные действия сотрудников.
Вклад в реальную безопасность
Инциденты в сфере информационной безопасности могут привести к финансовым и репутационным потерям. Кроме того, по новым правилам компаниям грозят крупные штрафы за утечки персональных данных. Руководители понимают, что недостаточно выполнять требования регуляторов и получать лицензии и сертификаты. Гораздо важнее выстроить реальную информационную безопасность в компании. Если раньше отзыв лицензии считался главной опасностью, то сейчас для многих очевидно, что он — лишь одно из последствий несоблюдения ИБ.
Основные проблемы, с которыми сталкиваются компании:
- уязвимости информационной инфраструктуры, уровень защиты критических данных и реагирования на инциденты;
- атаки киберпреступников, включая DDoS-атаки;
- несоответствие требованиям законов и стандартов.
При этом все больше организаций переходит от «бумажной» ИБ к реальной, используя проактивную тактику. На первое место выходит не устранение последствий инцидентов, а их предотвращение. В 2022 году 49% компаний планируют сохранить затраты на обеспечение информационной безопасности на прежнем уровне. При этом 39% компаний сообщили о планах увеличить бюджет на ИБ.
Как обеспечить ИБ не «на бумаге»
Информационная безопасность состоит из набора практик и методов защиты конфиденциальности и доступности данных при их передаче, хранении и обработке.
Специалисты компании ITGLOBAL.COM Security рассказали про два вида услуг, которые помогают обеспечить реальную ИБ:
- комплексная проверка безопасности;
- пентест или тестирование на проникновение.
Разберем каждый из этих способов подробнее.
Комплексная проверка безопасности или ИБ-аудит
Это самая масштабная проверка, позволяющая получить исчерпывающие данные о состоянии ИБ в компании. Комплексная проверка включает:
- анализ защищенности информационных систем для оценки уровня безопасности ИТ-инфраструктуры;
- ИБ-аудит, помощь в подготовке к сертификации по ISO/IEC 27001;
- оценку внутренних процессов в компании с точки зрения безопасности;
- рекомендации по соблюдению требований стандартов.
Во время аудита информационной безопасности специалисты выявляют уязвимости в ИТ-инфраструктуре и дают рекомендации по усилению ИБ. После окончания аудита руководитель получает подробный отчет о том, насколько защищены ИТ-активы компании с рекомендациями, основанными на новейшем международном опыте.
Инженеры проверяют:
- беспроводные и локальные сети, а также контроль доступа к ним;
- настройки безопасности операционных систем, систем виртуализации и баз данных;
- отдельные критичные компоненты ИТ-инфраструктуры;
- настройки систем контроля информационной безопасности;
- безопасность помещений для оборудования и т.д.
Аудит помогает взглянуть со стороны на процессы информационной безопасности и своевременно принять меры для защиты конфиденциальных данных.
Тест на проникновение или пентест
При проведении этого теста специалисты по тестированию имитируют действия киберпреступников. Это позволяет выявить уязвимые места в системе безопасности сети. Способы тестирования разрабатываются и согласовываются индивидуально с каждым заказчиком.
Во время проведения пентеста проверяют:
- есть ли у сотрудников возможность получить доступ к конфиденциальной информации или самостоятельно повысить свои привилегии;
- есть ли в корпоративной сети потенциальные места проникновения злоумышленников.
После окончания пентеста руководитель компании получает отчет с подробным описанием методологии тестирования и найденными уязвимостями, указанием их критичности и рекомендациями по их устранению.
Комплексная проверка, аудит и тестирование на проникновение помогают уменьшить риск утечки данных, повысить защищенность инфраструктуры и контроль за ИТ-подразделениями. Это позволит компании обеспечить информационную безопасность корпоративных систем не только на бумаге, но и на практике.