Алексей Мурашов, 04/11/21
Неважно, любим ли мы технологии, ненавидим их или находимся где-то посередине, нет сомнений, что они становятся все большей частью нашей жизни. Цифровой мир расширяется, все больше людей работают из дома и все больше компаний ведут свой бизнес в Интернете. Но по мере роста нашей цифровой активности растет и желание преступников использовать ее в своих интересах, что ведет к новым вызовам в противодействии угрозам компьютерной безопасности и цифровой преступности.
В процессе цифровой трансформации растет ответственность служб ИБ за обеспечение технологических и бизнес-процессов
Новый подход к производству основан на массовом внедрении информационных технологий в промышленность и масштабной автоматизации бизнес-процессов. ERP, MES, PLM, электронный документооборот, закупки, снабжение и др. – каждый из нас является пользователем как минимум 2–3 информационных и автоматизированных систем.
Разработчики уделяют большое внимание дизайну программных продуктов, стараясь сделать их максимально удобными для пользователей. Но с точки зрения информационной безопасности, к сожалению, не все вендоры учитывают наличие угроз по информационной безопасности (ИБ) на свои программные продукты и проводят функциональное тестирование на выявление уязвимостей ПО к различным атакам и попыткам несанкционированного доступа к данным.
Цель подразделений информационной безопасности – это современный концептуальный подход к архитектуре безопасности компании, который позволит обеспечить безопасность там, где это наиболее необходимо.
Службы ИБ способствуют развитию цифровых технологий, автоматизации бизнес-процессов и достижению стратегических целей компаний. Обязуются осуществлять все возможные меры для защиты работников, имущества, информации, деловой репутации и бизнес-процессов компании от риска причинения вреда, убытков и ущерба, возникающих в результате реализации угроз информационной безопасности.
Переход на российское ПО и оборудование
Один из актуальных вопросов ИБ – выполнение требований проекта постановления Правительства РФ "Об утверждении требований к программному обеспечению и оборудованию, используемому на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения и оборудования".
Реализация этого проекта предполагает риски масштабных перебоев в работе автоматизированных систем компаний. Большинство промышленных компаний не готово к переходу на российское программное обеспечение, а тем более на российское оборудование.
Высокая стоимость российских программных и аппаратных средств, длительные сроки поставки, недостаток комплектующих, который приводит к длительному гарантийному ремонту оборудования, – это лишь малая часть вопросов, с которыми сталкиваются CISO в ходе выполнения перехода на российское программное обеспечение и оборудование. Например, если в компании запланирована покупка персональных компьютеров на базе отечественных процессоров, а стоимость ПК станет известна только в начале следующего года, то нет возможности заложить средства в бюджет на планируемый период.
Адаптация систем защиты к постоянно изменяющейся инфраструктуре
В процессе цифровой трансформации современных компаний растет количество информационных и автоматизированных систем, а вместе с ними ответственность служб ИБ за обеспечение защиты информации, ИТ-активов, технологических и бизнес-процессов.
Рекомендация вендорам
При разработке ПО учитывать универсальность и масштабируемость систем защиты цифровой экосистемы компании, которые с легкостью бы адаптировались к постоянно изменяющейся инфраструктуре.
Критическая потребность мониторинга ИБ в реальном времени
Внедрение информационных и автоматизированных систем безопасности не только укрепляет способность компаний предотвращать кражи и нарушения данных, но и повышает операционную эффективность и общую устойчивость к угрозам информационной безопасности.
Службы ИБ должны иметь возможность отслеживать все возможные угрозы в режиме реального времени вне зависимости от места нахождения.
На данный момент многие разработчики реализовали оповещение об угрозах и инцидентах на электронную почту или СМС. Но насколько это безопасно? С уверенностью на 80% утверждаю, что очень мало сотрудников ИБ используют двухфакторную авторизацию на электронном почтовом ящике. Если пароль от этого ящика будет скомпрометирован и достанется злоумышленникам, это повлечет еще большие риски для компаний.
Рекомендация разработчикам
Предложить новые продукты в виде универсальных приложений на телефон, в которых можно отслеживать все процессы информационной безопасности компании с защитой от несанкционированного доступа.
Удаленный доступ становится незаменимым инструментом для поддержания непрерывной работы производственных процессов
Контроль удаленного доступа в АСУ ТП
В период неблагополучной эпидемиологической обстановки, когда большинство компаний вынужденно отменяют командировки своих сотрудников на обслуживаемые ими предприятия, удаленный доступ становится незаменимым инструментом для поддержания непрерывной работы производственных процессов. Удаленное подключение может использоваться для наладки оборудования, диагностики и оперативного исправления проблем. Это удобно и позволяет оперативно решить необходимые задачи.
Вместе с тем удаленный доступ порождает и серьезные риски безопасности предприятия: учетные данные для доступа в сеть АСУ ТП могут быть переданы третьим лицам или украдены.
Отсутствие должного контроля за удаленным доступом в АСУ ТП может привести к серьезным последствиям – краже коммерческих секретов компании и даже к полной остановке технологических процессов.
Планирование бюджета на информационную безопасность
Одна из проблем служб ИБ, с которой мы сталкиваемся ежегодно, – это планирование бюджета на информационную безопасность. Стоимость программных и аппаратных средств по ИБ растет гораздо быстрее, чем общий уровень инфляции и наш общий темп роста.
Рекомендация вендорам и интеграторам
Озвучивать реальную стоимость программного обеспечения на планируемый период и по возможности предоставлять в августе и сентябре – в то время, когда большинство предприятий выполняет планирование и бюджетирование на следующий год.
Повышение квалификации специалистов информационной безопасности
Очень немногие организации закладывают в план ежегодные обучения специалистов ИБ с целью повышения квалификации. Даже по требованиям ФСТЭК к квалификации специалистов, обеспечивающих безопасность критической информационной инфраструктуры, необходимо прохождение не реже одного раза в пять лет обучения по программам повышения квалификации по направлению "Информационная безопасность".
Если закрепить в нормативно-правовых актах необходимость повышения квалификации специалистов информационной безопасности не реже одного раза в год, то мы сможем гордиться подготовкой наших специалистов в области ИБ. При этом вендорам стоит перенимать опыт западных коллег и организовывать курсы повышения квалификации специалистов ИБ по своим программным продуктам.
