Битва за "абсолютную безопасность" проиграна
Даже к самой защищенной системе можно подобрать ключи, причем несколькими способами. Проводя работы по тестированию на проникновение, в 54% случаев наши эксперты получают максимальные привилегии в критически важных для бизнеса системах и в 27% — полный контроль над всей инфраструктурой компании (статистика Positive Research 2016). И это только благодаря недостаткам защиты сетевого периметра, методы социальной инженерии многократно увеличивают шансы на компрометацию системы.
В большинстве случаев атаки и их последствия не будут замечены системами защиты и службой ИБ. Такое положение дел — результат интенсивного развития ИТ и сервисов, в угоду которым угрозы ИБ игнорировались, «прятались» в приемлемые риски ведения бизнеса. Сформировавшийся тренд изменил саму парадигму защиты: сегодня вопрос заключается не в том, «сломают» или нет, а в том — когда. Эту концепцию стоит дополнить такими параметрами, как время обнаружения вторжения и размер ущерба. Практика расследования целевых атак показывает, что в информационных системах вполне могут присутствовать несколько групп злоумышленников одновременно. При этом до выявления факта компрометации может пройти год-полтора. За это время злоумышленник успевает «обжиться» в системе и даже заложить в нее дополнительные уязвимости, которые позволят восстановить доступ после обнаружения его присутствия.
При этом в качестве ущерба стоит рассматривать как кражу средств и приостановку бизнес-процессов, так и менее заметные, а от этого более продолжительные и, в действительности, более опасные угрозы: вмешательство в бизнес-процессы и получение доступа к информации, составляющей коммерческую тайну. Например, отмена заказа комплектующих и, как результат, срыв крупного контракта, или доступ к заявкам на тендеры с последующим использованием информации конкурентом могут поставить под угрозу нормальное ведение бизнеса. Безусловно, такие действия требуют глубокого понимания внутренних процессов в компании, но и эта задача решается: из контролируемой системы извлекается документация, прослушиваются переписка и голосовые переговоры сотрудников.
Битва за «абсолютную безопасность» безусловно проиграна, следующий рубеж — оценка и сопоставление объема затрат на безопасность и гарантии по скорости выявления и прекращению инцидентов ИБ. Ключевая фигура в этой борьбе — IТ-директор как руководитель, обладающий оперативным видением состояния IТ-инфраструктуры и сервисов и активно участвующий в формировании стратегии развития ИТ организации. Необходимо уже на этапе обсуждения идеи оптимизации процессов или создания нового сервиса, идентифицировать, анализировать и оценивать риски ИБ. Как показывает практика, цена уязвимости на каждом следующем этапе возрастает экспоненциально, а шансы избежать попыток эксплуатации уязвимостей злоумышленниками стремятся к нулю.
