Информационная безопасность: что ей угрожает и как с этим бороться

Защита информации строится на трёх принципах:

1. Конфиденциальность
Информация должна быть защищена от несанкционированного доступа. Например, подключение к корпоративным системам с личного компьютера ставит под угрозу конфиденциальность корпоративной информации. Или рассказ о внутренних процессах компании на собеседовании в другую организацию. Поэтому во многих компаниях разрешено пользоваться внутренним ПО только с рабочего компьютера, а сотрудники часто подписывают соглашение о неразглашении (на англ. non-disclosure agreement, или NDA).

2. Целостность
Информация не должна меняться без разрешения её собственника. Например, менять пароль от аккаунта может только его владелец. А чтобы защитить аккаунт от взлома, нужно использовать двухфакторную аутентификацию — дополнительное подтверждение действий по телефону или sms.

Для защиты целостности корпоративной информации каждый пользователь должен иметь доступ только к тем данным, которые нужны для его работы. Например, администрировать базу клиентов компании может только аналитик или инженер данных. А сотрудники технической поддержки должны иметь доступ только к просмотру контактов и истории заказов.

3. Доступность
Сотрудники с санкционированным доступом к информации могут обращаться к ней для решения рабочих задач. При этом должны быть исключены ситуации, когда доступ внезапно пропадает. Например, если из-за технического сбоя или кибератаки на систему менеджеры по продажам не смогут войти в CRM-систему компании.

Цель угрозы информационной безопасности — получить доступ к персональным и корпоративным данным. Их кража или повреждение может негативно отразиться на жизни людей и деятельности компаний.

Например, если преступники получат доступ к информации о составе семьи пользователя, они смогут воспользоваться ей для мошенничества: от имени родственника обманным путем вынудить перевести деньги на счёт злоумышленника.

Важную корпоративную информацию тоже могут украсть и использовать в своих целях, например продать конкурентам данные о партнёрах.

Случайное или намеренное повреждение или уничтожение данных может остановить работу компании и создать неудобства для пользователей. Например, если из-за технического сбоя на маркетплейсе пропадут данные о новых заказах, сотрудники склада не смогут их собрать и отправить клиентам.

Можно выделить три основных вида угроз информационной безопасности:

1. Несанкционированный доступ
Доступ к компьютерным системам, сетям или данным могут получить киберпреступники или пользователи без подтвержденного доступа.

Например, сотрудник из-за ошибки в корпоративной системе случайно авторизуется в программе, которой пользуется кадровая служба. Он получит доступ к личным делам руководителей и коллег. Или преступники взломают электронную почту пользователя и получат доступ к его аккаунтам в различных сервисах.

2. Нарушение целостности
Целостность данных подразумевает, что информация остаётся неизменной и точной. Угроза нарушения целостности — это возможность случайного или намеренного изменения или удаления данных без разрешения их создателя или владельца.

Изменить или удалить данные могут сотрудники компании по неосторожности, вредоносное программное обеспечение или хакеры. Это может случиться и в результате технического сбоя. Злоумышленники, получив доступ к администрированию сайта, могут изменить цены на товары или услуги. Менеджеры по продажам не смогут подтвердить заказы по неправильным ценам, клиенты потеряют доверие к компании и перестанут пользоваться её услугами. А это финансовые потери.

3. Раскрытие информации
Этот тип угрозы информационной безопасности подразумевает утечку и распространение чувствительной информации, которая должна оставаться конфиденциальной. Например, раскрытие данных о партнерах приведёт к потере репутации компании, деталей разработки нового продукта — к копированию его конкурентами, а сценария нового фильма киностудии — к потере части зрителей и прибыли от проката.

По прогнозам Statista.com, в 2023 году глобальные компании будут подвергаться всем трём видам угроз информационной безопасности. В топе: компрометация корпоративной электронной почты, программы-вымогатели, которые блокируют доступ к информации, и атаки на интерфейсы управления облачными данными

Для защиты информации компании и пользователи используют различные инструменты и средства. Разделим их на основные виды:

● Технические средства
Это оборудование и методы защиты информации, которые на физическом уровне ограничивают доступ к ней. Например, специальные устройства, которые блокируют интернет-сигнал в переговорной, замок и сигнализация, которые перекрывают доступ в серверную или архив бумажных документов. Или пароль на телефоне, благодаря которому при краже устройства злоумышленник не получит доступ к данным в нём.

● Программные средства
ПО, которое может обнаружить и предотвратить угрозы безопасности цифровых данных. К нему относятся, в том числе антивирусные программы или программы для обнаружения и предотвращения вторжений. Такие программы выявляют и блокируют аномальную активность в трафике, например, авторизации в корпоративной системе из другой страны.

К программным способам защиты информации также относят технологии для шифрования. Они переводят данные в набор символов, который нельзя расшифровать без ключей. Это защищает информацию от раскрытия в случае утечки.

● Организационные средства
Меры, которые принимает руководство компании. Например, разработка политики корпоративной безопасности и контроль за её соблюдением, обучение сотрудников и подписание NDA при приёме на работу.

Если говорить о защите личной информации, к организационным мерам можно отнести правила информационной гигиены в интернете и жизни. Например, не переходить по сомнительным ссылкам, не оставлять гаджеты в общественных местах без присмотра, использовать VPN при подключении к общедоступной сети Wi-Fi в кафе.

Перечислим некоторые современные технологии для защиты информации, которые относятся к программным средствам:

Криптография — технология преобразования данных, с помощью которой они становятся зашифрованными с помощью специальных ключей или методов. Криптографические методы используют, например, государственные учреждения для создания цифровых подписей, банки — для денежных переводов, пользователи — когда заходят в интернет с подключенным VPN.

Блокчейн — технология децентрализованного хранения данных. Данные разделяются на блоки (на англ. block), каждый из блоков связан с предыдущим, тем самым выстраивая цепочку (на англ. chain). Изменения данных в предыдущих блоках является ресурсоёмким процессом и в большинстве случаев невозможным. Поэтому всё, что попадает в сеть блокчейна, остается в неизменном состоянии навсегда. Этот способ используют, например, в здравоохранении — организации хранят в блокчейне медицинские карты пациентов.

Брандмауэр — технология, которая предоставляет защитный экран между устройством и внешними сетями. С помощью брандмауэра можно, например, распределить трафик между устройствами и ограничить доступ к определённым ресурсам. Брандмауэры устанавливают, например, в школах, чтобы оградить детей от запрещённого или опасного контента. Или в организациях, чтобы заблокировать спам, отправляемый потенциальными злоумышленниками на электронные почты сотрудников.

IDS-системы (сокр. от Intrusion Detection System) — технология для обнаружения вторжений. IDS отслеживает сетевой трафик или трафик внутри корпоративной системы и выявляет необычную активность, которая указывает на возможное нарушение безопасности. Например, попытки взлома сети или атаки на серверы. IDS-систему можно установить на уровне сети или на уровне отдельного устройства. В первом случае система будет анализировать весь трафик, во втором — только тот, что проходит через устройство.

IPS-системы (сокр. от Intrusion Prevention System) — технология для предотвращения вторжений. В отличие от IDS, не только фиксирует потенциальные угрозы безопасности, но и принимает активные меры для защиты информации. Например, автоматически блокирует IP-адреса, с которых пытаются взломать систему. При этом IPS обнаруживает не только внешние атаки, но и внутренние — когда атака идёт с рабочего компьютера кого-то из сотрудников. Ещё IPS-система может сканировать скачиваемые файлы и не допускать установки вирусов на компьютеры пользователей.

DLP-системы (сокр. от Data Loss Prevention) — технология, которая предотвращает утечку информации. Например, блокирует отправку конфиденциальных данных по электронной почте или через мессенджеры. С помощью системы можно также запретить распечатку документов с определённого устройства. Эту функцию можно активировать в случае увольнения сотрудника, чтобы он не смог забрать с собой корпоративную информацию ни в цифровом, ни в печатном виде.

EDR-системы (сокр. от Endpoint Detection and Response) — технология для обнаружения вредоносной активности на конечных узлах сети, например компьютерах или смартфонах. EDR отслеживает подозрительные действия пользователей или попытки взлома устройств и отправляет уведомления о них ИБ-специалисту. По сути, системы типа EDR — это более современные виды антивирусных программ. Они в режиме реального времени выявляют сложные угрозы, например вредоносное ПО для корпоративного шпионажа. EDR-система анализирует активность устройства и выявляет отклонения от обычного паттерна.

UBA-аналитика (сокр. от User Behavior Analytics) — технология, которая анализирует поведение пользователей в информационных системах и сетях, чтобы отслеживать подозрительную активность. Например, UBA может выявить несанкционированный доступ к учётной записи пользователя, проанализировав отклонения в его поведении. Это может быть вход в систему из другой страны или просмотр файлов, которые обычно не нужны пользователю для работы. Обнаружив отклонения, система UBA может заблокировать скомпрометированную учётную запись.