Информационная безопасность. Человеческий фактор

14.09.202018.10.2020
Информационная безопасность. Человеческий фактор

Взлом и несанкционированное вмешательство. Самые болезненные скандалы связаны с этим типом рисков. Именно его любят включать в сюжетные линии кинематографисты.

Секрет успеха бизнеса – в людях, но они же источник рисков. Как выстраивать эффективную систему информзащиты, анализируя ключевые активы и процессы, мы рассказали в публикации.

Напомню типовые риски, с которыми могут столкнуться компании:

  • Внутренний злоумышленник
  • Взлом и несанкционированное вмешательство
  • Человеческие ошибки
  • Пожары, затопления, стихийные бедствия
  • Технологические риски
  • Физическая кража
  • Действия проверяющих и силовых органов

А теперь расскажем о других информационных рисках.

Взлом и несанкционированное вмешательство

Самые болезненные скандалы связаны с этим типом рисков. Именно его любят включать в сюжетные линии кинематографисты. Взламывали и министерство обороны США, и наш Реестр имущественных прав. С последствиями сталкивался каждый, чего стоят гуляющие по рынку базы личных телефонов.

Взлом и несанкционированное вмешательство включает такие действия:

  • Нелегальное получение административных полномочий
  • Шифрование или уничтожение рабочих информационных активов
  • Шифрование или уничтожение резервных копий
  • Установка шпионского ПО (keylogger, screenshot, т.д.)
  • Дистанционная кража данных

С этой группой рисков как раз помогают бороться технические средства защиты и типовые технические решения. Мы поговорим о них подробнее в следующих статьях.

А пока немного статистики прошлых лет:

  • в 2019 году, 94% зловредных приложений было доставлено через email (данные Verizon)
  • в 2018 году на 3207 почтовых сообщений приходится 1 фишинговое (попытка получить пароли пользователя через поддельные ссылки) (данные Symantec)
  • в 2018 году 51% бизнесов сталкивался с атаками DDOS
  • в 2018 году количество зловредных PowerShell-скриптов выросло на 1000% (Symantec)
  • 48% зловредных вложений в почте имеют тип “офисный документ” (Symantec)
  • 1 из 13 веб запросов ведет на зловредное ПО (Symantec)
  • 20% зловредных доменов, регистрировались примерно за неделю до инцидентов (Cisco)

Человеческие ошибки

В малом бизнесе по статистике прошлого года, только 48% утечек данных связано со зловредными программами. Остальные связаны с человеческими ошибкам или сбоями в системах. В крупном бизнесе ситуация лучше. Но и там важна роль человеческого фактора. Вот характерные примеры подобных ошибок:

  • Ошибки при администрировании IT-систем. Например, случайно удалили рабочую базу
  • Ошибки при выдаче прав доступа к информационным активам. Например, продавцу-стажеру выдали доступ ко всей клиентской базе
  • Ошибки во время разработки программного обеспечения. Например, незамеченная ошибка в расчетах налогов и последующие штрафные санкции
  • Внесение ошибочных данных в информационные системы. Например, ошиблись в номере расчетного счета контрагента и отправили деньги не туда

Как можно смягчить эту группу рисков?

  • Как и для “внутренних злоумышленников”, для критической информации разделять функцию ввода данных в систему и контроля ее правильности между разными людьми (оператор и контроллер)
  • Иметь процедуры тестирования новых решений перед их внедрением
  • Иметь процедуры change management.

Регулярно выполнять аудит соответствия прав сотрудников в информационных активах их текущей рабочей роли.