Около 43% кибератак, согласно статистике, нацелено на малый бизнес. В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.
Необходимо определить ключевые информационные активы и процессы, и уже для них рассматривать риски и меры по их смягчению.
О рисках, уникальных именно для вашей компании, никто кроме ваших бизнес-менеджеров рассказать не сможет.
В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.
В целом риски делятся на несколько групп:
- Внутренний злоумышленник
- Взлом и несанкционированное вмешательство
- Человеческие ошибки
- Пожары, затопления, стихийные бедствия
- Технологические риски
- Физическая кража
- Действия проверяющих и силовых органов
Поговорим о них подробнее. В первой части – о внутреннем злоумышленнике.
Внутренние злоумышленники – это люди внутри организации: сотрудники, в том числе бывшие, подрядчики. У которых есть информация о данных и компьютерных системах, методах безопасности внутри организации.
У таких людей могут быть пароли, выданные им для выполнения своих обязанностей. А также им часто не надо взламывать внешнюю защиту сети.
Во многих случаях такой злоумышленник может захватить полный контроль над информацией в компании.
У вас могут быть установлены лучшие антивирусы, firewall и IDS системы (системы предотвращения вторжений).
Но кто-то из конкурентов заплатил вашему системному администратору. И он, пользуясь своими администраторскими полномочиями, смог скопировать любую конфиденциальную информацию или внести нежелательные изменения в данные.
По некоторым опросам, около 53% компаний сталкивались с внутренними злоумышленниками.
Причем у таких злоумышленников, как у классических шпионов из фильмов, бывают не только финансовые мотивы, но и мотивы мести.
Кто еще, кроме сотрудников с административными функциями, попадает в группу риска с точки зрения инфо безопасности?
- Разработчики корпоративного ПО: внесение бэкдоров, шпионских функций, воровство исходных кодов, воровство рабочих данных информационных систем;
- Пользователи, в информационных системах, имеющие права на внесение и корректировку финансовых данных: сумма счетов, изменение реквизитов контрагентов, смена назначения платежа, работа с клиент-банком и т.д. Что может быть зловредного? Оплата на чужой расчетный счет, предоставление неправомочной скидки, т.д.
- Пользователи, которые имеют доступ к клиентской базе, подписанным контрактам и их условиям, коммерческим и тендерным предложениям, маркетинговой стратегии, конструкторской документации, т.д.
Возможные меры по смягчению этой группы рисков:
- Выполнять независимое логирование и аудит действий привилегированных пользователей. Так же помогает внедрение систем типа PAM (Privileged Access Management – управление доступом привилегированных пользователей);
- Для критических данных разделять между разными людьми функцию ввода и функцию контроля, что введено правильно;
- При выдаче полномочий на информационные системы руководствоваться принципом “минимально необходимые”;
- Отслеживать вместе со службой HR, что после перевода сотрудника в другой отдел или его увольнения, в IT-системах проверяются и меняются полномочия таких сотрудников.
Как видим, для этой категории рисков крайне важна синергия департамента безопасности и службы HR, выстраивание мониторинга как психологического состояния сотрудников, так и дорожной карты предоставления/передачи полномочий.
О других типах рисков расскажем в следующих блогах.