Информационная безопасность. Типы рисков и варианты профилактики

Информационная безопасность. Типы рисков и варианты профилактики

Около 43% кибератак, согласно статистике, нацелено на малый бизнес. В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.

Необходимо определить ключевые информационные активы и процессы, и уже для них рассматривать риски и меры по их смягчению.

О рисках, уникальных именно для вашей компании, никто кроме ваших бизнес-менеджеров рассказать не сможет.

В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.

В целом риски делятся на несколько групп:

  • Внутренний злоумышленник
  • Взлом и несанкционированное вмешательство
  • Человеческие ошибки
  • Пожары, затопления, стихийные бедствия
  • Технологические риски
  • Физическая кража
  • Действия проверяющих и силовых органов

Поговорим о них подробнее. В первой части – о внутреннем злоумышленнике.

Внутренние злоумышленники – это люди внутри организации: сотрудники, в том числе бывшие, подрядчики. У которых есть информация о данных и компьютерных системах, методах безопасности внутри организации.

У таких людей могут быть пароли, выданные им для выполнения своих обязанностей. А также им часто не надо взламывать внешнюю защиту сети.

Во многих случаях такой злоумышленник может захватить полный контроль над информацией в компании.

У вас могут быть установлены лучшие антивирусы, firewall и IDS системы (системы предотвращения вторжений).

Но кто-то из конкурентов заплатил вашему системному администратору. И он, пользуясь своими администраторскими полномочиями, смог скопировать любую конфиденциальную информацию или внести нежелательные изменения в данные.

По некоторым опросам, около 53% компаний сталкивались с внутренними злоумышленниками.

Причем у таких злоумышленников, как у классических шпионов из фильмов, бывают не только финансовые мотивы, но и мотивы мести.

Кто еще, кроме сотрудников с административными функциями, попадает в группу риска с точки зрения инфо безопасности?

  • Разработчики корпоративного ПО: внесение бэкдоров, шпионских функций, воровство исходных кодов, воровство рабочих данных информационных систем;
  • Пользователи, в информационных системах, имеющие права на внесение и корректировку финансовых данных: сумма счетов, изменение реквизитов контрагентов, смена назначения платежа, работа с клиент-банком и т.д. Что может быть зловредного? Оплата на чужой расчетный счет, предоставление неправомочной скидки, т.д.
  • Пользователи, которые имеют доступ к клиентской базе, подписанным контрактам и их условиям, коммерческим и тендерным предложениям, маркетинговой стратегии, конструкторской документации, т.д.

Возможные меры по смягчению этой группы рисков:

  • Выполнять независимое логирование и аудит действий привилегированных пользователей. Так же помогает внедрение систем типа PAM (Privileged Access Management – управление доступом привилегированных пользователей);
  • Для критических данных разделять между разными людьми функцию ввода и функцию контроля, что введено правильно;
  • При выдаче полномочий на информационные системы руководствоваться принципом «минимально необходимые»;
  • Отслеживать вместе со службой HR, что после перевода сотрудника в другой отдел или его увольнения, в IT-системах проверяются и меняются полномочия таких сотрудников.

Как видим, для этой категории рисков крайне важна синергия департамента безопасности и службы HR, выстраивание мониторинга как психологического состояния сотрудников, так и дорожной карты предоставления/передачи полномочий.

О других типах рисков расскажем в следующих блогах.