Сегодня бизнес не защитишь, лишь поставив охрану в офисе. Нужно думать о кибербезопасности
Як менеджер з інформаційної безпеки з десятилітнім стажем, можу з упевненістю сказати – світ збожеволів. Співробітники компаній сидять вдома, працюють на своїх домашніх комп’ютерах та ноутбуках, мають віддалений доступ до корпоративної мережі компанії, проводять наради й обговорюють робочі питання, тільки уявіть, не в корпоративних месенджерах і системах відеоконференцій, а в ZOOM – жах, шок, катастрофа.
Приблизно так мав би реагувати пересічний керівник відділу інформаційної безпеки більшості українських компаній років 10 тому.
Але дивно не це, а те, що досі є компанії, які використовують методи роботи, встановлені досить давно, і, здається, не помічають змін навколо.
З подачі Йена Дойчмана, мантра "змінюйся або помри" вже стала догмою, але, схоже, не всі компанії бояться "смерті", чи точніше, не всі менеджери цих компаній розуміють, що "стабільність" може не допомагати, а шкодити компанії.
Страх перед змінами живе в кожному з нас, тому ми прагнемо стабільності – безумовної потреби людини, згідно з пірамідою Маслоу. Але найкращі розуми світу – Біл Гейтс, Річард Бренсон, Іцхак Адізес та інші – закликають не боятися і попереджають, що саме відсутність змін може призвести до краху компанії.
Здавалося б, поточна ситуація має змусити всі без винятку організації прийняти нові умови гри та змінитися. Але після шести місяців карантину в Україні є організації, які працюють за старими правилами. Звісно, кожна компанія реагує на ризики відповідно до своїх бізнес-цілей, ризик-апетиту і технічних можливостей. Але якщо у світі, який не стоїть на місці, грати за старими правилами, то втрата ефективності вам забезпечена.
Ось кілька прикладів, як технічні рішення змінили ставлення людей до колись "прописних істин" інформаційної безпеки.
Попри те, що однією з базових вимог є ніде не записувати свої паролі, 20 років тому їх писали на папірці від руки й вішали на екран монітору чи ховали під клавіатурою. Тепер "записати пароль" можна у спеціальну програму – парольний менеджер, який зберігає паролі у зашифрованому вигляді й робить їх недоступними для сторонніх. Крім того, такі менеджери дозволяють не тільки зберігати паролі, але й автоматично вводити їх там, де вони потрібні. Це дає змогу створювати паролі будь-якої довжини і складності й таким чином підвищує захист облікових записів.
Наприклад, пароль 4837skfn&*(alm234(z,ejgfo93057_@*%^#$,snmdgj#@JD)AJ$nfbhsaei458IAdnvj59WJbdicnsyu49%&#)FJdvnskrh574sidjBS%&LSdnvRo40d3jvnvSomW$% містить 128 символів, які доволі складно записати на папірець чи навіть ввести на клавіатурі, не помилившись. А от за допомогою парольного менеджера це можна зробити в один клік.
Ще один приклад – біометричні засоби, які нещодавно з’явились в наших комп’ютерних пристроях. Вони дозволяють проводити автентифікацію за допомогою біометричних даних – по відбитку пальця чи обличчю людини. Фактично ці пристрої записують і зберігають наші дані. Але в цьому випадку інформація також зберігається у зашифрованому вигляді, що сприяє підвищенню рівня захищеності працівників і компаній.
Також варто згадати використання некорпоративних засобів для обміну інформацією. Так, кожна компанія зацікавлена у моніторингу своїх процесів, але з ростом популярності месенджерів, якими співробітники можуть користуватись на своїх телефонах, у компаній, по суті, не залишається технічних можливостей обмежити обмін даними за допомогою цих каналів.
Тут на перший план виходить культура роботи з корпоративною інформацією – лише завдяки тому, що працівники не будуть поширювати конфіденційну інформацію компанії бездумно, організації будуть захищеними.
До того ж, у багатьох месенджерах (WhatsApp і Facebook Messenger) повідомлення за замовчуванням шифруються наскрізно. В інших же (Viber, Telegram) таку функцію можна активувати за необхідності, відповідно, на рівні платформ обміну, захист інформації буде забезпечений.
Сьогодні до месенджерів приєднуються нові інструменти командної роботи – Slack, MS Teams і Trello, які також мають вбудовані механізми онлайн-спілкування. Зараз їх використовують не тільки гіки, але й далекі від ІТ працівники у проектній чи командній роботі.
Багато програмістів активно користуються GitLab та GitHub. Компанія технічно може забанити доступ до цих ресурсів не тільки в корпоративній мережі, але й на ноутбуках. Це напряму вплине на ефективність розробників компанії, однак спрацює не для всіх, оскільки зараз практикують залучення до проектів розробників-фрілансерів, які працюють на персональних пристроях і навряд чи будуть раді встановлювати на своїх ноутбуках якісь обмеження.
Ба більше, вже існує парадигма serverless architecture, згідно з якою компанія може мати ІТ-сервіси, що будуть повністю базуватись на онлайн-інструментах і, відповідно, не мати власних серверів.
Невеличкі компанії та стартапи вже застосовують такий метод, використовуючи Gmail або Outlook, як систему електронної пошти з власним доменом, Office365 або Google Docs, як інструменти командної роботи з документами, Google Drive чи OneDrive для зберігання та обміну даними. Тепер черга великих гравців.
Зі зміною парадигми периметру обміну конфіденційною інформацією, будуть з’являтися і нові інструменти для спеціалістів інформаційної та кібербезпеки. На сьогодні антивіруси вже трансформуються в endpoint protection засоби, які виконують не тільки функцію пошуку зловмисного коду, але й можуть виконувати функцію локального фаєрволу.
Фаєрволи, у свою чергу, трансформуються в інструменти не лише аналізу та блокування мережевого трафіку, але й збагачуються функціями DLP, допомагаючи виявляти певні дані в потоках інформації по каналах зв’язку.
Security Operations Center – це вже не обов’язково сервер із софтом у серверній компанії. Сервер може знаходитись десь у хмарі з будь-якою SIEM системою, кваліфікованими аналітиками з іншої країни та вхідними інцидентами в системі сервіс-деск компанії.
Світ змінюється, тому компанії також не повинні стояти на місці, і в цьому їм допомагають (чи заважають) підрозділи інформаційної чи кібербезпеки, які здатні адаптувати правила гри в компаніях до нових реалій.
Коли оцінка ризиків від підрозділів ІБ досягає найвищого рівня критичності щодо впливу на бізнес та з майже 100% ймовірністю реалізації всіх ризиків, керівникам слід звертати увагу на те, як оцінюють кіберризики найближчі конкуренти.
Також важливо опиратись на думку експертів, аби розуміти, які ризики компанія може приймати, які – мітигувати, а які потребують першочергового врегулювання.