Когда-нибудь ты станешь немощен и слаб —
Делай бэкап, давай делай бэкап,
На случай, если укусит радиоактивный краб —
Делай бэкап, давай делай бэкап!
НТР
Только не так!
31 марта весь айтишный мир готовится к 1 апреля. Нет, в компаниях не разрисовывают красным кетчупом пол, не обводят мелом контуры тел, не перетыкают мышки и даже уже не заклеивают лазеры. Всё в прошлом — ну почти. Все готовятся к ненормальному дню атак и таким образом отмечают день бэкапа. И можно каждый год (месяц, день) писать про резервное копирование на Хабре, развешивать плакаты о необходимости бэкапов и инфобеза, но под клавиатурой коллеги всегда найдётся листочек с хитрым паролем qwerty123, в браузере — куча незащищённых платёжных средств, а пароль на вход в CRM и вовсе будет пустым (логин, конечно, admin). Всё потому что компаниям, особенно в секторе малого и среднего бизнеса, затраты на безопасность кажутся роскошью, а не средством выживания. А зря. Как показали панельные беседы на ЦИПР-2021, для современных злоумышленников практически нет преград, они в своём развитии могут основательно опережать средства защиты информации и IT-инфраструктуры: им даже воздушный зазор не помеха. Так вы хоть бэкап-то сделайте, а?
Даём справку. День бэкапа — одна из популярных дат у айтишников по всему миру. Он был учреждён по решению пользователей Reddit и призван привлечь внимание бизнеса, IT-сектора и простых пользователей к вопросам защиты и гарантированного сохранения информации, рассказать о рисках потери данных в частном и коммерческом сегменте. Лучший способ отметить день бэкапа — создать резервные копии данных на ПК, проверить в соответствии с правилами, протестировать и надёжно сохранить. И только потом пицца и остальные радости жизни :)
Больше чем. До 2020 года проблемы в сфере информационной безопасности вызывали огромную, беспрецедентную тревогу специалистов по защите данных, но 2020, 2021 и 2022 степень опасности увеличилась в разы: риски атак, взломов, хищения данных и компрометации IT-инфраструктуры любой компании и любого пользователя возросли вместе с распространением удалённой работы, коронавирусных ограничений и социально-политической напряжённости на планете в целом. Информация и данные — ценные, дорогостоящие и порой невоспроизводимые ресурсы, воздействие на которые оказывает не меньшее (а то и большее) влияние, чем манипуляции с жизнеобеспечением, питанием и транспортом.
Не будем голословны — давайте обратимся к отчёту Positive Technologies за 2020 год. Согласно ему, количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Наиболее интересные отрасли, по мнению злоумышленников, — это государственные и медицинские учреждения, промышленные предприятия. Атак с использованием вредоносного ПО с каждым годом становится всё больше и больше. В 2020 году количество таких атак увеличилось на 54% относительно прошлогоднего показателя.
Если посмотреть на векторы атак, то объектами становятся компьютеры, серверы и сетевое оборудование — во всех сферах. Важным объектом атаки остаются люди, подверженные методам социальной инженерии, которые становятся всё изощрённее. Для сферы торговли и прочих компаний, среди которых немало субъектов малого и среднего бизнеса, также характерны атаки на веб-ресурсы. По-прежнему основными мотивами злоумышленников выступают финансовая выгода и получение данных, которые можно использовать, продавать или же запускать как базовый элемент нанесения репутационного урона.
Впечатляет? Но и это ещё не всё. Говоря о вопросах безопасности, нужно учитывать, что в большинстве компаний, особенно вне сферы информационных технологий и телекома, страдают рядом типичных симптомов:
Сочетание описанных рисков и факторов халатного отношения к безопасности приводят к обидным потерям данных как в крупных компаниях, так и в совершенно небольших, которые при наступлении неблагоприятного момента могут разориться раньше, чем успеют прислать письма с извинениями.
Что бы ни происходило, человеческий фактор среди рисков информационной безопасности компании перебить крайне сложно. И если раньше я бы рассказал что-то про нерасторопных бухгалтеров или продажников с паролями на мониторе, то сейчас кристаллизовались три основные ипостаси рисков.
Человек уязвим перед угрозами безопасности и чаще всего выступает основным объектом атаки, поскольку «пробить» можно даже самого подкованного пользователя. Социальная инженерия, сложные схемы взаимодействия и психологические приёмы открывают злоумышленникам самый широкий доступ к корпоративной и частной информации. Поэтому сотрудники в компании должны быть осведомлённым, обученным и всегда актуально информированным звеном.
Малый и средний бизнес парадоксально экономит на оборудовании и автоматизации, хотя это инструменты эффективности и продуктивности сотрудников плюс частичная гарантия безопасности. И снова возможны варианты.
Данные стоят дорого, даже если руководителю компании кажется, что они «завелись» бесплатно. И именно поэтому данные и коммерческая информация становятся объектом охоты — кто-то знает их реальную цену и ценность лучше. Поэтому стоит не ждать ситуации «жадность фраера сгубила», а позаботиться о своевременном обслуживании всей IT-инфраструктуры и подменного фонда, который должен быть строго обязательно даже в небольших компаниях. Такой подход при видимых инвестициях здорово оптимизирует затраты, бережёт нервы и обеспечивает бесперебойную работу компании.
Компания не может находиться в изоляции, поэтому она подвержена всей совокупности рисков: страновым, экономическим, природным. Как правило, это те риски, которые не поддаются прогнозированию, наступают внезапно и резко бьют по самым неподготовленным и незащищённым компаниям. Проблемы возникают как раз у тех, кто изначально допускал «дыры» в безопасности и не контролировал процессы управления информацией.
Согласно отчёту о потере данных в Европе, более 6% ПК ежегодно страдают от потери данных — так, в 2020 году произошло более 1,7 миллиона инцидентов. В отчёте определены шесть основных причин потери данных:
Вообще, форс-мажорам принято скорее удивляться: никогда не знаешь, где что сгорит, развалится, зальётся ливнями и т. д. Но именно от них хорошо спасают бэкапы. Нет ничего круче, чем спокойно спать, когда твои данные есть ещё где-то, кроме этого:
Что здесь происходит?
Если вы думаете, что обойдётся или пронесёт, то нет. Управлять рисками придётся — этим может заниматься сисадмин, хороший аутсорсер или руководитель компании при должных компетенциях.
Хотим отдельно обратить внимание, что всяческие bossware-системы (следилки) не имеют ничего общего с лучшими практиками обеспечения информационной безопасности. Это не что иное, как отличный способ демотивации и наращивания рисков наступления неблагоприятных событий, связанных с человеческим фактором.
Иногда, когда смотришь на организацию информационной и экономической безопасности, хочется посоветовать хотя бы приложить подорожник. По крайней мере, это будет признаком того, что в компании хотя бы догадались взглянуть на проблему. Друзья, мы живём в непростое время, когда наши данные дорого стоят и они всегда кому-то нужны — даже если вы просто ставите окна в Костроме или пилите симпатичную аркаду под Android. Сохранность данных — это безопасность бизнеса, сотрудников, всего заработанного капитала. Поверьте, труды по обеспечению информационной безопасности стоят результата.
И да, прямо сейчас сделайте/протестируйте/проверьте свои бэкапы. Мы точно знаем, насколько это важно.
Делай бэкап, давай делай бэкап,
На случай, если укусит радиоактивный краб —
Делай бэкап, давай делай бэкап!
НТР
31 марта весь айтишный мир готовится к 1 апреля. Нет, в компаниях не разрисовывают красным кетчупом пол, не обводят мелом контуры тел, не перетыкают мышки и даже уже не заклеивают лазеры. Всё в прошлом — ну почти. Все готовятся к ненормальному дню атак и таким образом отмечают день бэкапа. И можно каждый год (месяц, день) писать про резервное копирование на Хабре, развешивать плакаты о необходимости бэкапов и инфобеза, но под клавиатурой коллеги всегда найдётся листочек с хитрым паролем qwerty123, в браузере — куча незащищённых платёжных средств, а пароль на вход в CRM и вовсе будет пустым (логин, конечно, admin). Всё потому что компаниям, особенно в секторе малого и среднего бизнеса, затраты на безопасность кажутся роскошью, а не средством выживания. А зря. Как показали панельные беседы на ЦИПР-2021, для современных злоумышленников практически нет преград, они в своём развитии могут основательно опережать средства защиты информации и IT-инфраструктуры: им даже воздушный зазор не помеха. Так вы хоть бэкап-то сделайте, а?
Даём справку. День бэкапа — одна из популярных дат у айтишников по всему миру. Он был учреждён по решению пользователей Reddit и призван привлечь внимание бизнеса, IT-сектора и простых пользователей к вопросам защиты и гарантированного сохранения информации, рассказать о рисках потери данных в частном и коммерческом сегменте. Лучший способ отметить день бэкапа — создать резервные копии данных на ПК, проверить в соответствии с правилами, протестировать и надёжно сохранить. И только потом пицца и остальные радости жизни :)
А чё, а чё, всё плохо?
Больше чем. До 2020 года проблемы в сфере информационной безопасности вызывали огромную, беспрецедентную тревогу специалистов по защите данных, но 2020, 2021 и 2022 степень опасности увеличилась в разы: риски атак, взломов, хищения данных и компрометации IT-инфраструктуры любой компании и любого пользователя возросли вместе с распространением удалённой работы, коронавирусных ограничений и социально-политической напряжённости на планете в целом. Информация и данные — ценные, дорогостоящие и порой невоспроизводимые ресурсы, воздействие на которые оказывает не меньшее (а то и большее) влияние, чем манипуляции с жизнеобеспечением, питанием и транспортом.
Не будем голословны — давайте обратимся к отчёту Positive Technologies за 2020 год. Согласно ему, количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Наиболее интересные отрасли, по мнению злоумышленников, — это государственные и медицинские учреждения, промышленные предприятия. Атак с использованием вредоносного ПО с каждым годом становится всё больше и больше. В 2020 году количество таких атак увеличилось на 54% относительно прошлогоднего показателя.
Если посмотреть на векторы атак, то объектами становятся компьютеры, серверы и сетевое оборудование — во всех сферах. Важным объектом атаки остаются люди, подверженные методам социальной инженерии, которые становятся всё изощрённее. Для сферы торговли и прочих компаний, среди которых немало субъектов малого и среднего бизнеса, также характерны атаки на веб-ресурсы. По-прежнему основными мотивами злоумышленников выступают финансовая выгода и получение данных, которые можно использовать, продавать или же запускать как базовый элемент нанесения репутационного урона.
Впечатляет? Но и это ещё не всё. Говоря о вопросах безопасности, нужно учитывать, что в большинстве компаний, особенно вне сферы информационных технологий и телекома, страдают рядом типичных симптомов:
- не имеют службы безопасности и даже человека, ответственного за вопросы информационной безопасности в компании;
- отказываются от идеи найма системного администратора и пользуются услугами недорогих компаний-аутсорсеров или самозанятых одиночек (увы, при всём уважении, нередко это ребята уровня эникея);
- не замыкают контур информационной и экономической безопасности, а локально внедряют отдельные решения и латают дыры, обеспечивая лоскутную (никакую) защиту;
- не обучают сотрудников и недооценивают риски со стороны персонала;
- полагают, что вне контура компании удалённый сотрудник — самостоятельный, ответственный и организованный человек, заботящийся о кибербезопасности и защите данных;
- считают, что их «вшивая клиентская база» и «тупое ноу-хау» нафиг никому не нужны.
Сочетание описанных рисков и факторов халатного отношения к безопасности приводят к обидным потерям данных как в крупных компаниях, так и в совершенно небольших, которые при наступлении неблагоприятного момента могут разориться раньше, чем успеют прислать письма с извинениями.
Где риски зарыты?
▍ В людях
Что бы ни происходило, человеческий фактор среди рисков информационной безопасности компании перебить крайне сложно. И если раньше я бы рассказал что-то про нерасторопных бухгалтеров или продажников с паролями на мониторе, то сейчас кристаллизовались три основные ипостаси рисков.
- Сотрудники, которым пофиг на безопасность. Они не задумываются о сложности паролей, о политике использования личных устройств в офисе, их не волнует принесённый на работу пиратский софт, им нормально передавать информацию и документы в чатах и через личную почту. Как правило, это никакие не злоумышленники — обычные сотрудники, которых не потрудились обучить основам работы с информацией и коммерческой тайной. Эта часть команды (а то и вся команда) — серьёзная брешь в информационной и экономической безопасности. Ну а если уж они считают, что с компьютером на ты и могут наконфигурячить что-то в настройках корпоративных систем, то только бэкапы вас и спасут — актуальные, проверенные, по 2 копии на трёх разных серверах (в иных хранилищах).
- Удалённые сотрудники — в принципе, те же безалаберные ребята из первого пункта, только с поправкой на работу в незащищённых сетях и средах. Могут ненароком нанести удар по компании и утратить важные данные по неосторожности.
- Третья группа — опасный, умный и осторожный враг. Это сотрудники, которые могут целенаправленно «сливать» данные, передавать их конкурентам, продавать, компрометировать со злым умыслом. У них, как правило, есть план и помощники, поэтому они могут долгое время действовать незаметно.
Человек уязвим перед угрозами безопасности и чаще всего выступает основным объектом атаки, поскольку «пробить» можно даже самого подкованного пользователя. Социальная инженерия, сложные схемы взаимодействия и психологические приёмы открывают злоумышленникам самый широкий доступ к корпоративной и частной информации. Поэтому сотрудники в компании должны быть осведомлённым, обученным и всегда актуально информированным звеном.
▍ В жадности
Малый и средний бизнес парадоксально экономит на оборудовании и автоматизации, хотя это инструменты эффективности и продуктивности сотрудников плюс частичная гарантия безопасности. И снова возможны варианты.
- Если свой сервер, то утеря данных может произойти вместе с выходом из строя жёстких дисков и иного оборудования. При этом как показывает опыт, никого не смущают ни высокие температуры дисков, ни зависания, ни скрежет в системе. Работает и ладно, правда же?
- Если данные в облаке, компании не озабочены приобретением собственного надёжного VDS, а используют облачные порталы компаний-вендоров программного обеспечения. Потом начинаются сюрпризы: облачные сервисы взламывают, компании-разработчики меняют тарифы или, например, не отдают бэкапы и данные ввиду странового риска.
- Если купленный VDS, компания не заботится об администрировании хранилищ и сервера, а полагается на поставщика облачных технологий. Хоть это и довольно надёжная стратегия, лучше всё-таки не пускать контроль данных и мониторинг на самотёк.
Данные стоят дорого, даже если руководителю компании кажется, что они «завелись» бесплатно. И именно поэтому данные и коммерческая информация становятся объектом охоты — кто-то знает их реальную цену и ценность лучше. Поэтому стоит не ждать ситуации «жадность фраера сгубила», а позаботиться о своевременном обслуживании всей IT-инфраструктуры и подменного фонда, который должен быть строго обязательно даже в небольших компаниях. Такой подход при видимых инвестициях здорово оптимизирует затраты, бережёт нервы и обеспечивает бесперебойную работу компании.
▍ В форс-мажорах
Компания не может находиться в изоляции, поэтому она подвержена всей совокупности рисков: страновым, экономическим, природным. Как правило, это те риски, которые не поддаются прогнозированию, наступают внезапно и резко бьют по самым неподготовленным и незащищённым компаниям. Проблемы возникают как раз у тех, кто изначально допускал «дыры» в безопасности и не контролировал процессы управления информацией.
Согласно отчёту о потере данных в Европе, более 6% ПК ежегодно страдают от потери данных — так, в 2020 году произошло более 1,7 миллиона инцидентов. В отчёте определены шесть основных причин потери данных:
- Отказ оборудования, в том числе повреждение из-за скачка напряжения и отказа диска — 42%
- Человеческая ошибка, включая случайное удаление информации — 31%
- Повреждение файлов программного обеспечения, случайное и преднамеренное — 13%
- Вирусы — 7%
- Кража, особенно кража ноутбуков — 5%
- Потеря оборудования, включая наводнения, пожары, молнии, сбои в подаче электроэнергии и прочие форс-мажоры — 3%
Вообще, форс-мажорам принято скорее удивляться: никогда не знаешь, где что сгорит, развалится, зальётся ливнями и т. д. Но именно от них хорошо спасают бэкапы. Нет ничего круче, чем спокойно спать, когда твои данные есть ещё где-то, кроме этого:
Что делать?
Если вы думаете, что обойдётся или пронесёт, то нет. Управлять рисками придётся — этим может заниматься сисадмин, хороший аутсорсер или руководитель компании при должных компетенциях.
- Обучение сотрудников с постоянным обновлением информации. Можно создать специальный раздел в интранете или просто проводить обучение, главное — обязательно тестировать сотрудников и проверять, что знания усвоены и актуализированы. Чтобы не столкнуться с сопротивлением, можно использовать приёмы геймификации или любую другую мотивацию.
- Контроль доступа сотрудников. Все сотрудники, работающие с данными, коммерческой информацией и корпоративными информационными системами, должны чётко понимать, что такое конфиденциальность и какие последствия наступают в случае её несоблюдения. Компания должна не раздавать максимальные права всем подряд как знак великого доверия, а управлять доступами к разным типам данных, уметь защищать информацию в своей зоне ответственности от потери, повреждения и утраты.
Хотим отдельно обратить внимание, что всяческие bossware-системы (следилки) не имеют ничего общего с лучшими практиками обеспечения информационной безопасности. Это не что иное, как отличный способ демотивации и наращивания рисков наступления неблагоприятных событий, связанных с человеческим фактором.
- Анализ угроз. В компании должен быть человек, который способен обеспечить своевременный и качественный мониторинг, чтобы быстро сориентироваться и провести профилактику потенциальных угроз, в том числе связанных с фишингом и социальной инженерией.
- Разработка контура информационной безопасности — важная и часто дорогостоящая задача. Но лучше завершить её один раз и актуализировать отдельные компоненты, чем расплачиваться за каждый провал.
- Мониторинг оборудования и IT-инфраструктуры — обязательное условие благополучия компании. Если вы IT-компания, то какого фига вы ещё читаете эту статью, всё давно должно работать :) Если компания не относится к IT-сфере, необходимо нанять сотрудника, обратиться за помощью к надёжному крупному аутсорсеру, системному интегратору или даже вендору ваших корпоративных систем. Как правило, можно найти разумный вариант за разумные же деньги.
- Работа с надёжными, проверенными поставщиками IT-услуг, программного обеспечения и элементов IT-инфраструктуры. Не поленитесь провести минимальную проверку репутации и надёжности поставщиков, проведите несколько раундов презентаций и обсуждения перед покупкой, задайте самые неудобные вопросы. Порядочную компанию это не смутит.
- Развитие лояльности сотрудников и корпоративной культуры. Если компания способна выстроить адекватную корпоративную культуру, основанную на доверии, поддержке и принятии ошибок, рано или поздно сотрудники примут правила игры и будут более лояльными, а значит, менее опасными. Ещё раз обращаем внимание, что любой контроль сотрудников должен быть мягким, адекватным, точечным, а главное, сотрудники должны быть информированы о способах контроля и согласны с ними. Прозрачность отношений порождает ответную прозрачность, риски снижаются.
- Бэкапы. Бэкапы. Ещё раз бэкапы. (Аааааа, эээх, всё равно не сделаете).
Иногда, когда смотришь на организацию информационной и экономической безопасности, хочется посоветовать хотя бы приложить подорожник. По крайней мере, это будет признаком того, что в компании хотя бы догадались взглянуть на проблему. Друзья, мы живём в непростое время, когда наши данные дорого стоят и они всегда кому-то нужны — даже если вы просто ставите окна в Костроме или пилите симпатичную аркаду под Android. Сохранность данных — это безопасность бизнеса, сотрудников, всего заработанного капитала. Поверьте, труды по обеспечению информационной безопасности стоят результата.
И да, прямо сейчас сделайте/протестируйте/проверьте свои бэкапы. Мы точно знаем, насколько это важно.
Комментарии (12)
Andrei__K
02.04.2022 17:18Здравствуйте. Статья отличная, можно распечатать как памятку начинающему безопаснику.
А можете рассказать про такую штуку - где-то, то-ли на курсах, а может институте говорилось что в защиту информации надо вкладывать ту же сумму, во сколько оценивается вся инфа компании.
SamsonovAnton
02.04.2022 23:22Полная стоимость защиты (включая зарплаты безопасников) должна быть адекватна стоимости защищаемого объекта: то есть точно не превосходить; да и просто быть равной — это тоже перебор.
SteelRat
Тут несколько раз упоминается "обучение сотрудников". На мой взгляд менее эффективной вещи чем корпоративное обучение - нет. Во-первых все сотрудники обычно ненавидят это, во-вторых все это проходят для галочки и отчётности, т.к. "начальник требует", и как результат ничего не запоминается и эффективность нулевая, а для основных задач сотрудника ещё и отрицательная, т к вместо работы приходится заниматься фигней.
Еще меня всегда раздражает вся эта "статистика" от компаний, занимающихся информационной безопасностью. Где факты и примеры? С тем же успехом все эти цифры могут быть взяты с потолка, зато очень эффективны в запугивании и, как результат, привлечении потенциальных клиентов (читай маркетинг).
А бэкапы - да, нужны.
lobzik_88
Любовь к корпоративным обучениям прививается крайне просто.
В мотивацию сотрудников включается такой пункт как "сдача теста после обучения информационной безопасности", делается 5 (или 3 уровня мотивации)
1ур. Не сдал тест (депремация)
2ур. Сдал тест на минимальный бал (отсутствие премий или депремаций)
3ур. сдал тест по кибер безопасности на высокий бал (небольшая премия)
Если добавить ещё больше уровней с премиями, пусть и очень символическими, плюс тестирование в счёт рабочего времени, народ тут же начинает любить обучения, понимая, что на этом можно ещё и заработать.
SteelRat
У вас очень странное понятие о любви. Любовь вы таким образом не привьете и эффективность таких "обучений" не повысите. Да, проходить будут больше, чтобы получить премию, да только сразу оно все из головы будет вылетать. А то и ответами будут друг с другом делиться.
Shiaju
Есть хороший принцип, очень помогает выстраивать позитивные изменения в жизни в целом и кибербезопасности в частности.
Отвергая - предлагай.
Paul_Arakelyan
Регулярно повторять тестирование :). Менять тестовьіе задачи и заставлять думать. Зубрить - бесполезно, нужно понимать.
tmin10
Вероятно, что лучше с обучением, чем без него, возможно какой-то момент запомнится, если будут сомнения.
Лично я только в самом начале смотрел эти уроки, было интересно. Сейчас же только просматриваю, о чём оно и прохожу финальный тест по собственным знаниям (обычно хорошо выходит).
Paul_Arakelyan
факты и примеры?
Да нельзя их, как правило, приводить - это "клевета и дискредитация деловой репутации". А без имён - это вообще "фантазии". Поэтому всплывать могут только "глобальные" вещи, которые затронули всех, были разглашены третьей стороной (атакующим, сотрудником) и от которых не возможно "отболтаться".