Угроза кибербезопасности — внутри компании

Несмотря на то, что отношение к информационной безопасности в России за последние несколько лет изменилось, гигиена информационной безопасности только начинает зарождаться, и траты на нее постепенно растут.

По итогам 2017 года бюджет, выделенный на информационную безопасность, составил 56 млрд рублей, что на 35% выше расходов 2016 года. К сожалению, многие начинают осознавать важность кибербезопасности только после конкретных инцидентов — атака программы-вымогателя WannaCry показала: даже те, кто уделяет ей внимание, не могут говорить о 100% защите периметра. Не говоря уже о специалистах, которые откладывают вопрос до первого прецедента со взломом. По данным Fortinet за 2017 год, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров их компании. А среди всех аспектов кибербезопасности человеческому фактору уделяется минимум внимания, хотя именно человек уязвим больше всего. Будет ли ситуация меняться к лучшему, если компании станут уделять приоритетное внимание удобству сотрудников, и на что именно стоит обратить особое внимание ИТ-специалистам?

Человек — основная цель

Как показывает практика, большая часть инцидентов случается из-за внутренних нарушений, а не из-за внешних атак. Сегодня любые нововведения в сфере IT идут параллельно с развитием информационной безопасности (ИБ). Так, например, распространение BYOD (Bring Your Own Device), когда сотрудники вместо корпоративных устройств используют свои собственные, заставляет адаптировать решения по ИБ под текущие реалии рынка. Учитывая тот факт, что сотруднику удобнее, а значит — продуктивнее, работать за своим устройством, специалист по ИБ должен подобрать решение таким образом, чтобы сделать его максимально безопасным и комфортным для сотрудника. Пользователи получают доступ к данным в любое время, в любом месте и с любого устройства. Бороться с этим уже не получится: единственным вариантом будет являться только адаптация безопасности для данного подхода. Одним из главных потенциальных объектов атаки является топ-менеджер — он обладает большим объемом ценной информации и чаще всего имеет повышенные права доступа. При этом для его защиты применяются те же механизмы, что для рядовых пользователей. Опыт показывает, что большее внимание ИБ начинают уделять именно после инцидента с топ-менеджерами.

Пример из практики: во многих компаниях используется Microsoft Exchange с опубликованным в интернет веб-доступом Outlook Web Access. Большая часть сотрудников одной из организаций, включая руководителя, даже не знала о его существовании. Когда появились подозрения, что кто-то просматривает почту топ-менеджера, расследование показало — его пароль был скомпрометирован, а доступ к почтовому ящику осуществлялся через Outlook Web Access. После инцидента был организован механизм двухфакторной аутентификации доступа к Outlook Web Access.

Комфорт сотрудников. На что стоит обратить внимание?

Сотрудник должен обладать минимальным набором знаний в сфере информационной безопасности. Это позволит максимально затруднить атаку, которая может возникнуть из-за его действий. Базовый элемент, с которым сталкиваются рядовые сотрудники ежедневно, — запрос на доступ к ресурсам, которому предшествует процедура идентификации и аутентификации субъекта. На какие только «гениальные идеи» ни идут люди, чтобы не запоминать сложный, а порой даже простой пароль: стикеры на экране и под клавиатурой, файл с паролями на рабочем столе, приложения для хранения и подстановки паролей в формы. Все это не может обеспечить безопасный доступ к данным.

Безопасный доступ невозможен без усиления механизма аутентификации, требующего введения второго фактора для подтверждения личности. Многие пользователи считают, что внедрение любой системы безопасности усложняет работу и снижает производительность. При этом электронные ключи и смарт-карты регулярно теряются и забываются, а требование заставить сотрудников носить с собой дополнительное устройство вызывает недовольство. Чтобы избежать лишних трудностей, требования по информационной безопасности должны быть прозрачными и одновременно понятными для рядового пользователя.

Решить проблему можно, сделав основой для двухфакторной аутентификации смартфон. Чтобы получить доступ к данным, пользователю необходимо пройти аутентификацию. Нужно ввести идентификатор и динамический (одноразовый) пароль. При этом генератор паролей должен требовать разблокировку приложения, которое формирует динамический пароль. Тем самым обеспечивается требование «то, что я имею» — генератор паролей, и «то, что я знаю» — PIN для разблокировки генератора. Есть несколько способов, которые могут «сдружить» пользователя с данной системой или его «отпугнуть»:

• Разблокировка путем ввода PIN-кода, которая не слишком удобна для пользователей, поскольку требует снова совершить лишние действия, особенно если длина кода достаточно большая.
• Разблокировка с помощью биометрии, для которой необходимо приложить палец к устройству телефона. Способ более удобен и экономит время.
• Использование технологии PUSH OTP, когда приложение само отправляет значение одноразового пароля на сервер аутентификации после успешной разблокировки генератора паролей.

Если аккумулировать все преимущества использования смартфона, которые могут быть реализованы, можно заменить классический вход на рабочую станцию с ввода статического пароля на динамический пароль с мобильного приложения — система присылает PUSH-уведомление, пользователь пальцем выполняет разблокировку приложения, которое само после этого отправляет одноразовый пароль. Как результат — безопасность делает работу пользователя комфортнее.

Что делать?

К сожалению, у нас «пока гром не грянет, мужик не перекрестится». Тем не менее информация о кибератаках все чаще появляется в СМИ, поэтому руководство хотя бы после них начинает задавать вопрос, как обстоят дела с кибербезопасностью в их компании. Как только «гигиена безопасности» выйдет на нужный уровень? Когда пользователь начнет защищать корпоративные данные так же, как свои финансовые и медицинские. В результате будут сформированы четкие правила как для подразделения информационной безопасности, так и для тех субъектов, которых это подразделение защищает.

Какой бы совершенной ни была система безопасности, исключить из нее человеческий фактор не получится. Безопасность — прежде всего процесс. Это означает, что именно пользователь является одним из элементов безопасности, который необходимо «настраивать» — обучать, периодически обновлять, проводить профилактические беседы, тренинги, чтобы донести информацию о современных атаках и угрозах. Кроме того, стоит прислушиваться к требованиям руководящих документов. Несмотря на различные отрасли их применения, в 90% своего наполнения они схожи. И если требование содержит пункт о применении двухфакторной аутентификации для привилегированных или удаленных пользователей — это не просто желание кого-либо из авторов документа, это рекомендация, которая позволит избежать проблем в будущем, даже если «ранее прецедентов с кражей паролей не было».