ИТ сигурността в компанията е въпрос на вътрешна организация, не на външни решения
в. CIO 6 август 2017 г.
Банка ДСК включва специалист информационна сигурност във всеки свой нов проект
Даниел КРЕКОВ
През последните години главоломно нарастващата зависимост на бизнеса от информационни технологии налага сериозно пренасочване на инвестиционните потоци към развитие на тези технологии. Проблемите се появяват, когато инвестициите за развитие на дадено ИТ решение са насочени единствено за технологичното развитие, но не и за подобряване на неговата сигурност. Първото и основно изискване на бизнеса е винаги едно ИТ решение да е максимално използваемо. На второ място, се очаква то да предоставя богата функционалност, а за сигурността се мисли едва при възникване на проблем. След възникването на такъв обикновено усилията на компанията панически се насочват към прекомерно усилване на сигурността, което постепенно задушава бизнеса й, а всъщност точно той й осигурява капитал. В последно време се забелязват все повече стартиращи компании или компании с дългогодишна история, които са предприели станалите модерни проекти по дигитализация, но без в тях да бъдат включени специалисти по ИТ сигурност. Подобни действия в нашия дигитален свят могат да се окажат пагубни за организацията. Баланс между сигурност и бизнес Тайната за успеха на ИТ проектите е в баланса между сигурност и бизнес изискванията, а участието на специалисти по информационна сигурност още при самото стартиране на проекта гарантира спазването на този баланс. Добра практика в тази област е във всеки ИТ проект от самото начало да участват специалисти от управление „Съответствие и сигурност", гарантиращи сигурността и съответствието с нормативните изисквания. Такава е организацията на работата в Банка ДСК.Рисковете Темата за най-големите заплахи за информационната сигурност е твърде обширна и може би е по-добре да бъде дискутирана отделно. Нека засега насочим Внимание към актуалните действия за решаване на Въпроса за намаляване на рисковете пред информационната сигурност. Тенденциите при кибератаките през последната година са насочени към използването на многопластови атаки, използващи няколко последователни Вектора на атака и започващи със социален инженеринг. Целта е да се таргетира максимално точно атаката, за да се постигне по-голям ефект. Атаките използват различни способи за заобикаляне на защитните механизми на съответната организация, като се използва Zero-Day уязвимост, за да се придобият администраторски права над атакуваната станция. Подобен тип атака видяхме във Вируса „ПоtPetya" След придобиването на администраторски права над работна станция В мрежата на атакуваната организация възможностите на хакерите стават почти неограничени.
Какви мерки за защита да се предприемат
За да се намали рискът от подобен тип хакерски атаки до минимум, не е достатъчно единствено да се закупят скъпоструващи решения за сигурност, нужно е да се предприемат различни регулаторни действия в рамките на организацията. Тук е мястото да се отбележи, че самото закупуване на определено решение за сигурност (било то и най-доброто), без то да бъде добре конфигурирано, поддържано и управлявано от квалифициран персонал, няма да доведе до желания ефективен резултат.
Като изключим скъпоструващите решения за сигурност, една компания може да предприеме доста ефективни действия, за да намали риска за информационната сигурност, като използва само вътрешни ресурси, включително:
- Вътрешни регулярни обучения по киберсигурност на целия персонал в организацията, като се наблегне на използваните методи от хакерите за социален инженеринг.
- Сегментиране на информационните потоци и мрежи, като при необходимост от комуникация между тях се отварят само портовете, нужни за комуникация от конкретно IP до конкретно IP. При възможност никога не използвайте стандартни портове, защото при проникване в даден сървър или работна станция хакерът, или вирусът, след при-
добиване на администраторски права извършва проверка докъде има мрежови достъп. Например, в случай че до определено IP има достъп на следните портове -tcp/22, tcp/443, tcp/8900, той ще се насочи първо към стандартните, а не към tcp/8900 порта, който не му говори нищо.
- Ограничаване входно-изходните точки на корпоративната информационна мрежа до минимален брой, като свободен достъп до интернет, свободно използване на USB портове и много други.
- Постоянен мониторинг в режим 24/7/365 на цялата информационна мрежа, като се залагат автоматични аларми при Възникване на аномалии. - Залагане на капани, които да Ви алармират при Възникване на проблем. Подобен тип капан е например сървър примамка В отделено DMZ (В случай на пробив да не Възникнат усложнения). Прилага се, като на Всички Вътрешни мрежи се осигури еднопосочен достъп до него на по-известните портове за администрация и се следи кой ще се опита да се свърже с него. Този и други подобни методи са много по-ефективни от много скъпоструващи системи за откриване и алармиране за наличие на зловредни аномалии В мрежата.
Кадрите Друг наболял проблем В последно Време е недостигът на квалифицирани ИТ специалисти. Както по отношение на останалите сфери на ИТ специализация, така и по отношение на сигурността това е един наистина огромен проблем. Към момента няма университет в България, който да подготвя кадри в тази област. Така създалата се ситуация поставя компаниите пред избор от два варианта. Първият е „открадване" на обучени кадри от други организации и компании. Този вариант води до по-бърз резултат, но може да има отражение върху имиджа на организацията в ИТ бранша и в нейната индустрия. Вторият вариант е организацията да положи усилия, за да изгради самостоятелно своите кадри. В Банка ДСК решаването на този проблем е постигнато с въвеждането на вътрешни програми за обучение, съчетани с последователни външни сертифицирани курсове. Това решение е от полза и при последващите действия по задържането на обучения персонал в банката.
Предизвикателствата
През последното десетилетие се наблюдава много бурно развитие
на ИТ технологиите в различните сектори на икономиката. Предизвикателствата преди 10 години бяха свързани с опазване на периметъра на информационната мрежа на организацията. Днес компаниите започват все повече да използват облачни услуги, служителите стават изключително мобилни. Данните в лаптопи и други мобилни носители на информация трябва да се защитят, защото в случай на кражба или загуба важна информация на организацията може да бъде загубена. Всичко това води след себе си рискове за информационната сигурност. Да бъдат запознати хората с рисковете пред информационните технологии в съвременния свят е един от приоритетите на всеки ИТ отдел. Използването на облачни решения дава явни за бизнеса предимства, но пред ИТ специалистите поставя сериозни въпроси. Например какво се прави с предоставените данни или дали те не се предоставят на трети страни? Дали при приключване на взаимоотношенията с облака информацията ще бъде наистина премахната оттам? Всичко това са въпроси, на които експертите предстои да дадат ясни, базирани на практиката отговори.