11 августа 2020 г.
По мере того как общество становится информационным, все более важное значение приобретает то, как мы относимся к информации и что делаем ради того, чтобы ее обезопасить.
В нашей стране ещё с девяностых и начала двухтысячных многие привыкли пользоваться пиратским версиями софта, которые находят на просторах интернета и потом не обновляют, а во многих маленьких фирмах считается нормой приглашать системного администратора только когда что-то сломалось. В итоге трудно найти компанию, которая, например, ни разу не пострадала от деятельности вируса-«шифровальщика».
Что относится к «информационной халатности»?
- На уровне простого пользователя это весь набор мелких недосмотров — использование простых или одинаковых паролей для разных ресурсов, несоблюдение корпоративных правил, излишнее доверие к часто агрессивной внешней среде.
- На уровне ИТ-специалиста — это сознательное или несознательное невыполнение так называемых «лучших практик», которых для каждого ИТ-сервиса и процесса существует великое множество, и зачастую их соблюдение требует чуть более тщательного продумывания, чуть больше времени на настройку и внимания к деталям.
- На уровне руководителя организации это недостаточное внимание и пренебрежительное отношение к процессу обеспечения информационной безопасности. В нашем случае часто надежда на русское «авось». Именно руководство организации должно задавать тон бережного обращения с информационными ресурсами для всех — от пользователей до системных администраторов.
К сожалению, с такими установками работать становится недопустимо, и в случае возникновения проблем это не только вопрос выживания «виновника» на рынке, но и источник все более серьезных проблем для всех, кто имел неосторожность с ним работать.
Последствия информационной халатности. Несколько примеров из жизни
Представьте, что вы устраиваетесь на работу в компанию, которая не считает важным использовать зашифрованный протокол обмена почтовым сообщениями. В рабочей переписке вы обмениваетесь личными данными и коммерческими тайнами клиентов, которые и не подозревают о том, что они могут стать чьим-то достоянием. Вы подключаетесь к публичной Wi-Fi сети в гостинице — и злоумышленник через стенку от вас получает в открытом виде все эти данные. Знай он что с ними делать, что будет дальше — можете представить сами.
Конечно, информационная халатность не ограничивается несоблюдением правил цифровой гигиены и основ безопасности. Чем сложнее и ответственнее система, тем больше специальных мер необходимо предпринимать для уменьшения различных рисков. И здесь приходят на помощь системы для защиты от DDoS-атак, от взлома и вторжений (WAF, IDS/IPS), от утечек данных (DLP) и прочие классы решений. Неоправданная экономия на этих инструментах, конечно, тоже чревата последствиями. Однако никакие инструменты не защитят систему, которая изначально плохо продумана с точки зрения информационной безопасности.
Пример из жизни № 1. Взлом Twitter, произошедший в этом году, в результате которого были размещены посты со сбором денег на аккаунтах около 50 знаменитостей, в том числе Билла Гейтса, Барака Обамы и Илона Маска. Можно установить десятки систем обеспечения безопасности, обнаружения вторжений, но и это не спасёт от того факта, что рядовой сотрудник имеет доступ к аккаунтам пользователей.
Взлом Twitter — один из показательных кейсов информационной халатности, где руководством сети не была продумана и реализована система внутренней защиты данных от самих сотрудников. После того как данный случай стал известен общественности, возникает следующие вопрос: а что если сотрудники Twitter имеют доступ и к личной переписке пользователей?
Однако информационная халатность может сыграть злую шутку с компании и в «обратную сторону».
Пример из жизни № 2. Несколько лет назад нашумел случай со взломом десятков аккаунтов iCloud знаменитостей и кражей тысяч частных фото. Несмотря на то, что взлом был произведен «со стороны» пользователей, а не самого сервиса (то есть взломали учетные записи конкретных людей), существенно пострадала в том числе и репутация Apple.
Тут мы видим информационную халатность со стороны самих юзеров, которые не позаботились о защите своих данных и скорее всего использовали простые пароли, не использовали двойную аутентификацию и хранили частные фото в облаке.
Пример из жизни № 3. В июне произошла еще более пугающая история невиданного ранее масштаба — все сервисы, колл-центр и производство компании Garmin, делающей умные часы и навигаторы, полностью остановилось из-за кибератаки — вирус WastedLocker зашифровал не несколько компьютеров, а всю корпоративную сеть. Для ликвидации последствий атаки компании пришлось провести многодневные работы, в том числе отправить часть сотрудников на производство в Азию.
Что мы тут видим? Скорее всего, у компании плохо выстроены процессы безопасности — не обновлялся софт, не были изолированы разные сегменты инфраструктуры, плохо построенная защита от угроз (таких как взлом и вирусы), не было надежной системы резервного копирования и т.д.
История не единична — жертвой WastedLocker и аналогичных вредоносных программ за последний месяц стало несколько компаний, у каждой из которых за расшифровку злоумышленники требуют от 500 тыс. до 15 млн. долларов. Одна из них — крупный Интернет-провайдер Telecom Argentina, где хакеры зашифровали данные на 18 тыс. компьютеров во внутренней сети.
Частота подобных инцидентов растет, в конце июля произошел еще один, на мой взгляд, довольно поучительный.
Пример из жизни № 4. Атака Meow. Ни для кого в ИТ не секрет, что серверное программное обеспечение реально обновляется гораздо позже, чем становятся доступны обновления безопасности. Сейчас у хакеров есть множество инструментов для автоматического поиска уязвимого софта с целью дальнейших деструктивных действий. В ходе упомянутого инцидента был осуществлен автоматический поиск и удаление более 4000 баз данных на базе ElasticSearch и MongoDB — без разбора, каким компаниям они принадлежат, и без какого-либо коммерческого интереса (злоумышленник не просил «выкуп» за восстановление данных).
В этом случае информационная халатность выражалась в том, что жертвы взлома не обновляли софт и не закрыли базы данных от внешнего использования файрволом.
Исходя из всех приведенных примеров напрашивается мысль о том, что понести ущерб от действий киберпреступников, причем серьезный, можно не только по своей, но и по чужой халатности, притом случайно, то есть без каких-либо предпосылок к этому.
Как избежать «информационной халатности»
Из всего вышесказанного, становится понятно, что в современном обществе утилитарного подхода к защите информации, когда средства вкладываются в безопасность только лишь для компенсации возможных материальных и репутационных потерь, становится недостаточно.
Более того, необходима борьба с информационной халатностью на всех уровнях — от ликвидации безграмотности обычных людей и отдельно — архитекторов, разработчиков и администраторов информационных систем, до государственного регулирования вопроса и привития населению ценностей, связанных с ответственным обращением с информацией.
На самом деле существует миллионы способов для борьбы с халатность. Если их перечислять, то можно написать книгу и скорее всего не одну. Но я бы выделил следующее:
- Думать о безопасности с самого начала проектирования IT-инфраструктуры — от момента ее построения и ввода в эксплуатацию до поддержки во время использования
- Своевременно обновлять софт
- Наладить надежное резервное копирование
- Обучать людей внутри компании информационной безопасности. Это касается не только технических специалистов, но и рядовых сотрудников. Весь штат работников должен знать о рисках несоблюдения цифровой гигиены.
Разумеется, для любого владельца или руководителя бизнеса забота о безопасности становится одной из первоочередных задач. И это хорошо, потому что если сегодня за информационную халатность можно поплатиться деньгами и репутацией (своими или чужими), то завтра это будет здоровье и жизни людей — стоит лишь вспомнить смарт-города, беспилотные автомобили и «умные» импланты.
Источник: Рамиль Хантимиров, CEO и со-основатель StormWall