• Поделиться:

    Информационная безопасность – это не разовый проект

    Дорис Маттеус, исполнительный директор предприятия FocusITФото: Калев Лиллеорг

    Предприятия используют охранные услуги для защиты своих физических активов и страхование для минимизации рисков. Однако они часто не осознают, что их бизнес на сегодняшний день зависит от информационных технологий в той же степени, что и от оборудования или зданий – об этом говорят Дорис Маттеус, исполнительный директор предприятия FocusIT, занимающегося информационной безопасностью, и Яан Оруаас, аудитор по информационной безопасности.

    «Возьмем, к примеру, металлообрабатывающую компанию. Может показаться, что информационная безопасность не имеет никакого отношения к металлообработке. При более внимательном рассмотрении выясняется, что у предприятия есть восемь станков с программным управлением и контракт с оборонной промышленностью», – поясняет Оруаас. Он поднимает вопросы, которые должен задать себе каждый руководитель такой компании: как управляются станки моей компании? Где находятся данные станка? У кого есть доступ к этим данным? Полностью ли я доверяю своему поставщику услуг, осуществляющему наладку, техническое обслуживание или модернизацию станков компании?
    «В паре компаний мы обнаружили открытые каналы, где кто-то посторонний «сидит» в компьютерной сети и читает все электронные письма. В том числе те, в которых руководитель компании обменивается тендерной информацией и рассылает предложения. Руководитель компании жаловался, что больше не выигрывает тендеры, поскольку конкурент всегда предлагает те же вещи, скажем, на евро дешевле и, таким образом, получит работу себе», – приводит Оруаас пример того, почему управление информационной безопасностью также необходимо на предприятиях в сфере строительства. промышленности, логистики или торговли.
    «Когда мы начинаем говорить с потенциальными клиентами об информационной безопасности, первое, о чем они думают – это секретность. И они утверждают, что у них нет ничего секретного. Фактически, всем компаниям в первую очередь необходимо, чтобы они могли использовать свои информационные активы (данные, инфосистемы и т. п.) для желаемых целей, и чтобы данные были правильными», – говорит Маттеус. Например, у компании в металлургической промышленности может не быть конфиденциальной информации, но для нее жизненно важно, чтобы станки работали – и именно так, как нужно.

    Самостоятельно можно и не заметить проблему

    Оруаас подчеркивает то обстоятельство, о котором часто не думают. Если информационные системы компании или учреждения будут захвачены злоумышленником, то среднее время обнаружения этого факта во всем мире составляет 9 месяцев. «Если оборудование украдено, это сразу видно. А если кто-то постоянно крадет информацию, об этом обычно узнают случайно и спустя долгое время. Систематически применяя меры информационной безопасности, можно значительно сократить это время», – добавляет Оруаас.
    Он также напоминает и о том факте, что, к сожалению, хакеры всегда на несколько шагов опережают администраторов и защитников информационных систем: «Например, сайт Дональда Трампа был захвачен непосредственно перед окончанием президентских выборов в США – несмотря на то, что в распоряжении президента находятся очень мощные учреждения этой сверхдержавы, занимающиеся кибербезопасностью. И всё равно сайт был захвачен», – констатирует Оруаас.
    И всё же жизнь злоумышленникам можно осложнить. «Эстонская полиция и Департамент государственной инфосистемы (RIA) хорошо справляются с информированием по информационной безопасности. Постоянно поступают предупреждения о различных видах атак – телефонном мошенничестве, мошенничестве по электронной почте и т. д. Каждый руководитель компании также должен следить за тем, чтобы уровень познаний сотрудников об этих атаках постоянно повышался – это помогает. Постоянное повышение осведомленности и построение собственной системы кибербезопасности способствуют защищенности», – говорит Оруаас.

    Информационная безопасность – это не проект

    Яан Оруаас, аудитор по информационной безопасностиФото: Кадри Лахтмаа
    В течение почти десяти лет предприятие FocusIT предлагает различным компаниям и учреждениям управление информационной безопасностью в качестве услуги, которую можно приобрести так же, как бухгалтерскую услугу. «Мы видим, что эстонские компании очень «тонкие», если можно так выразиться – в средних компаниях часто есть только исполнительный директор и, в лучшем случае, руководитель по информационным технологиям (ИТ-менеджер). Последний часто завален повседневными проблемами и задачами службы поддержки клиентов, и до стратегического управления информационной безопасностью у него не доходят руки», – констатирует Маттеус. Но расплата за это может быть болезненной. Маттеус говорит: «Может сложиться впечатление, что для защиты информации достаточно покупки новомодного сетевого экрана или антивируса. Но фактически, информационная безопасность – это рутинная деятельность, ключевым словом которой является постоянство». Технология и способы проведения атак постоянно меняются. Сами создатели информационных систем и прикладного программного обеспечения постоянно обнаруживают недостатки в безопасности своей продукции, и непрерывное исправление этих ошибок является частью их повседневной работы. Например, Adobe и Microsoft вносят сотни исправлений, связанных с безопасностью, в год. Никому не удается избежать постоянной работы в области информационной безопасности. «Если заниматься информационной безопасностью на проектной основе, когда остается время от других задач, можно быть уверенными в том, что риски при этом высоки», – отмечает Оруаас.
    Он приводит пример, когда предприятие заказало атаку со стороны компании мирового уровня, занимающейся кибербезопасностью. Работники предприятие не знали, когда на них нападут, они просто ждали и были полностью готовы к атаке. Но тогда атакующая сторона просто нашла способ перехватить права пользователя у одного из сотрудников этой компании. Оруаас говорит: «Мораль этой истории заключалась в том, что, хотя технически все было в порядке, еще не всё было безопасно. Сотрудник компании просто нажал на экранную кнопку, где это не надо было делать, или неправильно хранил свои пароли – и посторонние получили контроль над всей ИТ-системой компании».

    Что же делать?

    Один из вариантов – нанять человека или людей, которые будут постоянно заниматься информационной безопасностью. Другой вариант – приобрести соответствующую услугу. У обоих вариантов есть свои плюсы и минусы.
    Маттеус говорит: «При покупке услуги руководителю не нужно ежедневно заниматься планированием или мониторингом информационной безопасности. При этом за соблюдение правил информационной безопасности и принятие необходимых решений по-прежнему отвечает само предприятие, поскольку эти действия не могут выполняться внешней стороной. Однако внешняя сторона может дать руководителю уверенность в том, что все находится под контролем».
    Оруаас указывает на первую проблему, с которой сталкивается предприятие, понимающее необходимость информационной безопасности – с чего ему следует начать: «Так называемый страх перед чистым листом вполне объясним – вам предстоит задача, но вы не знаете, что делать, и с чего начать», – объясняет Оруаас. В этом случае стоит обратиться за помощью к специалисту. Такой специалист помогает выбрать верный путь и, при необходимости, способствует достижению результатов.
    Время от времени стоит привлекать внешних специалистов даже в том случае, если в компании есть ИТ-менеджер и руководитель по информационной безопасности. Так сказать, для двойного контроля. Оруаас добавляет: «В моей практике есть пример, когда в компанию пришел новый ИТ-менеджер, который решил с помощью внешнего партнера получить представление о ситуации перед тем, как приступить к работе. Предыдущий менеджер пробыл там очень долго и, как оказалось, попал в зону комфорта. Новый ИТ-менеджер обнаружил довольно много опасных дыр в безопасности», – отмечает Оруаас.
    На вопрос, как распознать, что ИТ-менеджер вашей компании попал в зону комфорта, Оруаас ответил, что проще всего заказать внешнюю независимую проверку: «Можно заказать у других компаний аудит или инспекцию, либо просто сказать – «атакуйте нашу компанию», не сообщая, что вы делаете, и кто вы». В государственном секторе, например, периодическое проведение внешнего аудита является обязательным.

    FocusIT – ваш партнер по информационной безопасности. Это предприятие помогает защитить ваши информационные системы и данные, то есть ваше имущество и вашу репутацию.

    Оцениваем ситуацию с информационной безопасностью на вашем предприятии и проводит ее аудит. Помимо прочего, оцениваем соответствие организации, баз данных и процессов стандартам информационной безопасности (ISKE, CIS, ISO/IEC 27001, NIST и т. д.).

    Консультируем и помогаем в построении и запуске системы управления информационной безопасностью.

    Ообучаем ваших сотрудников.

    www.focusit.ee

    Поделиться:

Стоимость нефти марки Brent достигла трехлетнего максимума
Цены на нефть растут четвертый день подряд – стоимость нефти марки Brent достигла почти трехлетнего максимума, пишет
Цены на нефть растут четвертый день подряд – стоимость нефти марки Brent достигла почти трехлетнего максимума, пишет
Передовая ДВ: неожиданно как снег зимой
Актуальность темы роста цен на электричество не спадает. За последние 2 недели мы побили все рекорды, и политики, наконец, забегали: начали писать письма, вносить рацпредложения. Вот только нынешнее повышение цен было столь же неожиданным как снег зимой.
Актуальность темы роста цен на электричество не спадает. За последние 2 недели мы побили все рекорды, и политики, наконец, забегали: начали писать письма, вносить рацпредложения. Вот только нынешнее повышение цен было столь же неожиданным как снег зимой.