В статье представлен алгоритм по повышению информационной безопасности в компаниях среднего и малого бизнеса. Рассмотрены основные угрозы, возникающие в различных предприятиях, связанных с интернет преступниками и методы их предотвращения. В анализе алгоритма стоит реальный двухлетний опыт работы системным администратором. Установлены оптимальные действия, при которых данные компании будут в безопасности.
Ключевые слова: информационная безопасность, внутренняя сеть, базы данных, сайты, фишинг, вирусы, угроза.
Актуальность исследования.
В современной реалии, когда информационные технологии по всюду. По исследованию 2GIS [1], проведенном в 2014 году, половина всех российских предприятий имеет сайт, а каждая компания имеет свою it- технологию, будь то один стационарный ПК или система серверов, сайтов и платформ. Но все их объединяет, то, что каждая компания нуждается в защите. Так, по данным аналитики Сбербанка [2] в 2018 году количество атак на малые и крупные предприятия сравнялись, при этом, по исследованию Лаборатории Касперского [3] в 2019 году, далеко не все небольшие предприятия задумываются на тему того, чтобы обеспечить собственную интернет безопасность, а именно 93 % организаций уровень защищенности внутренней сети низкий или крайне низкий.
Кроме этого, были опрошены 19 системных(технических) администраторов, работающих не в IT компаниях. Опрос состоял из одного вопроса, а именно: «повышаете ли Вы информационную безопасность вашего предприятия?» Двенадцать из них дали отрицательный ответ, пятеро сказали, что нет не повышаем, но нас просят это делать, и лишь двое дали положительный отклик.
Введение.
В настоящее время существует множество определений словосочетания «Информационная безопасность»:
− практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. [4]
или
− состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений. [5]
Довольно сложно держать нить определения, читая их до конца.
Более простое и понятное определение ИБ (информационной безопасности) звучит так:
−Информационная безопасность — это процесс обеспечения: конфиденциальности, целостности и доступности информации.
В случае с компаниями среднего и малого бизнеса алгоритмы по обеспечению ИБ означают, что, информация компании, которая не должна попасть в третьи руки, будет доступна только сотрудникам компании (или доверенным лицам), так же все данные компании всегда доступны и целостны. Поэтому наше исследование направлено на то, чтобы предприятие имело возможность улучшить свою киберзащиту.
Рассмотрим основные угрозы для современных компаний среднего и малого бизнеса:
- Взлом сайта
- Фишинг
- Пропажа данных из облачных и внутренних баз данных
- Быть зараженным вирусом и вредоносной программой
- Прямые хакерские атаки
Объектом исследования стали две компании: ООО «ПромСтройСертификация» [6] и ООО «СМК-Центр» [7]. В данный момент по описанному в статье алгоритму их данные ни разу не были подвержены повреждены (с момента последнего информационного сбоя в октябре 2017).
Результатом исследования служит построенный, на основных угрозах для компаний вышеуказанного бизнес- сегмента, постепенный алгоритм улучшения информационной безопасности компании:
Первое, с чего хотелось бы начать, это взлом сайта, с последующими манипуляциями данных компании. По данным НАФИ [8] за 2018 год, каждый пятый сайт российских компаний был атакован извне.
Разберемся в чем основная опасность первой угрозы. Сам взлом направлен на получение доступа к личным кабинетам пользователей и их конфиденциальной информации, тем самым давая возможность действовать от их лица, проводить финансовые махинации и подвергать риску репутацию компании.
Решение заключается в обновлении паролей раз в месяц. Входе во внутренний аккаунт только из рабочей сети. А также настройка защищенного доступа https, делается это для того, чтобы данные, передаваемые через Ваш сайт, шифровались и не могли попасть в третьи руки.
Следует указать также, что вход во внутренний аккаунт лучше производить только с рабочего ПК. Повышает угрозу взлома сайта еще то, что малые предприятия не могут позволить каждому сотруднику иметь рабочий ПК, а угроза заражения/ получения пароля у индивидуального пользователя со своим ПК намного выше, чем если бы он имел отдельный компьютер для работы.
Вторая проблема из нашего алгоритма — это заражение вирусами и вредоносным ПО. Основной опасностью является вирус вымогатель. Кибертеррористы шифруют данные жесткого диска ПК и требуют оплату за дешифровку. Вирусом вымогателем можно заразиться не только из-за установки фальшивой программы, но также, из-за открытия вложений в незнакомой электронной почте. Фишинговые письма максимально маскируются под официальную переписку, заставляя Вас открыть вложение или перейти по ссылке.
Кроме этого, есть фишинговые веб-сайты, содержащие вредоносный код, который ищет уязвимости в операционной системе и браузере, но об этом после. Большинство заражений вирусом-вымогателем (да и просто вирусом) происходит из-за обмана пользователя.
Решением может быть уведомление всех сотрудников об опасности открытия подозрительных вложениях в письмах. Кроме этого, очень важно обновлять ПО. Дело в том, что катастрофические вирусы вымогатели WannaCry и NotPetya использовали уязвимость в Windows, которая была исправлена задолго до того, как эти атаки начались, тем самым, огромное количество пользователей могли быть в безопасности если бы вовремя обновили версию Windows. Также полезно иметь резервные копии файлов. Обязательно надо иметь внешний жесткий диск, не подключенный ни к одному компьютеру компании, который синхронизируется вручную со всеми важными данными компании.
Третья итак же часто встречающаяся проблема — это пропажа данных. Многие компании дублируют свои данные на хранилищах в облаке. Соответственно получение доступа к облаку злоумышленниками может подорвать работу компании. Так же, многие компании настраивают синхронизацию с локальным диском и облаком, чтобы работать удаленно. Это опасно, так как при изменении данных в облаке возникает опасность изменения всех данных компании.
Обходом опасности автоматической двухсторонней синхронизации можно решить путем построения «треугольника» синхронизации. То есть облако автоматически синхронизируется с локальным диском, с которым работают сотрудники компании в онлайн режиме, раз в неделю системный администратор производит синхронизацию этого локального диска с дополнительным. Тем самым в случае уничтожения данных с облака и удаления их с основного локального диска, больший массив файлов сохранится на втором дополнительном диске и копании надо будет восстановить лишь малую часть от всех данных. Кроме этого, внутренняя сеть компании должна иметь внутреннюю, гостевую сеть, чтобы при подключении к сети постороннего пользователя он не имел возможности просматривать/ редактировать локальные сетевые диски. Также защитой от угрозы потери данных является регулярное обновление и использование только лицензированного ПО. Следует помнить о том, что нужно «удалять» из баз данных ушедших работников. Злоумышленники могут через их ПК получить доступ к интернет данным компании, завладеть полным доступоп и совершать манипуляции с файлами. В базе данных пользователей может висеть огромное количество паролей, что повысит угрозу удачной атаки и получений доступа к информационной среде.
Четвертым внашем алгоритме,ине менее распространенном видом информационных угроз являются вышеупомянутые фишинговые сайты. Суть фишига — обман. Злоумышленники создают сайты, похожие на официальные сайты компаний. Они опасны тем, что пользователь может авторизироваться на поддельном сайте и предоставить свои личные данные хакерам. Хорошо сформированные фишинговые сайты за короткое время могут нанести финансовый ущерб клиентам и репутационный крах компании. Сумма ущербов обычно небольшие, но количество жертв исчисляется тысячами, например, некоторые успешные фишинговые страницы были доступны менее суток, но смогли нанести ущерб на суммы от 1 000 000 рублей.
Первым в списке решений фишинговой проблемы — настройка ip-фильтрации на маршрутизаторе. Это делается путем указания в адресной строке IP адреса маршрутизатора и авторизации для входа в web-интерфейс. После этого следует указание «черного» списка нежелательных IP-адресов к которым доступ из внутренней сети компании будет закрыт. Таким образом, системный администратор может предохранить переходы из внутренней сети на заранее известные поддельные сайты или сайты с большим количеством рекламы, например соц. сети, видеохостинги и пр. Так же на каждый браузер (Google Chrome, FireFox) компьютеров компании следует установить специальное расширение «Cryptonite by MetaCert», целью которого является блокировка и поиск фишинговых сайтов. Данное расширение было разработано специально для работы с криптовалютой. И как это не банально звучит обращайте внимание на ссылки. Большинство фишинговых сайтов можно определить самостоятельно
Пятая ипоследняя угроза — это хакерские атаки . Следует отметить, что сейчас ресурсы всех компании подвержены риску быть атакованными, вспомним атаки WannaCry и ExPetr, их совместные убытки (более 1 млрд. долларов США произвел ущерб вирус WannaCry) . Хакерские атаки в 2018 году затронули 62 % компаний. 22 % из опрощенных понесли прямые финансовые убытки (исследовательский центр Positive Research [9]). Средняя сумма убытка в целом по стране — около 300 тыс. рублей.Существует несколько типов хакерских атак, самые распространенные это: Bruteforce (грубая сила), Intrusion.Win (WannaCry и ExPetr) и DDOS атака. По данным «Лаборатории Касперского», в 2017 году каждая третья российская компания (36 %) подвергалась DDoS-атаке. Последняя направлена не на получение данных, а на приостановления работы интернет ресурсов, будь это сайт, инфраструктура, DNS. Успешная атака Bruteforce.Generic.RDP позволяет злоумышленнику получить удаленный доступ к целевому хост-компьютеру. Так же надо помнить про регулярные хакерские атаки на MailRu Group, произошедшие за первую половину 2020 года.
Рассмотрим возможные решения. Чтобы понизить угрозу успеха Bruteforce атаки требуется установить время срабатывания пароля, тогда на подборку паролей потребуется много больше времени. Так же следует указать Возможность отката всей системы (сайта, баз данных), что полезно против всех хакерских атак (для малых и средних предприятий это намного легче сделать нежели на крупных корпорациях). Кроме этого, а также, самое простое это «сложный» пароль admin’a, он необходим для усложнения его подбора
Вывод
- Информационной угрозе подвержены все предприятия, вне зависимости от их направления
- Описаны основные проблемы ИБ, с которыми может столкнуться компания
- Выявлены основные действия, повышающие информационную защищенность предприятия
- Следования вышеописанному алгоритму снижает риск пострадать от угрозы IT угрозы
Литература:
- https://stat.2gis.ru/research/
- https://www.sberbank.ru/ru/about/analytics
- https://www.kaspersky.ru/
- https://ru.wikipedia.org/
- https://www.sites.google.com/site/anisimovkhv/learning/kripto/lecture/tema1
- https://ps-s.ru/
- https://center-smk.ru/
- https://nafi.ru/
- https://www.ptsecurity.com/ru-ru/research/
