Что включает в себя цифровая безопасность
Для руководителей – что такое информационная безопасность
Информационная безопасность – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать (понести убытки) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность просмотра, изменения или уничтожения информации лицами, не имеющими на это права, а также утечки информации за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Также к информационной безопасности относится защита информации от непреднамеренного уничтожения (технические сбои).
Защита информации – это совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.
Конфиденциальность – сохранение в секрете критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций).
Целостность – свойство, при наличии которого информация сохраняет заранее определенные вид и качество.
Доступность – такое состояние информации, когда она находится в том виде, месте и времени, которые необходимы пользователю, и в то время, когда она ему необходима.
Цель защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.
Официальная часть (процедура копировать-вставить с Интернетов) закончена. Теперь неофициальная. Из практики.
Статья эта написана для руководителей компаний, для которых правила НБ РК (регулятора) неприменимы.
Как большая часть руководителей (и не очень) понимают «информационную безопасность»?
Что имеют ввиду работодатели (компании), когда размещают вакансии с упоминанием словосочетания «Информационная безопасность»?
Из практики большая часть ассоциируют информационную безопасность с какими-то техническими средствами, например устройство защиты сети (firewall) или программным обеспечением по слежке за сотрудниками (так называемые DLP — data loss prevention) или антивирусом.
Вышеупомянутые средства относятся к информационной безопасности, но никак не гарантируют сохранность объекта защиты (информации), ее целостность и доступность. Почему?
По очень простой причине — обеспечение информационной безопасности — это процесс, а не какое-либо устройство, программное обеспечение, которые, как большая часть руководителей (и не только) думают, что являются панацеей и защитой.
Возьмем для примера небольшую торговую компанию, с количеством пользователей 50 штук. Под пользователями подразумеваются все сотрудники, имеющие доступ в информационную систему (ИС) компании посредством какого-либо устройства (компьютер, ноутбук, планшет, мобильный телефон). Под доступом в ИС подразумевается любой доступ — к электронной почте, в сеть Интернет, к базам данных, файлам и т.д.
Менталитет руководителей в наших компаниях (в том числе и нашем примере) в корне отличаются от западных — я босс, мне все можно. В том числе и неограниченный ничем доступ в сеть Интернет или возможность устанавливать любое ПО на компьютере. С точки зрения информационной безопасности — такой руководитель и есть основная угроза той самой информационной безопасности. Почему? Потому что он некомпетентен в вопросе информационной безопасности, и думает, как было сказано выше — что если есть системный администратор, либо какое-то дорогое устройство, которое он недавно купил по рекомендации того же системного администратора — все это ДОЛЖНO обеспечить ту самую информационную безопасность. Могу сказать, что ни один специалист и ни одно дорогое устройство вас не спасет от того, если преднамеренно на вашу почту (например mail.ru — так любимую всеми) злоумышленник отправит какое-либо вредоносное ПО, которое не будет вирусом, а например будет каким-то скриптом, который через ваш компьютер позволит получить доступ в вашу ИС. Вы скачиваете файл со своего почтового ящика mail.ru (например он называется «Требования к поставщику.doc» — скрипт запускается (без вашего ведома естественно).
Злоумышленник таким образом получает доступ в вашу сеть, впоследствии тихо разворачивает свою деятельность и вуаля! В один «прекрасный» день вы вдруг обнаруживаете (нужное подчеркнуть):
Многие возмутятся — все это страшилки. Аргументы обычно следующие:
Резервные копии
Резервное копирование — это один из самых основных способов защиты информации — ее целостности, доступности и сохранности.
Устройство безопасности (firewall)
Антивирус
Сколько людей — столько и антивирусов. Антивирус, как было сказано выше, не панацея. Это лишь одно из средств обеспечения безопасности информации, которое не исключает и не отменяет соответствующую настройку операционных систем, групповых политик, прав доступа, регламентированные процедуры резервного копирования, обучение и информирование пользователей основам информационной безопасности и прочие меры, которые могут укрепить бастион информационной безопасности.
Нужно ли вам нанимать сотрудника, специально занимающего информационной безопасностью, либо срочно бежать и закупать маски устройства безопасности (firewall) и антивирусы, чтобы обеспечить информационную безопасность?
Нет. На первом этапе ничего покупать, никого нанимать и делать прочие необдуманные действия — не надо.
Далее приведем упрощенный алгоритм действий, которые необходимо предпринять для построения системы информационной безопасности.
Если ответ на вопрос 0 — «как обычно», можете дальше не терять свое драгоценное время и не читать.
1. Определитесь, что и зачем защищать. Документ, который это описывает обычно называется «Политика информационной безопасности». Документ не описывает каких-то конкретных мер, технических устройств, настроек и прочих действий, требуемых для обеспечения защиты информации.
2. Составьте список ресурсов (технических средств и программного обеспечения) которые имеются в компании. Часто в требованиях к соискателям упоминается перечень ПО и оборудования «Kerio FW, Cisco, Mikrotik, Ubuntu, pfsense» и т.д. Вы что, серьезно думаете, что все это имеющееся у вас в наличии, вас защитит? Скорее наоборот.
3. Создайте и обсудите матрицы доступа пользователей (клиентов, партнеров и т.п.) к информационной системе. Что такое матрица доступа: это когда есть четкий документ кто, куда и какого уровня имеет доступ к ИС системе.
4. Создайте документ, регламентирующий процедуру резервного копирования.
5. Создайте документ, где описываются все средства обеспечения ИБ — физические, технические, программные, административные.
6. Подготовьте и проведите обучающие занятия по информационной безопасности для сотрудников предприятия. Проводите их ежеквартально.
7. Поинтересуйтесь у ответственного сотрудника, сможет ли он обеспечить весь процесс самостоятельно или это требует привлечения третьей стороны (либо найма дополнительного сотрудника)
8. Протестируйте свою ИС на проникновение (так называемый penetration test).
9. Создайте, либо внесите корректировки в следующие документы:
11. Улыбнитесь. Не так страшен черт, как его малюют, если у вас есть хорошо структурированная, прозрачная, понятная и управляемая информационная система. Понятная как для вас (руководителя), для ваших пользователей (сотрудников) ну и надеемся для вашего системного администратора.
Что такое цифровая безопасность: термины и технологии
В этом материале мы расскажем, что такое цифровая безопасность, какие термины нужно знать, чтобы разбираться в этой теме. Также дадим рекомендации по базовой и дополнительной безопасности, которые помогут защитить данные на ваших устройствах и в Интернете.
Цифровая безопасность – это комплекс мер, направленных на защиту конфиденциальности, целостности и доступности информации от вирусных атак и несанкционированного вмешательства.
Сегодня у многих организаций крайне развитая IT-инфраструктура. Поэтому шансы, что хотя бы один компьютер может заразить всю сеть, увеличиваются. В этом случае каждому сотруднику важно соблюдать цифровую безопасность. Иначе репутация всей организации может оказаться под угрозой. Стоит помнить, что любое устройство, как служебное, так и личное, может стать каналом атаки и угрозой.
Теплица рекомендует регулярно делать аудит безопасности и повышать личную компьютерную грамотность.
Категории защиты
1. Базовая безопасность. Это первостепенные действия по защите компьютера.
2. Цифровая гигиена. В эту категорию входят действия не обязательные, но крайне желательные.
Дополнительная безопасность
Работа в Сети
Почта, онлайн-документы и мессенджеры
Термины, которые стоит знать
Шифрование данных – обратимое преобразование информации в целях сокрытия от не авторизованных лиц с предоставлением в это же время авторизованным пользователям доступа к ней.
HTTPS – это зашифрованный способ передачи информации. В отличие от обычного соединения по HTTP, ваши данные будут зашифрованы перед отправкой. Соединение по HTTPS убережет вас от подмены сайта его копией.
Полная резервная копия диска – процесс, который помогает восстановить операционную систему после атаки, со всем набором программ и настроек.
VPN (от англ. Virtual Private Network – виртуальная частная сеть) – это технология, которая позволяет проложить виртуальный кабель через Интернет в вашу удаленную сеть (сервер).
Двухфакторная идентификация – это дополнительный уровень безопасности ваших аккаунтов. Он гарантирует, что доступ к вашей учетной записи сможете получить только вы, даже если пароль известен кому-либо еще.
Безопасность онлайн: бреши, дыры, беспечность и бдительность в цифровую эру
Цифровая безопасность – это то, как мы обеспечиваем сохранность своих личных данных, имущества и технологий в Интернете. В начале 2000-х годов среднестатистический компьютерный пользователь и владелец модема чувствовал, что выполнил долг перед самим собой, установив бесплатную версию антивирусной программы.
Сегодня этих мер недостаточно, чтобы оставаться в относительной безопасности. В мире тотальной цифровизации и связанных с нею угроз действуют значительно более сложные правила цифровой гигиены.
Неизменным остается одно: обеспечение безопасности пользователя, в первую очередь, – дело рук самого пользователя.
Когда все только начиналось, взломы личных компьютеров или веб-ресурсов в основном были хулиганством и редко наносили значительный ущерб. Но вид «продвинутых» пользователей, тестирующих Интернет на прочность, эволюционировал вместе со средой.
И пока одни из нас могли полностью потерять ориентир на виражах развития компьютерных технологий, другие изучали все тонкости и уязвимости системы.
Современный компьютерный взломщик – это совсем не озорник и пакостник. Так называемые «черные хакеры» – это изощренные преступники, перед которыми стоят конкретные задачи, связанные, например, с личным обогащением.
Для этих целей они стремятся получить доступ к конфиденциальной информации, установить удаленный контроль над компьютером или сайтом или полностью заблокировать доступ к ним.
Даже если сайт или компьютер не представляет никакого интереса с точки зрения финансовой наживы, он может стать объектом атак новичков в «профессии», оттачивающих свои навыки на плохо защищенных ресурсах.
Иногда взломщики пытаются пополнить подконтрольные им компьютерные мощности: использовать ваш компьютер для совершения DoS-атак, создания ботнетов, майнинга криптовалют, заражения других компьютеров.
При этом жертвой взлома может пасть не только компьютер и лаптоп, но и смартфон или планшет. Как ожидается, этот ряд будет только расширяться с развитием интернета вещей.
По предсказанию Forbes, к 2025 году в мире будет насчитываться 80 миллиардов различных приспособлений, подключенных к Сети. И каждое может быть однажды скомпрометировано.
Как они это делают
Некоторые схемы нарушения цифровой безопасности не новы, как компьютеры, или стары, как мир. Так, фишинг – это, по сути, древний способ выудить нужную информацию, втершись в доверие.
Мошенники пытаются узнать пароли, PIN-коды или кодовые слова путем подлога. Это может быть фальшивое электронное письмо от банка с просьбой пройти по ссылке или позвонить по телефонному номеру. Обычно это заканчивается необходимостью ввести свой пароль.
Фишинг – пример социальной инженерии создания условий для достижения определенного результата с использованием технологий, а также различных видов манипуляции. В одной категории с фишингом стоят, например, телефонный фрикинг – взлом телефонных сетей и претекстинг – получение конфиденциальной информации с помощью притворства.
Другие мошеннические схемы – изощренные новинки, эксплуатирующие самые мелкие уязвимости в цифровой инфраструктуре, малопонятные простому пользователю.
Bait and switch – метод взлома, переживающий бум на фоне взрывного развития онлайн-маркетинга. Мошенники покупают место для своего рекламного баннера, а при его нажатии пользователь переносится на сайт, где его ждет вредоносное ПО.
Или Сlickjacking – метод взлома, при котором преступник заменяет интерфейс сайта на подложный, таким образом направляя пользователя на враждебный ресурс.
Cookies – фрагменты кода, хранящиеся на компьютерах. Их назначение – облегчать взаимодействие с вебсайтами, поэтому они содержат массу информации о пользователе, что делает их ценным пакетом данных.
Кража cookies – еще один популярный метод нарушения цифровой безопасности. Заполучив эти данные, злоумышленник может, например, выйти в ваши аккаунты в социальных сетях.
Вирусы и программы-вымогатели буквально берут данные пользователя в заложники. Вымогатели получают доступ к ценной информации и блокируют ее до тех пор, пока им не выплачивается выкуп.
Другой вариант такого вымогательства – угрозы обнародовать некую компрометирующую информацию, полученную путем взлома видеокамеры или другим обманным методом.
Масса опасностей подстерегает пользователей беспроводным Интернетом, особенно открытых WiFi-точек в общественных местах. Компьютер с уязвимостями, например, с устаревшей версией программного обеспечения, может завершить свой вояж по беспроводной сети с неприятным «уловом».
Взломщики применяют Fake WAP – создают фальшивую точку WiFi, подключившись к которой пользователь открывает «дверь» в свой девайс.
Snooping and sniffing – это вынюхивание. Взломщик буквально подслушивает и подглядывает, чем занимаются подключенные к незащищенной WiFi-точке пользователи и регистрирует передаваемую их компьютерами информацию.
При этом обнаружить постороннее присутствие практически невозможно. Через незащищенные сети можно запросто подцепить вирус или зловредное ПО всех видов: «троян», «червя», программу-вымогатель и далее по списку.
Основы основ
Приемов для совершения взлома, а также получения доступа к конфиденциальной информации множество. Но, как пишет Rapid 7, это все-таки конечный список. Преступники редко прибегают к кардинально новым методам. Они полагаются на проверенные трюки, известные своей эффективностью.
Поэтому и большинство основных правил, создающих слой защиты вокруг данных онлайн, остались неизменными с ранних дней Интернета. Например, не загружать сомнительный софт.
Если что-то устанавливается на компьютер или смартфон, то это должны быть проверенное программное обеспечение или приложение из официальных источников.
Другая неизменная составляющая обеспечения своей безопасности в Сети – пароли. В 2007 году интернет-пользователю необходимо было иметь дело в среднем с 8 паролями. В 2014 году это число достигло 19, и большинство из них не отвечает самым минимальным требованиям безопасности.
Как пишет How to Geek, “qwerty”, “password” и “12345” продолжают занимать ведущие по популярности позиции среди паролей.
Между тем стандартом на сегодня считается шести- или восьмизначный непредсказуемый набор знаков, среди которых должны встречаться заглавные и прописные буквы, цифры и символы.
При этом многие системы просто-напросто блокируют пароли, вроде “Password1” или “Qwerty123”, которые настойчиво пытаются протащить ленивые пользователи. В идеальном мире юзер не повторяет пароли, поскольку если один его аккаунт будет скомпрометирован, под угрозу попадут и все остальные.
Примерный пользователь, заботящийся о своей безопасности онлайн, использует генератор паролей и менеджер паролей, например, Dashlane.
Резервные копии всего, что дорого сердцу, – еще один нестареющий платиновый стандарт. И пока многие пользователи продолжают игнорировать необходимость создавать бэкапы жесткого диска своего компьютера, ряд девайсов, которым необходимы регулярные резервные копии, пополнился планшетами и смартфонами.
В том, что касается беспроводных сетей, Norton рекомендует придерживаться простых правил поведения:
В таких случаях в адресной строке http:// сменяется на https://, а сайт помечается как безопасный. В идеале для подключения к открытым точкам эксперты рекомендуют использовать VPN – виртуальные частные сети.
Смартфоны и «умные вещи»
Взлом компьютеров – это старый тренд. Новомодные хакерские атаки направлены на подрыв смартфонов. Помимо стандартных программ-вредителей, маскирующихся под благопристойные приложения, все большее распространение получает «серое ПО» (greyware), чуть менее зловредное, но не менее неприятное программное обеспечение.
В легких случаях оно может приносить с собой водопад назойливой рекламы, в тяжелых – передавать третьим сторонам телефонные номера и другую информацию.
По данным Norton, такое ПО может содержать до 55 процентов приложений для Android.
Фишинг для смартфонов называется смишингом. Послания приходят в виде смс, в остальном схема та же. Так что старые добрые правила относительно поведения онлайн распространяются и на смартфоны: по странным ссылкам лучше не ходить, адреса в адресной строке вбивать самому, с финансовыми институтами общаться напрямую по официальным каналам, а также помнить, что обычно банки и подобные им организации стараются всячески избегать такой корреспонденции.
Планшеты зачастую оказываются сравнимы, если не более уязвимы, чем и компьютеры, и смартфоны. Так, недавно Avast Threat Labs опубликовала исследование, согласно которому значительная часть планшетов на Android может быть заражена вредоносным ПО, которое было установлено еще на фабрике.
В основном это гаджеты из более дешевого ряда, не сертифицированные Google.
Avast обнаружила не менее 18 тысяч скомпрометированных девайсов в Германии, России, Великобритании и США, фабричный софт на них содержал ПО для распространения рекламы.
В 2016 году Олег Селаев, разработчик Oracle Labs, написал вирусный твит: «Буква «б» в термине «интернет вещей» обозначает «безопасность», намекнув, что безопасность здесь отсутствует, как и сама буква.
Как ожидается, в будущем взломы «умных вещей» станут все более частыми и опасными. Пока самые громкие «хаки» носят скорее показательный характер.
Сдвиг компьютерных преступлений в сторону подрыва интернета вещей Gartner предсказывает последние несколько лет, а информация о скандальных уязвимостях и грубых нарушениях основ безопасности в различных девайсах появляется практически ежедневно.
При этом недопустимо низкий уровень защищенности обнаруживается в таких критически важных девайсах, как кардиоимпланты, камеры для мониторинга детских и автомобили.
Третья сторона
Часто даже самому бдительному и опасливому интернет-пользователю ничего не остается, как полагаться на милость и здравый смысл более крупных агентов, которым он вверяет личные данные: банка, социальной сети, благотворительной организации.
Между тем подрывы корпоративной цифровой безопасности вышли на принципиально новый уровень, поскольку ставки здесь как никогда высоки. Размах утечек личных данных пользователей теперь измеряется миллионами аккаунтов и миллиардами по размерам ущерба.
Размах таких нарушений безопасности можно отслеживать в реальном времени. Дата-блог Information is Beautiful ведет практически прямую трансляцию таких утечек по всему миру.
Необходимо также быть готовым к тому, что и сами агенты, получающие наши данные, могут быть не слишком чистоплотны, когда речь заходит о хранении, обработке и передаче информации.
Сам пользователь может бороться с этим, постоянно контролируя свой цифровой отпечаток: по максимуму использовать настройки приватности, делать покупки только на сайтах, использующих SSL, и лишний раз не делиться данными, которые хочется сохранить в тайне.
Но в глобальном масштабе регулирование этих процессов лежит в зоне ответственности правительств и или наднациональных образований.
Путем первопроходца здесь идет Еврокомиссия. Недавно вступил в силу ее наделавший много шума «Общий регламент по защите данных» (GDPR) – попытка передать гражданам Евросоюза больший контроль над тем, кто и для каких целей собирает и хранит их персональные данные.
На подходе другой акт – «Регламент электронной защиты права на личную жизнь», который обещает быть еще более суровым.
Проблема защиты права на личную жизнь действительно очень близко подходит к вопросу обеспечения сохранности размещаемой в Интернете информации. В Сети имеют место разнообразные виды преследований: от кибер-запугиваний до кибер-домогательств.
Новый термин в этом ряду – doxing. Он происходит от слова docs – сокращения английского слова documents и обозначает поиск в открытых базах данных и других источниках личной информации о человеке.
Сам по себе doxing нейтрален и может применяться как с благими намерениями, например, для оценки рисков или бизнес-анализа, так и с целью вымогательств или принуждения.
Эва Гальперин, директор по кибербезопасности фонда Electronic Frontier, считает, что контроль над такими данными – это опять же обязанность самого пользователя: «Люди находят то, что вы уже рассказали о себе сами». Она считает, что doxing может нанести особый ущерб, если человек привлек или планирует привлечь к себе повышенное внимание общественности.
По словам Гальперин, в таких случаях необходимо заранее позаботиться об открытой информации: «Гуглите себя, закрывайте личные страницы, усложняйте доступ к информации о себе. Люди должны знать, какие именно данные о них лежат в открытом доступе».
Помните, что, когда вы размещаете фотографии в Instagram, пишете посты в Facebook, рассказываете в Twitter о своем местонахождении, кто-то может взять эту информацию, поместить в некий контекст и – раз! – вы стали жертвой доксинга».
Безопасность мыслей
XXI век называют веком мозга и когнитивных наук. И это обстоятельство также может быть чревато последствиями с точки зрения цифровой безопасности.
Мошенническая деятельность здесь может быть не связана с прямым воровством, но фальшивые сенсации и сообщения могут помогать злоумышленникам накручивать трафик, рейтинги в поисковых системах, привлекать рекламодателей и заманивать пользователей в ловушки фишинга и других схем.
Более того, все чаще высказывается мнение, что целенаправленная дезинформация похожа на «взлом» мышления, когда знания о когнитивных особенностях мозга в сочетании с технологиями приводят к манипуляциям общественным мнением и сознанием, последствия которых могут оказаться самыми непредсказуемыми.
Дэнни Роджерс, основатель Tebium Labs и специалист по «теневому Интернету», считает самым успешным в истории компьютерным взломом события, предшествовавшие президентским выборам в США в 2016 году.
Тогда в ведущих социальных медиа через фейковые аккаунты велась масштабная кампания по дезинформации. По мнению Роджерса, мы должны начать воспринимать фальшивые новости как атаку на целостность данных.
Это позволит нам эффективно противостоять дезинформации, поскольку мы сможем задействовать против нее весь тяжелый арсенал методов обеспечения цифровой безопасности.