Figure
19.08.2017

Сколько будем наступать на грабли информационной безопасности?

Компания товарища брата моей жены в мае 2017 подцепила WannaCry — пришлось поменять серверов на 18 000$. В июне 2017 его компанию пролихорадил Petya, и вместо преждевременно умерших серверов его руководство приняло решение «переехать в облако» («Ведь это надёжнее», — думали они :-)). Интересно, сколько денег они спустят, прежде чем поймут, что инфобезопасностью стоит заниматься системно?
До 2017 года ИТ-безопасность на предприятиях подразумевала наличие антивирусного ПО, шлюзования и приграничных устройств.
После двух успешно проведенных атак «нулевого дня» пришло осознание, что от подобных вторжений защититься чем-либо невозможно, т.к. о них заранее неизвестно. Их можно ограничить, локализовать, но не предотвратить. И единственное правильное действие после подобных событий — создание и проверка резервных копий, сегментация сети. Благодаря этим шагам нельзя предотвратить атаку (т.к. о ней ничего неизвестно), зато можно быстро восстановиться.
Поэтому в середине 2017 года все срочно побежали внедрять решения, которые закрывают явные векторы атаки — системы обнаружения и предотвращения вторжений (IPS, IDS), NG-файерволы. Т.е. начали работать с проблемой хаотично вместо того, чтобы подойти к этому комплексно и системно. Лишь единицы стали разбираться в том, что происходит на предприятии, как построена сеть, постарались сегментировать ее и пошли в сторону резервного копирования.
Насколько резервное копирование относится к информационной безопасности (ИБ) — вопрос спорный, т.к. ИБ предполагает предотвращение угрозы, а резервное копирование обеспечивает информационную независимость. В этом смысле к ИБ можно отнести лишь скорость восстановления после ЧП.
Ни одно предприятие в мире не застраховано от кибератак. Все может быть. Но самое обидное, что если повторится та же самая атака, то процентов 70 украинских предприятий, пострадавших от WannaCry и Petya, наступят на те же грабли.
Информационная безопасность — это не решение в коробке. Это комплекс мер плюс систематическая работа.
Начинать нужно с политик и правил. А также с осознания владельцами бизнеса ценности информации и стоимости простоя их предприятия. Только после этого можно двигаться в сторону ресурсов. Потому что все инструменты кибербезопасности (аппаратные, программные, комплексные) — это лишь автоматизаторы ранее написанных процессов: какие данные и кому можно передавать, как взаимодействовать с внутренними и внешними ресурсами и т.п.
Рекомендации по построению информационной безопасности можно получить в компании IT-Solutions. Мы разработали ряд пакетных предложений на основе анализа кибератаки Petya. В них входит описание и сегментации сети, описание процесса резервного копирования, создание системы резервного копирования и восстановления данных.
Каждой организации нужно что-то свое. Поэтому мы всегда разбираемся, какова ситуация на конкретном предприятии, принимаем во внимания все вводные и разрабатываем систему ИБ под определенный запрос.
Есть 4 шага, чтоб не допустить или ограничить потери от любой атаки «нулевого дня»: 
1) сделать описание существующей ИТ-инфраструктуры и сформировать предложения по ИТ-безопасности — это основа для дальнейшей работы;
2) выполнить сегментацию сети — благодаря этому зловред не сможет распространится по всей сети;
3) настроить систему резервного копирования с правильно организованным процессом: если случилось наихудшее, все поврежденные данные удаляются, а сохраненная информация восстанавливается из резервной копии с точкой актуальности 2-5 часов. Чем меньше в компании допустимое время простоя сервиса в случае сбоя (RTO — recovery time objective), тем больше потребуется инвестировать в СХД. Здесь важно, чтобы бизнес понимал насколько ценны для него данные, потерянные за предыдущий час/несколько часов/день, и в зависимости от этого на этапе планирования системы резервного копирования принимается решение о нужных объемах СХД;
4) организационный — постоянно проводить работу с пользователями и доносить до них правила и политики работы с информацией. Требовать беспрекословного выполнения этих нормативов.
Дальше нужно строить периметр защиты сети, создавать защиту пользовательских машин и мобильных устройств. Все описанные выше задачи можно поручить нам — в IT-Solutions работают профессионалы, которые готовы предоставить решение «под ключ».
Иван Зимин
технический директор IT-Solutions