Сколько будем наступать на грабли информационной безопасности?

До 2017 года ИТ-безопасность на предприятиях подразумевала наличие антивирусного ПО, шлюзования и приграничных устройств.

После двух успешно проведенных атак «нулевого дня» пришло осознание, что от подобных вторжений защититься чем-либо невозможно, т.к. о них заранее неизвестно. Их можно ограничить, локализовать, но не предотвратить. И единственное правильное действие после подобных событий — создание и проверка резервных копий, сегментация сети. Благодаря этим шагам нельзя предотвратить атаку (т.к. о ней ничего неизвестно), зато можно быстро восстановиться.

Поэтому в середине 2017 года все срочно побежали внедрять решения, которые закрывают явные векторы атаки — системы обнаружения и предотвращения вторжений (IPS, IDS), NG-файерволы. Т.е. начали работать с проблемой хаотично вместо того, чтобы подойти к этому комплексно и системно. Лишь единицы стали разбираться в том, что происходит на предприятии, как построена сеть, постарались сегментировать ее и пошли в сторону резервного копирования.

Насколько резервное копирование относится к информационной безопасности (ИБ) — вопрос спорный, т.к. ИБ предполагает предотвращение угрозы, а резервное копирование обеспечивает информационную независимость. В этом смысле к ИБ можно отнести лишь скорость восстановления после ЧП.

Ни одно предприятие в мире не застраховано от кибератак. Все может быть. Но самое обидное, что если повторится та же самая атака, то процентов 70 украинских предприятий, пострадавших от WannaCry и Petya, наступят на те же грабли.

Информационная безопасность — это не решение в коробке. Это комплекс мер плюс систематическая работа.

Начинать нужно с политик и правил. А также с осознания владельцами бизнеса ценности информации и стоимости простоя их предприятия. Только после этого можно двигаться в сторону ресурсов. Потому что все инструменты кибербезопасности (аппаратные, программные, комплексные) — это лишь автоматизаторы ранее написанных процессов: какие данные и кому можно передавать, как взаимодействовать с внутренними и внешними ресурсами и т.п.

Рекомендации по построению информационной безопасности можно получить в компании IT-Solutions. Мы разработали ряд пакетных предложений на основе анализа кибератаки Petya. В них входит описание и сегментации сети, описание процесса резервного копирования, создание системы резервного копирования и восстановления данных.

Каждой организации нужно что-то свое. Поэтому мы всегда разбираемся, какова ситуация на конкретном предприятии, принимаем во внимания все вводные и разрабатываем систему ИБ под определенный запрос.

1) сделать описание существующей ИТ-инфраструктуры и сформировать предложения по ИТ-безопасности — это основа для дальнейшей работы;

2) выполнить сегментацию сети — благодаря этому зловред не сможет распространится по всей сети;

3) настроить систему резервного копирования с правильно организованным процессом: если случилось наихудшее, все поврежденные данные удаляются, а сохраненная информация восстанавливается из резервной копии с точкой актуальности 2-5 часов. Чем меньше в компании допустимое время простоя сервиса в случае сбоя (RTO – recovery time objective), тем больше потребуется инвестировать в СХД. Здесь важно, чтобы бизнес понимал насколько ценны для него данные, потерянные за предыдущий час/несколько часов/день, и в зависимости от этого на этапе планирования системы резервного копирования принимается решение о нужных объемах СХД;

4) организационный — постоянно проводить работу с пользователями и доносить до них правила и политики работы с информацией. Требовать беспрекословного выполнения этих нормативов.

Дальше нужно строить периметр защиты сети, создавать защиту пользовательских машин и мобильных устройств. Все описанные выше задачи можно поручить нам — в IT-Solutions работают профессионалы, которые готовы предоставить решение «под ключ».

Иван Зимин

технический директор IT-Solutions