Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение

 

 
Руслан Рахметов, Security Vision

Как уже было отмечено в предыдущей части, угроза безопасности информации возникает при наличии следующих компонент: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Рассмотрим данные компоненты угроз подробнее.

Источником угрозы могут являться внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы. Методические документы ФСБ РФ и ФСТЭК России классифицируют внутренних и внешних нарушителей по признаку нахождения в пределах (внутренние) и за пределами (внешние) контролируемой зоны организации, т.е. пространства, в котором исключено бесконтрольное пребывание посторонних лиц. Такое определение, однако, не учитывает размытость или даже отсутствие информационного периметра практически любой современной компании, поэтому предлагается в данном случае рассматривать принадлежность к категориям нарушителей шире.

Внешние нарушители не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией. Такие нарушители не имеют легитимного доступа к объекту защиты - информационному активу. Исключением могут быть пользователи предоставляемых информационных сервисов, которые могут иметь легитимный доступ к системе (например, к системе дистанционного банковского обслуживания, интернет-магазину, личному кабинету и т.д.), однако они должны быть тем не менее рассмотрены как внешние нарушители, в отличие от сотрудников компании, которые также могут иметь доступ к аналогичным сервисам, но с, как правило, расширенными административными или техническими полномочиями. Внешние нарушители классифицируются по квалификации, возможностям и мотивации. Нормативные документы российских государственных регуляторов классифицируют возможности злоумышленников по наличию у них физического или логического доступа к объекту защиты, по широте полномочий этого доступа (пользовательский, административный, уровень разработчика или архитектора), по уровню подготовленности и квалификации злоумышленника, а также по наличию возможностей, в том числе финансовых, осуществлять взлом, реверс-инжиниринг, целенаправленное деструктивное воздействие на объект защиты самостоятельно или с привлечением научных или государственных организаций.

Таким образом, краткий неисчерпывающий список внешних злоумышленников для, например, крупного банка, может быть следующим (от наименее опасных к наиболее опасным): 

  • случайный посетитель веб-сайта банка, открывший большое количество  «тяжелых» страниц или запустивший сложный поиск по документам на сайте;
  • зарегистрированный посетитель веб-сайта, случайно нашедший ошибку программирования или отображения контента и пытающийся купить валюту по некорректной цене или просмотреть личные кабинеты других клиентов;
  • подросток, прочитавший некоторое количество материалов про взлом информационных систем и решивший воспользоваться автоматическим сканером уязвимостей для проверки сайта банка с целью удовлетворения собственного интереса;
  • хакер-самоучка, понимающий некоторые принципы работы и защиты IT-систем и применяющий автоматизированные средства для кибератак в целях повышения собственных криминальных навыков, возможного получения несанкционированного доступа и некоторой личной материальной выгоды;
  • киберпреступники  «среднего звена», заинтересованные прежде всего материально, осуществляющие установку приобретенных на чёрном рынке скиммеров на банкоматы или POS-терминалы, применяющие методы социальной инженерии при осуществлении мошеннических звонков и рассылки сообщений клиентам банка;
  • нанятые конкурентами злоумышленники, осуществляющие деструктивное воздействие (например, DDoS-атаки) или компрометацию ресурсов (например, публикацию персональных данных клиентов в открытом доступе) в целях дискредитации банка, нанесения репутационного ущерба и провоцирования оттока клиентов;
  • высококвалифицированные хакеры, осуществляющие целевые атаки на банковский сектор, применяющие вредоносное ПО собственной или заказной разработки для атак, возможно сотрудничающие с инсайдерами в банке; такая группа нарушителей может быть заинтересована не только материально, но и может использовать взломанные информационные системы банка для атаки на другие учреждения для получения еще большей выгоды или ценных сведений;
  • международные хакерские группы, обладающие экспертными компетенциями в поиске и эксплуатации уязвимостей IT-систем, осуществляющие взломы в целях как материальной выгоды, так и нематериальной - например,  «хактивисты» могут атаковать системы для получения инсайдерских сведений о состоянии как отдельного кредитно-финансового учреждения, так и всей отрасли в целом, а также в целях нарушения функционирования и вывода информационных ресурсов из строя;
  • организованные группы киберсолдат и киберармии, спонсируемые на государственном уровне, пользующиеся знаниями и компетенциями научно-исследовательских учреждений, осуществляющие длительные и глубоко законспирированные операции по кибершпионажу и внесению деструктивных системных изменений, которые могут быть затем использованы для парализации деятельности системообразующего банка или даже отдельных сфер деятельности на государственном уровне.
Мерами противодействия внешним нарушителям является практически весь спектр  «классических» способов обеспечения информационной безопасности: разработка и внедрение внутренних регламентирующих документов, средств защиты информации, мер активного противодействия, реагирования и расследования киберинцидентов и т.д. Организациям следует проводить регулярную оценку собственной подверженности риску атаки внешних злоумышленников, при которой следует учитывать сферу деятельности, зависимость от информационных технологий, публичность, привлекательность для атакующих, широту поверхности потенциальной атаки. В целом, именно внешние нарушители являются самым непредсказуемым и бесконтрольным фактором киберриска для компаний, требующим реализации самых современных мер и способов защиты.

Внутренними нарушителями могут считаться физические лица - сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией: аутсорсеры, подрядчики, поставщики, заказчики - в общем, все лица, которые имеют внутренний доступ к защищаемому информационному активу. Как правило, внутренние нарушители отличаются хорошими знаниями о работе атакуемого актива, имеют или могут сравнительно легко получить к нему доступ, причем зачастую санкционированный и с расширенными полномочиями, а в случае работы на верхних ступенях иерархии в компании - ещё и противодействовать мерам защиты или расследования. Связанные компании могут представлять угрозу не только из-за возможного умышленного воздействия, например, выполнения  «заказа» конкурентов или правительства своей юрисдикции, но и по причине неумышленного предоставления своей инфраструктуры в качестве плацдарма для атак внешних злоумышленников - например, хакеры зачастую скрытно закрепляются в системах взломанной организации для дальнейших атак на связанные или аффилированные компании, с которыми установлены доверенные технические соединения, такие как VPN или службы федерации, или каналы поставок оборудования или услуг. Поставщики услуг, оборудования или персонала несут в себе риски информационной безопасности - известны случаи, когда причинами утечек становились поставщики IT-сервисов (атака на систему бронирования для сети отелей Marriott в 2018 году), производители вспомогательного оборудования (атака на американского ритейлера Target в 2013 году с использованием украденных учетных данных поставщика систем кондиционирования) и сотрудники компании-подрядчика (утечка данных в АНБ США, осуществленная сотрудником подрядной организации). Стоит отметить, что провайдеры облачных сервисов также попадают в категорию потенциальных внутренних нарушителей, чему может свидетельствовать большое количество утечек данных из некорректно сконфигурированных облачных хранилищ.

При рассмотрении внутренних нарушителей из числа сотрудников компании их называют инсайдерами и классифицируют по степени целенаправленности и злонамеренности действий: инсайдер может быть как всего лишь халатным рядовым сотрудником, неумышленно допустившим утечку информации, так и прекрасно осознающим последствия своих деструктивных действий топ-менеджером. В настоящее время принята следующая условная градация инсайдеров, учитывающая их психологический портрет вкупе с мотивацией:
  • Халатные - сотрудники, неумышленно допускающие нарушения в области информационной безопасности по причине низкой квалификации и неосведомленности в вопросах защиты информации: они могут потерять носитель с рабочими документами, переслать файл себе на личную почту или в публичное облачное хранилище для работы с ним из дома, а также открыть ссылку из фишингового письма или раскрыть важную информацию по телефону незнакомцу, представившемуся топ-менеджером.
  • Саботирующие - нелояльные сотрудники с низкой мотивацией, затаившие обиду на руководство или коллег, стремящиеся отомстить за  «несправедливость» в их отношении или иным образом саботировать работу компании в меру своих возможностей из-за личного неприязненного к ней отношения.
  • Увольняющиеся - планирующие увольняться работники, которые стремятся унести с собой как можно больше «собственных наработок», которые могут пригодиться им на следующем месте работы. Такие сотрудники зачастую забывают о том, что все результаты их трудовой деятельности, в том числе интеллектуальные, принадлежат работодателю, и поэтому в последний рабочий день они могут попытаться скопировать содержимое всего рабочего ПК и сетевого диска на личный носитель.
  • Целенаправленные - самая опасная группа инсайдеров, представляет собой материально заинтересованных нелояльных сотрудников, зачастую обладающих расширенными полномочиями в силу их служебного положения, которые преследуют личные корыстные интересы и продают конфиденциальные сведения заинтересованным покупателям, работают на конкурентов и осуществляют запланированные и оплаченные ими  «сливы» и диверсии или даже специально устраиваются в интересующую их настоящих  «работодателей» компанию для промышленного шпионажа.
В качестве мер противодействия внутренним нарушителям, включая инсайдеров, применяются как организационные, так и технические мероприятия. Среди последних можно отметить такие меры, как установка специализированных систем защиты от утечек данных (DLP - Data Loss Prevention), контроля учетных записей (IAM - Identity & Access Management), систем мониторинга и учета рабочего времени сотрудников с записью производимых действий. Следует также иметь ввиду, что подобные системы могут быть успешно применены для борьбы и с внешними угрозами - например, попавшее в систему шпионское ПО будет вести себя как типичный инсайдер: сканировать корпоративную ЛВС, искать ценную информацию в сети и локально, пытаться передать найденные данные наружу. Кроме того, функционал записи действий на ПК поможет контролировать деятельность подрядчиков и аутсорсеров в IT-системах организации, а также при расследовании произошедших инцидентов, в том числе и при киберкриминалистическом исследовании рабочей станции. В качестве организационных мер борьбы с внутренними угрозами можно выделить проведение проверок соискателей при приёме на работу, психофизиологические исследования с применением полиграфа, обучение и регулярное повышение осведомленности работников в области информационной безопасности и требований организации по работе с информацией, введение и поддержание режима коммерческой тайны, а также непрерывное обеспечение и контроль кадровой и психологической безопасности членов коллектива - выявление негативных тенденций, работа с негласными информаторами, взаимодействие с формальными и неформальными лидерами коллективов. Для минимизации рисков, порожденных юридическими лицами, связанными договорными отношениями - аутсорсерами, подрядчиками, поставщиками или заказчиками - применяются как описанные выше технические меры, так и административные: проводится проверка благонадежности контрагентов, анализируется история и возможности поставщиков, оцениваются возможные риски оказания тех или иных услуг определенным лицам, а также может проводиться аудит информационной безопасности поставщиков и подрядчиков, причем все указанные выше проверки следует проводить на регулярной основе. Следует отметить тенденцию последнего времени, которая подчеркивает важность подобного подхода - стандартизация методов оценки и управления риском привлечения сторонних организаций: ЦБ РФ выпустил стандарт СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге», а международный стандарт ISO 27036 можно использовать для управления информационной безопасностью при взаимодействии с поставщиками услуг, в том числе и с провайдерами облачных сервисов (руководствуясь ISO 27036-4:2016).

Третьими лицами - еще одной категорией источников угрозы - можно считать органы государственной власти, которые формально не входят в число потенциальных внешних нарушителей, однако последствия от их вмешательства в работу компании могут быть соразмерны с воздействием стихийного бедствия. Не секрет, что вынесенное предписание о приостановке деятельности компании на даже относительно непродолжительный срок, например, на 30 суток, может фактически означать уход компании с рынка. Такими же последствиями может обернуться выемка оборудования (рабочих станций, серверов), опечатывание серверных, арест ключевых руководителей компании. Мерами минимизации рисков, порожденных воздействием третьих лиц, должны быть как неукоснительное выполнение всех требований действующего Законодательства, так и непрерывные внутренние compliance-проверки. Кроме того, некоторые компании дополнительно выбирают путь децентрализации используемой IT-инфраструктуры, полный переход на облачные сервисы, усложнение структуры владения и управления компанией, а также создают специальные политики реагирования в случае проведения оперативных мероприятий (Dawn Raid Policy).

Наконец, силами природы в контексте категоризации угроз являются стихийные бедствия, такие как природные и техногенные катастрофы, а также социальные катастрофы: эпидемии, военные действия, теракты, революции, забастовки, которые являются обстоятельствами непреодолимой силы (форс-мажорами). Для минимизации рисков данных происшествий зачастую требуются большие финансовые вложения, а также учет данных рисков на начальных этапах развития компании: следует тщательно выбирать месторасположение офисов с учетом местности, близости других учреждений и объектов инфраструктуры, погодных условий, состояния государства и социума, учитывать прогнозы экономического и социального развития конкретного региона присутствия. При выборе офиса следует учитывать конструкцию арендуемого или покупаемого здания, расположение внутренних критических объектов, таких как серверные и кабинеты топ-менеджеров, наличие продуманной системы охраны с помощью дверей, турникетов, шлюзов и датчиков присутствия/движения/взлома, систем освещения, видеонаблюдения, вентиляции, оповещения и пожаротушения. Кроме того, следует оценить стойкость конструкций здания к возможным внешним воздействиям при катастрофе (например, сейсмостойкость). Компании, обладающие определенными финансовыми возможностями, могут также задуматься о создании резервных площадок (т.н. Disaster Recovery Sites), которые могут представлять собой как полноценное готовое офисное здание с установленным оборудованием, так и здание/помещения лишь с подготовленными СКС и коммуникациями или даже просто взятые в долгосрочную аренду помещения на случай чрезвычайных обстоятельств. При этом, разумеется, нельзя забывать о сохранности систем и данных и о возможности оперативно развернуть их на новой площадке. Стандартной практикой подготовки к воздействию таких источников угроз являются разработка, тестирование и постоянная актуализация политик, планов и процедур обеспечения непрерывности и восстановления деятельности (Business Continuity и Disaster Recovery Policies). Все предпринятые и задокументированные меры следует регулярно тестировать как с помощью полномасштабных проверок с временным переносом работы всей компании на запасную площадку, так и с помощью куда менее затратных виртуальных учебных тревог, когда  «на бумаге» или вживую тестируется поведение сотрудников и ответственных за эвакуацию лиц.

Кроме минимизации рисков воздействия стихийных бедствий описанными выше способами, компании могут выбрать также и еще один способ обработки данных рисков - страхование. При продуманной и грамотно выбранной схеме страховых выплат можно нивелировать ущерб от воздействия непреодолимых сил на бизнес. Однако, любому руководителю и сотруднику всегда стоит помнить о том, что жизнь человека бесценна по сравнению с даже самым прибыльным бизнесом, поэтому при любых обстоятельствах спасение жизней и здоровья людей должно быть первым приоритетом.