Цель нашей компании - предоставление качественных услуг и долгосрочное сотрудничество по комплексному сопровождению ИТ-инфраструктуры..

Безопасность ИТ инфраструктуры

Безопасность ИТ инфраструктуры
Виды информационной безопасности
Способы обеспечения ИБ
Защита банк-клиентов
Аутсорсинг управления информационной безопасностью

По информационной безопасности (ИБ) написано немало книг и статей. Известно много случаев краж данных, несанкционированного доступа к счетам банков, воровства разработок и технологий. При этом в небольших компаниях считают, что им не угрожает опасность. Руководители полагают: «Кому мы нужны, у нас нечего воровать», и не уделяют должного внимания серьезной проблеме.

Любой организации необходима защита от внешних и внутренних угроз, таких как: проникновение компьютерного вируса, отказ техники, случайное или преднамеренное удаление ценных сведений, утрата ключей банк-клиентов и т.д. Каждая из перечисленных опасностей способна остановить работу фирмы на неопределенный срок, что повлечет потерю клиентов, невыполнение обязательств, упущенную выгоду. К тому же восстановление работоспособности (если это возможно) часто требует значительных средств, причем сиюминутно.

Другое заблуждение состоит в том, что ИБ потребует больших затрат: на закупку оборудования и программного обеспечения (ПО), принятие на работу дорогостоящего специалиста и т.д. Но это ошибочное мнение. Скромными вложениями и соблюдением некоторых процедур можно заметно повысить качество ИТ инфраструктуры.

Виды информационной безопасности

Определим, что подразумевается под безопасностью в информационных технологиях. Мероприятия по ее поддержанию направлены на сохранение:

  • конфиденциальности информации;
  • доступа к информации;
  • бесперебойного функционирования оборудования и ПО;
  • контроля над банковскими счетами и финансовыми инструментами.

При этом следует соблюдать баланс - средства и методы достижения безопасных условий не должны сильно осложнять повседневную деятельность.

Рассмотрим каждый из перечисленных пунктов по отдельности.

Сохранение конфиденциальности

подразумевает, что запрашиваемые сведения доступны только пользователям, которые объективно нуждаются в них. Например, работающие в отделе закупок вправе узнать контрагентов-поставщиков, но им не обязательно знать покупателей. Это гарантирует относительную секретность клиентской базы. Как минимум, уволившийся работник отдела закупок не продаст ее конкурентам. Зачастую малый бизнес пренебрегает конфиденциальностью, оправдывая это тем, что «все тут свои». Но такое отношение заканчивается после первого же инцидента.

Меры по сохранению доступа к информации

обеспечивают ее постоянную доступность для сотрудников, обладающих соответствующими правами. Другими словами, софт и регламенты отвечают за ситуацию, при которой важные сведения не будут утеряны. Как правило, этому виду ИБ уделяют достаточное внимание, т.к. большинство руководителей понимает важность бухгалтерской и управленческой документации.

Меры по обеспечению правильной работоспособности оборудования и ПО

По сути, являются защитой от воздействия вирусов и нежелательных программ, также вредных действий собственного персонала, умышленных или неумышленных. Тоже нередко игнорируются, т.к. считается, что устранять подобные проблемы - прямая забота системных администраторов, а предпринимаемые действия (разрешение на запуск программ только из разрешенного списка) слишком усложняют жизнь законопослушным коллегам. Хотя истинная задача сисадмина - предотвращать опасные казусы, а не устранять последствия чужого вторжения или собственной беспечности.

Меры, направленные на сохранение контроля над счетами

Наверное, важнейшие, т.к. их несоблюдение ведет к непосредственным денежным потерям. Проще говоря, злоумышленники получают контроль над счетом, и выводят деньги в тот момент, когда много накопится.

К примеру, перед днем выплаты заработной платы. Зачастую начальники халатно относятся к безопасности по двум причинам. Считают, что банк уже позаботился о ней, а организация маленькая, поэтому вряд ли на ее финансы позарятся взломщики. Оба этих довода несостоятельны. Банкиры, конечно, заботятся о клиентах, и прикладывают усилия, чтобы не скомпрометировать надежность виртуального соединения. Но это сравнимо с ключами от квартиры - даже если на двери надежный замок, при потере связки на улице воспользоваться находкой в силах кто угодно.

Целевые атаки, направленные на конкретных жертв - редкость, т.к. дорого стоят. Как правило, взломы проводятся в массе, атакующий не знает, атакует крупную организацию или маленькую. Просто проверяет на прочность некоторый пул компьютеров, даже не зная, принадлежат они юридическим или физическим лицам. Поэтому риск одинаковый для любого бизнеса, независимо от размеров.

Способы обеспечения ИБ

Практически, все методы обеспечения безопасных условий влияют на все виды ИБ, поэтому приведем их единым перечнем, не разделяя на отдельные направления.

  • Забор администраторских прав у рядовых коллег. Это распространенное упущение, когда бухгалтер или менеджер по продажам получает возможность устанавливать и удалять ПО на рабочем месте, или даже управлять фирменной сетью. Такая серьезная брешь несет существенную угрозу, поскольку процессы, выполняемые на вычислительной машине, автоматически приобретают высшие привилегии. С вредоносной страницы может удаленно запуститься установка «троянского коня», который начнет рассылать спам или перехватывать важные коммерческие данные в сетевом окружении. Если он проникнет, то прочно внедрится в систему, так как администраторские привилегии это разрешают. Да, в конце концов, сам оператор может случайно удалить важные файлы, и остановить работу, пока не переустановят ОС. Не редкость, когда даже сисадмины работают с повышенными правами, от чего уровень опасности просто зашкаливает. Правильный шаг - ограничение пользовательских прав. Тогда работник не сможет самостоятельно устанавливать софт (и не должен это делать), не навредит компьютеру в результате злого умысла или непреднамеренно. Большинство вирусов не активизируется с ограниченными привилегиями, даже если они проникнут через компьютерную сеть. Если внедрена доменная структура (Active Directory), то разумным вариантом защиты было бы ограничение на запуск программ. Скажем, бухгалтеру с рутинными обязанностями разрешается использовать 1С, MS Word, MS Excel и 7-zip. Тогда невозможно выйти в Интернет, так как использование браузеров не разрешено. Следовательно, не запустится ни одно вредоносное ПО. Даже если сотрудник опытный, все равно предпочтительно работать с правами простого пользователя. Если же ему нужно устанавливать программы, пусть работает с учетной записью, отличающейся от стандартной.
  • Установка антивируса. На рабочих станциях, файловых и терминальных серверах ставят корпоративный антивирус последнего поколения. В идеале, на шлюзе, выпускающем в Интернет, можно установить альтернативный антивирус, так будет проводиться двойная проверка трафика. Но антивирус никак не панацея, а лишь минимальная необходимость в рамках ИБ.
  • Отключение встроенной учетной записи Администратора и Гостя на серверной и остальной технике. Это предотвращает подбор паролей способом последовательного перебора (брутфорс).
  • Размещение общих папок на файловых серверах, а не в ПК, которыми ежедневно пользуются сотрудники. В идеале, на рабочих станциях размещают только малоценную информацию. Представляющую ценность хранят на серверах и каталогизируют, т.к. даже с доменной инфраструктурой сложно гарантировать полную неуязвимость десятков станций, не говоря уже о сотнях.
  • Хранение критически важных данных в специально выделенной базе, а не в общих папках. По нескольким причинам. Во-первых, доступна гибкая настройка прав. Приведем пример: список клиентов представлен в виде папки, в которой лежат вордовские *.doc файлы с реквизитами компании и контактами клиентуры. При увольнении нелояльный сотрудник может скопировать папку на флешку, либо выложить в Интернете. При наличии внешней базы данных сотруднику легко запретить просмотр полного списка контрагентов, и можно показывать их по одному, когда это необходимо в процессе работы. Кража клиентской базы хотя бы займет продолжительное время. Во-вторых, в современных базах данных хранится история изменений полей таблиц, что крайне полезно при их умышленной порче - тогда просто отменяют изменения, сделанные недобросовестным человеком. Также хранятся сведения о запросах на чтение, без внесения изменений в таблицы. Это помогает заметить нестандартную активность пользователя, выяснить причины, и предпринять защитные меры
  • Резервное копирование важной информации и серверных операционных систем. Причем не просто настроенное, а с составлением четкого плана. С пониманием того, за какой период времени удастся восстановить утерянную информацию. При этом программа резервного копирования отправляет сообщения админу при удачном и неудачном копировании. Он соответствующим образом реагирует на уведомления об ошибках, или на отсутствие отбойника о правильном завершении задания. Иногда можно вручную проверять резервные копии, т.е. эмулировать процедуру восстановления файлов.
  • В том случае, если к серверам организован доступ из сети Интернет, предпринимают соответствующие меры. Какие - зависит от типа сервера. Например, если он терминальный, убеждаются, что работает через VPN, либо используется двухфакторная авторизация. Если же это невозможно, то устраивают соединение через нестандартный порт, и блокируют попытки грубого подбора админского пароля.
  • Настройка в «политиках» установки только сложных паролей, с большим количеством букв и цифр. Если этого не сделать, то пользователи предпочитают задавать легкие для взлома, вроде «12345», или совпадающие с пользовательским логином.
  • Усложнение паролей на периферийном и сетевом оборудовании. Нельзя оставлять простые. Это распространенное упущение администраторов. Устройства вроде бы никто не пытается взламывать, что расслабляет ответственный персонал. К подверженной опасностям технике относятся шлюзы, IP-телефоны, что приводит к заражению программной прошивки. В итоге - к несанкционированным звонкам с огромным расходом денег, и невозможностью потом доказать свою правоту.
  • Регулярная установка обновлений. ПО должно постоянно обновляться, особенно это касается операционных систем. Администрация зачастую не обновляет его, по принципу наименьшего вмешательства. Мол, если устройство функционирует, не стоит ничего трогать, поскольку можно навредить. Такой подход неправильный, т.к. неполадки вызывает массовая установка обновлений, когда на одну ОС ставят сразу 100-300 патчей. Если же обновления устанавливают в плановом порядке, по 5-15 штук за один раз, проблемы исчезают. В мае 2017 года прошла всемирная эпидемия червя WannaCry, который зашифровал файлы на сотнях тысяч вычислительных машин. Особенность червя-вымогателя заключалась в том, что он проникал без участия человека. Уязвимая техника просто подключалась к Интернету, с прямым IP-адресом. Этого хватало для заражения. Сразу после атаки выпустили обновление, закрывающее уязвимость.
  • Обучение работающих с ПК азам компьютерной грамотности. Злоумышленники зачастую прибегают к социальной инженерии, от которой невозможно защититься техническими средствами. Воздействуют на слабые стороны людей, с тонким знанием психологии. Например, присылают письмо, в котором выступают представителями юридической службы конкурента (банка, налоговой инспекции и т.д.), и требуют в срочном порядке ознакомиться с посланием, поскольку уже собираются подавать на фирму-адресата в суд. А вместо документа к письму в приложении прикреплен вирус. Даже опытные люди попадаются на такую уловку, т.к. прочитав упоминание о суде, сразу теряют бдительность.
  • Наблюдение за показателями функционирования техники. Учитывают степень загрузки процессора, занятый объем оперативной памяти, подозрительные серверные процессы. Чтобы наблюдать, используют специализированный софт, или действуют вручную (при малом количестве устройств). Существуют вирусы, которые не наносят вреда «хозяину», но используют его технические мощности - брутфорсят, генерируют криптовалюту (биткоины), устраивают DOS-атаки. При невнимательности подобную активность можно долго не замечать. Уязвимость же остается, и аналогичным образом со временем проникнет другой вредоносный софт.

Защита банк-клиентов

Перечень полезных мероприятий можно продолжить. До сих пор рассматривались простейшие, азы ИБ, которые учитывают в первую очередь. Отдельного внимания заслуживает взаимодействие с банк-клиентами и прочими финансовыми инструментами. К ним предъявляются дополнительные требования, помимо упомянутых выше.

  • ПК, чаще для этих целей используют ноутбук, с банк-клиентом применяют только для проведения банковских операций.
  • Физический ключ извлекают после окончания сеанса связи с банк-клиентом.
  • Каждому использующему банк-клиент выдают собственный ключ, и неповторимую комбинацию логина и пароля. Недопустимо давать одинаковый ключ нескольким людям.
  • С компьютера открывают доступ к сайтам банк-клиентов, а к остальным ресурсам в локальной и глобальной сети запрещают.
  • Работники, пользующиеся банк-клиентом, обязаны запоминать логины и пароли. Записывать где бы то ни было недопустимо.
  • Закрывают входящие порты на ПК. Это предотвращает сканирование портов, чем часто увлекаются злоумышленники.
  • Выход в локальную сеть тоже закрывают.
  • Если необходим обмен с внешним миром, например, по 1С в бухгалтерии, или распечатка платежных ведомостей - такое взаимодействие специальным образом продумывают, и безопасно организуют в каждом конкретном случае.

Аутсорсинг управления информационной безопасностью

Чтобы обеспечить базовую безопасность, не требуются затратные инвестиции. Для того чтобы выполнить перечисленные пункты, достаточно ответственного подхода со стороны менеджмента компании. Если администрирующий персонал тщательно исполняет обязанности, трудится на совесть, и правильно настраивает «политики», успех обеспечен. Важна поддержка со стороны руководства, с которым согласовывают мероприятия.

Наши специалисты при постановке на обслуживание большинство из этих пунктов выполняют бесплатно, для приведения к стандарту. Дальше раз в месяц проверяют соответствие рекомендациям в рамках аудита безопасности. Пункты, выполнение которых требует финансовых затрат, выносятся в «проблемы» и сообщаются руководству компании раз в месяц. При необходимости просчитываются и внедряются проектные решения.