с 01.01.2021 по настоящее время
Москва, Россия
ВАК 08.00.05 Экономика и управление народным хозяйством
ВАК 05.13.00 Информатика, вычислительная техника и управление
ВАК 05.13.19 Методы и системы защиты информации, информационная безопасность
ВАК 08.00.10 Финансы, денежное обращение и кредит
ВАК 08.00.12 Бухгалтерский учет, статистика
ВАК 08.00.13 Математические и инструментальные методы экономики
ВАК 08.00.14 Мировая экономика
УДК 33 Экономика. Народное хозяйство. Экономические науки
УДК 00 Наука в целом (информационные технологии - 004)
ГРНТИ 06.01 Общие вопросы экономических наук
ОКСО 27.04.07 Наукоемкие технологии и экономика инноваций
ББК 73 Научно-информационная деятельность
BISAC COM COMPUTERS
BISAC BUS BUSINESS & ECONOMICS
. В статье рассмотрены основные проблемы утечки данных в фирмах, сформулированы основные принципы рационализации, в т.ч. в разрезе векторов развития осведомленности в области информационной безопасности. Отмечена важность расширения бюджета, выделяемого на развитие информационной безопасности, взаимодействия с ответственными за информационную безопасность на объекте сотрудниками, сотрудниками отдела кадров. Сделан акцент на необходимость разработки индикаторов компрометации инсайдерских данных в целях развития системы прослеживаемости данных. В заключении работы сделаны выводы и сформулированы предложения по модернизации системы обеспечения информационной безопасности.
Информационная безопасность, утечка данных, внутренний нарушитель, повышение осведомленности ИБ
Когда дело доходит до инсайдерских угроз безопасности данных, слишком многие организации отрицают это. Не все сотрудники будут использовать данные компании, но велика вероятность того, что, если вы не примете надлежащих мер предосторожности, сотрудники намеренно или случайно подвергнут риску ваш ценный IP-адрес.
Это не вопрос мнения: неопровержимые факты говорят сами за себя. Согласно последнему отчету Verizon о расследовании утечек данных, процент утечек данных, вызванных инсайдерами, вырос до 34% в 2018 году с 28% в 2017 году.
Рисунок 1 Классификация утечек данных по источникам
Учитывая, что чуть более трети всех утечек данных происходят по вине инсайдеров, угроза слишком серьезна, чтобы ее игнорировать. Тем не менее, хотя многие компании понимают риск, они недостаточно серьезно относятся к угрозе, а те, кто это делает, не уверены, как наилучшим образом справиться с этой проблемой.
Ставки высоки. По некоторым оценкам, 70% стоимости публично торгуемых компаний составляет интеллектуальная собственность в виде патентов, авторских прав, коммерческой тайны и другой информации. В половине случаев утечки данных общий ущерб бизнесу обычно превышает 800 000 фунтов стерлингов.
Если компании собираются защитить себя от потери данных, они должны признать две неприятные истины:
Вполне вероятно, что любая конкретная компания страдает от потери или кражи данных со стороны увольняющихся сотрудников в этот самый момент. Целых 72% увольняющихся сотрудников признаются в краже данных компании, а 70% случаев кражи интеллектуальной собственности происходят в течение 90 дней до объявления об увольнении сотрудника.
Традиционная тактика предотвращения потери данных не работает. Почему традиционная тактика не работает? Одна из причин заключается в том, что они полагаются на сотрудников для классификации данных, что никогда не срабатывало. Более того, когда сотрудник действительно нарушает политику компании, реакция заключается в блокировании его доступа к данным. Этот ответ в корне противоречит атмосфере сотрудничества и совместного использования на современном рабочем месте. Затем должны быть предоставлены исключения, что оставляет компанию открытой для риска потери данных.
Риски велики: просто подумайте о том, что недавно произошло с McAfee. McAfee считается лидером в области предотвращения потери данных, но недавно компания подала иск против трех бывших сотрудников, обвиняемых в краже коммерческой тайны и якобы передаче их конкуренту McAfee.
В эту эпоху, когда данные можно перемещать одним щелчком мыши, важно, чтобы все организации внедрили стратегию защиты от потери данных, которая обеспечивает простое и быстрое обнаружение и реагирование, чтобы организации могли защитить себя от обычной потери данных инсайдерами.
Как показывают исследования и недавние заголовки, организации должны обладать такой способностью, чтобы снизить риски дорогостоящих судебных исков или потери ценной интеллектуальной собственности конкурентами.
Этой инициативой должна руководить ваша команда по информационной безопасности. Ядром этих усилий станет создание общеорганизационной политики в отношении кражи инсайдерских данных, которая включает в себя обучение сотрудников.
Удивительно, но 72% работников умственного труда считают, что данные, которые они создают и которыми управляют на работе, принадлежат им! Рассмотрим идею художника, нанятого для написания чьего-то портрета. Очевидно, что этот портрет принадлежал бы человеку, который заплатил за него, даже несмотря на то, что его создал художник. То же самое и с работниками экономики знаний. Списки клиентов, инженерные проекты, результаты исследований и анализа и другие данные принадлежат компании, а не работнику. Компании должны информировать об этом своих сотрудников.
Чтобы прояснить это, требуется официальная, подробная, письменная политика в отношении того, какие данные сотрудники могут забрать домой или с собой, когда они уходят, и какие данные должны остаться. Эта политика должна быть частью адаптации новых сотрудников, обучения по вопросам безопасности и увольнения сотрудников.
Затем требуется разработать индикаторы компрометации инсайдерских данных. Эти показатели будут отличаться от организации к организации. Политика должна включать поиск признаков необычной активности, таких как увеличение объема передаваемых данных, доступ к файлам в нерабочее время или попытки переименовать интеллектуальную собственность во что-то безобидное, например, семейные фотографии или музыку.
Хотя общие правила важны, не менее важно установить правила, которые фокусируются на типах файлов, в которые, вероятно, вложена интеллектуальная собственность. Это может быть визуализация Системы автоматизированного проектирования (далее – САПР) для архитектурной фирмы, в то время как для фармацевтической компании это могут быть годы исследований лекарств. Что бы это ни было для вашего бизнеса, убедитесь, что вы можете отслеживать активность этих файлов.
Наконец, создайте машину времени данных. Это заблуждение, что увольняющиеся сотрудники будут красть данные после того, как они подадут уведомление или за несколько дней до своего последнего рабочего дня. На самом деле кражи часто происходят гораздо раньше — уже в тот день, когда они начинают искать нового работодателя.
По моему опыту, многие организации не начинают отслеживать использование данных сотрудниками до тех пор, пока сотрудник не уведомит их об этом или не будет отправлен на какой-то испытательный срок. Этого просто недостаточно. Лучше всего оценивать их действия за несколько месяцев до того, как они подали уведомление.
Фактически, предприятия должны создавать процесс для каждого случая увольнения работника, независимо от того, добровольно он уходит или нет. Это процесс, который должен инициировать отдел кадров. В большинстве компаний существует процесс адаптации сотрудников, но лишь в немногих есть аналогичные процессы для увольняющихся сотрудников. Это нужно изменить. Рабочий процесс увольняющегося сотрудника должен включать в себя не только такие вещи, как отказ от предоставления доступа, но и анализ их действий по доступу к данным. При обнаружении подозрительного перемещения файлов следует обратиться в отдел кадров и/или в юридический отдел, чтобы решить, как реагировать.
В то время как многие организации совершают ошибку, сосредотачиваясь на заголовках, в которых освещаются изощренные внешние злоумышленники, они упускают из виду реальный риск, создаваемый их доверенными инсайдерами. Конечно, не существует надежной стратегии для решения проблемы инсайдерской угрозы.
Правда в том, что ничто не устранит риск полностью. Однако внедрение нескольких известных передовых практик может значительно снизить опасность, исходящую от доверенного инсайдера.
ИТ-отделы и службы безопасности должны использовать подход "наименьших привилегий" везде, где это возможно. Каждая учетная запись, к которой пользователь может получить доступ и которая может содержать конфиденциальную информацию, должна строго контролироваться. Поэтому административные учетные записи, которым требуется доступ ко всему, должны иметь наивысший уровень безопасности.
Требования к многофакторной аутентификации (MFA) и паролю не включены в сертификацию. Это означает, что организации больше не могут полагаться на один пароль, независимо от его надежности. Следует использовать MFA и /или автоматически заблокировать учетную запись после 10 неудачных попыток. Необходимо внедрить технический контроль, чтобы гарантировать, что пользователи создают надежные пароли, состоящие минимум из 12 символов, и любая попытка использовать обычные пароли блокируется.
Вредоносное ПО вызывает растущую озабоченность – в случае заражения устройств злоумышленники могут нанести значительный ущерб и получить доступ к конфиденциальной информации.
Чтобы избежать заражения вредоносными программами, отключите возможность сотрудника загружать программное обеспечение из Интернета. Вредоносное ПО также может быть скрыто в вредоносных ссылках или файлах, которыми делятся по электронной почте, поэтому требуется дополнительная защита. Антивирусное программное обеспечение может обнаруживать и отключать вредоносное программное обеспечение до того, как оно нанесет ущерб, устанавливая правила на каждом устройстве, чтобы гарантировать запуск только надежного программного обеспечения. Изолированная защита также позволяет запускать программное обеспечение в безопасной среде, отдельной от корпоративной сети, для проверки надежности.
Наличие актуальной и точной инвентаризации активов имеет неоценимое значение. Организациям необходима видимость всех активов, чтобы оперативно устранять любые уязвимости на устройствах и в программном обеспечении, где доступны исправления. Новые изменения предусматривают, что важные и критические обновления должны быть применены в течение 14 дней с момента выпуска.
Часто можно увидеть отдельные процессы и средства мониторинга в различных операционных системах и устройствах, используемых организациями. Это означает, что когда патч становится доступным, разные команды должны протестировать и запустить разные патчи. Если оборудование является критически важным, часто требуется время простоя за несколько недель, чтобы дать время для развертывания исправления. Злоумышленник может воспользоваться временем, которое на это требуется. Если видимость активов изначально плохая, вы не сможете защитить то, что не видите.
Веб-приложения, такие как Google Chrome, могут быть настроены на автоматическое развертывание исправлений, поскольку это не критически важное программное обеспечение. Это предотвратит любые сохраняющиеся пробелы в безопасности и сократит рабочую нагрузку.
Сертификация должна будет предоставить подробные, актуальные доказательства вашей приверженности каждому из пяти элементов управления безопасностью, и вам нужно будет рассмотреть наилучший подход для вашей организации.
Как и во многих других системах безопасности или контроля качества, главное, что следует помнить, - это то, что достижение соответствия требованиям не означает полной безопасности навсегда. Безопасность должна быть непрерывным процессом, но основы кибербезопасности обеспечат основу.
Организации сталкиваются с настоящим штормом нарастающих угроз, расширением возможностей для атак и нехваткой навыков в области кибербезопасности. Отчасти это связано с растущей изощренностью экономики киберпреступности, которая ежегодно достигает триллионов долларов. Это также связано с ускоренными инвестициями организаций в цифровые технологии и резким ростом удаленной работы, что создало новые технологические и человеческие пробелы, которые могут использовать субъекты угроз.
Команды по кибербезопасности изо всех сил пытаются справиться с быстро меняющимся ландшафтом угроз и расширяющимися возможностями корпоративных атак. Этим командам требуется постоянно развивающийся опыт работы с многочисленными цифровыми ландшафтами и языками. Более того, отрасль сталкивается с растущей нехваткой квалифицированных кадров, а предприятия изо всех сил пытаются занять важные должности в области безопасности в своих командах.
Решение этих проблем с наймом может быть достигнуто за счет диверсификации кадрового резерва. Это как расширило бы кадровый резерв, так и помогло бы создать более здоровую культуру кибербезопасности в целом.
Разнообразная и инклюзивная команда по кибербезопасности является более инновационной – тем не менее, каждый четвертый специалист по кибербезопасности в Великобритании говорит, что столкнулся с карьерными препятствиями из-за проблем разнообразия и интеграции. Этот показатель намного выше среди женщин, групп этнических меньшинств, людей с ограниченными возможностями и нейродивергентных людей. Кроме того, каждый пятый специалист по кибербезопасности чувствует, что не может быть самим собой на работе, причем этот показатель значительно выше для людей с ограниченными возможностями и нейродивергентных людей.
Таковы выводы из отчета NCSC о расшифровке разнообразия, опубликованного в ноябре прошлого года. После доклада генеральный директор NCSC Линди Кэмерон заявила, что отрасль должна обеспечить, чтобы профессия охранника отражала богатое разнообразие и полный спектр талантов по всей стране.
Этот “полный спектр талантов” имеет важное значение: эффективные стратегии кибербезопасности должны объединять множество точек зрения, которые может предложить разнообразная команда, наряду с инновациями, решением проблем и формированием консенсуса, которые происходят, когда люди из разных слоев общества собираются вместе, чтобы принять вызов.
Нынешнее представление о том, что делает "хорошего" специалиста по безопасности, и нереалистичные требования к работе, требующие от кандидатов обладать всеми необходимыми квалификациями, рискуют сдерживать инновации.
Как лидеры в области безопасности, мы можем устранить этот недостаток, переосмыслив найм сотрудников в области кибербезопасности, чтобы создать кибернетическую рабочую силу, которая лучше подходит для современного бизнеса. Отрасли нужны руководители с опытом работы в области ИТ из разных слоев общества, которые понимают цифровые области, которые компании хотят сделать приоритетными. Нам нужны люди, которые привносят новые перспективы для продвижения свежих решений и не соответствуют типичному резюме в области кибербезопасности – потому что его больше не существует.
Тем не менее, тенденция отдавать предпочтение определенному опыту и квалификации, таким как аккредитация Certified Information Systems Security Professional (CISSP), перед передаваемыми навыками может отпугнуть подходящих кандидатов. Другие подходящие кандидаты упускаются из виду, потому что алгоритмы управления персоналом, выполняющие поиск по ключевым словам и аккредитациям, отфильтровали их.
Еще одна ловушка заключается в том, что требуется, чтобы новички начинали с нуля, потому что командам слишком не хватает персонала, чтобы инвестировать в кого-то "непроверенного". Однако это создает порочный круг, наносящий ущерб как работодателям, так и незамеченным кандидатам. Время, потраченное на поиск единорогов, можно было бы потратить на обучение новичка.
Конечно, важны технические способности и способность быстро разбираться в новых технологиях и методологиях. Тем не менее, то же самое относится и к нестандартному мышлению, вниманию к деталям, желанию понять, как все работает - и ломается - и способности распознавать непреднамеренные последствия действий. Кроме того, хорошие коммуникативные навыки и способность упрощать сложные задачи становятся все более важными, если вы хотите добиться прогресса в этом секторе.
Кандидаты с опытом работы в смежных отраслях, таких как инженерия и наука о данных, также обладают этими навыками. Киберзвездами завтрашнего дня могут быть математики, менеджеры баз данных, бывшие солдаты и те, кто работает в смежных службах безопасности. Типичной роли в области кибербезопасности не существует – от облака до конечной точки и от SOC до GRC, – и возможность боковых перемещений может помочь смягчить нехватку навыков.
Есть утверждения, что развитие искусственного интеллекта и машинного обучения может помочь восполнить пробелы в навыках, выполняя повторяющуюся ручную работу со скоростью и масштабом. Это верно для конкретных случаев использования, таких как обнаружение угроз и реагирование на них, где решения расширенного обнаружения и реагирования (XDR) анализируют огромные наборы данных на предмет моделей подозрительного поведения, которые может пропустить человеческий глаз. Однако многие из этих инструментов все еще нуждаются в обучении и точной настройке в соответствии с потребностями организации, и опытные аналитики должны действовать на основе полученных данных.
Открытие процесса найма для привлечения когнитивно разнообразной рабочей силы является еще более острой задачей, учитывая нынешние темпы технологических и социальных изменений. ИТ-среда и бизнес-процессы меняются быстрее, чем университеты и аккредитационные компании могут создавать новые квалификации. Всего за год характер рабочего места и то, как на нем должна функционировать кибербезопасность, быстро изменились с переходом к массовой удаленной и гибридной работе, вызванной глобальной пандемией. Поиск самых ярких талантов должен быть приоритетом, и им должно быть обеспечено обучение без отрыва от работы.
Такого рода культурные изменения не всегда происходят в организациях естественным образом. Тем не менее, поскольку кибербезопасность становится все более важным отличительным фактором для фирм, компании, которые осознают необходимость изменений, будут иметь наилучшие возможности для роста.
1. Недосекова Е.С. Цели и принципы обеспечения информационной безопасности таможенных органов. URL: http://justicemaker.ru/view-article.php?art3059=&id=25.
2. Об информации, информационных технологиях и о защите информации : федеральный закон от 27 июля 2006 года № 149-ФЗ (ред. От 18 мая 2019 года) // Собр. Законодательства Правительства Российской Федерации - 2019 - № 32 - Статья 3448.
3. Лиза Джонс-Хафф Create a More Diverse Cybersecurity Team. URL: http://www.infosecurity-magazine.com/opinions/create-diverse-cybersecurity-team/
