5 августа 2014 г.
Чем активнее развивается рынок информационной безопасности, тем чаще мы слышим о новых вызовах, угрозах и оглушительных поражениях на поле защиты этой самой информации — корпоративной ли, государственной ли. Совершенствуются не только методы защиты, но и инструменты нападения. Но есть факторы, устранение которых или по крайней мере минимизация требует в первую очередь социального инжиниринга.
К сожалению, число атак растет, об этом свидетельствуют объективные статистические данные. К примеру, за прошлый год число DDoS-атак на госсектор и коммерческий сектор выросло на 178%. В 2011 году число хакерских атак выросло на 81%, в 2012 — на 96%, так что мы имеем дело с ощутимыми вызовами. Это касается не только России — это мировой тренд. По данным различных исследований, суммарные мировые убытки от утечек в 2013 году составили от 20 до 25 млрд. долларов. Примерно
Репутационные потери также огромны. В конце концов они тоже измеряются деньгами, однако не всегда можно сказать какими и не всегда можно представить. Чтобы не приводить самый очевидный пример — случай Сноудена, — напомню, что в 2012 году правительственные ресурсы США подвергались кибератакам 12 млн. раз, Ирана — 28 млн. раз, Израиля — 44 млн. раз. Во время последних президентских выборов в РФ компьютеры правительственных структур подвергались атакам 1,2 млн. раз. Есть еще потери информации в силу человеческого фактора, это примерно 15% от всех потерь. В политическом информационном контексте 81% утечек, произошедших по причине человеческого фактора, опасен и значим. Например, секретные документы, касающиеся деятельности Аль-Каеды в Ираке, были забыты в пригородном поезде. В коммерческом секторе такое тоже случается — широко известен случай с одним из подмосковных отделений Сбербанка — когда конфиденциальные документы были просто выброшены уборщицей в мусорный бак, и ветер разбросал их. Черный рынок информации полон данных, которые получены в результате случайных утечек, безалаберности сотрудников и т.д. Информация эта, как правило, стоит недорого — в большинстве случаев ее владельцы не знают, как ее использовать, и поэтому флэшку с данными, которая способна нанести ущерб на миллиарды, можно приобрести за сто долларов — важно только знать, как эти данные использовать и кто их продает.
Если говорить о стоимости ущерба, легче всего посчитать его для бизнеса: он может составлять от десятков тысяч долларов до сотен и миллионов. Скажем, отток клиентов крупной компании на рынке B2C вследствие утечки информации о личных данных клиентов может стоить ей годового оборота, не только прибыли, и вообще привести к банкротству. А если в системе информационной безопасности небольшой компании обнаружена брешь, и этот факт предан гласности, но серьезных утечек не произошло, цена ущерба будет равна паре десятков тысяч долларов — стоимость ремонта по заделыванию бреши. Репутационные риски придется оценивать постфактум, которые будут тем больше, чем крупнее компания.
Так или иначе, самым простым и иногда самым эффективным методом борьбы с человеческим фактором является контроль уровня доступа. Он может быть как физическим, так и техническим — скажем, доступ к компьютерам и файлам с определенной информацией фильтруется системной многофакторной аутентификации. Такая практика есть на Западе, и она вполне может возникнуть в России и быть эффективной — по крайней мере, мы в Группе Optima предлагаем своим клиентам ряд передовых решений в этой области, неплохо зарекомендовавших себя на европейских рынках. Ибо человеческий фактор тоже не беспределен, поясню на элементарном примере. Всем известно, что медсестры в российских клиниках способны за взятку сообщить любую информацию о пациенте — не только номер палаты и день операции, но и диагноз с результатами анализов. Выход простой: у медсестер не должно быть такой информации в принципе. Технически это осуществить просто, было бы желание.
Источник: Неманья Никитович, управляющий директор Optima Infosecurity (Группа Optima)