«Если выйдет из строя сайт интернет-гипермаркета и пользователи не смогут заказывать на дом продукты, они просто обратятся в другой магазин»

Ирина Яхина, руководитель подразделения технологических решений Hitachi Data Systems

1. Конечно, это может случиться с любым человеком. Точнее, с любым человеком, который пользуется современными технологиями. В теории любой, кто осуществляет в интернете какие-либо финансовые операции, будь то банковские транзакции, покупка билетов, одежды, техники – чего угодно, – становится потенциальным объектом внимания киберпреступников. К счастью, большинство интернет-сервисов использует довольно надежные средства защиты от подобных атак и так или иначе гарантирует клиентам безопасность их финансовых операций.

2. В случае кибератаки ущерб для компании Hitachi Data Systems не будет слишком большим: несмотря на то что мы работаем в сфере информационных технологий, наш бизнес вовсе не завязан на услугах, предоставляемых через интернет.

Другой вопрос – некоторые наши клиенты, банки например. Сегодня любой банк позиционирует себя как организация, почти целиком работающая в сети: онлайн-клиент, мобильный клиент – подобные сервисы дают их пользователям возможность осуществлять любые операции удаленно. Кибератака может нарушить работу сайта банка или мобильного приложения – то есть отнять у человека его любимый и подчас единственный инструмент работы с финансами. В случае с банками подобные перебои в работе электронных сервисов могут привести к очень серьезным последствиям.

То же касается любых организаций, чей бизнес завязан на взаимодействии с клиентами в интернете. Если выйдет из строя сайт, например интернет-гипермаркета, и пользователи в течение хотя бы нескольких часов не смогут заказывать на дом продукты, они просто обратятся в другой магазин. То есть компания потеряет покупки, выручку и буквально передаст своего клиента в руки конкурентам. Поэтому средства защиты от кибератак в таких организациях используют довольно серьезные.

3. Корпоративные гаджеты защищены с помощью специальных приложений: у нас довольно сильная ИТ-служба, которая следит за их бесперебойной работой, как и за тем, чтобы почта и корпоративные документы, которые хранятся на гаджетах, были максимально защищены. То же можно сказать и о клиентах нашей компании: решение Hitachi Content Platform Anywhere создано специально для того, чтобы сотрудники крупных организаций могли совместно работать с файлами, хранить и использовать корпоративные данные, находясь при этом в любой точке мира и имея под рукой любое мобильное устройство.

«Если вы передаете в руки сотрудника устройство с доступом к корпоративной информации, убедитесь, что он умеет и может правильно обеспечить его безопасность»

Владимир Княжицкий, генеральный директор ГК «Фаст Лейн» в России

1. Начну с главного. Оценка «Лаборатории Касперского» говорит о проценте пострадавших. Но процент подвергнутых успешной атаке пользователей значительно выше. То, что вы еще не пострадали, совсем не означает, что у вас все хорошо. И, кстати, антивирус не является панацеей, хотя, конечно, вещь необходимая.

Жертвой киберпреступников может стать каждый. Совсем не обязательно для этого обладать какими-то ценными данными или доступом к большим деньгам с помощью интернета. Как правило, киберпреступники стараются заразить и скомпрометировать максимальное число устройств, а там уже на месте решать, что делать. Можно зашифровать данные и вымогать платеж у жертвы. Можно незаметно «посадить» на компьютер или телефон жертвы программу для рассылки спама или другого ботнета. Методов использования чужих ресурсов существует множество.

Конечно, целенаправленные атаки стоят особняком. Но, по моему опыту, их доля не столь велика, только в случае если есть особый заказ или интерес. И защита от них – серьезная задача, которую нужно поручать профессионалам.

А риски стать жертвой киберпреступников есть у всех, и они велики.

У меня есть двухчасовой курс для обычных пользователей об основах информационной безопасности. Практика показала, что все (!) слушатели узнают что-то новое. Это наглядно говорит об уровне знаний и подготовки обычных пользователей в области информационной безопасности.

2. При краже именно моего гаджета ущерб не будет очень значителен, т.к. я не использую банковские приложения или корпоративные инструменты на них. Именно по причине относительной уязвимости самих гаджетов.

Однако есть примеры, когда использование гаджета в бизнес-целях необходимо. В таких случаях я, как правило, советую придерживаться нескольких правил, которые относятся к лучшим практикам в таких ситуациях.

• Не пользоваться публичными Wi-Fi-сетями, а входить в сеть через свой смартфон и оператора связи. В России это вообще не проблема, т.к. у операторов есть вполне доступные тарифы для связи по всей стране. В роуминге лучше купить карты местного оператора или оператора, специализирующегося на интернете для путешественников.
• При работе с корпоративными данными обязательно пользоваться vpn.
• Если уж вам пришлось подключиться к публичной сети, то не авторизовываться на сайтах, использующих протокол http (вместо https).
• Не загружать на гаджеты ПО, которое поступает из неофициальных источников. Мало того, загружая даже, например, ПО с Google Play, все равно надо смотреть, какие оно просит разрешения и решать, действительно ли вы готовы дать ему эти права.
• Не выпускать свой гаджет из зоны внимания. При наличии физического доступа к устройству его заразить можно очень быстро, даже если есть некоторая защита.
• Использовать антивирус и брандмауэр.
• Обновлять системное ПО.

3. У нас корпоративные гаджеты используют только ИТ-специалисты, которым приходится много ездить. Они хорошо понимают аспекты безопасности, используют vpn, устойчивые уникальные пароли, да и их профили имеют ограничения.

В целом есть целый ряд проверенных практик построения политики безопасности для компаний в соответствии с типом устройств и задачами.

4. Да, у нас есть регламент и инструкции для корпоративных гаджетов и для удаленной работы с информационными ресурсами компании.

5. На самом деле не столь важно, пользуется сотрудник своим или корпоративным устройством. Формально можно корпоративное устройство «задушить» в правах пользователя, но это все равно не дает 100% защиту.

По моему глубокому убеждению, намного важнее проводить инструктажи и тренинги для сотрудников, чтобы они понимали, где и какие угрозы существуют и как их избежать. Это будет полезно и эффективно как в случае использования личных устройств, так и в случае использования корпоративных устройств. И, кстати, проблема совсем не ограничена именно гаджетами, компьютеры часто даже более уязвимы. Речь идет именно о понимании правил.

Я бы привел сравнение с дорожным движением. Если водительское удостоверение, в народе называемое «права», давать кому угодно без экзаменов и обучения, то увеличение числа дорожных знаков не снизит аварийность. Если вы передаете в руки сотрудника любое устройство с доступом к корпоративной информации, убедитесь, что он умеет и может правильно обеспечить безопасность использования полученных ресурсов. Для этого мы разрабатываем специальные корпоративные тренинги с учетом специфики заказчика.

И хотя, конечно, корпоративные устройства позволяют более жестко модерировать действия пользователя, я бы не фокусировал внимание на том, личные или корпоративные устройства использует человек в поездках. Намного важнее вопрос культуры информационной безопасности пользователя.

«Делайте ежедневно бэкапы важных документов и переводите сервисы в облако»

Андрей Тушов, исполнительный директор, «Конструктор документов FreshDoc.ru»

Основной проблемой для бизнеса может стать потеря наработанной документации. Это подтверждает широкое распространение атак с помощью программ-шифровальщиков. Представьте, какими убытками обернется утрата документов, которые создает ваш бухгалтер или юрист. В зависимости от размера компании ущерб может исчисляться шестью – девятью нулями.

И в борьбе с постоянно совершенствующимися шифровальщиками есть только два пути:

• Делать ежедневные бэкапы необходимых данных. Да, это долго и обременительно. Зато этот подход поможет сохранить важные файлы. Конечно, если ваш бухгалтер не утомится создавать бэкапы после первой недели.
• Перевести сервисы в облако. Сегодня существуют решения для создания, хранения и согласования документов, не привязанные к ПК. Например, при использовании нашего Конструктора, вы храните все документы на надежно защищенном сервере. Шифровальщику для активации нужен как компьютер-получатель, так и доверчивый пользователь, поэтому он просто не ориентирован на облачные сервисы.

Борьба за сохранность документов компании – это реалии, которые могут коснуться любого. Рекомендуем вам позаботиться о безопасности заранее!

«Важно защитить личные устройства персонала, при этом сохранить баланс между способом надежного хранения данных и возможностью использовать все преимущества мобильного стиля работы»

Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ

1. Любой человек, использующий интернет, может подвергнуться атаке со стороны киберпреступников. Раньше такая вероятность была не столь велика, если только вы не являлись ключевой фигурой в определенном бизнесе или политике. Но сейчас совсем не обязательно быть генеральным директором компании или ведущим сотрудником банка. Инструменты, применяемые современными мошенниками, широко доступны и стоят недорого. Поэтому очень большое количество преступлений совершается не теми «хакерами», которых мы привыкли представлять в образе «обиженных» гениев ИТ, как показывают в фильмах, а вполне обычными людьми с обычной подготовкой в области технологий. Более того, чаще всего это школьники или студенты, которые могут даже не понимать, как и по каким принципам работает зловредное ПО или вирусы, которые они запускают. Сейчас основное направление атак – это коммерческий интерес. Хакеры стремятся получить доступ к персональным данным: учетным записям почтовых систем, социальным сетям, онлайн-клиентам банков и так далее. Так что не стоит говорить, что «я не представляю интереса для мировой киберпреступности». К сожалению, представляете, так как хакеры работают на масштабных операциях и пытаются извлечь максимум из того объема информации, которая попадает в их сети.

2. Ущерб для бизнеса потенциально будет минимальным. Персональный ущерб составит – стоимость устройства и, возможно, цена лицензий на программное обеспечение, которое приобреталось не в магазине приложений. Кроме того, будет потрачено время на восстановление некоторых документов, которые не успели синхронизироваться в облачное хранилище.

3. На мобильные устройства для работы с внутренними приложениями, доступом к почтовым сервисам и файлообменным решениям устанавливается агентское ПО от Citrix XenMobile, которое позволяет удаленно контролировать технику и при необходимости осуществлять блокировку или очистку от корпоративной информации или полный сброс устройства. Также в составе решения сотрудникам предоставляются защищенные корпоративные приложения WorxMail и WorxWeb для работы с почтой и интранет-приложениями, а также Sharefile – для защищенного обмена файлами с коллегами и заказчиками.

4. Да, в компании приняты правила информационной безопасности, которые доводятся до всех сотрудников. Они не являются чем-то эксклюзивным, обычные стандартные правила поведения использования оборудования и подключения к корпоративным сетям: «…используйте многофакторную аутентификацию; на устройстве должно быть установлено антивирусное ПО; пароль должен соответствовать требованиям сложности; пароль должен регулярно меняться итак далее…» Но в целом все эти правила применимы как к корпоративным устройствам, так и личным, которые используются для работы с деловой информацией (система BYOD, Bring Your Own Device).

5. Как я уже упоминал выше, у нас в компании принята политика BYOD. Все необходимые для работы приложения компания предоставляет из своих дата-центров. Доступ к этим приложениям возможен с любого устройства (форм-фактор, ОС и прочие факторы значения не имеют) с использованием двухфакторной аутентификации. Кроме пароля, я также ввожу одноразовый код, который действует только 30 секунд. На устройстве не хранятся данные, представляющие коммерческую тайну, потому что все файлы размещены в облачном сервисе Sharefile, также являющемся решением компании Citrix. В случае компрометации мобильной техники я самостоятельно через портал самообслуживания могу выдать команду очистки контейнера с данными на «пострадавшем» устройстве.

«Предпочтение при принятии решения об использовании средств защиты отдается программным продуктам отечественного производства»

Евгений Силин, начальник департамента корпоративных и технологических автоматизированных систем управления ОАО «МРСК Центра»

1. Любой может стать жертвой киберпреступников. К сожалению, от данного вида преступлений не существует абсолютной защиты.

2. Естественно будут потери, в первую очередь в размере стоимости самого устройства. Кроме того, неприятен сам факт потери личной информации – контактов, фотографий и т.д.

Для защиты служебной информации, в том числе и на мобильных устройствах, в Обществе применяются различные программные средства, включая шифрование. Предпочтение при принятии решения об использовании средств защиты отдается программным продуктам отечественного производства.

Использование внедренных решений в случае утери (хищения) мобильного устройства не позволит считать находящуюся на нем служебную информацию посторонними лицами. Таким образом, можно с большой долей уверенности утверждать, что сама утеря/кража не критична для всего бизнеса.

3. Да, в Обществе разработаны документы, регламентирующие использование технических средств, в том числе и мобильных, при работе в корпоративной сети и обработке служебной информации. Организованный на регулярной основе контроль исполнения требований информационной безопасности при использовании корпоративных технических средств служит минимизации рисков утечки служебной информации.

5. В Обществе не существует ограничения на использование корпоративных или личных устройств. Правила доступа к корпоративным ресурсам одинаковы при использовании корпоративных и личных устройств. Без проведения соответствующих настроек на личном устройстве и установки ряда программных продуктов доступ к основным корпоративным ресурсам невозможен.

«Основной подход к безопасности у нас заключается в том, что на мобильных (локальных) устройствах располагается минимум информации и обработки этой информации»

Максим Захаренко, генеральный директор компании «Облакотека»

Киберпреступления совершаются удаленно, к сожалению, границы тут никак не влияют, равно как и должность сотрудника, поэтому это немного странное исследование. Основной подход к безопасности у нас заключается в том, что на мобильных (локальных) устройствах располагается минимум информации и обработки этой информации. Все сотрудники и все данных находятся в облаке и защищены по контуру. Даже рабочие столы сотрудников расположены в облаке и доступны только через терминал. Фактически на устройствах есть только небольшой кэш почтовых сообщений. Для доступа к корпоративной информации максимально используются корпоративные аккаунты, управляемые удаленно.

«В деловых поездках мы используем телефон всегда личный, ноутбук всегда рабочий. Это, на наш взгляд, самый оптимальный сценарий»

Константин Макаров, генеральный директор Sendpulse

1. Жертвой может стать любой, как бы защищен он ни был. Это вопрос соответствия средств и цели, а также стоимости, конечно.

2. Утеря моего личного телефона или ноутбука принесет ущерб в размере стоимости этого устройства плюс несколько часов времени на покупку нового и восстановление системы из инкрементального бэкапа, который делается на постоянной основе и автоматически. Но это лишь мой частный случай. Не у всех сотрудников, к сожалению, такое отношение к рабочему инструменту.

А нашедший (или укравший) мой девайс получает только возможности хард-ресета или, при вынимании жесткого диска, зашифрованный контейнер виртуального диска.

3. Стандартные средства гаджетов (отпечаток пальца, пароли, пин-коды) плюс нестандартные средства для шифрования данных, которые могут предотвратить утечку информации при краже или утере девайса.

4. Этого нет, но это связано со спецификой работы. У нас 98% работы делается в офисе.

5. И личными, и корпоративными. Телефон всегда личный, ноутбук всегда рабочий. Это, на наш взгляд, самый оптимальный сценарий.

«Есть один недооцененный, но очень простой способ защиты – бесплатный доступ к интернету вне зависимости от роуминга»

Петер Гъёнгёши, менеджер по продукту Blindspotter компании Balabit

1. Наши исследования полностью согласовываются с данными «Лаборатории Касперского». В основном обычно угроза нависает над людьми, которые подключаются к небезопасным сетям, однако опасности подвержены также и путешественники, которые используют внешние аккумуляторы. Компания Balabit провела эксперимент, в ходе которого мы предлагали людям по всему миру зарядить свои телефоны невероятно мощным аккумулятором буквально за несколько минут. Результаты оказались одинаковыми: от Рима до Сан-Франциско путешественники и местные жители с разряженными телефонами без раздумий подключались к неизвестному устройству, предложенному незнакомцем на улице. А это, между прочим, намного больший риск, чем подключиться к первой попавшейся Wi-Fi-сети.

2. Для большинства из нас гаджеты – это ключ к информации о личной жизни и работе. Если гаджет со всеми данными попадет в руки к злоумышленнику, то последствия можно сравнить с потерей памяти. Катастрофа, не так ли?

3. Средства для защиты корпоративных устройств почти не отличаются от защиты любых персональных гаджетов. Главное отличие в том, что в корпоративной среде применяются более серьезные параметры защиты данных. Встроенные меры безопасности обычно достаточно сильны, например в Google Play и App Store действует система закрытых ссылок, что позволяет быть уверенным в невозможности установки вредоносных программ на телефон. Встроенные возможности шифрования также не разочаровывают (достаточно лишь вспомнить недавний конфликт Apple и ФБР), вам нужно лишь убедиться, что вы действительно их используете.

Есть один недооцененный, но очень простой способ защиты работников от подключения к неизвестным Wi-Fi-сетям – бесплатный доступ к интернету вне зависимости от роуминга. Большинству операторов связи можно доверять, а если работники смогут проверять почту, не занимаясь поиском подходящего Wi-Fi, они будут довольны и более защищены. Конечно, это потребует больших расходов, но в любом случае их будет меньше, чем при потенциальной утечке важных данных.

4. Нет.

5. Это вообще отличная практика – ограничивать доступ к конфиденциальным данным из хорошо управляемых, защищенных устройств, и командировка не является исключением.

«Сотрудники, находясь в заграничных командировках, при работе с корпоративной информацией действительно менее защищены, чем в офисе»

Виктория Носова, консультант по безопасности Check Point Software Technologies

1. В поездках интернет нужен не меньше, чем на рабочем месте, особенно если это деловая поездка. Опасность использования личных и корпоративных гаджетов за рубежом заключается в том, что не всегда удается использовать защищенные Wi-Fi-точки. Работа с незащищенными сетями Wi-Fi опасна тем, что к вашим данным может получить доступ любой человек, подключенный к этой же точке, считав и записав с помощью бесплатной несложной программы типа Wireshark все передаваемые вами данные. Личная и рабочая переписка, логины и пароли к различным ресурсам, как к личным, так и к корпоративным, информация, вводимая для оплаты услуг или покупок кредитными картами, – все это может попасть в руки злоумышленников. Даже при подключении к Wi-Fi с паролем в гостинице вряд ли стоит надеяться, что руководство отеля позаботилось о серьезной защите пользователей. Как правило, система безопасности состоит из межсетевого экрана, IPS, в лучшем случае имеется поточный антивирус и АнтиСпам-защита. Маловероятно, что есть песочница эмуляции угроз для предотвращения атак нулевого дня. Соответственно, сотрудники, находясь в заграничных командировках, при работе с корпоративной информацией действительно менее защищены, чем в офисе. Кроме того, гаджеты чаще всего теряются или крадутся именно в поездках.

2. Ущерб может быть очень ощутимым. Если сотрудник потерял рабочий ноутбук и он не был зашифрован, то при использовании загрузочных дисков или флешек, так называемых Live CD или LiveUSB, злоумышленник сможет подключиться к системе и получить доступ к содержимому локальных дисков. При подключении к незащищенному Wi-Fi может быть перехвачена важная переписка, логины и пароли к корпоративным ресурсам и социальным сетям, конфиденциальная информация, отправляемая доверенным лицам. Результатом такой халатности становятся финансовые или репутационные потери в зависимости от типа украденной информации.

3. Для ноутбуков обязателен клиент защиты рабочих станций, включающий в себя шифрование жестких дисков и съемных носителей, защиту доступа к ОС до непосредственной ее загрузки, контроль использования портов ввода-вывода и съемных устройств, персональный межсетевой экран, категоризацию сайтов, контроль приложений, контроль соответствия рабочей станции заданной политике, антивирусное ПО, защиту от бот-устройств, встроенный VPN-клиент. Помимо этого, данный клиент должен защищать от современных продвинутых угрозы нулевого дня. Достигается это, как правило, с помощью использования корпоративной или облачной песочницы, в которой эмулируются все подозрительные файлы для выявления последствия и запуска. А также обратите внимания на клиентов, которые используют технологии незамедлительного предоставления безопасного содержимого подозрительных файлов. То есть пока идет проверка на вредоносность файла, система высылает пользователю безопасную копию данного файла, чтобы он мог спокойно продолжить работу.

Для смартфонов можно использовать клиенты защиты, которые позволяют отделить личные данные от рабочей информации с помощью защищенного контейнера, а также защитить устройства от атак на операционную систему, уязвимостей приложений, сетевых атак и APT-атак. Такие решения блокируют доступ в корпоративную сеть при выявлении атак Man-in-the-Middle. Идеально, если данные клиенты могут быть интегрированы с системами управления мобильными устройствами и другими системами сетевой инфраструктуры типа MDM, MAM, NAC, SIEM и другими.

«В первую очередь, речь идет о шифровании устройства и защиты его паролем разблокировки»

Дмитрий Стуров, начальник управления информационной безопасности «Ренессанс Кредит»

В банке нет массового использования корпоративных гаджетов. Мы реализуем концепцию BYOD. Она подразумевает использование сотрудниками своих собственных устройств для доступа к корпоративным данным. Безусловно, мы устанавливаем определенные ограничения, которые должны быть реализованы на устройстве, прежде чем с него можно будет осуществлять доступ. В первую очередь, речь идет о шифровании устройства и защиты его паролем разблокировки.

Все ограничения, о которых говорится выше, контролируются техническими средствами, обойти их невозможно. Кроме того, мы делаем информационные рассылки и проводим обучение сотрудников, чтобы повысить уровень ответственности в области защиты мобильных устройств.

Все положения закреплены в соответствующих нормативных документах, которые обязательны к исполнению сотрудниками банка.

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор