На фоне роста числа и сложности кибератак, компании вынуждены серьезно инвестировать в построение систем информационной безопасности. А это не только технические средства, но и целый ряд организационных мер, таких как регулярные аудиты, тестирование инфраструктуры, обучение сотрудников. При этом бизнесу очень важно четко понимать эффективность принимаемых мер. Опытом создания безопасной инфраструктуры поделились участники организованной CNews Conferences конференции «Информационная безопасность 2024».
Алексей Томилов: Надо научиться смотреть на безопасность компании шире, не ограничиваясь своим периметром
Приобрести и внедрить самые современные средства информационной безопасности — недостаточно для того, чтобы быть уверенным в том, что хакеры не смогут проникнуть в инфраструктуру, считает Алексей Томилов, CTO компании Findler.
CNews: Где, по вашему мнению, находятся основные «слабые места» при построении системы ИБ компании?
Алексей Томилов: Отсутствие контроля за безопасностью продуктов — это главное «слабое место» любой системы безопасности. Разработка и администрирование — непрекращающийся процесс. Если выстроить систему ИБ в самой компании можно, то привить ее всем подрядчикам, которые пишут код или просто имеют вход в вашу инфраструктуру — задача не из простых.
CNews: Что надо предпринять, чтобы вовремя выявить бреши в системе безопасности?
Алексей Томилов: Как следует из прошлого ответа, надо научиться смотреть на безопасность компании шире, не ограничиваясь своим периметром. Конечно, это не означает, что надо сканировать на уязвимости своих подрядчиков (зачастую это вне закона). Но привить им культуру ИБ явно стоит.
CNews: Какие мероприятия надо проводить на регулярной основе, чтобы минимизировать ИБ-риски?
Алексей Томилов: Отвечу списком мероприятий, которые позволят привести ИБ в компании в стабильное хорошее состояние.
Во-первых, перед выпуском нового ПО провести его проверку. Пентест / red team — любое, на ваш выбор. Также и при появлении новой версии ПО.
Во-вторых, ежедневно отсматривать свой периметр на предмет появления новых уязвимостей, открытых портов и прочих артефактов, которые могут появиться в моменте.
В-третьих, знать, где вне вашего периметра находятся тестовые контурЫ систем, которые разрабатывают для вас подрядчиками. Часто захват информационной системы идет издалека и начинается именно с тестовых контуров, которые свободны от ИБ (используются словарные пароли, открыты режимы разработчика и прочее).
В-четвертых, помогать коллегам находить утечки своих паролей на регулярной основе. Как минимум — это лояльность внутри коллектива, как максимум — возможность пресечь использование утекших паролей в систмах. Даже в тех, которые находятся за контуром компании. В качестве примера — облачные CRM.
И в-пятых, проводить киберучения. Фишинг — одна из самых актуальных атак на протяжении десятилетий. Периодическое проведение различных атак на коллег с использованием техник социальной инженерии на позволит на практическом уровне закрепить правила ИБ.