KZ
Почему важна информационная безопасность
Новости Общество

Почему важна информационная безопасность

Расcказать Вконтакте

Несколько сотен тысяч казахстанцев ежедневно сталкиваются с информационной безопасностью. Это не только отсутствие «вирусов» на компьютерах сотрудников, но и следование комплексу элементарных правил, которые помогут защитить систему от преднамеренных действий и случайных ошибок. Законодательство Республики Казахстан требует от работников акиматов, министерств, нацкомпаний и критически важных объектов обеспечивать информационную безопасность в структурах.

Как не развалить министерство «в один клик»

Как не развалить министерство «в один клик»

Но можно ли назвать местные организации достаточно «зрелыми» в обеспечении ИБ? Мы задали этот вопрос Батыржану Тютееву, специалисту в сфере информационной безопасности, пентестеру и основателю компании Nitro-Team. В рамках деятельности наш эксперт проводит аудит различных учреждений на наличие уязвимостей в их системе.

Информационная безопасность: сферы жизни и риски

– Добрый день, Батыржан. Расскажите, как на сегодняшний день казахстанские компании обеспечивают информационную безопасность организаций?

– Нужно понимать ценность информации, чтобы уметь в полной мере оценить риски. На данный момент большая часть компаний «не созрела» для полноценного обеспечения ИБ, - заявил Батыржан Тютеев. - В основном, на должном уровне к вопросам безопасности относятся IT-компании. Они располагают штатом сотрудников, которые уже что-то в этом понимают и знают, что нужно и можно предпринять в проблемной ситуации.

Компании-представители других сфер чаще имеют уязвимости в системе. В пример можно привести EGOV – электронный портал правительства. Раньше на сайте было много проблем. Одна из них – доступность информации. Пройдя авторизацию на портале EGOV или одном из его подразделений, злоумышленник мог найти интересующую информацию о человеке – номер удостоверения личности, место жительства, привязанный номер телефона и ИИН. Все эти уязвимости уже обнаружены и закрыты. Однако, сейчас существует немалое количество программ, которые обращаются к данным подобных порталов и позволяют желающим найти вышеупомянутые персональные данные. Для этого нужно знать лишь имя и фамилию человека – не более.

– А как дела обстоят в сфере здравоохранения, налажена ли у них работа отделов ИБ?

Что касается больниц, то отмечу, что на некоторых казахстанских медицинских порталах схожим образом можно получить истории болезней. Следует отметить, что доступ к данной информации критичен, так как по закону персональные медицинские данные должны быть защищены. К тому же, сейчас на рынке много компаний, которые оказывают услуги медицинских лабораторий. Результаты анализов можно получить онлайн. Эти данные – результаты, также требуют защиты, но, насколько я знаю, никто из этих компаний не проходил аттестаций по информационной безопасности.

– Казахстанские банки позиционируют себя в качестве компаний, данные пользователей которых надежно защищены. Можно ли сказать, что системы местных банков отличаются эффективностью работы специалистов сферы безопасности?

– Банковские системы также имеют уязвимости, которые можно обнаружить, проводя аудит. Однако, выдав рекомендации по их устранению, мы не можем проверить, выполнили ли их в последующем – повторно доступ мы не получаем.

– Характеризуется ли недостаток внимания к информационной безопасности в большинстве компаний пренебрежительным отношением?

– Яркий пример степени опасности пренебрежения ИБ – ситуация, которая сложилась в Украине в 2017 году. Страна подвергалась массированным атакам со стороны хакеров: происходили сбои в работе аэропорта, метро. После этих событий украинская сфера IT и информационной безопасности получила большое развитие, а их АСУ ТП (прим. авт. – автоматизированная система управления технологическими процессами) - защиту.

Доступ к АСУ ТП в Казахстане, несмотря на распространенность промышленного сектора, не защищен в нужной степени. Грубо говоря, какой-нибудь школьник из Китая при желании может обесточить Астану или переключить стрелки на ЖД-путях. Это жизненно важные объекты, на обеспечение информационной безопасности которых, к сожалению, не выделяются нужные суммы денег. Возможно, не было событий, которые предшествовали бы крупному финансированию.

Кадры и утечки информации

В большинстве компаний кадры, которые не связаны с IT, некомпетентны в вопросах информационной безопасности. Местные организации не готовы к внедрению мало-мальски значимых проектов, связанных с ИБ. Руководителям нужны готовые специалисты.

– Батыржан, занимаются ли организации наймом специальных кадров или обучают своих сотрудников?

– Ситуация обстоит немного иначе. Я вел курсы, куда в качестве слушателей приходили работники разных организаций, которых недавно назначили ответственными за информационную безопасность в их структурном подразделении. Эти люди не готовы к подобной работе, потому что были выбраны рандомно и никак не связаны со сферой IT. Чем это чревато? Распространением атак и утечкой информации.

Как не развалить министерство «в один клик»

Как не развалить министерство «в один клик»

– Могут ли злоумышленники воспользоваться тем, что сотрудники не знакомы со спецификой ИБ?

– Конечно. Существует такой тип атак как социальная инженерия. Часто, проводя аудиты, мы нацеливались не на конкретные уязвимости информационной системы или системы безопасности, а на людей. Например, нам дают неделю для того, чтобы мы нашли уязвимости. Несколько дней мы проверяем систему извне. Если такой вариант не дает скорых результатов, мы начинаем проверять безопасность через сотрудников.

Были случаи, когда один из пентестеров приходил в компанию, условно называл имя человека, к которому он, якобы, направляется, и его пропускали. Далее – он проходил в рандомный отдел, представлялся системным администратором одному из сотрудников и просил доступ к компьютеру.

Другой способ использовать социальную инженерию – рассылка писем. Для тестирования одной из компаний я написал два письма, направленных директору компании и HR-менеджеру. HR-менеджер перезвонил, чтобы узнать подробности, а директор компании отправил ответное письмо.

После этого я создал поддельный домен, где в адресе было указано .gq, а не .kz, и скопировал подпись директора в поддельное письмо. В нем было указание «срочно авторизироваться на сайте», который являлся точной копией их рабочего сайта. Я отправил его всем тем сотрудникам компании, чьи адреса были в открытом доступе в интернете. 80% сотрудников зашли на сайт и ввели свои логин и пароль, тем самым предоставив мне информацию к администрированию на реальном сайте.

Для того, чтобы избежать подобных ситуации, каждая компания должна иметь регламент по информационной безопасности, в котором должно быть прописано, как реагировать на «фишинговые» письма, взлом сайта, кому нужно сообщить об этом. В большинстве компаний подобного регламента просто нет.

– Сталкивались ли вы в работе с таким явлением, как халатность по отношению к хранению паролей?

– Одним из распространенных явлений являются пароли, записанные на стикерах и приклеенные к монитору. Я не первый раз провожу аудит систем информационной безопасности в компаниях, и эта проблема встречалась неоднократно. При этом, данные не всегда записаны на бумаге. Обычно мы находим файлы на взломанных компьютерах, где на рабочем столе содержатся файлы формата .txt или .xls с именем «Пароли». В таких документах обычно содержатся логины и пароли от всех нужных сервисов. Люди не полагаются на свою память и ради удобства все записывают.

У нас был один случай, когда в одной из компаний системный администратор создал на рабочем столе Excel-таблицу, которую назвал «Паролята». Этот файл не имел пароля. Если бы на нем самом стоял пароль, то это могло бы обеспечить хоть какую-то безопасность. Однако без этого данную ситуацию можно назвать «Бери – не хочу».

«У вас одно обновление»

Устаревшая техника, используемая в офисе, также несет угрозу информационной безопасности. Нужно помнить, что любые обновления – это исправления уязвимостей.

Необходимость своевременных действий хорошо демонстрирует пример мирового масштаба. В 2017-2018 годах общественность узнала о WannaCry – вредоносной программе, «шифровальщике». Это был сетевой червь и программа-вымогатель денежных средств, поражающая только ПК под управлением Microsoft Windows. После заражения устройства программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение семи дней с момента заражения возможность расшифровки файлов теряется навсегда. WannaCry был на пике в декабре 2017 года и получил распространение более, чем на 50 тысяч компьютеров. Несколько казахстанских компаний потеряли свои данные, став жертвами программы.

Уникальность ситуации заключается в том, что патч, который борется с данной уязвимостью, выпустили в январе этого же года. То есть, ситуации можно было избежать, установив патч заблаговременно.

– Компаниям на сегодня удалось избавиться от WannaCry

– Сейчас все еще существуют казахстанские системы, которые подвержены этой уязвимости.

Однако не только отсутствие обновлений несет в себе угрозу. Особого внимания требует устаревшая техника. В одной местной телекоммуникационной компании используются станции, выпущенные еще в 1993 году. Они были бы рады обновить компьютерную технику, но вынуждены пользоваться компьютерами с операционной системой WindowsXP, потому что нужные для работы драйвера существуют только для этой операционной системы. В данном случае им остается только изолировать сеть, но так система, не имея подключения к интернету и обновлений, становится уязвимой. Если кто-то получит доступ к этой системе, то любой «вирус» распространится по ней буквально за секунды.

Что делать?

Одним из способов улучшения уровня обеспечения информационной безопасности в компаниях наш эксперт назвал обучение сотрудников. Это может быть даже обычное информирование и разъяснение, не говоря уже о создании специальных курсов и регламента.

Люди должны знать о том, чем отличаются подключения http и https, почему нужно обращать внимание на почтовый адрес, с которого пришло письмо, и к кому обращаться, если допущена ошибка. В таком случае, располагая нужной информацией, ваши работники будут относиться к информационной безопасности более ответственно.

Автор: Аида Жургенбекова

Ваша реакция
0
0
0
0
1
1
7
Спасибо за Ваше мнение Вы уже голосовали
Читайте также
Комментарии
Mailfire view pixel