Грядут массовые всплески глобальных угроз информационной безопасности
Рост количества глобальных угроз информационной безопасности остается столь же неизбежным, как смерть и налоги, по крайней мере, согласно последнему исследованию тенденций информационной безопасности PWC. Доклад, опубликованный еще в октябре этого года, выделяет несколько неприятных тенденций и дает ценную информацию для тех, кто занимается вопросами корпоративной ИТ-безопасности. Тем не менее, интерпретация информации, поступающей из подобных исследований, остается проблемой для многих специалистов по ИТ-безопасности. Особенно для тех, перед кем будет поставлена задача удержать свои организации от попадания в сводки последних пострадавших в битве с киберпреступностью.
PWC справедливо указывает, что ИТ-безопасность перешла в разряд устойчивых бизнес-рисков и угроз (сродни вопросам экономики и интеллектуальной собственности), которые сейчас находятся на подъеме. В докладе сообщается о выявлении некоторых очень тревожных инцидентов, в том числе:
- Более половины (53%) мировых бирж ценных бумаг испытали на себе кибератаки (Обзор IOSCO)
- В Южной Корее около 105 миллионов аккаунтов платежных карт были выпущены с нарушением правил безопасности (Symantec Corp)
- Городские власти в Фердене (Германия) объявили о краже 18 млн адресов электронной почты, паролей и другой информации (TechWeek, Европа)
- Кибер-преступники украли более 45 миллионов долларов со счетов по всему миру через ATM двух банков на Ближнем Востоке (CNet.com)
Несмотря на то, что упомянутые выше факты компрометации оказались лишь небольшой частью инцидентов, которые произошли в 2014 году, они раскрыли некоторые характерные тенденции, а именно то, что финансовая выгода является ключевым стимулом для нападающих, и что даже самые безопасные организации по-прежнему восприимчивы к угрозам. Осознание этих двух факторов должно заставить тех, кто стремится защитить свои ИТ-ресурсы от киберпреступности, изменить собственные модели работы.
Жертвы по собственной вине?
Когда речь заходит о киберпреступности, виной часто становится излишняя самоуверенность жертв. И хотя это не извиняет преступного характера действий нападавших, сам факт подчеркивает необходимость для организаций играть активную роль в деле защиты своих активов. В конце концов, закон вступает в игру лишь после того, как преступление будет совершено, а это означает, что многочисленные законы по противодействию киберпреступности не имеют большой власти над самими злоумышленниками в момент совершения преступлений.
Другими словами, организации должны принимать оборонительную позицию и защищать себя от нападения, понимая, что оно неизбежно, и никто не является исключением из этого правила. Эта идеология окажется ключевым фактором в смене парадигмы, необходимой для защиты от натиска атак, которые ожидаются в 2015 году.
PwC прогнозирует, что глобальные инциденты находятся на пути роста и прибавят около 48% в 2015 году, и по прогнозам ударят по большинству специалистов по информационной безопасности.
Является ли управление рисками ответом на ИТ угрозы?
Со всеобще обсуждаемой идеей смены парадигмы безопасности, сегодняшние защитники корпоративных ИТ систем должны думать о различных аспектах, нежели только о традиционных инициативах в области безопасности. Все большее внимание притягивает к себе идеология «управления ИТ рисками», которая в настоящее время разрабатывается по инициативе NIST (National Institute of Standards and Technology, U.S.).
NIST изложил в своей работе основы безопасности (NIST Cybersecurity Framework), где ставит менеджмент превыше технологий и выделяет лучшие практики, которые должны помочь организации защититься от непосредственных угроз, связанных с увеличением количества кибер-атак. В то время как некоторые из элементов этого руководства подогнаны в рамки общепринятых норм работы и здравого смысла, есть и другие элементы, которые описывают значительные изменения в организации борьбы с кибер-угрозами, а именно в создании ключевой идеологии, направленной на пять одновременных и непрерывных функций, которые способны обеспечить стратегическое видение угроз безопасности в жизненном цикле управления организацией. Эти функции включают в себя:
- Идентификация: создание организационного понимания рисков ИТ безопасности для корпоративных систем, средств, данных и возможностей;
- Защита: разработка и внедрение соответствующих мер, приоритетных при осуществлении процесса управления рисками организации с целью обеспечения безотказной работы ИТ-компонентов, критичных для ведения бизнеса;
- Обнаружение: создание соответствующих систем и политик с целью выявления факта возникновения инцидента ИТ безопасности;
- Ответ: создание и внедрение соответствующих мероприятий, политик и событий, которые должны быть реализованы, если происходит инцидент нарушения ИТ безопасности компании;
- Восстановление: Разработка и реализация соответствующих мероприятий, приоритетных в ходе процесса управления рисками организации, с целью восстановления возможностей или важных сервисов инфраструктуры, которые были нарушены вследствие возникновения инцидента.
В то время как NIST заявляет, что его методологии и практические решения являются необязательными, организация дает серьезные основания для тех, кто хочет извлечь выгоду из целостного подхода к компьютерной безопасности, и, по крайней мере, проливает некоторый свет на то, что должно быть действительно важно для любого бизнеса при использовании им широких возможностей ИТ технологий.
Ответственные за ИТ безопасность в организации должны углубиться в то, что создает идеологию информационной безопасности предприятия, и внести соответствующие коррективы в свои модели работы прежде чем бедствие ударит по их компании.