Поиск по сайту
Технологии
12.02.2018 09:20

В Нижнем Новгороде развенчали популярные мифы информационной безопасности

В городе состоялся международный IТ-Форум Bit-2018.
Нижний Новгород. 12 февраля. NewsRoom24.ru -

О наиболее популярных заблуждениях в сфере информационной безопасности на международном IТ-Форуме Bit-2018, прошедшем в Нижнем Новгороде 8 февраля, рассказал руководитель по информационной безопасности, ThyssenKrupp Industrial Solutions СНГ Илья Борисов.

Миф 1. В сфере информационной безопасности в России очень много регулирования, что осложняет жизнь всем, особенно бизнесу.

Если взять только тему персональных данных, то можно сразу найти 15-20 нормативно-правовых актов, которые регулируют эту сферу. Каждый из них достаточно объемный, у каждого свои требования, у каждого свой регулятор, который проверяет исполнение этих требований. Однако если мы посмотрим на мировую статистику, то увидим, что лидерами по количеству нормативно-правовых актов являются Северная Америка и Европа, немного отстает Австралия. Россия по количеству регулирующих актов находится в середине этого списка. Это говорит о том, что их количество будет расти. И мы это уже наблюдаем, например, многие уже ощутили на себе действие закона «О безопасности критической информационной инфраструктуры», принятый в середине 2017 года.

Что с этим делать? Использовать комбинацию из нескольких нормативных требований. Выбрать один из базовых международных стандартов, например ISO-2701, а потом - совместимые с ним требования из российской практики.

Миф 2. Оперативная установка обновлений помогает от большинства угроз.

Миф стал популярен в последние два года в связи с атаками различных вирусов. После этого все стали усиленно использовать патчи для защиты от различных шифровальщиков. Патчи стали выпускаться каждую неделю, и многие пользователи столкнулись с проблемами. Например, не все патчи работают на системах нового поколения, в некоторых случаях они вызывают перезагрузки, возникают проблемы при работе с приложениями, многие патчи также часто отзываются, как и выпускаются, поэтому приходится вместо новых возвращать предыдущие – и этот процесс продолжается до сих пор. Т.е. те, кто начал «патчится» вовремя, оказался в сложной ситуации, столкнувшись с многими проблемами.

Что делать? На самом деле, патчи нужны, но:

- они должны тестироваться до их применения, желательно, на какой-нибудь тестовой среде, «которую не жалко».

- читать форумы, где люди делятся своим опытом использования конкретных обновлений патчей. Есть разумное требование: устанавливать обновления патчей не раньше, чем через месяц после их выхода.

- до того, как установить патч, нужно посмотреть, актуальна ли для вас эта угроза. Многие атаки невозможны, если обеспечивается физическая безопасность системы, многие не актаульны для систем, не подключенных к интернету. Т.е. нужно понимать вектор атаки и сценарий, а также использовать контрмеры, не связанные с установкой патчей, например, ограничение доступа, аккаунтов и т.д. В большинстве случаев есть возможность этими способами либо минимизировать, либо полностью исключить опасность.

- часть атак можно исключить, если ставить патчи на браузеры, а не на операционную систему и не на прошивку.

Миф 3. Информационная безопасность – это дорого, долго и сложно.

Большинство исследований говорит о том, что компании недостаточно занимаются своей информационной безопасностью по причине того, что с одной стороны, это дорого, с другой – руководителям кажется, что систему «все равно взломают», поскольку сейчас «взламывают всех».

Здесь работают два фактора. Во-первых, увеличение количества атакующих хакеров, у которых есть преимущество в том, что атаки становятся все дешевле: достаточно скачать готовый пакет с набором инструментов, посмотреть на ютубе пару роликов, подготовленных индийскими друзьями – и ты хакер. Во-вторых, поле деятельности для хакеров растет, потому что бизнес переходит в digital и все больше становится уязвимым для информационных атак: у каждой компании есть свой сайт, онлайн-сервисы, интернет-магазины, личные кабинеты и т.д. Если 10 лет назад ломать было нечего, то сейчас можно перехватывать транзакции - появился целый рынок подобных «услуг», где можно купить dos-атаки, взлом ящиков и т.д. – сейчас это уже индустрия.

С другой стороны, компании сталкиваются с тем, что на них давят регуляторы, которые предписывают свои «стандарты безопасности»: «не надо делать дешево, надо делать, как мы говорим».

Проблемой по-прежнему остается цена программных продуктов. Несмотря на то, что у нас заявлено импортозамещение, отечественные продукты пока занимают не достаточную часть рынка, а иностранные не всегда доступны из-за курсовой разницы.

Кроме того, специалиста по безопасности на кадровом рынке найти сейчас достаточно сложно.

Что делать?

1.       Гигиена информационной безопасности: общие правила для всех сотрудников, такие как не записывать пароли на листочке, ставить антивирус, отключать компьютер от интернета, если он не нужен и т.д.

2.       Использовать только те сервисы, которые нужны

3.       Анализировать риски: выявлять наиболее важные направления возможных атак

4.       Сервисные услуги: если нельзя найти специалиста (или это дорого), то можно купить услугу (безопасность как сервис)

5.       Найти стандарт и сделать по нему.

18+

Автор: Ольга Панова
Еще в рубрике
 
Текст сообщения*
Перетащите файлы
Ничего не найдено
Защита от автоматических сообщений