Информационная безопасность - это процесс, а не результат

Повод для беспокойства

Согласно регулярным отчётам мировых производителей программного обеспечения и оборудования в последнее время наблюдается рост количества атак на IT-инфраструктуры компаний, причём кибер-риски становятся в ряд наиболее «дорогих» убытков.

Сумма ущерба от киберпреступников колеблется в компаниях от $1 млн до $52 млн в год. К примеру, средний размер ущерба, наносимого киберпреступниками одной компании в США, составляет в среднем $3,8 млн в год. В эту сумму входит ущерб от сетевых атак, вредоносного кода и козней инсайдеров. При этом средняя цифра в $3,8 млн потраченных средств означает не затраты на антивирусы и прочие средства защиты, а убытки, напрямую связанные с устранением последствий атак.

Для того, чтобы бороться с киберпреступностью есть множество путей - от самых дорогостоящих до тех, которые можно реализовать практически бесплатно.

Важно понимать угрозы, с которыми могут столкнуться пользователи IT-систем, тогда можно принять меры для их устранения. Применение даже недорогих способов и средств защиты информации резко снижает суммарные потери.

Мифы и реальность систем информационной безопасности страховщиков

Среди самых распространённых и критичных кибер-угроз, которые наиболее ощутимы в финансовой сфере, являются: получение неавторизованного доступа, то есть получение доступа в информационную систему лицом, не имеющим на это право и умышленный вывод системы из строя.

Наиболее типичными исходами мошеннических операций являются: хищение конфиденциальных данных; осуществление финансовых транзакций; внедрение вредоносного программного обеспечения.

Вопросам информационной безопасности большое внимание уделяют и органы, регулирующие финансовую сферу. К примеру, казахстанские страховщики в соответствии с нормативными постановлениями регулятора обязаны соблюдать требованиях к автоматизации страховой организации и создавать систему информационной безопасности. Нормативные требования определяют основные положения, которым должна соответствовать система безопасности, но окончательно её структура определяется страховщиком.

Грамотная система безопасности призвана не только защищать информацию от широкого спектра угроз для обеспечения непрерывности бизнеса, но и сводить к минимуму ущерб от разглашения "закрытой" информации, максимизировать прибыль от инвестированного капитала, создавать благоприятные условия для бизнеса. К сожалению, некоторые компании до сих пор уверены в том, что специальные меры по защите внутренней конфиденциальной информации могут серьёзно снизить эффективность текущей деятельности её ключевых подразделений, - это первый миф.

На сегодняшний день казахстанские страховщики стали серьёзными потребителями информационных технологий. Но в процессе их активного использования возникали проблемы и задачи, которые со временем лишь усложнились: всё чаще основные риски страховых компаний стали зависеть именно от применения высокотехнологичных решений. Здесь мы должны развеять еще один миф: основная угроза для информационных систем страховщиков исходит не от вторжения злостных пользователей извне, а от самих сотрудников компании-страховщика. Это может быть умышленное или неумышленное действие, вызванное элементарным незнанием основных правил работы с информацией. Опыт специалистов нашей компании показывает, что в большинстве страховых компаний наиболее проработанными оказываются вопросы антивирусной и антиспамовой защиты.

Однако, как ни странно, игнорируются вопросы, связанные с управлением сменными носителями информации, разграничением доступа к портам ввода/вывода. Зачастую рядовые сотрудники наделяются правами большими, чем им необходимо для выполнения должностных обязанностей, процессы обеспечения "безопасного" резервного копирования, применения средств криптографии и защищённого хранения копий практически не регламентированы.

Так, настройка и периодический контроль правильной работы средств защиты информации часто бывают не регламентированы, работа всей информационной системы отдаётся на откуп системным администраторам. Вопросы сертификации и приведения системы информационной безопасности к требуемому уровню в соответствии с действующими стандартами не рассматриваются и, в лучшем случае, откладываются на потом, и это - реальность. В результате информационные системы большинства страховщиков остаются абсолютно беззащитными и слабыми изнутри.

Выбор между удобством и безопасностью

Несмотря на то, что деятельность страховой компании имеет свою специфику, наиболее критические направления информационной безопасности всё-таки приблизительно совпадают c общими проблемами при построении системы информационной безопасности. Условно их можно подразделить на три основных класса:

  1. организационные (создание соответствующей инфраструктуры, отделов);
  2. правовые (подготовка должностных инструкций, локальных нормативно-правовых актов);
  3. технические (закупка и внедрение оборудования, технических средств).

Существующая система информационной безопасности, под которой понимаются организационно-технические мероприятия, программно-аппаратные средства, а также работа персонала компании, призвана обеспечить основные свойства вверенной страховщику информации - целостность, доступность и конфиденциальность.

Не ошибусь, сказав, что введение даже простых регламентов информационной безопасности может вызвать волну негодования персонала, который с трудом «дружит» с компьютером, но крайне необходим компании как важное звено в обеспечении процесса продаж.

Что с этим делать? Ответ на этот вопрос лежит на поверхности: «Документация - основа наведения порядка в любой системе. Основные источники угроз - люди. Если у людей нет регламентов - ничего хорошего не будет».

При этом хорошо понимать различие между службами информационных технологий (ИТ) и информационной безопасности (ИБ): задача ИТ - обеспечение доступности, задача ИБ - обеспечение конфиденциальности. Очевидно, что часто эти задачи вступают друг с другом в конфликт, и именно поэтому целесообразно разделять специалистов «ИТ» и «ИБ».

Исследование, проведённое нашей компанией, показало, что значительное количество ИT-специалистов страховых компаний ничего не знают о современных кибер-угрозах, с которыми они должны бороться. Кроме того, низкий уровень компьютерной грамотности персонала является одной из причин заражения IT-инфраструктуры компании и утечки конфиденциальной информации. Поэтому обучение всех сотрудников компании основам информационной безопасности не менее важно, чем установка современного защитного программного обеспечения.

Такое невнимание к угрозам вызвано прежде всего тем, что сегодня страховые компании не обязаны оповещать общественность об инцидентах внутренней IТ-безопасности, утечках конфиденциальных и приватных данных, случаях мошенничества и т. п. Например, если финансовая компания выявит инсайдера, пытавшегося украсть деньги клиентов или продать их приватные данные, то она не станет обращаться в суд и постарается уладить дело без лишнего шума. В результате таких действий инсайдеры часто уходят от ответственности, а страховые компании, стремясь сохранить свою репутацию, замалчивают об этих фактах, провоцируя ещё большую волну преступлений в данной области.

И это ещё один, самый серьёзный миф: скрывая преступление и оставляя виновника безнаказанным, компания-страховщик не сохраняет свою репутацию и клиентов, а наоборот, подрывает общий кредит доверия населения к финансовым учреждениям.

Следует отметить, что в будущем это уже не сможет принести прибыли ни одному из участников страхового рынка.

Меры уменьшения или устранения рисков

Большая часть приведённых рисков затрагивает две области управления информационными технологиями: информационную безопасность и управление пользователями. Основываясь на общепринятых мировых стандартах (COBIT, ISO/IEC 27002), можно выделить следующие меры: управление учётными записями пользователей (парольную политику) и управление инцидентами. В любом случае все эти меры должны быть положены в основу разработки системы информационной безопасности.

Для клиентов компании «Novelty» доступна консультационная поддержка в выстраивании системы информационной безопасности. Система безопасности выстраивается под конкретную страховую организацию с учётом её профиля деятельности в целях совершенствования процесса обмена информацией, но никоим образом она не будет нарушать "прозрачности" и оперативности взаимодействия организации изнутри и вовне.

Причём при создании систем информационной безопасности применяются несколько подходов:

  • «Фрагментарный» подход - ориентируется на противодействие строго определённым угрозам при определённых условиях.
  • «Комплексный» подход - ориентируется на создание защищённой среды обработки информации в автоматизированной информационной системе (АИС), объединяющей разнородные меры противодействия угрозам. Комплексный подход требует прежде всего разработки политики информационной безопасности, которая будет отражать позицию по части организации деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области.

Это довольно длительный и подчас дорогостоящий процесс. В рамках фрагментарного подхода компания «Novelty» предлагает своим клиентам реализовать ряд мер, которые можно внедрить очень быстро, и они будут достаточно эффективно противодействовать основным кибер-угрозам.

Парольная политика

Управление пользователями

  • Логин пользователя должен быть уникальным.
  • Запретить использование общих учётных записей. За каждым пользователем системы должна быть закреплена персональная учётная запись.
  • Пользователь несёт полную ответственность за действия, осуществляемые учётной записью, закреплённой за ним.
  • Круг пользователей с критическими ролями и правами (администратор системы) в системе должен быть ограничен авторизованным списком, одобренным руководством.
  • Учётная запись может быть создана только администратором системы согласно представленной заявке, одобренной руководством (наличие визы для письменных форм). Создавать заявку имеет право непосредственный руководитель пользователя.
  • Блокировать (не удалять) учётную запись имеет право только администратор системы согласно постановлению отдела кадров, непосредственно начальника или службы безопасности компании.

В заключение хочу отметить, что на казахстанском страховом рынке пока не появлялось информации о серьёзных убытках от действий киберпреступников, но отсутствие прецедентов не означает отсутствие проблем. Как говорится, защищён тот, кто вооружён и предупреждён.

Иван ЛАЗАРЕВ, ТОО «NOVELTY»
Журнал «Рынок страхования» № 11 (98), ноябрь 2012 г.