2. 2 3
Устойчивость к киберугрозам:
определение
Приставка «кибер» описывает любые операции в Интернете — от
работы до развлечений; кибертехнологии играют всевозрастающую
роль в нашей повседневной жизни. Сегодня пользователи глобальной
сети — а это около 2,4 млрд человек или 34 % населения земного
шара — проводят в Интернете все больше времени.1
Популярность
Интернета стимулирует развитие веб-компаний, и этот процесс
необратим. А значит, пришла пора революции.
Частьпользователейсчитает,чториски,связанныеспреимуществами
веб-операций и новых бизнес-моделей, целиком понятны и прием-
лемы. Другая часть полагает, что новые технологии требуют более
взвешенного подхода. Однако на споры нет времени. Что на самом
деле сейчас необходимо, так это призыв к действию.
Для уменьшения числа киберугроз нужно разобраться с четырьмя
противоборствующими силами, каждая из которых несет в себе
уникальные риски и требует неотложного внимания руководства:
Демократизация — лозунг «власть — народу» становится
особенно актуальным с расширением сети партнеров, через
которых организации взаимодействуют с клиентами.
Консьюмеризация — влияние многочисленных устройств и,
что еще более важно, приложений, охватывающих все аспекты
работы и отдыха в сети.
Глобализация—экономичныеоблачныерешениястремительно
снижаюткапитальныезатратыиизменяютпривычныепринципы
передачи данных как внутри организации, так и за ее пределами.
Цифровизация — экспоненциальный рост количества
соединений от сенсоров и устройств («Интернет вещей»).
Сосредоточенность только на одном из этих направлений лишь
активизируетследующуюкатегориюугроз.Несуществуетединственно
правильного подхода, т. е. максимальный результат, которого можно
добиться, — это оптимизация среды организации для уменьшения
рисков. Перечисленные выше тенденции делают невозможным
абсолютное уничтожение киберугроз.
В этой декларации описывается план по снижению, а не уничто-
жению реальных и растущих угроз для отдельных пользователей,
предприятий и правительственных учреждений. Цель ясна —
обеспечить устойчивость организации к киберугрозам.
Демократизация
Глобализация
Цифровизация
Консьюмеризация
3. 4 5555555555555555555555555555555555555555
Факты
В киберпространстве невозможное становится возможным. Без
Интернета наша жизнь остановилась бы в прошлом. Задумайтесь:
• Отказались бы клиенты банков от возможности свободно
переводить деньги между странами за доли секунд?
• Вернулись бы бизнесмены в очереди за авиабилетами,
телефонными разговорами или почтовыми отправлениями?
• Зачем пересылать компонент, который можно распечатать
при меньших затратах?
Ситуация становится все более сложной и непредсказуемой для
организаций. В настоящее время мобильный веб-трафик составляет
лишь 15 %, однако эта цифра постоянно растет за счет 5 млрд
мобильных телефонов, треть из которых — смартфоны с доступом
в Интернет.1
Ежедневно пересылается 500 млн фотографий, средне-
статистический пользователь проверяет сообщения 23 раза в день.1
Жертвами кибератак ежедневно становятся 1,5 млн пользователей,
что обходится в 110 млрд долларов США ежегодно.2
В 2012 году
количество вредоносных программ или атак вредоносного кода в
Интернете увеличилось на 30 %, на мобильных устройствах — на
139 %.3
Следует обратить внимание на то, что 62 % веб-сайтов,
содержащих вредоносный код, оказались законными зараженными
веб-сайтами.3
Уже задумались?
Число и сложность киберугроз будут только расти. Это связано с тем,
что на смену старым мишеням, например операционным системам
ПК, приходят новые: веб-платформы, мобильные платформы,
приложения социальных сетей и т. п. Трудно противостоять
изменениям картины угроз, как говорят специалисты в области
безопасности. Для предотвращения современных угроз требуется
многоуровневая система защиты, которую раньше могли себе
позволить только крупные предприятия. Как станет понятно далее,
размер организации — лишь одна из множества проблем.
4. 6 7
Пугающая неизвестность
Прогнозирование будущего открывает новые возможности. Однако
в киберпространстве неизвестные намерения и непредвиденные
последствия создают хаос. Невозможно предсказать, с какими
новыми киберугрозами столкнется ваша организация — некоторые
из них еще даже не изобретены.
Большинство злоумышленников, будь то рассерженные хакеры-
активисты, киберпреступники, кибертеррористы или даже армии
киберспециалистов, финансируемые государством, имеют главное
преимущество перед пользователями — внезапность. Их мотивация
различна — от мирного протеста до злоумышленных действий,
политической или личной выгоды. Разнообразие инструментов,
доступных для создания киберугроз, растет в геометрической
прогрессии, обеспечивая киберпреступникам преимущество
перед неподготовленными организациями.
В Интернете можно легко найти множество готовых комплектов
разработки вредоносных программ, которые можно анонимно
приобрести за виртуальные деньги. Нелегальный бизнес в Интернете
процветает;болеетого,киберпреступникизаботятсяосвоейрепутации.
Сообщества киберпреступников, предназначенные для обмена
знаниями и опытом, тщательно защищены от любопытных глаз.
Здесь они обмениваются данными, украденными без ведома владель-
цев информации. Особо ценную информацию можно приобрести
всообществезаденьги.Однаковашейзаконопослушнойорганизации
врядлиудастсяпопастьзакулисы.
В отличие от реального мира, в киберпространстве жертвами злоу-
мышленниковчащевсегостановятсяименнонебольшиеорганизации.
Действительно, 31 % кибератак направлены непосредственно на
организации, в которых работает от 1 до 250 сотрудников.2
Учитывая,
что крупные предприятия уже привыкли к кибератакам, их мелкие
поставщики становятся намного более привлекательной мишенью
для злоумышленников. Наиболее эффективный путь для несанкцио-
нированного проникновения в канал поставок крупной компании —
восходящий (в порядке возрастания размера организации).
5. 8 9
Человеческий фактор
Несмотря на то что продолжительность 84 % инцидентов утечки
данных составляет не более нескольких часов, их обнаружение
может быть отсрочено на несколько месяцев (66 % случаев), а
для 22 % организаций ликвидация последствий может занять от
несколько месяцев до нескольких лет.4
В чем причина?
Чемотличаетсяорганизация,устойчиваяккиберугрозам,отуязвимой
организации? Вы можете предположить, что дело в более мощных
компьютерах,болееэффективныхпрограммахилибыстрыхсредствах
связи. К сожалению, эти вещи редко взаимосвязаны. Действительно,
иметь передовые технологии для защиты организации крайне
необходимо. Однако необходимо — не значит достаточно. Новые,
более быстрые и модные компоненты инфраструктуры сами по
себе вряд ли спасут положение.
Самое слабое звено в системе кибербезопасности — это читатели
данной декларации, я и вы.
ИТ-инфраструктура — это кровеносная система современной
организации, охватывающая все ее подразделения, и именно ИТ-
специалисты традиционно несут ответственность за обеспечение
устойчивости к киберугрозам. Очень быстро ИТ-подразделения из
основного покупателя технологий превращаются в надежного
советника. Согласно последним исследованиям, 14 % облачных
хранилищ, 13 % социальных инструментов и 11 % программ для
повышения производительности приобретаются без ведома ИТ-
подразделения.5
Исследования Gartner демонстрируют тенденцию передачи ИТ-
бюджетовоттрадиционных«распорядителей»вдругиеподразделения.
Среди них выделяется отдел маркетинга, затраты которого, по
прогнозам, к 2017 году превысят затраты ИТ-подразделения.6
В
целом это означает, что человеческий фактор оказывает первосте-
пенное влияние на картину безопасности организации, но находится
он за пределами ИТ-подразделения.
В современных условиях концентрация знаний о кибербезопасности
вИТ-подразделениилишьповышаетрискидляорганизации.Человеку
свойственно ошибаться, зачем тогда возлагать груз ответственности
наодинИТ-отдел?Насталовремяраспространитькультурубезопасной
работынавсюорганизацию.
первоначальных атак
длятся не дольше
нескольких часов
инцидентов утечки
данных обнаруживаются
спустя несколько месяцев
инцидентов утечки данных
требуют несколько месяцев
для ликвидации последствий
84 %
66 %
22 %
6. 10 1111
Угроза 1 Масштаб угроз превышает
размер компаний
Во всем мире найдется немного организаций, имеющих достаточно
ресурсов для противодействия всем возможным киберугрозам.
Даже международные компании могут иметь в штате небольшое
количество сотрудников. Современные преступники достаточно
умны. Они давно наладили взаимовыгодное сотрудничество в
виртуальных сообществах, для которых не существует государ-
ственных границ. Они продают друг другу ловушки и украденные
идентификационные данные для атак на системы безопасности,
большинствоизкоторыхбылоразработаносучетомдавноустаревших
угроз.
Сами по себе кибератаки имеют относительно несложный характер,
однакопроблеманетольковихмасштабе.Вбольшинствеорганизаций
уже развернуты базовые принципы защиты от киберугроз, что в 10
раз сокращает объем кибератак, доступных среднестатистическому
пользователю. Перейти к более изощренным атакам достаточно
сложно: 78 % злоумышленников используют базовые инструменты
из Интернета, не предусматривающие возможность настройки.4
Одной из проблем может оказаться выбор правильного подхода.
При консервативном подходе естественной реакцией является
приобретение новых, дополнительных средств для обеспечения
безопасности, однако в перспективе использование разрозненных
решений оказывается неэффективным. Более разумный подход —
получить более наглядную текущую картину безопасности и
предпринять соответствующие меры.
В будущем спектр объектов, которые могут заинтересовать киберпре-
ступников, скорее всего, будет расширяться. Учитывая, что повышение
эффективности подразумевает связывание воедино множества
систем, использование разумных датчиков для управления энергопо-
треблением, сенсоров для контроля технологических линий и меток
радиочастотной идентификации (RFID) для отслеживания грузов,
основным «потребителем» киберпространства уже является не
ИТ-подразделение и даже не человек.
Принимая во внимание глобальный характер угроз, лишь некоторые
организации (как правило, из оборонной отрасли) могут позволить
себе уделять неограниченное время сражениям в киберпространстве.
У остальных есть другие ежедневные обязанности, будь то разбор
страховых исков, продажа обуви или обслуживание автомобилей.
Для повышения уровня устойчивости к киберугрозам организациям
нужно научиться расходовать средства более продуманно. Что же
делать менее опытным ИТ-специалистам? Объединяться с коллегами
в сообщества, как это сделали хакеры. Пулы ресурсов и обмен
знаниями о серьезности угроз могли бы даже положить конец борьбе.
7. 12 1313
Угроза 2 Продолжая сражаться со
вчерашними угрозами, вы
проигрываете войну
По мере совершенствования, персонализации и распространения
киберугроз их обнаружение становится все более трудной задачей.
Вряд ли кто-либо осмелится назвать какую-либо ИТ-систему,
подключенную к Интернету (а это практически все коммерческие
системы), неприступной.
История доказала неэффективность «железного занавеса» —
человеческийразумспособенобойтилюбыепреграды.Всовременных
интеллектуальных кибератаках редко применяются методы штурма;
как правило, это персонализированные атаки, направленные одно-
временно на множество уязвимостей для оказания более разруши-
тельного эффекта.
Независимоотспособапроникновения—черезИнтернет,электронную
почту или мобильное устройство — эти процессы терпеливо и
незаметно ждут запуска в зараженных системах, даже после
обнаружения и закрытия «черного хода». Вчерашние подходы к
обеспечению кибербезопасности уже неактуальны.
Учитывая ужасающие масштабы этой игры в кошки-мышки,
оптимальной является стратегия, обеспечивающая не изолированное
устранение угроз, а непрерывное и последовательное обеспечение
устойчивости к киберугрозам. Обеспечение устойчивости к
киберугрозам — это отсутствие простого решения, универсального
лекарства или внешней помощи. Подразумевается, что продуманная
защита — лучшее нападение. Цель стратегии — создание неравных
условий,позволяющихсделатьдоступквашимсистемамневыгодным
изатруднительным.
Более качественная информация помогает принимать более
эффективные решения. В конечном итоге слишком осторожный
подход может оказаться таким же рискованным решением в
современной бизнес-среде. Оптимальный способ обеспечения
устойчивостиккиберугрозам—получитьболеечеткоепредставление
об угрозах, которым подвержена ваша организация.
8. 14 15
Угроза 3 Игнорирование роли
сотрудников
Осотрудникахчастоговоряткакосамомценномресурсеорганизации.
В действительности же сотрудники также несут самую большую
ответственность с точки зрения безопасности. Ситуация значительно
усложняется инцидентами кражи идентификационных данных и
воровства незащищенных устройств, чему способствуют лояльные
политики использования личных устройств (BYOD).
Раньше вопросы безопасности относились к зоне ответственности
ИТ-специалистов, но сегодня ситуация изменилась. С одной стороны,
существуют теневые ИТ-проекты и несогласованные затраты на ИТ;
с другой стороны, это кратчайший путь к инновациям. Агрессивный
запрет на внедрение сторонних инструментов повышения произво-
дительности приведет к тому, что ИТ-специалисты самоустранятся от
принятиярешенийвбудущем(вспомнитеосраженияхсовчерашними
угрозами).
Также требуется изменить отношение сотрудников. По данным
опросов, 53 % сотрудников не видят ничего предосудительного
в использовании корпоративных данных ввиду предполагаемого
отсутствия ущерба для компании.7
Но в этом ли их задача?
Несомненно, оптимальным выходом является расширение
полномочий нетехнических сотрудников и уменьшение числа
непреднамеренных незаконных действий. Их информированные
решения и процессы помогут повысить уровень устойчивости
организации к киберугрозам. Это важное условие, учитывая что
действия сотрудников составляют 35 % всех инцидентов утечки
данных, число которых резко возрастает в случае увольнения.8
Не стоит воспринимать это как отказ ИТ-подразделений от ответ-
ственности — это шанс получить новое конкурентное преимущество.
Техническим и нетехническим специалистам предстоит договориться
между собой, чтобы повысить устойчивость организации к киберу-
грозам. В киберпространстве игнорирование не является благом,
это проблема коммуникационного и организационного характера.
Другими словами, это неиспользованная коммерческая возможность.
9. 16 17
Как обеспечить устойчивость к киберугрозам 1
Анализ текущей картины
В теории менеджмента говорится, что нельзя управлять тем,
что нельзя измерить. Однако большинство кибератак проходят
незамеченными, не говоря уже о возможности их измерить.4
Каким
образом можно оценить степень риска?
Ответом служит то, что ненавидят школьники и так любят
организации по контролю качества, — внешняя оценка. Организации,
подверженные кибератакам, должны провести комплексную оценку
сотрудников, процессов и продуктов на предмет устойчивости к
киберугрозам. Как ни банально это звучит, но честность — начало
пути к обеспечению устойчивости к киберугрозам.
Рекомендуется начать с независимого аудита уязвимостей,
определения требований к технологиям и процессам, применяемым
в организации. Далее диапазон возможностей расширяется.
Например, сравнительное тестирование позволяет сравнить ваши
результаты с результатами коллег. Анализ просчетов в реализации
намеченного плана поможет получить практические рекомендации.
Сегодня ИТ постепенно становится стратегическим подразделением
организации.
Вооружившись этой информацией, вы получите более ясное
представление о стратегии обеспечения устойчивости к киберугрозам.
Приэтомнеизвестныеранеепеременныепревращаютсявочевидную,
значимую информацию — не только для ИТ-подразделения, но и для
организации в целом. Затем аналитическая информация становится
вашим бесспорным преимуществом.
Устойчивость к киберугрозам не гарантирует иммунитет против
кибератак, ее цель — сделать уязвимости вашей организации
менее привлекательными для злоумышленников. Если в вашей
организации определены требования и общая цель, вы можете
классифицировать кибегугрозы по приоритетам и сосредоточить
внимание на наиболее опасных проблемах.
10. 18
Раньше ответственность за ИТ-решения лежала на небольшой
группе людей. Этот подход был эффективен для стационарных
компьютеров. Сегодня же важные конфиденциальные данные
находятся там, где в конкретный момент времени находится
сотрудник, партнер организации, партнер партнера и т. д.
Мобильные технологии многое изменили. Джинн киберпреступности
навсегда выпущен на свободу. Уровень безопасности компании
определяется тем, в какой мере наименее защищенный сотрудник
или расширенный канал поставок реализует практические
рекомендации по защите от киберугроз.
Т. е. всей вашей работы по созданию и даже принудительному
применению политик использования паролей или блокировки
устройствисоблюдениюстандартовISOможетоказатьсянедостаточно
для обеспечения устойчивости к киберугрозам. Аналогичные
стандарты должны быть применены на всех уровнях — от наемных
клининговых компаний до аудиторов, от стороннего обслуживающего
персонала до юристов.
Во-вторых, согласно аналитическим прогнозам, затраты на ИТ
нетехнических сотрудников вскоре превысят затраты всего ИТ-
персонала, не только специалистов по ИТ-безопасности. Итак,
нужен глобальный подход, выходящий за рамки ИТ-подразделения,
должностных обязанностей и границы организации. В-третьих,
вашего предыдущего опыта в ИТ может оказаться недостаточно,
учитывая современную роль кибертехнологий в нашей жизни.
Как обеспечить устойчивость к киберугрозам 2
Инструктирование ВСЕХ коллег
Пока вы погружены в процессы тестирования и выбора стратегии
обеспечения устойчивости к киберугрозам, на горизонте появляются
еще более сложные задачи. Забудьте о технических терминах.
Распространение знаний среди коллег имеет огромнейшее значение,
но все ваши усилия могут быть обречены на провал из-за отсутствия
одного простого навыка. Навыка обходиться без жаргона ИТ,
сформировавшегосявтечениемногихдесятилетий.Профессиональные
термины не только не нужны, они снижают эффективность
обсуждения. В действительности жаргон — это препятствие для
обеспечения устойчивости к киберугрозам.
11. 20
Теперь становится очевидным, что работа исключительно над
обеспечением устойчивости к киберугрозам — бесполезный труд.
Киберугрозы создаются невидимыми и умными врагами, которые
могут объединяться, рассеиваться и мгновенно перестраиваться.
Нет никакого смысла стремиться к их уровню. Кроме того, никто
не отменял ваши ежедневные обязанности.
Философы утверждают: «Тот, кто не учится на своих ошибках, обречен
повторять их». Но вы не одиноки. В киберпространстве масштаб
имеет значение. К чему испытывать муки выбора оптимальной
стратегии для вашей организации? Намного эффективнее будет
объединить свои усилия с другими аналогичными организациями,
создать пул знаний и разработать стратегии.
Ваш уникальный опыт поможет организации повысить устойчивость
к киберугрозам. Существует мнение, что это единственная стратегия,
котораяможетпомочьдобитьсяуспеха,учитываяпостоянныйхарактер
угроз.
Представьте, что центр информации о киберугрозах — это
виртуальный мозг, в который непрерывно поступают миллиарды
сигналовотнесколькихтысячорганизацийимиллионовпользователей
длясозданияполнойкартиныкиберугроз.
Вбудущемонстанетосновойустойчивойккиберугрозаморганизации,
опережающей своих конкурентов благодаря комплексному
представлению ИТ-инфраструктуры. Это не означает, что базовые
принципы утратили свою важность; информация, предоставляемая
имеющимися средствами защиты, действительно важна.
Новая роль ИТ — оценка киберугроз на основе накопленных знаний
иопытаипредоставлениеруководствурекомендацийпообеспечению
устойчивости к киберугрозам. Киберугрозы выходят за пределы ИТ,
подразделений и даже государственные границы. Обеспечение
устойчивости к киберугрозам — это новый вид соревнования между
лидерами. Такими как вы. Не опоздайте!
Как обеспечить устойчивость к киберугрозам 3
Используйте стратегию обеспечения устойчивости
к кибегугрозам как конкурентное преимущество
12. 22 23
Заключение
Преимущества киберпространства впечатляют, и это только начало.
Поразительно, что для достижения успеха необходимо лишь
обеспечить безопасную передачу и прием данных. К сожалению,
для этого необходимо проявить незаурядное технологическое
мастерство, ведь, как однажды сказал футуролог и писатель Артур
Кларк, «любая достаточно продвинутая технология неотличима от
магии».
На самом деле важность киберпространства намного выше. На
уровне отдельных пользователей кибератаки ставят под угрозу
личные данные и конфиденциальность. На глобальном уровне
они угрожают стабильности правительств и банковских систем.
Информация о киберугрозах требует пристального внимания
руководителей предприятий и общественных организаций так
же, как и информация об энергетических, водных, кадровых и
прочих ресурсах. Сегодня нужны новые подходы.
Директивы сверху уже не работают. Киберпространство меняется
слишком быстро. Только гибкий массовый подход имеет шансы
быть успешным. Важную роль будут играть ИТ-специалисты,
способные выполнять следующие задачи:
1. Эффективная оценка текущей картины угроз в организации.
Быстрее и тщательнее, чем прежде.
2. Обучение сотрудников как неотъемлемого компонента
стратегии обеспечения устойчивости к киберугрозам.
Обучение должно проводиться среди всех участников
канала поставок с целью поиска идеального соотношения
между инновациями и устойчивостью к киберугрозам.
3. Реализация плана по обеспечению устойчивости к
киберугрозамкакдолгосрочногоконкурентногопреимущества,
имеющего стратегическую важность для организации.
Надеемся, что идеи по обеспечению устойчивости к киберугрозам,
продвигаемые в этой декларации, запустят цепную реакцию в вашей
организации. Возможно, у вас уже возникло желание присоединиться
к специалистам Symantec, чьи аналитические обзоры киберугроз,
продукты и услуги в области безопасности уже помогают миллионам
пользователей и тысячам руководителей повышать устойчивость
своих организаций к киберугрозам.
Устойчивость к
киберугрозам
Определение
киберугроз
Требования
Личные
устройства Облако
ИТ-отделы
Бизнес
Цепочка
поставок
Сегодня
На ресурсах
компании
Базовые
сети IP
Информированные
сотрудники
Будущая
цепочка
поставок
Облако
Аутсорсинг
Переход
Завтра
Киберугрозы
Влияние на
эволюцию
Устаревший
подход
Стратегическая
устойчивость