Информационная безопасность давно перестала быть исключительно технической задачей. Даже при наличии современных средств защиты компании продолжают сталкиваться с инцидентами из-за управленческих ошибок. Причина проста: безопасность состоит из технических средств защиты, выстроенных процессов и также решений руководства.
Разберем ошибки, которые чаще всего приводят к финансовым потерям, простоям и инцидентам.
Воспринимать ИБ как “задачу айтишников”
Одна из самых распространённых ошибок - считать, что информационной безопасностью могут “по совместительству” заниматься ИТ-специалисты.
Но задачи у этих команд принципиально разные.
ИТ отвечает за доступность и стабильность: чтобы системы и сервисы работали, а сотрудники имели удобный доступ к ИТ ресурсам.
ИБ отвечает за предотвращение рисков и недопустимых событий для бизнеса - утечек данных, компрометации инфраструктуры, остановки процессов, финансового ущерба. ИБ поставит на первое место защиту информации, постаравшись учесть удобство для пользователя.
ИТ-специалист может отлично разбираться в инфраструктуре, но не обладать достаточной экспертизой в анализе угроз и построении процессов защиты.
Попытка переложить безопасность на ИТ часто создаёт иллюзию защищенности (ведь ИТ настроили СЗИ, но на «любительском» уровне). В результате защита строится вокруг удобства, а не рисков, критичные угрозы могут остаться незамеченными, компания вряд ли выдержит серьезные инцидент.
Эффективная кибербезопасность начинается с простого принципа: каждый должен заниматься своим делом.
2. Не настроить базовый минимум
Антивирусная защита, межсетевой экран (Firewall / NGFW), резервное копирование, своевременное обновление ПО и ОС, защита почтовых сервисов, корпоративная парольная политика – не просто так называются базой. Именно она при профессиональной настройке обеспечивает хороший уровень защиты даже при отсутствии более серьезных инструментов. Подробнее про настройку базы читайте в статье.
Отдельно важно контролировать пользовательские привилегии, т.к. многие инциденты ИБ происходят из-за того, что сотрудники или подрядчики имеют доступ “на всякий случай”.
Для снижения этих рисков используются: RBAC-модели разграничения доступа, PAM-системы для контроля привилегированных учетных записей, двухфакторная аутентификация, сегментация сети и принцип минимально необходимых привилегий
И наконец, базовый минимум невозможен без выделенного специалиста по ИБ, который отвечает именно за безопасность бизнеса, а не только за бесперебойную работу инфраструктуры.
3. Реагировать только после инцидента
Одна из самых дорогих ошибок - заниматься безопасностью только после атаки. Компании не просто откладывают, а зачастую никогда не делают:
- пентесты
- аудит инфраструктуры
- обучение сотрудников
- выстраивание процессов реагирования
На самом деле профилактика оказывается дешевле в десятки раз, чем простой бизнеса, расследование и восстановление. Сколько стоит восстановление инфраструктуры после атаки шифровальщика BlackBit мы рассказываем в кейсе. Обеспечить заблаговременную защиту такой компании по оценке ИБ команды Simplity обошлось бы в 7 раз дешевле.
4. Покупать мастхэв-решения, но не выстраивать процессы
Одна из самых дорогих иллюзий в ИБ - считать, что покупка дорогого решения автоматически означает защищённость. Компании внедряют: SIEM, EDR/XDR, NGFW, DLP и, например, поручают настройку и в целом работу этими инструментами ИТ-департаменту (см. ошибку №1).
На практике бюджет потрачен, но оказывается:
- команда не умеет эффективно использовать инструмент и не знает об этом
- правила детектирования не адаптированы под инфраструктуру
- процессы реагирования не выстроены
- у мониторинга остаются слепые зоны
В результате лицензии куплены, бюджет потрачен, а у бизнеса создаётся ощущение безопасности без её реального подтверждения.
5. Работать без плана реагирования
Многие руководители продолжают жить в логике, что взлом их не коснется. И даже при наличии инвестиций в ИБ не имеют плана реагирования, на случай атаки хакеров.
Проблема в том, что абсолютной защиты не существует. Вопрос уже не в том, произойдет ли инцидент, а в том, насколько быстро компания сможет его обнаружить, локализовать и восстановиться.
Именно для этого нужен план реагирования на инциденты - заранее подготовленный сценарий действий при атаке, который заранее обозначает:
- кто принимает решения во время инцидента
- кто отвечает за коммуникации
- кого и в каком порядке уведомлять
- как изолируется зараженная инфраструктура
- как останавливается распространение атаки
- как восстанавливаются сервисы
- когда подключается руководство, юристы, PR или подрядчики
Если плана нет, ответ на кибератаку будет хаотичным, а хаос почти всегда становится отдельным источником ущерба, ведь сотрудники не понимают, что делать, важные решения принимаются слишком поздно
Хороший план реагирования позволяет быстрее локализовать атаку, минимизировать финансовые потери и избежать паники внутри компании.
6. Отсутствие регулярного тестирования безопасности
Без регулярных проверок компания не понимает свой реальный уровень защищенности, хотя может использовать сканеры уязвимостей. Но последние не заменяют:
- пентесты
- Red/Blue Team учения
- Социтехнические симуляции
- проверку процессов реагирования
Только практическое тестирование показывает, как именно атака будет выглядеть в реальности, и какие последствия для бизнеса может иметь.
Оставьте заявку на консультацию в Макс - обсудим нюансы вашей инфраструктуры, предложим план для вашей компании, согласуем детали – только то, что действительно повысит реальный уровень безопасности бизнеса.