Компонент учебных программ по информационной безопасности: освоение безопасной работы в Web 2.0.
Рассмотрим Web 2.0 как вероятную угрозу информационной безопасности организации. Авторы отмечают, что существующие технические и программные средства контроля не обеспечивают адекватную защиту от этих угроз, что придает большее значение надлежащему охвату таких угроз в ходе учебных программ по информационной безопасности и повышению осведомленности сотрудников не только подразделений информационной безопасности, но и обычного персонала организации. Лучшим активом компании в защите конфиденциальных данных являются сотрудники, которые прошли обучение по противодействию рискам, связанным с работой в мире Web 2.0. В статье приводятся практические рекомендации по использованию их в программах обучения.
Специалисты по обеспечению конфиденциальности и безопасности пришли к выводу, что технологии, которые сегодня работают для защиты компании, могут перестать быть эффективными завтра. Постоянно меняющиеся меры безопасности обусловлены не только внедрением новых технологий, но и быстрыми темпами адаптации и инноваций, которые демонстрируют злоумышленники. Последние используют новые уязвимости почти сразу же, как только исправляются существующие или возникают новые, создавая постоянную игру в догонялки между специалистами по безопасности и преступниками. Хуже всего то, что за последние несколько лет появились различные сообщения о растущем подпольном рынке украденных электронных данных. Этот подпольный рынок достиг такого уровня, что хакеры могут зарабатывать большие деньги, используя небольшой набор специальных навыков, таких как взлом почтового аккаунта, файрвола или браузера, а также взлом различных платных программных продуктов, стоимость которых для корпоративных нужд составляет сотни тысяч долларов. При этом рынок хакеров не регулируется властью ни одного государства, что стирает границы для киберпреступности и значительно увеличивает ассортимент предлагаемых услуг. Используя просторы Интернета, организованные преступные группы совершают нападения и организованные кампании независимо от места расположения жертвы угрозы, вовлекая в театр кибератаки участников из различных стран. Таким образом, растущий спрос на персональные и конфиденциальные данные подогревает увеличивающийся криминальный бум хакерской активности.
Неспособность существующих технических средств контроля обеспечить адекватную защиту от этих угроз придает большее значение надлежащему охвату таких угроз в ходе учебных программ по информационной безопасности и повышению осведомленности сотрудников <1> не только подразделений информационной безопасности, но и обычного персонала.
<1> Вилкова А.В., Литвишков В.М., Швырев Б.А. Проблемы непрерывного обучения персонала информационной безопасности // Мир науки, культуры, образования. 2019. N 4 (77). С. 29 - 31.
Для сохранения эффективности программы обучения информационной безопасности должны периодически пересматриваться, чтобы отражать политические реалии и существующую практику компаний, а также постоянно меняющуюся природу угроз и современного уровня программных и аппаратных средств <2>. За последние десятилетия усовершенствования защиты сетей и защиты операционных систем привели к тому, что злоумышленники изменили свои стратегии атак на использование программных приложений (таких как браузеры, текстовые процессоры и цифровые форматы, такие как PDF) и социальных сетей, часто объединяя эти атаки в смешанном режиме.
<2> Skudalova O.V. Personal factor of a social entrepreneur in the context of the inclusive economy development // International Journal of Innovative Technology and Exploring Engineering. 2019. Vol. 8. Iss. 8. P. 2996 - 3002.
Поскольку компании используют преимущества Web 2.0 <3>, т.е. интернет-приложения, программное обеспечение как услуги и облачные вычисления, у злоумышленников появляются новые возможности для получения, изменения или уничтожения данных компании. Существующие технологические средства контроля пока не доказали свою эффективность в противодействии этим новым и быстро развивающимся угрозам. Существующие политики должны быть обновлены (или созданы заново), а методы - скорректированы, чтобы обеспечить постоянную безопасность и конфиденциальность персональных и коммерческих данных. На сегодняшний день лучшим активом компании в защите конфиденциальных данных являются сотрудники, которые прошли обучение по противодействию рискам, связанным с работой в мире Web 2.0 <4>.
<3> Skudalova O.V. Op. cit.; Amy Shuen. Web 2.0: A Strategy Guide. O'Reilly, 2008. 272 p.
<4> Bernd W. Wirtz et al. Strategic Development of Business Models / W. Bernd // Long Range Planning. 2010. Vol. 43. Iss. 2 - 3. P. 272 - 290. DOI: 10.1016/j.lrp.2010.01.005.
Опытные пользователи информационных ресурсов часто хорошо разбираются в таких терминах, как брандмауэр и антивирус, они часто убеждены в том, что эти технологии обеспечивают практически непробиваемую защиту от всех потенциальных рисков атак. Однако после инцидента эти пользователи уверяют, что они были "в полной безопасности" при посещении Интернета, поскольку они были защищены популярной антивирусной программой. Имеющиеся в открытом доступе статистические обзоры киберпреступности по развитым странам, касающиеся безопасности в Интернете и утечки данных в 2018 и 2019 годах, показали, что хакеры используют вредоносное программное обеспечение (ПО) для обхода средств защиты, заражения компьютеров и установления долгосрочного контроля или наблюдения за пользовательской активностью и/или сетевым трафиком, несмотря на распространенные бытовые версии антивирусных программ. Из-за деликатного характера темы немногие компании готовы поделиться уроками, извлеченными из расследования взлома данных.
Большинство взломанных записей осуществляется с использованием хакерских и вредоносных программ. При этом большинство атак являются простыми, только каждая десятая атака использует "сложные" методы. Эти атаки приносят наибольший вред порядка 90% потерянных данных, для их реализации злоумышленник использует специальные вредоносные программы, которые крайне сложно обнаружить и удалить с помощью современных средств контроля безопасности.
Сотрудники должны знать, что текущее состояние технологий безопасности не может обеспечить полной защиты от современных атак, особенно от целевых. Причина этого (обычно временного) пробела в защите проста: антивирусные компании должны наблюдать и собирать образцы вредоносного программного обеспечения в естественных условиях, прежде чем они смогут обновить свои программы для правильного обнаружения и/или удаления вредоносного программного обеспечения. И все же процесс не идеален. Антивирусные программы всегда отстают от потенциальной угрозы. Используя аналогию текущего момента в мире, очевидно, что сначала население заболевает вирусом, а спустя некоторое время разрабатывается вакцина. Противостоять такой ситуации возможно с использованием эвристического подхода к анализу программного обеспечения с целью обнаружения вредоносного кода. Но наиболее эффективным способом является своевременное обучение сотрудников и актуализация программы повышения квалификации по информационной безопасности.
Не менее опасными считаются смешанные угрозы - атаки, использующие несколько вредоносных методов для достижения максимального вреда и быстрого заражения. По мере того как корпорации экспериментируют с перемещением данных в облако или выходом в социальные сети, чтобы задействовать расширенную базу пользователей, пользователи обнаруживают, что взаимодействуют с новыми средами. Тем не менее пользователи часто не знают о дополнительных векторах угроз, связанных с этими средами. Когда пользователи покидают хорошо охраняемые границы внутренней сети компании для доступа к службам Web 2.0, они часто делают это с помощью программных приложений, которые до сих пор оказывались весьма уязвимыми <5>. Интернет-браузеры, которые обычно являются средством выбора для доступа к службам Web 2.0, легко подвергаются риску и часто используются на ранних стадиях атаки <6>. Основной вектор доступа к сервисам Web 2.0 остается ненадежным с точки зрения безопасности. Наиболее распространенным методом доставки вредоносного ПО является сценарий, при котором злоумышленник скомпрометировал систему, а затем установил на нее вредоносное ПО. В то время как некоторые атаки требуют действий пользователя, таких как загрузка, установка или щелчок по пиктограмме, существует класс атак, называемых "атаками с диска", которые заражают компьютер без какого-либо вмешательства пользователя, кроме посещения зараженного сайта. Такие атаки входят в тройку наиболее распространенных в Web 2.0 <7>.
<5> Governor J., Hinchcliffe D., Nickull D. Web 2.0 Architectures: What Entrepreneurs and Information Architects Need to Know. O'Reilly Media, Inc., 2009. 276 p.
<6> Jones B. Web 2.0 Heroes: Interviews with 20 Web 2.0 Influencers / Wiley, 2008. 273 p.
<7> Pedley D., McHenry D., Motha H., Shah J. Understanding the UK cyber security skills labour market. URL: https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/767422/Understanding_the_UK_cyber_security_skills_labour_market.pdf.
Чтобы минимизировать вероятность и потенциальный ущерб от современных вредоносных программ и смешанных угроз, отделы ИТ и безопасности могут применять технологические средства управления, такие как:
- периодическая проверка прав доступа пользователей и удаление ненужных;
- периодический просмотр журналов доступа на наличие признаков использования общих учетных данных;
- предоставление пользователям "усиленных" браузеров (или приложения Web 2.0);
- предоставление пользователям "изолированной" рабочей среды;
- убежденность, что процесс исправления распространяется как на операционные системы, так и на установленные приложения;
- обеспечение защиты пользователям дома и в дороге.
В то время как корпоративные пользователи обычно защищены несколькими уровнями технологий безопасности, пользователи дома или в дороге часто более уязвимы. Таким образом, описанный выше материал целесообразно включать в эффективную программу обучения сотрудников по направлению "информационная безопасность".
