Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Начать разговор о защите информации следовало бы с напоминания о существовании некоторых фундаментальных теоретических основ, про которые иногда забывают. Существует, к примеру, ГОСТ Р ИСО/МЭК 27002-2012, утвержденный Федеральным агентством по техническому регулированию и метрологии, именуемый «Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».

Такие документы нужно читать, конспектируя и, как советовал автору его преподаватель по теории вероятностей и математической статистики, под кружечку кофе с коньячком. Не спеша и в удовольствие. Эта кладезь теории должна усваиваться постепенно.

Автор же переходит к более простым практическим советам, которые можно усваивать без приема лекарств.

4.4.1. Реакция на инциденты

Не нужно отмахиваться даже от малейших инцидентов информационной безопасности, это могут быть проверки перед атакой или неуклюжие попытки сотрудников осуществить противоправные действия. Странное поведение программного обеспечения или сбои в работе сетевого оборудования, средств связи и вычислительной техники могут быть побочными действиями злоумышленников или маскировкой уже совершившихся махинаций.

Создание развернутой системы мониторинга, анализа и своевременного реагирования на любые сбои и неполадки, например произвольные перезагрузки, позволит избежать большого числа слепых атак. Внедрение автоматических систем мониторинга и анализа позволяет выявлять много полезных индикаторов нарушения режима охраны компьютерной информации.

От простых атак могут спасать автоматические комплексы, в которые многие крупные компании уже вкладывают немало денежных средств. Такие комплексы способны анализировать входящие сообщения на известные вредоносные ссылки и вложения электронной почты. Перед целенаправленными атаками и персонализированным фишингом, увы, они практически бессильны.

Если использовать такие системы грамотно, то можно детектировать начальные этапы готовящегося вторжения, определить действия, направленные на изучение системы информационной защиты.

Не нужно забывать, что все установленные запреты и ограничения не спасут от клонирования носителя информации без участия операционной системы.

4.4.2. Обучение в форме учений, приближенных к реальности

К сожалению, во многих компаниях часто недооценивают значение человеческого фактора в вопросах безопасности. Даже в том случае, когда информирование персонала об информационных угрозах признается администрацией необходимым, выбираются неэффективные методы.

Для защиты от кибератак организации должны вести постоянный курс «молодого бойца» информированности и подготовки персонала по вопросам компьютерной безопасности. Проводить обучение сотрудников, разъяснять правила публикации информации в социальных сетях, личных или корпоративных данных.

Технологии сами по себе не могут гарантировать полную защиту информации. Поэтому очень важно, чтобы знание и соблюдение мер информационной безопасности стали для сотрудников частью стратегии защиты компании.

В организациях необходимо вводить регламент реагирования, который будет включать инструкции для пользователей. Сотрудники должны быть ориентированы на распознавание нештатных ситуаций и подачу сигналов специалистам информационной безопасности.

Обучение и информирование сотрудников организаций должно иметь не формально-галочный характер, как это принято проводить. Должна достигаться поставленная цель.

Для проверки эффективности обучения сотрудников и с целью пробуждения дремлющей бдительности необходимо проводить подконтрольные (проверочные) атаки, возможно с привлечением компаний, специализирующихся в этом направлении.

Во многих компаниях с иностранными владельцами уже давно проводятся тренинги по повышению осведомленности персонала к атакам с использованием социальной инженерии, однако довольно часто это делают очень странные специалисты.

При выборе компании для проведения тренингов по информационной безопасности нужно понимать, что приглашаемые специалисты должны быть осведомлены о новейших методах кибершпионажа, современных инструментах и направлениях киберпреступности.

Лучшим выбором будут организации, проводящие компьютерно-технические экспертизы для правоохранительных органов и активно занимающиеся расследованиями инцидентов информационной безопасности для физических и юридических лиц.

В этом случае специалисты такой организации смогут смоделировать и провести атаку, отвечающую современным тенденциям, разработать и реализовать план комбинированной атаки по всем законам жанра.

Эффективность такого подхода, по сравнению с методами, ограничивающимися рассылкой и зачитыванием сотрудникам инструкций, не требует обсуждения.

Проведение тестовых нападений, помимо тренинга всего персонала, сможет выявить несовершенства используемых систем информационной защиты, проверить грамотность действий сотрудников безопасности.