Кибербезопасность: как защитить информацию с помощью системного подхода

В условиях стремительной цифровизации бизнеса кибербезопасность перестает быть узкоспециализированной задачей — она становится критическим элементом стратегии любой организации. Угрозы утечки данных, ransomware-атаки (блокирование доступа к данным с целью получения выкупа) и эксплуатация уязвимостей, требуют не только технологических решений, но и системного подхода к анализу рисков. 

В статье рассмотрим реальные кейсы использования методологий анализа рисков и расскажем, какие инструменты и подходы позволяют превратить абстрактные требования безопасности в рабочие процессы и как избежать типичных ошибок при проектировании архитектуры будущей системы. Материал может быть полезен руководителям крупных, средних и малых предприятий, техническим директорам, руководителям ИТ-подразделений предприятий.

Этапы формирования требований к безопасности системы

Шаг 1. ИТ-аудит

Если в организации уже существует ИТ-инфраструктура, необходимо провести ИТ-аудит. Он позволит определить основные принципы работы текущей системы и выявить уязвимости и риски, которые могут повлечь появление инцидентов, связанных с нарушением безопасности.

Такие риски могут быть:

• случайными (внезапные инциденты, которые сложно спрогнозировать, стечение непредвиденных обстоятельств, приводящее к неблагоприятным последствиям);
• субъективными (риски, которые возникают из-за ошибок и неправильных действий сотрудников при обработке и хранении информации);
• объективными (риски, которые возникают в результате проникновения в информационную систему вредоносного программного обеспечения).

Шаг 2. Сбор и анализ требований

• выявляем потребности бизнеса с точки зрения безопасности. Здесь учитываются не только непосредственные нужды компании, но и требования государственных регуляторов (включая требования к защите персональных данных, данных, представляющих государственную тайну и т. д.);
• проводим идентификацию потенциальных угроз, связанных с системой: например, возможность несанкционированного доступа к данным (вредоносное ПО, фишинг, SQL-инъекции), полная или частичная утрата информации, возможная манипуляция процессами и пользователями (социальная инженерия), избыточная нагрузка на системы с целью их отказа (DDoS-атаки);
• анализируем полученные данные и применяем подходящую методологию оценки рисков.

Шаг 3. Финальная стадия

Формируем требования к безопасности системы и проектируем архитектуру с учетом основных рисков. Мониторим активность.

Методологии оценки рисков

В зависимости от контекста системы и доменной области предприятия, требований регуляторов для анализа кибербезопасности применяется несколько методологий.

• FAIR (Factor Analysis of Information Risk) — факторных анализ информационных рисков.

С ее помощью можно провести количественную оценку рисков на основе факторов вероятности и ущерба. Основных этапов три: идентификация активов, оценка угроз и уязвимостей, расчет вероятности и финансовых потерь, но требует участия специалистов с глубокими знаниями статистики и анализа данных. Применяется в финансовом секторе и в крупных корпорациях.

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) — оценка критических рисков, активов и уязвимостей.

Помогает провести качественный анализ рисков с фокусом на операционные и бизнес-активы. Основные этапы: определение критических активов, оценка угроз и разработка плана защиты. К преимуществам относят простоту внедрения. Может проводиться силами сотрудников без привлечения внешних специалистов. Но есть ограничения: OCTAVE не дает количественных метрик для сравнения рисков. Подходит для малого бизнеса и стартапов.

• CRAMM (CCTA Risk Analysis & Management Method) — комплексный (качественный и количественный) метод оценки и контроля рисков.

Подходит для комплексной оценки рисков с учетом требований регуляторов. Основные этапы: идентификация активов, оценка угроз и уязвимостей, расчет уровня риска. Преимущества: учитывает юридические аспекты, требования регуляторов и стандартов. Ограничения: высокая сложность и затраты времени. Применяется в госструктурах, предприятиях, организациях здравоохранения.

• FRAP (Facilitated Risk Analysis Process) — методология оценки рисков, ориентированная на качественную оценку с точки зрения влияния этих рисков на достижение бизнес-целей организации.

С помощью FRAP можно провести быстрый анализ рисков для приоритизации задач. Основные этапы: интервью с сотрудниками, оценка критичности процессов и ранжирование рисков. Сокращает время рутинных процессов, подходит для работы в условиях сжатых сроков. Ограничения: поверхностный анализ (не подходит для сложных систем). Применяется в проектах с ограниченными ресурсами, необходимостью быстрого внедрения.

На примере кейсов рассмотрим, как теоретические концепции применяются на практике и какие конкретные шаги можно предпринять, чтобы повысить уровень защиты информации в организации.

Кейс 1: внедрение системы управления доступом (IAM)

В одной из крупных финансовых организаций был реализован проект по внедрению системы управления доступами к информации (Identity and Access Management, IAM). В проект привлекли системного аналитика, который в условиях сжатых сроков и ограниченных ресурсов выбрал FRAP и OCTAVE для анализа текущих процессов управления доступом.

После проведения оценки OCTAVE выяснилось, что более 25% сотрудников имеют избыточные права. FRAP обнаружила риски для платежной системы, связанные со слабой аутентификацией.

Таким образом, анализ текущих процессов позволил выявить уязвимости:

• отсутствие централизованного управления доступом (в организации использовалось несколько разрозненных систем, это усложняло контроль за доступами и приводило к тому, что более 25% сотрудников имели доступ к данным, которые не соответствовали их ролям);
• слабая аутентификация (30% пользователей использовали простые пароли, которые можно было легко угадать: это создавало риск несанкционированного доступа).
• отсутствие журналов (не велись полные журналы доступа, что затрудняло расследование инцидентов. В среднем, на анализ каждой попытки несанкционированного доступа уходило до 6 часов).

По результатам анализа и рекомендаций аналитика приняли решение внедрить систему управления доступом (IAM). Она позволила создать централизованный подход к управлению идентификацией и доступами к ресурсам, что полностью покрывает совокупность выявленных рисков.

На основе проведенного анализа системный аналитик разработал требования к новой системе IAM.

Функциональные требования:

• централизованная аутентификация (все пользователи должны проходить аутентификацию через единую точку доступа).
• управление ролями (необходимо реализовать систему ролей, которая позволит назначать права доступа в зависимости от должности и обязанностей пользователя).
• многофакторная аутентификация (внедрение многофакторной аутентификации для всех пользователей с доступом к критически важным данным).

Нефункциональные требования (их выявили из бизнес-правил, полевых исследований, аналитических отчетов и атрибутов качества):

• производительность (система должна обрабатывать до 2500 запросов на аутентификацию в минуту).
• безопасность (все данные, которые передаются между клиентом и сервером, необходимо шифровать с применением протокола TLS).
• отчетность (необходимость генерировать отчеты о доступе каждые 24 часа для аудита).

Документация по проекту

Разработка стратегии:

• информация (определены массивы данных и способы их представления: текст, видео, аудио, бумажные носители, а также важность и уровень защиты данных).
• инфраструктура (описаны материальные объекты, содержащие защищаемые данные: компьютеры, носители, периферийные устройства)
• информационные системы (указаны системы с конфиденциальными данными: ERP, CRM, SCM и др.).
• информационная безопасность (описаны задачи безопасности и используемые средства, например DLP-системы).
• служба информационной безопасности (представлена структура подразделения, его задачи и методы оценки эффективности).

Технорабочее проектирование (ТРП):

• проектные решения (описана система с архитектурными и техническими аспектами).
• рабочая документация (описаны настройки для развертывания системы и эксплуатационная документация).

При внедрении системы управления доступами провели обучение сотрудников, на котором специалисты компании провели тренинги и рассказали о преимуществах системы. Для миграции данных использовали поэтапный перенос учетных записей с тестированием на тестовой среде.

Итог

• время развертывания системы составило 3 месяца, что отвечало условиям заказчика. Анализ рисков дополнительно занял неделю.
• сокращение инцидентов, связанных с несанкционированным доступом, вдвое.
• уменьшение времени реагирования на инциденты с 5 часов до часа благодаря наличию журналов доступа и отчетности.
• снижение количества утечек на 70% за полгода (в результате внедрения менеджера паролей и проведения тренингов).
• качественная пользовательская документация позволила провести обучение 100 сотрудников менее чем за 2 недели.

На основе рассмотренного примера видно, как методологии оценки рисков в руках квалифицированного системного аналитика позволили подойти к проекту внедрения IAM не формально, а с учетом текущей ситуации и требований бизнеса к безопасности данных.

Кейс 2: оценка рисков киберугроз для крупной телекоммуникационной компании

Для оценки также привлекли системного аналитика, который использовал методологию FAIR. Задача — рассчитать потенциальные убытки от уязвимостей в устаревшем ПО и обосновать затраты на обновление инфраструктуры перед руководством.

Выявили несколько уязвимостей, которые подчеркивают важность применения методологии FAIR для количественной оценки рисков:

• уязвимость в программном обеспечении (использование устаревшего ПО могло привести к атакам злоумышленников. Например, в старой версии веб-сервера Apache существовала уязвимость, которая позволяла с помощью произвольного кода привести к утечке данных клиентов).
• неправильная конфигурация сетевого оборудования (открытые порты и протоколы на маршрутизаторах и коммутаторах создавали риски для внешних атак. Например, на маршрутизаторе был открыт порт, который не использует шифрование. Это давало злоумышленнику возможность получить доступ к управлению и изменить настройки сети).
• человеческий фактор (недостаточное обучение сотрудников по вопросам кибербезопасности могло привести к фишинговым атакам. Сотрудники не были обучены распознавать фишинговые письма, и один из них случайно ввел свои учетные данные на поддельном сайте, что привело к утечке данных).
• уязвимости в мобильных приложениях (приложения для клиентов не защищены должным образом, что могло привести к утечке личной информации. В мобильном приложении компании не было реализовано шифрование данных, передаваемых между клиентом и сервером. Это позволило злоумышленникам перехватывать личные данные пользователей).
• отсутствие многофакторной аутентификации для доступа к критическим системам (системные администраторы использовали только пароли для доступа к системам управления сетью. Это увеличивало риск несанкционированного доступа в случае утечки пароля).

Результаты

На анализ ушло около 2,5 недель. Использование методологии FAIR позволило компании не только определить критические активы и уязвимости, но и разработать приоритетные меры по их защите. Это привело к повышению уровня защищенности и оптимизации затрат на защиту, что является ключевым аспектом для успешного управления рисками в сфере кибербезопасности.

Заключение

Опыт применения методологий оценки рисков показал, насколько они являются эффективным инструментом противостояния угрозам. Но одним анализом данные не защитить. Бизнес должен быть готов к технологическим вызовам и к рекомендациям, полученным на этапе анализа.

И, конечно, даже в эпоху ИИ реализация комплексных мер по обеспечению безопасности систем требует привлечения высококлассных специалистов — системных аналитиков, аналитиков данных, архитекторов и разработчиков, — которые профессионально подойдут к задаче и разработают свод правил, надежно защищающих данные компании.