Цифровизация экономики и развитие технологий помогают бизнесу увеличить производительность, оптимизировать бизнес-процессы и дают многие другие возможности. При этом появляются и новые угрозы — компании становятся уязвимы к кибератакам. За первые восемь месяцев 2019 года количество зарегистрированных киберпреступлений в России выросло на 67%. По темпам роста количества правонарушений киберпреступность опережает все остальные. Эксперты из разных областей — от энергетики до роботизации бизнес-процессов — рассказали о своих опасениях и методах защиты личных и корпоративных данных.

Светлана Анисимова, генеральный директор UiPath в России и СНГ

Автоматизация бизнес-процессов и стандартных задач — один из ключевых трендов мировой экономики. Роботы активно избавляют людей от рутины в самых разных отраслях и повышают эффективность компаний, но при этом было бы несправедливо отрицать, что RPA, как и любая новая технология, несет определенные риски для информационной безопасности. Важно уделять внимание тестированию и анализу потенциально опасных зон на начальном этапе внедрения роботизированного софта, чтобы предотвратить негативные последствия в будущем.

RPA, Robotic process automation (роботизированная автоматизация процессов) — это форма технологии автоматизации бизнес-процессов, основанная на метафорическом программном обеспечении роботов или работников искусственного интеллекта. Роботы RPA используют пользовательский интерфейс для сбора данных и управления приложениями.

RPA — это ПО, выполняющее ряд установленных функций. Если человек может остановится и подумать, нужно ли выполнять те же действия с конфиденциальной информацией, то робот действует исключительно согласно алгоритмам. Особенно ярко риски проявляются в финансовой сфере, где с участием RPA в мире сегодня производится каждая вторая операция. Ошибки (невольные или преднамеренные) в кодировании могут привести к непредсказуемым последствиям — например, осуществлению несанкционированных платежей.

Для того, чтобы повысить уровень информационной безопасности, нужно начать с качественной архитектуры. Это залог корректного функционирования RPA. Постоянная аналитика и повышение экспертизы ИТ-команды помогут оставаться в «боевой готовности» и противостоять новым, изощренным видам кибератак. При работе с информацией стоит обращать внимание на следующие аспекты:

контроль над правами и полномочиями учетных записей, под которыми действует робот;
запрет на взаимодействие со смежными, не предназначенными для процесса системами;
зашифрованная передача информации (в UiPath, например, данные передаются по протоколу TLS 1.2).

Для того, чтобы безопасно хранить и обрабатывать информацию, UiPath не позволяет роботам накапливать незадействованные в работе данные. Информационная защита платформы включает в себя управление доступом на основе ролей (RBAC), Encryption Everywhere и сертифицированный код Veracode.

Михаил Лифшиц, совладелец и председатель совета директоров АО «РОТЕК»

Мы живем в мире угроз и рисков и уже привыкли к тому, что случаются климатические аномалии, теракты, кражи и другие отклонения.

Кибернетический мир, созданный людьми, впитал в себя все эти «пороки», но и добавил новые. И если вы решили погрузить свое предприятие в этот кибермир, то должны воспринимать угрозы как данность и предпринимать похожий набор средств безопасности, как и в реальном мире.

Здесь есть мелкие жулики, пытающиеся украсть ваши пароли. Например, система прогностики состояния энергетического оборудования ПРАНА отражает в день до 5 тыс. попыток подбора паролей к внешним контурам системы из интернета. Есть и более осознанные попытки проникновения, с которыми мы также работаем.

Главное — не драматизировать эту историю и иметь либо профильных специалистов внутри бизнеса, либо использовать квалифицированных подрядчиков в области кибербезопасности.

И точно так же, как в бизнесе, внимание и бюджеты на обеспечение безопасности должны быть соразмерны потенциальным рискам и ущербу от вмешательства киберпреступников.

Работая в сфере цифровых решений, разработчики и поставщики услуг для объектов критической энергетической инфраструктуры имеют в штате профильных специалистов и привлекают к работе лучшие подрядные организации в этой сфере.

Иван Боровиков, основатель платформы автоматизации маркетинга Mindbox

Размер финансовых потерь российского бизнеса из-за кибератак стремительно увеличивается. В 2017 году около 50% отечественных компаний столкнулись с киберугрозами, в результате чего российской экономике был нанесен ущерб в размере 116 млрд рублей. В 2019 году из-за кибератак экономика страны уже потеряла 2,5 трлн рублей. Через два года эта цифра может вырасти до $8 трлн, и удивляться такой динамике не приходится. Чем сильнее оцифровывается жизнь людей (электронные документы, электронная подпись, платежные средства, переводы и сделки), тем больше злоумышленники переносят фокус внимания из традиционной жизни офлайн в киберпространство. Мало того, шансов быть пойманным на цифровом преступлении сейчас значительно меньше, чем в случае традиционного преступления. Это дополнительный стимул для цифровизации криминальной активности и переходу ее в диджитал.

В индустрии целевого маркетинга и маркетинга больших данных можно выделить два типа угроз:

угрозы для компаний-ритейлеров и сервисных компаний (хищение конфиденциальных данных, связанных с коммерческой тайной, клиентскими базами, конкурентами);
угрозы для физических лиц (хищение персональных данных, истории покупок и действий в интернете).

Покупатель оставляет за собой информацию о просмотрах, кликах, сайтах, способах оплаты, а также личные данные, которые могут быть использованы для социального инжиниринга — для фишинга и шантажа, а данные просмотров (cookie) могут быть проданы игрокам других рынков в рекламных целях.

К счастью, обычно для целевого маркетинга не требуются особо «чувствительные» данные, такие как данные паспорта или номера кредиток, данные о здоровье и другие. Так что утечка информации из маркетинговых систем может нанести существенный ущерб компании и ее репутации, но тяжелые необратимые последствия для субъектов персональных данных (покупателей) маловероятны. Например, утечка базы клиентов программы лояльности сети «Красное и белое» — эмоционально это крайне неприятный случай, но серьезных последствий для покупателей или компании, кроме штрафов регулятора и репутационного ущерба, не случилось.

Защита личных данных покупателей наших клиентов — целый набор технических и организационных процессов. С каждым сотрудником подписывается соглашение о конфиденциальности (часть трудового договора), записываются все действия пользователей в системе, разделяется доступ к информации, специальным образом авторизуются менеджеры со стороны заказчика, имеющие доступ к информации. Кроме того, компания регулярно проводит аудит обеспечения безопасности персональных данных с привлечением внешних компаний и экспертов, а в 2020 году планирует довести уровень обеспечения безопасности до соответствующего международной сертификации ISO. Принципы самоуправления, честности и прозрачности также играют существенную роль. За счет самоуправления ситуаций с «обиженным» на компанию сотрудником как таковых в Mindbox практически не возникает. А значит, и рисков, связанных с желанием сотрудника отомстить или заработать на данных, существенно меньше.

Несколько другой подход действует, если говорить о корпоративных данных. Есть данные, доступ к которым компания ограничивает в соответствии с законом (персональные данные сотрудников, персонализированные данные об их доходах). Если говорить о коммерческих данных — продажи, оборот компании. В этом случае компания более открыта и даже планировала сделать P&L (Profit & Loss Report, с англ. «отчет о прибыли и убытках» — «Хайтек») публично доступным. Mindbox не видит существенных рисков, если конкуренты увидят цифры коммерческой деятельности компании. Эти данные не помогут конкурентам воспроизвести бизнес-процессы, культуру и другие ноу-хау, а секрет эффективности — именно в них.

Андрей Прошин, Orange Business Services, менеджер по развитию бизнеса

Киберугрозы сейчас актуальны как никогда. Наша компания постоянно работает над повышением уровня информационной безопасности. Мы открываем новые и расширяем существующие цены мониторинга кибербезопасности в разных регионах (в том числе в России).

Основная задача таких центров — выявлять инциденты информационной безопасности и вовремя реагировать на них, тем самым снижая риски (финансовые, репутационные и другие).

Инциденты информационной безопасности (ИБ) можно разделить по 8 признакам:

по уровню тяжести для профессиональной деятельности компании;
по вероятному возникновению рецидива — повторного «заражения»;
по типам угроз;
по нарушенным свойствам ИБ;
по преднамеренности возникновения;
по уровню информационной инфраструктуры;
по сложности выявления;
по сложности устранения.

Многие наши заказчики, стараясь соответствовать новым вызовам, активно работают в сфере информационной безопасности: составляют стратегии развития, инвестируют в специалистов и технические средства безопасности. Активность связана именно с ростом угроз, их количеством и качеством, общим трендом интеграции ИТ в бизнес-процессы (всё автоматизируется) и повышением стоимости устранения последствий. В 2019 году многие компании делились своим опытом противодействия киберугрозам. Это в первую очередь Сбербанк, Госуслуги, «Росбанк», «Альфа-Банк», Norsk Hydro, Equifax и другие компании.

Что касается наиболее опасных угроз, то наша компания выделяет вредоносное ПО вирусы-шифровальщиками, которые через фишинг, уязвимости попадают в сети компаний.

Еще одна огромная проблема — DDoS. Объем DDoS-атак также растет ежегодно, как по сложности, так и по объему. DDoS может быть использован для сокрытия (отвлечения внимания) другой активности злоумышленников.

Компании очень по-разному противодействуют этим угрозам. Многие задумываются о промышленной безопасности, но для большинства это пока начальный и сложный этап. Направление и объем работы зависят от наличия ресурсов — людей и экспертизы. Основная проблема в том, что службы ИБ большинства компаний небольшие и работают вместе с ИТ-специалистами для управления средствами ИБ. Все заняты ежедневными рутинными задачами. Найти время и ресурсы на управление уязвимостями, управление изменениями, работу над инцидентами непросто. Самый актуальный сейчас путь — инвестировать в средства превентивной защиты (фаерволы, системы предотвращения вторжений, песочницы и другие), которые значительно снижают риски. Но при этом нужны функции SOC для работы с теми угрозами, событиями и инцидентами, с которыми по разным причинам не справляются средства превентивной защиты.

SOC (Security Operations Center, или Центр обеспечения безопасности) — это команда экспертов по безопасности, которые вооружены технологиями обнаружения, анализа, подготовки отчетов и предотвращения киберугроз. По сути, это то, что объединяет людей, процессы и технологии в достижении глобальной цели: снижении рисков через повышение киберзащиты в организации.

Orange Business Services предлагает набор решений и сервисов, которые позволяют нашим клиентам снижать свои риски и справляться с инцидентами, привлекая нашу экспертизу. Наиболее эффективная комбинация методов ИБ: технологии + экспертиза + процессы + взаимодействие с глобальной командой. Мы используем большое количество технологий и средств превентивной защиты как для себя, так и для защиты наших управляемых сервисов и платформ: межсетевые экраны, системы обнаружения вторжений, DDoS-защиты, веб-приложения, фаерволы, двухфакторную аутентификацию и много другое.

А в целом процесс обеспечения ИБ мы видим циклическим:

понимание рисков и угроз;
работа с сотрудниками (повышение осведомленности);
превентивные средства защиты (для снижения рисков);
мониторинг;
детектирование инцидентов;
реагирование на обнаруженные инциденты + решения Threat Intelligence (сводки об угрозах — «Хайтек»).

Источник: ХАЙТЕК