Журнал "Information Security/ Информационная безопасность" #5, 2023

неудобно. Поэтому люди пишут их на листочках, которые клеят на монитор, хранят под клавиатурой или придумы- вают один пароль для авторизации во всех системах. Последнее становится причиной уязвимости всех учетных дан- ных сотрудника. Еще одна проблема: примитивные пароли, на подбор которых у преступни- ков уходит около минуты. Несмотря на то, что мера РД.21 и РД.22 (тот же под- процесс) гласит о необходимости исполь- зования пользователем пароля не менее чем из восьми символов, а администра- тором – не менее чем из 16 символов, многие работники финансовых и бан- ковских организаций ей пренебрегают. Показателен случай, произошедший буквально несколько лет назад. В 2020 г. была взломана система круп- нейшего создателя сейфов – шведской компании Gunnebo. Злоумышленники украли 19 ГБайт конфиденциальных данных, которые впоследствии были "слиты" в даркнет, а именно соглашения об обеспечении физической безопас- ности шведского парламента и нового офиса шведского министерства по налогам, схемы банковских хранилищ и систем наблюдения, за которые гра- бители банков охотно заплатят огром- ные деньги 3 . Генеральный директор утверждал, что всему виной промышленный шпионаж, но расследование инцидента показало, что взлом был произведен через баналь- ное угадывание пароля высокопостав- ленного сотрудника компании. № 4. Антивирус на "автопилоте" В наши дни не то что в каждой бан- ковской/финансовой организации, а даже у каждого владельца ПК есть ПО, защищающее от вирусов. Однако если говорить о серьезной защите устройств и всей корпоративной системы от вредоносного кода, то просто устано- вить антивирус недостаточно. Конечно, по умолчанию такая программа раз в некий период проводит автоматиче- скую проверку, но этого мало. Сотруд- ники компаний зачастую не понимают, зачем проверять систему на вредонос- ный код в ручном режиме, – а делать это необходимо постоянно, иначе может произойти заражение персональных устройств и потеря информации. № 5. Отказ от регистрации неконтролируемого использования технологии мобильного кода Несмотря на требования, указанные в процессе "Защита от вредоносного кода", не все организации выставляют в настройках регистрацию неконтролируе- мого использования технологии мобиль- ного кода, так как не понимают ее сути. В итоге страдает защита от вредонос- ного мобильного кода. Важно: понятие "мобильный код" отно- сится к любому коду, перемещаемому с одного компьютера на другой, даже если это делается вручную. Общее опре- деление включает и программы по типу "троянских коней". В узком смысле мобильный код – это код, доставляемый на компьютер по сетевому соединению и затем выполняемый автоматически, без вмешательства пользователя. Авто- матическое выполнение мобильного кода чрезвычайно опасно с точки зрения защиты. № 6. Игнорирование мер защиты образов виртуальных машин Виртуализация обеспечивает огром- ную экономию средств организации бла- годаря существенному сокращению пло- щадей и электрической мощности, необходимых для работы центров обра- ботки данных, а также благодаря опти- мизации управления постоянно расту- щим количеством серверов. Но зачастую внедрение виртуализации происходит очень быстро в целях экономии времени и сокращения расходов. Стремясь ско- рее начать использовать виртуализиро- ванные сети и центры обработки данных, некоторые организации откладывают или попросту игнорируют вопросы без- опасности, не описывая в должной мере требования к организации защиты информации. Для примера: сотрудники ИТ-отдела организации объединили несколько физических серверов в один, на котором расположено несколько виртуальных машин, что снизило эффективность средств защиты, которые функциони- ровали до внедрения. Следовательно, они не смогли обеспечить защиту и конт- роль, требования к которым указаны в процессе 7 "Защита среды виртуали- зации". № 7. Отсутствие управления инцидентами С учетом того, какой ущерб могут нанести инциденты банковским и финан- совым организациям, целесообразно организовывать процессы управления ими, включающие в себя: l определение перечня событий, являю- щихся инцидентами; l определение факта совершения инци- дента ИБ, то есть мониторинг корпора- тивных систем; l оповещение ответственного лица о возникновении инцидента; l порядок устранения последствий и причин инцидента; l порядок расследования инцидента; l вынесение дисциплинарных взысканий; l реализацию необходимых корректи- рующих и превентивных мер. Все же нередко мы сталкиваемся с несоответствиями требованиям про- цесса 6 "Управление инцидентами защи- ты информации", что весьма странно, ведь все меры, описанные в процессе, можно реализовать с помощью совре- менных SIEM-систем. Но одно наличие такого решения не всегда позволяет полностью перекрыть требования, так как оно нуждается в правильной настрой- ке и квалифицированных специалистах. Так, однажды в ходе аудита было выявлено, что SIEM-система хоть и была внедрена в организации, но не пере- крывала два десятка мер ГОСТ 57580.1. Внедрение систем управления инци- дентами стоит проводить вкупе с под- готовкой документации, определяю- щей правила и состав группы реаги- рования на инциденты защиты. Как правило, большинство организаций их не прописывают, не обращая вни- мания на требования меры РИ.9 (под- процесс "Обнаружение инцидентов защиты информации и реагирование на них"). № 8. Отсутствие документации с правилами удаленного доступа Еще одно распространенное несоот- ветствие относится к процессу 8 "Защита информации при осуществлении уда- ленного логического доступа с исполь- зованием мобильных (переносных) устройств". Очень часто в организациях нет документов, регламентирующих про- цесс, включая правила удаленного досту- па, перечень ресурсов доступа и прочее. И в целом не организован процесс, поз- воляющий обеспечивать безопасное под- ключение "по удаленке". Лучшим решением в рамках этого требования является использование MDM (Mobile Device Management). MDM – это системы, с помощью которых ИТ-службы организаций могут управлять устройствами (телефонами, планшета- ми, ноутбуками и другой техникой, используемой в рабочих целях), находя- щимися у сотрудников. Без MDM меры данного процесса компенсировать край- не сложно. В заключение хотелось бы подчерк- нуть, что, хотя ГОСТ 57580.1 существует с 2017 г., подавляющее большинство организаций так и не получили должного соответствия стандарту. Выполняя и реа- лизуя требования ГОСТа, важно строго соблюдать все прописанные меры. Толь- ко четкое следование правилам защиты ИБ может минимизировать шанс воз- никновения инцидентов, ведущих к серь- езным нарушениям в работе финансовых и банковских организаций, а также избе- жать ненужного внимания со стороны регулятора. l • 67 УПРАВЛЕНИЕ www.itsec.ru 3 https://siliconangle.com/2020/10/28/security-company-gunnebo-hacked-stolen-data- published-dark-web/ Ваше мнение и вопросы присылайте по адресу is@groteck.ru