TS Solution
TS Solution

Мифы Информационной безопасности. ТОП 2017

28 ДЕКАБРЯ 2017
Ну вот и подошел к концу 2017 год. Этот год был очень насыщенным для всех ИБ специалистов. WannaCry, Petya и многое другое заставили рынок ИБ просто кипеть. Мы в свою очередь старались максимально быстро помогать нашим коллегам и партнерам в борьбе с современными угрозами. И это не только проекты по внедрению средств защиты, но и обучение, и просто консультации. В ходе бесед с нашими клиентами удалось выявить несколько самых популярных заблуждений относительно информационной безопасности в целом. Мы решили собрать все эти мифы в один небольшой список — ТОП 2017.

Миф №1. Небольшим компаниям нечего бояться

Это пожалуй один из главных мифов. Большинство «маленьких» организаций считают, что они не представляют интерес для злоумышленников. Только вот многие забывают, что подавляющее большинство атак — автоматизированы. Никто не смотрит большая у вас компания или нет. Боты в автоматическом режиме ищут уязвимости всех доступных в Интернете узлов и затем пытаются это эксплуатировать. Если вы подключены к публичной сети, то вы имеете ровно столько же шансов поймать зловред, как и любая крупная компания. Процент действительно таргетированных атак исключительно мал. Если вы думаете, что в результате атаки вам нечего особо терять, то вы тоже глубоко заблуждаетесь. Файловые серверы, логины и пароли от банковских порталов, личные данные сотрудников или ваших партнеров, репутационные риски. Всегда есть что терять. Разница между большими и маленькими компаниями лишь в том, что последние могут понести существенные убытки в результате атаки, но остаться на плаву. А вот небольшим компаниям иногда приходится закрываться после значительного финансового ущерба.

Миф №2. 100% защищенность

Запомните, никто и ничто не может вам гарантировать 100% защиты. Если вам кто-то обещает стопроцентную защиту, то знайте, он или некомпетентен, или просто врет. Как показывает практика, даже изолированные от публичной сети системы, также подвержены атакам (вспомните Stuxnet). Риск есть всегда. Вкладывая средства в защиту, вы можете лишь уменьшить его до допустимых значений. Средства защиты не должны стоить больше, чем возможные потери в результате атаки. Если хотите понять ликвидность ваших текущих или будущих средств защиты, то придется начать с оценки рисков.

Миф №3. Безопасность это задача IT-отдела

Еще один популярный миф. Хотя чаще это не миф, а вынужденная мера. Нет возможности сформировать ИБ-отдел и приходится перекладывать эти задачи на IT-отдел. Это можно понять. Но в этом случае не стоит винить своих специалистов в случае хакерской атаки. Информационная безопасность, а особенно ее обеспечение, это сложная и ОЧЕНЬ объемная тема. Обычно требуется несколько лет непрерывной работы и обучения, чтобы выйти хотя бы на «средний» уровень специалиста по информационной безопасности. Нельзя этим заниматься «на пол ставки», совмещая с основной работой. ИТ-специалистам хватает и своей работы. Нанимать выделенного ИБ-специалиста или нет, это опять же вопрос рисков. Только в этом случае, рассчитывая риски, к возможной стоимости потерь нужно прибавить деньги, которые были потрачены на средства защиты и которые не были использованы как полагается. Согласно отчету Гартнера за 2016 год, 95% всех успешных атак можно было предотвратить если бы были правильно настроены уже существующие средства защиты. Помните об этом. Сможет ли ваш IT-специалист все правильно настроить, а затем и поддерживать? И самое главное, должен ли? Информационная безопасность это не результат, а процесс!

Миф№4. Антивирус решает все проблемы

Если у всех ваших пользователей стоят антивирусы это уже хорошо. Но опять же, если вспомнить Миф №2, то это далеко не панацея. Антивирусы уже давно перестали справляться со всеми современными угрозами. Эпидемия шифровальщиков яркий тому пример. Сигнатурный анализ давно мертв. Сейчас антивирус является лишь одним из обязательных средств комплексной системы защиты информации. Вам как минимум нужно еще несколько уровней защиты. Подробнее об этом чуть ниже.
Ну вот и подошел к концу 2017 год. Этот год был очень насыщенным для всех ИБ специалистов. WannaCry, Petya и многое другое заставили рынок ИБ просто кипеть. Мы в свою очередь старались максимально быстро помогать нашим коллегам и партнерам в борьбе с современными угрозами. И это не только проекты по внедрению средств защиты, но и обучение, и просто консультации. В ходе бесед с нашими клиентами удалось выявить несколько самых популярных заблуждений относительно информационной безопасности в целом. Мы решили собрать все эти мифы в один небольшой список — ТОП 2017.

Миф №1. Небольшим компаниям нечего бояться

Это пожалуй один из главных мифов. Большинство «маленьких» организаций считают, что они не представляют интерес для злоумышленников. Только вот многие забывают, что подавляющее большинство атак — автоматизированы. Никто не смотрит большая у вас компания или нет. Боты в автоматическом режиме ищут уязвимости всех доступных в Интернете узлов и затем пытаются это эксплуатировать. Если вы подключены к публичной сети, то вы имеете ровно столько же шансов поймать зловред, как и любая крупная компания. Процент действительно таргетированных атак исключительно мал. Если вы думаете, что в результате атаки вам нечего особо терять, то вы тоже глубоко заблуждаетесь. Файловые серверы, логины и пароли от банковских порталов, личные данные сотрудников или ваших партнеров, репутационные риски. Всегда есть что терять. Разница между большими и маленькими компаниями лишь в том, что последние могут понести существенные убытки в результате атаки, но остаться на плаву. А вот небольшим компаниям иногда приходится закрываться после значительного финансового ущерба.

Миф №2. 100% защищенность

Запомните, никто и ничто не может вам гарантировать 100% защиты. Если вам кто-то обещает стопроцентную защиту, то знайте, он или некомпетентен, или просто врет. Как показывает практика, даже изолированные от публичной сети системы, также подвержены атакам (вспомните Stuxnet). Риск есть всегда. Вкладывая средства в защиту, вы можете лишь уменьшить его до допустимых значений. Средства защиты не должны стоить больше, чем возможные потери в результате атаки. Если хотите понять ликвидность ваших текущих или будущих средств защиты, то придется начать с оценки рисков.

Миф №3. Безопасность это задача IT-отдела

Еще один популярный миф. Хотя чаще это не миф, а вынужденная мера. Нет возможности сформировать ИБ-отдел и приходится перекладывать эти задачи на IT-отдел. Это можно понять. Но в этом случае не стоит винить своих специалистов в случае хакерской атаки. Информационная безопасность, а особенно ее обеспечение, это сложная и ОЧЕНЬ объемная тема. Обычно требуется несколько лет непрерывной работы и обучения, чтобы выйти хотя бы на «средний» уровень специалиста по информационной безопасности. Нельзя этим заниматься «на пол ставки», совмещая с основной работой. ИТ-специалистам хватает и своей работы. Нанимать выделенного ИБ-специалиста или нет, это опять же вопрос рисков. Только в этом случае, рассчитывая риски, к возможной стоимости потерь нужно прибавить деньги, которые были потрачены на средства защиты и которые не были использованы как полагается. Согласно отчету Гартнера за 2016 год, 95% всех успешных атак можно было предотвратить если бы были правильно настроены уже существующие средства защиты. Помните об этом. Сможет ли ваш IT-специалист все правильно настроить, а затем и поддерживать? И самое главное, должен ли? Информационная безопасность это не результат, а процесс!

Миф№4. Антивирус решает все проблемы

Если у всех ваших пользователей стоят антивирусы это уже хорошо. Но опять же, если вспомнить Миф №2, то это далеко не панацея. Антивирусы уже давно перестали справляться со всеми современными угрозами. Эпидемия шифровальщиков яркий тому пример. Сигнатурный анализ давно мертв. Сейчас антивирус является лишь одним из обязательных средств комплексной системы защиты информации. Вам как минимум нужно еще несколько уровней защиты. Подробнее об этом чуть ниже.

Читайте также: