Когда руководство компании не видит необходимости в мероприятиях по информационной безопасности, то выделяет средства, недостаточные для реального решения проблемы. Общей практикой, особенно в период экономической нестабильности, становится латание дыр в безопасности подручными средствами.
Именно в кризисных ситуациях обостряются конкурентные войны, применяются жесткие методы, направленные на дестабилизацию деятельности компаний-конкурентов. Противодействовать этим угрозам можно, лишь выстроив четкую и эффективную систему информационной безопасности.
Как же разрешить противоречие между сокращением финансирования на мероприятия по информационной безопасности (ИБ) и возрастающим числом угроз?
Остановимся на нестандартном применении услуги тестирования на проникновение для обоснования бюджета профильного подразделения перед руководством одной из компаний-клиентов.
Дано: компания занимается оказанием услуг в нескольких регионах РФ, штат — несколько сотен сотрудников.
В компании существует ИТ-подразделение, которое получает достаточное финансирование, полностью укомплектовано людьми. Также есть подразделение информационной безопасности, состоящее из двух сотрудников. Задач по ИБ настолько много, что силами двух человек решить их в разумные сроки проблематично. Кроме того, финансирование на покупку ПО и оборудования, связанного с ИБ, оставляет желать лучшего.
Что делаем: выясняем, что директор не выделяет дополнительные ставки для ИБ-отдела и скромно финансирует закупку ПО и оборудования, связанного с ИБ, потому что не понимает, зачем нужно сейчас вкладываться в обеспечение информационной безопасности компании.
Предлагаем: наглядно показать руководству компании, к чему может привести практика недофинансирования мероприятий по информационной безопасности.
Решение: тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест).
Как правило, тест на проникновение проводится после того, как система информационной безопасности построена, чтобы удостовериться в ее устойчивости. В любой другой ситуации логичнее было бы провести сначала аудит, выстроить систему и лишь затем проводить пентест. Однако, как мы помним, руководство не готово серьезно финансировать мероприятия, связанные с информационной безопасностью. Поэтому решено было использовать пентест как «красную тряпку».
Нами был выбран вариант тестирования на проникновение по методу белого ящика, когда специалистам, оказывающим услугу, предоставляются все возможные данные об информационной системе компании. В данном случае задачами пентеста было:
- выявить возможность похитить информацию из сети компании;
- найти источники, которые могли бы дестабилизировать деятельность компании.
Реальная оценка защищенности сети от специалистов проекта Контур.Безопасность
Результат пентеста. Тестирование показало, что периметр сети компании защищен, угрозу могут представлять лишь таргетированные атаки.
Если же получить права доступа в сеть с уровнем хотя бы рядового сотрудника, то изнутри сети можно похитить практически любую ценную для компании информацию. Был выявлен целый ряд уязвимостей. В качестве примера приведем одну из самых серьезных.
Среди приоритетных задач компании — сохранение клиентской базы. При беглом взгляде создавалось впечатление, что похитить эти данные можно, лишь используя камеру мобильного телефона при просмотре самой базы на мониторе компьютера.
Однако имитация действий продвинутого пользователя позволила доказать, что доступ к данным изнутри сети возможен. Рядовому пользователю достаточно использовать сканер уязвимостей для анализа сервера, на котором хранится вся база клиентов. Сканер сам подсказал пользователю, как нажатием кнопки выполнить SQL-инъекцию, чтобы получить доступ к базе с правами администратора. Данной уязвимостью могли воспользоваться инсайдеры, что повлекло бы значительный ущерб для бизнеса.
К сожалению, подобная картина характерна для многих российских компаний.
Причиной такой ситуации чаще всего становится конфликт подразделений. ИБ-подразделение создается по инициативе руководителя компании, но структурно подчиняется ИТ. В итоге ИТ-подразделение воспринимает сотрудников ИБ-отдела как бумагомарателей, которые создают непонятные и ненужные регламенты. Представители ИБ воспринимают сотрудников ИТ-служб как подразделение, которое выполняет задачи по автоматизации бизнес-процессов, но никак не задумывается о безопасности. В результате службы, которые должны работать на одну задачу, мешают работе друг друга.
Как были использованы результаты тестирования на проникновение
Результаты тестирования с описанием методики и возможных последствий реализации уязвимостей были представлены руководству. Кроме того, были предложены меры по нейтрализации обнаруженных угроз. После изучения материалов руководство компании приняло следующие решения:
- изменить штатную структуру — ИБ-подразделение напрямую подчиняется руководителю компании;
- делегировать часть задач из области ИБ ИТ-подразделению, таким образом, вся деятельность в области ИТ должна согласовываться с отделом ИБ;
- выделить дополнительную ставку специалиста ИБ;
- пересмотреть финансирование ИТ- и ИБ-подразделений.
