Основные составляющие информационной безопасности электронного бизнеса это - Контакты компаний и предприятий на Atlaso.ru

Электронный
бизнес — это электронная коммерция плюс
комплексная автоматизация деятельности
компании. В связи с этим, при рассмотрении
вопросов, связанных с информационной
безопасностью электронного бизнеса
необходимо выделить два основных
аспекта. Первый — обеспечение информационной
безопасности электронной коммерции.
Второй — защита информации в распределенных
автоматизированных системах. Методы
защиты, используемые в первом и во втором
случае, имеют много общего, но существуют
и свои специфические особенности.

Основной
проблемой, возникающей при обеспечении
информационной безопасности электронной
коммерции, является проблема защиты
информации в электронных платежных
системах. Решение этой проблемы связано
с использованием smart-карт,
криптографических методов и защищенных
протоколов взаимодействия.

Защита
информации в распределенных
автоматизированных системах обеспечивается
использованием межсетевых экранов
(брандмауэров), антивирусных программ,
а также защищенных протоколов и средств
шифрования

7.1. Основные понятия

Безопасность
информации (данных)—
состояние защищенности информации
(данных), при котором обеспечены её (их)
конфиденциальность, доступность и
целостность. Безопасность информации
(данных) определяется отсутствием
недопустимого риска, связанного с
утечкой информации по техническим
каналам, несанкционированными и
непреднамеренными воздействиями на
данные и (или) на другие ресурсы
автоматизированной информационной
системы, используемые в автоматизированной
системе.

Безопасность
информации (при применении информационных
технологий) —
состояние защищенности информации
(данных), обеспечивающее безопасность
информации, для обработки которой она
применяется, и информационную безопасность
автоматизированной информационной
системы, в которой она реализована.

Безопасность
автоматизированной информационной
системы—
состояние защищенности автоматизированной
системы, при котором обеспечиваются
конфиденциальность, доступность,
целостность, подотчетность и подлинность
её ресурсов.

Информационная
безопасность (Information
Security)
(ИБ)
— защищенность
информации и поддерживающей инфраструктуры
от случайных или преднамеренных
воздействий естественного или
искусственного характера, которые могут
нанести неприемлемый ущерб субъектам
информационных отношений, т.е. защита
конфиденциальности, целостности и
доступности информации.
Неприемлемый ущерб — ущерб, которым
нельзя пренебречь.

Свойства
безопасности:

Конфиденциальность:
свойство информационных ресурсов, в
том числе информации, связанное с тем,
что они не станут доступными и не будут
раскрыты для неуполномоченных лиц.
Целостность:
неизменность
информации в процессе ее передачи или
хранения.
Доступность:
свойство информационных ресурсов, в
том числе информации, определяющее
возможность их получения и использования
по требованию уполномоченных лиц.

В
соответствии с основными целями и
задачами, особенно
важное значение имеет
обеспечение комплексной информационной
безопасности во всех сферах и отраслях
экономики, создание условий для
безопасного использования коммерческой
информации и безопасного функционирования
различных видов электронного бизнеса.
Также следует осуществлять постоянный
мониторинг
рынка услуг информационной безопасности
с целью определения объема и структуры
спроса на услуги информационной
безопасности.

Термин
«информационная
безопасность»
не так давно вошёл в широкое употребление,
хотя деятельность современного
предприятия невозможно представить
себе без персональных компьютеров.
Этому есть простое объяснение: объём
обрабатываемой и хранящейся в электронном
виде информации для среднего предприятия
в миллионы раз выше по сравнению с
«бумажной». На компьютерах устанавливается
сложное в настройке программное
обеспечение, создаются трудные для
восстановления схемы взаимодействия
компьютеров и программ, рядовые
пользователи обрабатывают огромные
массивы данных. Понятно, что любое
нарушение работы выстроенной
технологической цепочки приведёт к
определённым потерям для предприятия.

На
крупных предприятиях существуют
специальные службы с немалым бюджетом,
в задачи которых входит обеспечение
ИБ, выявление, локализация и устранение
угроз ИБ предприятия. Они используют
специальное дорогостоящее программное
и аппаратное обеспечение, подчас
настолько сложное в обслуживании, что
требуется особая подготовка персонала
для работы с ним. Задачи руководства ИБ
в таких организациях часто сводятся к
выпуску директив с ключевыми словами:
«углубить», «расширить», «повысить»,
«обеспечить» и т.д. Вся работа по
обеспечению ИБ выполняется незаметно
для руководства сотрудниками
соответствующих служб, и описание
методов их работы – это тема для отдельной
большой статьи.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Источник

Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке «Файлы работы» в формате PDF

настоящее время термин «электронная коммерция» понимают как предоставление товаров и платных услуг через глобальные информационные сети. В большинстве случаев она осуществляется через глобальную электронную сеть Интернет. Процедура взаимодействия продавца и покупателя подвергается различным угрозам. Во времена быстрого развития электронной коммерции и торговли в Интернете встает главный вопрос о безопасности и способах защиты. В данной статье были подробно рассмотрены понятия «электронная коммерция», «безопасность», виды и источники угроз. Выявлена и обоснована необходимость защиты информации и данных в электронной коммерции.

Электронная коммерция – это вид услуг, когда коммерческая деятельность ведется через сеть Интернет. Системы электронной коммерции обеспечивают возможность покупки и продажи товаров, оплаты заказов, сервисного обслуживания, генерирования цены с соблюдением разных условий (скидка, доставка, количество товара, сумма заказа). Пользователь может, не выходя из дома оплатить через Интернет счета за мобильные переговоры, кабельное телевидение, оплатить покупку товаров или услуг и т.д.

В настоящее время электронная коммерция и торговля в Интернете быстро развиваются, поэтому необходима защита системы, информации и данных, т.е. их безопасность. Безопасность – состояние защищенности интересов субъектов отношений, совершающих коммерческие операции с помощью технологий электронной коммерции, от угроз материальных и иных потерь.

К электронной коммерции относят электронный обмен информацией, электронную торговлю, электронные деньги, электронный маркетинг, электронные страховые услуги.

В электронной коммерции система должна отвечать четырем основным требованиям:

Конфиденциальность – обмен информацией должен быть защищен от посторонних лиц.

Целостность – передаваемая информация не должна быть изменена или подделана.

Проверка подлинности – как отправитель, так и получатель должны доказать свою подлинность друг другу.

Невозможность отказа – после совершения операции каждая сторона должна получить подтверждение о состоявшейся сделке.

Эти правила являются основополагающими для ведения безопасной деятельности в Интернете.

Поставщики должны также защитить свою электронную систему от различных внешних угроз безопасности.

Можно выделить три группы угроз вирусы и вредоносные программы, хакерские атаки, мошенничества с использованием различных средств передачи данных.

Целью написания вирусов и вредоносных программ служит приостановка либо полное отключение аппаратных и программных возможностей объекта атаки, а также получение конфиденциальных сведений о пользователе. Часто программы-вирусы предназначены для блокирования сетевого ресурса жертвы.

В качестве меры в борьбе с вирусами можно использовать специальные антивирусные программы. Кроме этого, необходима внимательность пользователя к источникам, из которых информация попадает на его компьютер, а также общая компьютерная грамотность.

Взлом хакерами программного обеспечения и сетевых ресурсов в настоящее время превратился в мощное орудие недобросовестной конкуренции.

Для защиты от хакерских атак на сегодняшний день существуют специальные программы и сетевые экраны, надежно закрывающие доступ неавторизованным пользователям. Но стопроцентной защиты от хакеров нет. Это обусловлено тем, что они постоянно ищут новые уязвимости, а когда находят – производят атаку.

Количество разнообразных видов мошенничества, создаваемых людьми для отъема денег, постоянно растет.

Можно выделить следующие виды мошенничества:

связанные с использованием номеров кредитных карт;

связанные с использованием копий легальных сайтов;

связанные с использованием фиктивных торговых площадок;

связанные с инвестициями и возможностью заработать;

связанные с несовершенством платежных систем.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Существуют различные способы защиты коммерческого сайта от взлома и мошенничества. Например:

Размещать сайт на безопасной платформе электронной коммерции, использующей сложный объектно-ориентированный язык программирования.

Использовать безопасные соединения для онлайн-заказов. Следует убедиться, что вы совместимы с PCI (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платёжных карт). Это повысит доверие клиентов к сайту, и поможет убедить их в его безопасности.

Создание нескольких уровней безопасности.

Против мошенников использующих возвратные платежи поможет использование отслеживания номеров всех заказов, которые вы отправляете.

Не хранить конфиденциальные данные.

Использовать систему проверки адреса и карты.

Установить систему предупреждения о подозрительной деятельности.

Следует ежеквартально выполнять PCI – сканирование (Payment Card Industry) с помощью таких сервисов, как Trustwave, чтобы снизить риск уязвимостей платформы вашей электронной коммерции для атак хакеров

Электронная коммерция становится важной составляющей жизни современного развитого общества. Простота осуществления заказов, скорость поиска необходимых товаров и услуг, широкий выбор предоставляемой продукции – небольшой перечень преимуществ электронных продаж по сравнению с традиционной покупкой в магазинах. В связи с этим необходимо усовершенствование компьютерных технологий, которое ведет не только к упрощению использования системы виртуальных заказов, но и к улучшению качества осуществления операций, к повышению надежности оказываемых посредством Интернет-услуг. А также принимать меры, которые помогут уменьшить атаки и обезопасят электронный бизнес. Осведомленность о рисках и реализация многослойных протоколов безопасности, подробная и открытая политика конфиденциальности, а также мощная аутентификация и шифрование — это те меры, которые помогут убедить потребителя в безопасности и уменьшить риск потери своих доходов и бизнеса в целом.

Список использованных источников

Гаврилов Л.П. Электронная коммерция. — М.: Солон, 2006. — 112 с.

Способы защиты сайта от взлома – электронный ресурс http://www.npsod.ru/blog/analytics/5423.html

Безопасность электронной коммерции – электронный ресурс http://www.klerk.ru/soft/articles/6795/

Источник

Информационная безопасность – это совокупность методов, способов и действий, ориентированных на защиту от несанкционированных действий с данными. Информация является сведениями, которые передаются в устной и письменной форме с помощью знаков, технических механизмов, жестов, программ. Информация и составляющие ее принципы до сих пор изучаются экспертами для повышения эффективности хранения и использования данных.

Она включает в себя:

данные, которые передаются между людьми и специализированными аппаратами;
знаки (у животных, растений);
другие отличительные свойства (клетки, органы).

Информационной безопасностью является система методов, которая помогает в защите технологий, обеспечивающих кибербезопасность внутри государства или компании.

Информация, безопасность которой необходимо обеспечить, используется в разнообразных сферах жизни: политической, экономической, социальной и духовной. Важно оберегать ее от утечки, чтобы минимизировать возможные неблагоприятные последствия. Например, экономические потери на государственном уровне.

Информация считается безопасной, если она в полном объеме защищена от любых видов угроз. Самыми распространенными считаются случаи утечки информации о платежах и персональных данных (около 80 % случаев). Правильный подход в обеспечении защищенности – это осуществление предупредительных мер, способных уменьшить пагубное воздействие внутри и снаружи системы.

Узкое значение информационной безопасности

Информационная безопасность – это практическая деятельность, направленная на предупреждение неразрешенного доступа, применения, обнаружения и преобразования данных. Внутренние и внешние информационные угрозы могут причинить ущерб общегосударственным и международным отношениям, конкретным гражданам. Защита информации – совокупность юридических, технических и организационных способов предупреждения несанкционированных действий с данными. Она устанавливается в информационных системах и характеризуется комплексом мер и действий, которые направлены на защиту данных от постороннего влияния.

В информационную систему входят такие элементы:

субъекты – владельцы информации и механизмов (инфраструктуры);
база – компьютерные помещения, различные системы (электроснабжение), линии связи, обслуживающий персонал.

Информационная безопасность – это также наука об обеспечении сохранности ресурсов информации, неприкосновенности воли, законных прав личности и общества.

Проникновение в информационное пространство – это открытое (иногда латентное) действие, которое специально или по стечению обстоятельств влияет на объект защиты, что приводит к утечке или раскрытию информации.

Безопасность информационных технологий базируется на следующих вводных:

Зачем, кого и что защищать?
От каких внешних и внутренних факторов уберегать?
Каким способом осуществлять защиту от угрозы?

Элементы безопасности информации

Основные составляющие информационной безопасности – это совокупность элементов, которая включает открытость, конфиденциальность и целостность информационных ресурсов и поддерживающей инфраструктуры. К числу элементов безопасности часто относят защиту от несанкционированного доступа, являющуюся ключевой составной частью защищенности данных.

Рассмотрим систему основных составляющих информационных данных:

Доступность – это признак, разрешающий пользователям в определенных случаях беспрепятственно получить интересующую их информацию. Исключением являются данные, скрытые от всеобщего обозрения, разглашение которых может нанести серьезный ущерб субъектам и информации. Например, доступными являются материалы, которые может получить каждый человек: покупка билетов, услуги в банках, оплата коммунальных платежей.
Целостность – один из элементов информации, гарантирующий ее стабильность при намеренном (ненамеренном) преобразовании или уничтожении определенных данных. Она бывает статической (стабильность основных объектов от первоначального состояния) и динамической (точная реализация последовательных действий). Если будет нарушено единство информации, это может привести к серьезным негативным последствиям. Эта характеристика является основной и актуальной в информационном пространстве.
Конфиденциальность – основное свойство, разрешающее доступ к информации исключительно юридически правомочным субъектам: клиентам, платформам (программам), процессам. Конфиденциальность – это самый исследованный, проработанный аспект ИБ.

Составляющие информационной безопасности не могут функционировать без соблюдения основных принципов, к которым относятся:

простота использования;
контроль за операциями;
разграничение доступа.

Каждое звено информационной безопасности имеет ключевое значение для всей системы. Нет разграничения, что секретность данных наиболее значима, а другие принципы занимают низшие позиции. Для всех субъектов информационных отношений, которые используют информационную систему в быту, на работе или в других целях, данные должны быть доступными, целостными и конфиденциальными.

Другие категории защиты информации

Информационные объекты составляют определенную систему.

К ним относятся:

различные виды медийных ресурсов (данные, зафиксированные на материальных носителях, с возможностью их идентификации);
преимущества (права) граждан, юрлиц и государственных органов на распространение и владение данными;
системы формирования социальной ответственности в использовании данных.

Составляющие информационной системы делятся на группы по видам:

с исключительной возможностью входа, с публичным доступом;
другая доступная информация;
неправдивая информация (не имеет правовой основы).

Данные с исключительным доступом делятся на государственную тайну и секретные данные. Первая защищает сведения, являющиеся тайными в различных сферах безопасности Российской Федерации: экономической, общегосударственной, контрразведывательной, политической. Угроза раскрытия государственной тайны может нанести серьезный вред национальной целостности государства. Основная часть этой информации оберегается от внешнего и внутреннего воздействия.

Целью конфиденциальной информации является ограничение доступа лиц к данным, юридический режим которых установлен специализированными нормативными актами в общегосударственной и негосударственных областях, промышленности и социальной деятельности.

Конфиденциальная информация бывает следующих типов:

ход следствия;
должностная этика;
профессиональная тайна;
негосударственная тайна;
индивидуальные данные;
данные о сути производства.

Личная информация составляет все виды данных о человеке, которые непосредственно или частично к нему относятся. Такая информация имеет ограниченный доступ, но сам субъект может пользоваться этими сведениями. Они защищаются на национальном уровне, выделены правовые принципы субъективных данных.

Например, в 149-ФЗ Российской Федерации «Об информации» в редакции от 18.12.2018 года прописаны такие права:

самоидентификация информации;
потенциальный доступ к личным данным;
внесение корректировок в индивидуальные данные;
преобразование личных данных;
жалобы на незаконное использование данных;
денежная компенсация убытков.

Правительственные органы и частные организации, самоуправляемые учреждения в регионах используют данные в основном в рамках полномочий, установленных общегосударственными законами и подзаконными актами, лицензиями на право заниматься определенными видами деятельности.

Основную часть носителей информации составляют:

газетные и журнальные издания, реклама;
граждане;
средства связи;
информационные документы;
электронные и иные носители, пригодные для улучшения данных.

Способы защиты и передачи информации

Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации. При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.

Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).

К формальным способам относятся:

физические – электрические, механические, электроустройства, функционирующие независимо от информсистем;
аппаратные – зрительные, электронные, лазерные и иные устройства, встроенные в информсистемы, специализированные компьютеры, системы по наблюдению за сотрудниками, препятствующие доступу к сведениям;
программные (DLP-, SIEM-системы);
специфические (криптографические, стенографические – обеспечивают безопасную передачу сведений в корпоративной и глобальной сети).

К неформальным относятся организационные, законодательные и этические способы:

Законодательные – это императивные нормы, которые прописаны в законах, подзаконных актах. Они регламентируют порядок эксплуатации, анализа и передачи информации, ответственность при нарушении каких-либо принципов и правил использования данных. Законодательные нормы распространяются на все субъекты отношений (в настоящее время около 80 актов регулируют информационную деятельность).
Организационные – общетехнические, юридические процедуры, являющиеся обязательными на всем жизненном цикле системы информации (например, цикл Шухарта-Деминга). Это возможности организации, которые помогают функционированию системы. К ним относят сертификацию системы и ее элементов, аттестацию объектов и субъектов.
Высоконравственные (этические) – это принципы морали, правила этики, которые исторически сложились в обществе. Нарушение этих норм приведет к потере безопасности информации, в частности статуса и уважения граждан.

Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:

надежный канал связи между пользователями;
использование общедоступного канала шифрования;
использование информационного канала с преобразованием данных в такой вид, в котором только адресат сможет расшифровать их.

Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).

Криптография и ее особенности

Криптография – это наука о способах обеспечения конфиденциальности, недопустимости получения доступа посторонними лицами к данным информационного характера. Является довольно сложной и востребованной наукой о методах шифрования (дешифрования) информации таким замысловатым способом, что, кроме автора, к ней не найдет доступ ни один человек без определенного ключа.

Криптография помогает преобразовать данные ради их сохранности и единства. Она является составляющей информационной безопасности со стороны функциональных средств защиты. Криптография включает в себя криптоанализ, который занимается исследованием и оценкой методов шифрования, в том числе разработкой других способов. Методы кодирования используются часто в преобразовании информации.

Криптография использует различные подходы к созданию шифров: замена, перестановка, гаммирование (кодирование), квантовое шифрование, шифрование с открытым ключом и различные криптографические протоколы. Большое число составляющих средств объединяется в одно безопасное информационное ядро.

В РФ у истоков развития криптографии стоял Владимир Анисимов – кандидат технических наук, доцент кафедры информационных технологий Дальневосточного государственного университета путей сообщения. Он разработал рабочую программу о методах обеспечения информационной безопасности, в которой рассказывает о криптографических аспектах информационной безопасности студентам и гражданам, желающим защитить публичные данные от посторонних. Цель программы – изучение разнообразных способов защиты данных.

Процесс защиты информации является многогранным, сложным, требует много сил со стороны правительства, компаний, граждан. Безопасностью в информационной сфере необходимо заниматься постоянно, на законодательном уровне. Специалисты должны следить за процессом, являющимся ключевым в моментах сохранности, надежности и конфиденциальности данных. Должны реализовываться меры предосторожности, защиты от утечки и утраты информации всевозможными способами, так как, попадая в чужие руки, она может быть использована против личности или государства.

Источник

Рассказывают Рамиль Хантимиров, CEO и со-основатель StormWall и Вячеслав Железняков, директор по развитию бизнеса в SolidSoft

Карантинные меры, предпринятые во многих странах в связи с пандемией коронавирусной инфекции COVID-19, привели к резкому снижению посещаемости торговых центров и магазинов, с одной стороны, и к стремительному росту интереса к заказам товаров и услуг через Интернет, с другой. Более того, в разгар первой волны пандемии лидеры рынка интернет-торговли продемонстрировали существенное увеличение прибыли. Так, операционный денежный поток Amazon во втором квартале 2020 года вырос на 89%, при этом чистая прибыль увеличилась вдвое.

Даже те компании, которые прежде не придавали значения продажам через Интернет, были вынуждены срочно наращивать свои возможности электронной коммерции, чтобы обеспечить стабильный доход в условиях всеобщей «удалёнки». Некоторые, чтобы расширить продажи, постарались в кратчайшие сроки подключиться к популярным электронным маркетплейсам. Как правило, результатом спешки с разработкой и интеграцией новых функций ради скорейшего их вывода на рынок становится невнимание к вопросам информационной безопасности и появление новых и обновленных систем с многочисленными уязвимостями. Так произошло и на этот раз: в новоиспеченных системах электронной коммерции появилось множество уязвимостей, которыми не преминули воспользоваться злоумышленники: в ходе стремительного увеличения количества и интенсивности целенаправленных атак на сайты и приложения e-commerce выяснилось, что далеко не все они способны противостоять внезапно усилившимся угрозам.

Угрозы атак для бизнеса электронной коммерции

Наиболее серьезными угрозами в области информационной безопасности (ИБ) сайтов и веб-приложений компаний сейчас являются следующие:

воздействия различного рода с целью мошенничества (fraud);
кража конфиденциальной информации (в том числе, персональных данных);
использование сетевых и серверных ресурсов компании для реализации замыслов злоумышленника (например, майнинга криптовалют, рассылки спама, распространения вредоносных кодов и пр.);
проникновение внутрь информационных систем организации;
массовое несанкционированное скачивание информации с веб-страниц сайтов (веб-скрейпинг);
нарушение работоспособности и доступности интернет-ресурсов (например, в результате DDoS-атак);
модификация содержащейся на веб-страницах информации, в том числе замена главной страницы сайта на другую (дефейс).

Для компаний электронной коммерции наиболее чувствительными являются направленные (то есть нацеленные на конкретную организацию) атаки, цель которых – получение доступа персональным данным клиентов, различные виды мошенничества (с бонусными артефактами, акциями, личными кабинетами, электронными платежами), веб-скрейпинг (scraping) и DDoS-атаки.

Особенно заметно после начала пандемии выросла интенсивность DDoS-атак, при которых атакующий генерирует большое количество вредоносных запросов к веб-приложению из различных источников. В результате эти запросы либо полностью заполняют емкость каналов связи, либо создают внезапный резкий рост нагрузки на серверы, что приводит к снижению доступности ресурса-жертвы или полной его недоступности (т.н. отказ в обслуживании).

Таким образом, DDoS-атаки могут нести существенный ущерб для сайтов электронной коммерции в форме упущенной прибыли, поскольку клиенты во время атаки не могут оформить свои заказы, пока сайт недоступен, а также репутационных издержек, ведь недовольные клиенты наверняка поднимут волну негатива в адрес интернет-магазина, что приведет к оттоку покупателей.

Нередко DDoS-атаки играют роль отвлекающего маневра: пока ИТ-персонал занят отражением этой атаки, злоумышленник пытается реализовать другое воздействие – например, проникнуть в информационные системы организации.

По данным проведенного компанией StormWall исследования динамики DDoS-атак на ресурсы компаний онлайн-ритейла, в период с февраля по сентябрь 2020 года число таких атак увеличилось в 4 раза по сравнению с аналогичным периодом прошлого года. Как выяснили эксперты StormWall, количество атак на интернет-магазины одежды в период с февраля по сентябрь 2020 года увеличилось в 5 раз по сравнению с аналогичным периодом прошлого года, число атак на интернет-магазины электроники – в 7 раз, а количество атак на онлайн-магазины мебели – в 10 раз. Также выросли атаки на интернет-магазины по продаже товаров для автомобиля (в 4 раза) и товаров для ремонта (в 8 раз).

Объекты и методы атак

Объектами целенаправленных атак на компании электронной коммерции могут быть различные типы приложений:

«классические» браузерные приложения;
корпоративные веб-приложения (предназначенные для внутренних пользователей);
мобильные приложения;
интерфейсы для взаимодействия между сервисами внутри компании, а также с сервисами партнеров (API-интерфейсы);
особо критичные приложения (процессинг, биллинг и пр.).

Кроме того, атаки могут быть направлены на сети, внутри которых развернуты приложения и инфраструктура их предоставления (физические и виртуальные серверы) – они тоже могут стать объектами атак (например, DDoS), и если станут недоступными, то и работающие на них системы тоже на какое-то время окажутся «отрезанными» от пользователей.

Все атаки на системы электронной коммерции можно разделить на следующие группы. По цели атак выделяют направленные и ненаправленные. По способу реализации:

синтаксические – реализуются за счет нарушения синтаксиса работы приложения, например, путем смешения потока данных с потоком команд. На этом способе основаны, в частности, SQL-инъекции и межсайтовый скриптинг (XSS);
логические атаки, их основной результат – нарушение бизнес-логики систем e-commerce;
переборные – они осуществляются путем подбора легитимных паролей, промокодов и других параметров.

Отдельно следует упомянуть о такой распространенной и опасной разновидности переборных атак, как «умные» DoS-атаки. Ключевой результат их воздействия – исчерпание ресурсов сервера, вызвав тем самым отказ в обслуживании путем создания чрезмерной нагрузки на наиболее ресурсоемкие функции веб-приложений (исчерпание каналов при этом, как правило, не наблюдается).

В современных условиях злоумышленнику существенно упрощают задачу различные инструменты автоматизации: прокси-серверы, headless-браузеры, инструменты тестирования, скриптовые языки, специализированные эксплоиты и многие другие. Информация об этих инструментах и способах атак в изобилии представлена в Интернете, что, безусловно, также повышает вероятность атак.

Способы и средства защиты

Для комплексной защиты от целенаправленных атак на всех уровнях рекомендуем использовать специализированные сервисы, включающие облачные возможности защиты от DDoS-атак (anti-DDoS) и также функционал интеллектуальных межсетевых экранов уровня веб-приложения (Web Application Firewall, WAF). Очень важно, чтобы сервисы anti-DDoS обеспечивали защиту от атак, по крайней мере, на уровнях L3 (сетевом) модели OSI, а также L4 (транспортном) и L7 (уровень приложений), поскольку системы электронной коммерции подвергаются DDoS-атакам различных типов.

Сервисы WAF способны защитить системы электронной коммерции широкого спектра атак, описанных выше, в том числе нацеленных на кражу данных. Вместе с тем, WAF не предназначен для защиты от DDoS-атак, направленных на переполнение каналов, и уязвим перед ними так же, как и серверы приложений, поэтому для эффективной защиты от атак сервисы WAF и anti-DDoS необходимо применять в комплексе.

Сразу предупредим: не следует рассматривать WAF и anti-DDoS как панацею от всех интернет-угроз. Если злоумышленник задался целью вывести из строя интернет-ресурс, то обход средств WAF и anti-DDoS в этом случае – это вопрос времени.

Замок против вора: кто кого?

Как известно, не существует таких замков или систем сигнализации, которые в принципе невозможно взломать или каким-то образом обойти. Задача хорошего средства защиты – максимально затруднить злоумышленнику реализацию его задач и повысить его шанс быть пойманным. Расчет делается на то, что злоумышленники предпочтут не связываться со сложной системой и выберут более простые, с точки зрения реализации своих замыслов, цели.

С системами информационной безопасности ситуация аналогичная: абсолютной защиты не существует, и взлом системы – лишь вопрос времени. Для успешного преодоления надежной системы защиты злоумышленнику требуется больше знаний, времени и усилий, и чем менее она понятна атакующему, тем ниже его шансы реализовать свой замысел незаметно для тех, кто отвечает за безопасность, тем выше вероятность быть обнаруженным.

С чего начать

Чтобы решение работало эффективно и не обмануло ваших ожиданий, необходимо выбрать правильный подход к его выбору решения и внедрению.

Как известно, каждая компания имеет свою специфику, поэтому картина наиболее вероятных рисков и наиболее опасных и угроз ИБ у каждого бизнеса своя. Чтобы минимизировать риски и угрозы, компании следует выявлять и устранять уязвимости раньше, чем их обнаружат и используют в своих целях злоумышленники.

Для выявления уязвимостей в отдельных ИТ-системах проводится анализ их защищенности, его результаты служат основой для формирования модели угроз. Она содержит описание угроз ИБ, которым подвержена информационная система. Получив всестороннее видение этих угроз и проведя их экспертную оценку, руководители компании совместно со специалистами ИБ разрабатывают программы мер по их предотвращению и минимизации.

Модель угроз

Согласно документам ФСТЭК, модель угроз для конкретной системы должна включать следующие разделы:

Общие положения.

Описание информационной системы и особенностей ее функционирования.

Цель и задачи, решаемые информационной системой.

Описание структурно-функциональных характеристик информационной системы.

Описание технологии обработки информации.

Возможности нарушителей (модель нарушителя).

Типы и виды нарушителей.

Возможные цели и потенциал нарушителей.

Возможные способы реализации угроз безопасности информации.

Актуальные угрозы безопасности информации.

Приложения (при необходимости).

Основываясь на модели угроз, в частности, выбираются решения для защиты от атак. Оптимальными по соотношению эффективности защиты систем e-commerce от угроз и стоимости владения в настоящий момент считаются решения, предоставляемые из облака. Среди их преимуществ – относительно невысокие затраты (взимается ежемесячная плата за подписку, приобретать оборудование и лицензии на ПО не требуется), отсутствие необходимости в дополнительном персонале (а это тоже экономия), высокая емкость защиты, быстрота подключения (от нескольких минут), высокая экспертиза специалистов провайдера.

Пилотный проект внедрения решения позволит определить его применимость (с учетом особенностей защищаемых приложений) и уровень обслуживания, включая реальное время работы службы техподдержки провайдера решения и скорость ее отклика. Также он поможет убедиться в компетентности провайдера и его готовности к взаимодействию. Кроме того, весьма полезно изучить портфель заказчиков предполагаемого провайдера и попробовать связаться с его клиентами – этот простой шаг поможет избежать существенных ошибок.

Если пилотный проект оказался успешным, можно приступать к заключению договора и внедрению решения для защиты всех интернет-систем компании. В договоре необходимо четко обозначить необходимый объем и порядок работ по донастройке сервиса и сопровождению заказчика, сроки реагирования на атаки и порядок оповещения об их начале и действий обеих сторон в ходе отражения атаки.

В процессе внедрения решения, возможно, придется выполнить ряд дополнительных работ по интеграции решения с ИТ-системами заказчика, которые не были охвачены пилотным проектом. Также, как правило, требуется донастройка сервиса с учетом масштабов и особенностей бизнеса заказчика и его ИТ-ландшафта. После завершения всех необходимых подготовительных работ и процедур начинается этап продуктивного использования сервисов защиты и мониторинга угроз.

Важно помнить, что для выстраивания надежной защиты систем электронной коммерции необходима комплексная работа как со стороны ее руководителей компаний и их ИТ-специалистов, так и со стороны провайдеров сервисов WAF и anti-DDoS, причем наибольшего успеха можно добиться лишь совместными усилиями.

Также следует помнить, что любое средство защиты должно быть вписано в процессы управления информационной безопасностью, в противном случае оно не будет эффективно работать. В организации необходимо выстроить и добиться, чтобы работали, по крайней мере, следующие процессы ИБ:

управление уязвимостями;
управление конфигурациями;
мониторинг и аудит;
управление инцидентами.

Ну а чтобы защита от интернет-угроз была действительно эффективной, аспекты ИБ необходимо прорабатывать еще на стадии разработки приложений, причем желательно еще в ходе проектирования их архитектуры – это позволит снизить дальнейшие затраты на безопасность.

И, конечно же, нужно понимать, что с внедрением сервисов WAF anti-DDoS работы по защите компаний от интернет-угроз не заканчиваются – напротив, всё только начинается. Мир, бизнес и ИТ не стоят на месте: в имеющиеся системы нередко вносятся различные модификации, появляются новые модули. Изменения происходят и на уровне бизнес-логики систем. Наконец, злоумышленники придумывают новые способы атак. Поэтому необходимо постоянно проверять ландшафт информационной безопасности на уязвимости и отслеживать (желательно в реальном времени) угрозы и инциденты. И, разумеется, нужно подстраивать средства и сервисы защиты под изменения, происходящие в ландшафте ИТ и ИБ, – это может делать как сам владелец систем электронной коммерции, так и его провайдеры, обеспечивающие дальнейшее сопровождение систем защиты.

Источник

Электронная коммерция включает в себя все формы деловых сделок, при которых взаимодействие сторон осуществляется электронным способом, в результате которого право собственности передается от одного лица к другому. Существует несколько видов электронной коммерции: бизнес-бизнес (торговля между предприятиями), бизнес-потребитель (торговля между потребителем и предприятием) и потребитель-потребитель (торговля между потребителями). Электронная коммерция реализуется при помощи электронных торговых площадок, которые имеют ряд проблем, связанных с обеспечением информационной безопасности. Рассмотрим угрозы безопасности электронной коммерции:

1. Замена страницы Web-сервера электронного магазина. Первостепенный способ реализации — переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты.

2. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками.

3. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа «отказ в обслуживании» и нарушение функционирования или выведение из строя узла электронной коммерции.

Все это говорит о необходимости комплексной защиты. Реально защита часто ограничивается использованием криптографии (40-битной версии протокола SSL) для защиты информации между браузером клиента и сервером электронного магазина. Комплексная система защиты должна строиться с учетом четырех уровней любой информационной системы. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня является браузер Opera, Steam сервис цифрового распространения компьютерных программ и игр, приложение интернет магазина AliExpress на смартфонах и др.

Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных информационной системы. Примером элементов этого уровня — СУБД Oracle, MS SQL Server, Sybase и MS Access. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры — ОС MS Windows NT, Sun Solaris, Novell Netware, Linux. Уровень сети, отвечающий за взаимодействие узлов информационной системы, примерами которого являются протоколы TCP/IP, IPS/SPX и SMB/NetBIOS [2].

Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет реализовать атаку на ресурсы электронного магазина. Опасны и внешние и внутренние атаки. По статистике основная опасность исходит от внутренних пользователей электронного магазина (операторов системы). Для получения несанкционированного доступа к информации о заказах в базе данных есть следующие возможности: прочитать записи БД из MS Query, который позволяет получать доступ к записям многих СУБД при помощи механизма ODBC или SQL-запросов, прочитать нужные данные средствами самой СУБД (уровень СУБД), прочитать файлы базы данных непосредственно на уровне операционной системы. Затем отправить по сети пакеты со сформированными запросами на получение необходимых данных от СУБД или перехватить эти данные в процессе их передаче по каналам связи (уровень сети).

Обычно основное внимание уделяется нижним двум уровням — уровню сети и операционной системы. На уровне сети применяются маршрутизаторы и межсетевые экраны. На уровне ОС — встроенные средства разграничения доступа. Этого недостаточно. Предположим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина, либо перехватил их в процессе передачи по сети или подобрал при помощи специальных программ. И межсетевой экран, и операционная система пропускает злоумышленника ко всем ресурсам из-за предъявленных идентификатора и пароля авторизованного пользователя. Это является особенностью функционирования экрана и системы. Поэтому особое внимание следует уделить решения проблем, связанных с обеспечением защиты баз данных информационной системы торговой площадки.

Немаловажной проблемой является реализация злоумышленником атак типа «отказ в обслуживании», в связи с этим разработке средств обнаружения атак в настоящий момент уделяется много внимания во всем мире. По прогнозам известных компаний объемы продаж этих средств до 900 миллионов долларов в 2003 году. Эти средства с одинаковой эффективностью функционируют внутри сети и снаружи, защищая от внешних несанкционированных воздействий [1].

Эти средства позволяют своевременно обнаруживать и блокировать сетевые атаки типа «отказ в обслуживании», направленные на нарушение работоспособности электронного магазина. Одним из примеров средств обнаружения атак — система Real Secure, разработанная компанией Internet Security Systems (Inc).

Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. Необходимо своевременно обнаружить и устранить уязвимости информационной системы на всех уровнях. Помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т. ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях — Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности электронной коммерции. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг.Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.

Рекомендуется использовать дополнительные средства защиты. Такие средства могут быть как свободно распространяемыми, так и коммерческими продуктами. Какие из этих средств лучше, решать в каждом конкретном случае по-своему. В случае нехватки денег на приобретение средств защиты о приходится обращать внимание на бесплатные средства. Однако использование таких средств связано с некачественной защитой и отсутствием технической поддержки. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства Secret Net, разработанные предприятием «Информзащита». Вообще, исключительно техническими средствами решить задачу построения комплексной системы защиты нельзя. Необходим комплекс организационных, законодательных, физических и технических мер [3].

Часто организации используют частичные подходы для решения проблем с защитой. Эти подходы основаны на их восприятии рисков безопасности. Администраторы безопасности имеют тенденцию реагировать только на те риски, которые им понятны. На самом деле таких рисков может быть больше. Администраторы понимают возможное неправильное использование ресурсов системы и внешних атаки, но зачастую плохо знают об истинных уязвимостях в сетях. Постоянное развитие информационных технологий вызывает целый ряд новых проблем. Эффективная система обеспечения безопасности предполагает наличие хорошо тренированного персонала, который выполняет функции. Придерживается стандартизованного подхода к обеспечению безопасности, внедряет процедуры и технические средства защиты, проводит постоянный контроль подсистем аудита, обеспечивающих анализ потенциальных атак.

Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие — адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов — технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак — оценка подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа журналов регистрации операционной системы и прикладного ПО и сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия.

Как частный и наиболее распространенный случай применения систем обнаружения можно привести ситуацию с неконтролируемым применением модемов. Системы анализа защищенности позволяют обнаружить такие модемы, а системы обнаружения атак — идентифицировать и предотвратить несанкционированные действия, осуществляемые через них. Аналогично средствам анализа защищенности средства обнаружения атак также функционируют на всех уровнях корпоративной сети. В качестве примера также можно привести разработки компании ISS, как лидера в области обнаружения атак и анализа защищенности [4].

Важнейшей частью в электронной коммерции, является система безналичных расчетов с помощью пластиковых карт, которая называется электронной платежной системой, и именно эта часть чаще всего, подвергается атакам и всякого рода посягательствам со стороны злоумышленников. Современную практику банковских операций, торговых сделок и взаимных платежей невозможно представить без расчетов с применением пластиковых карт. Поэтому для обеспечения нормальной работы электронная платежная система должна быть надежно защищена.

C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

— пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;

— обработка информации внутри организации отправителя и получателя сообщений;

— доступ клиентов к средствам, аккумулированным на счетах.

Пересылка платежных и других сообщений связана с такими особенностями:

— внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);

— взаимодействие отправителя и получателя электронного документа осуществляется опосредовано — через канал связи.

Эти особенности порождают следующие проблемы:

— взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);

— защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);

— защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);

— обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

— управление доступом на оконечных системах;

— контроль целостности сообщения;

— обеспечение конфиденциальности сообщения;

— взаимная аутентификация абонентов;

— невозможность отказа от авторства сообщения;

— гарантии доставки сообщения;

— невозможность отказа от принятия мер по сообщения;

— регистрация последовательности сообщений;

— контроль целостности последовательности сообщений.

В целом очевидно, что электронная торговля как новая форма мирового рыночного хозяйства повышает эффективность экономики, а также формирует условия для ускорения промышленного роста. В процессе развития электронная торговля будет сталкиваться с новыми проблемами, в том числе проблемами информационной безопасности. Поэтому системы защиты электронной коммерции должны строиться с учетом четырех уровней любой информационной системы. Система защиты должна эффективно работать на всех уровнях, а поэтому проблеме обеспечения информационной безопасности следует уделить особое внимание, заключающееся в выборе необходимых средств защиты ещё на этапе проектирования информационных систем электронных торговых площадок.

Литература:

1. Энциклопедия интересных статей: сайт. — URL: http://rusadvice.org/

2. Интернет-издание, специализирующееся на бухгалтерской, юридической и налоговой тематике: сайт. — URL: http://www.klerk.ru/

3. Информационно-развлекательная сеть: сайт. — URL: http://www.lghost.ru/

4. Сайт, посвященный вопросам информационной безопасности: сайт. — URL: http://protect.htmlweb.ru/

5. Балабанов, И. Т. Интерактивный бизнес: Учебное пособие / И. Т. Балабанов. — СПб.и др.: Питер: Питер бук, 2007. — 123 с.

6. Брагин, Л. А. Электронная коммерция: учебное пособие / [Л. А. Брагин [и др.]; под общ. ред. Л. А. Брагина. — М. Экономистъ, 2006. — 286 с.

7. Гаврилов, Л. П. Мобильные телекоммуникации в электронной коммерции и бизнесе: учебное пособие для студентов вузов, обучающихся по специальности «Коммерция (торговое дело)» / Л. П. Гаврилов, С. В. Соколов. — М.: Финансы и статистика, 2006. — 334 с.

8. Леонов, А. Тенденции российской электронной торговли / А. Леонов // Современная торговля. — 2009. — № 3. — С. 36–39.

9. Савинов, Ю. А. Проблемы использования сети Интернет для международной электронной торговли / Ю. А. Савинов // Внешнеэкономический бюллетень. — 2005. — N 3. — С. 3–12.

10. Филин, С. А. Информационная безопасность: учебное пособие / С. А. Филин. — М.: Альфа-Пресс, 2006. — 410 с.

Основные термины (генерируются автоматически): электронная коммерция, электронный магазин, информационная система, информационная безопасность, операционная система, средство, уровень, уровень сети, баз данных, канал связи.

Источник

Технологии и ИТ-решения все глубже проникают в процессы компаний вне зависимости от их масштаба. Данные становятся ключевым активом предприятий, поэтому их защита, сохранение и грамотное применение — приоритетные задачи любого бизнеса.

Что такое «информационная безопасность бизнеса»

Традиционно начнем с терминологии.

Информационная безопасность бизнеса — это комплекс организационных и технических мер, которые направлены на защиту и сохранение информации, систем и оборудования, использующихся для взаимодействия, хранения и передачи этой информации.

Чем эффективнее обеспечивается информационная безопасность, тем лучше защищены данные компании от разнообразных воздействий. Они могут быть:

внутренними или внешними;
случайными или преднамеренными.

В глобальном смысле характер негативного воздействия не имеет значения. Важно, с какими последствиями компания может столкнуться из-за утечки, утраты, несанкционированного изменения или использования корпоративных данных. Именно поэтому ИБ — важнейший аспект защиты бизнеса, играющий ключевую роль в стратегии обеспечения его непрерывности.

Угрозы информационной безопасности

Любая компания может столкнуться с различными угрозами информационной безопасности. По происхождению их можно разделить на несколько типов:

Естественные

К ним относятся стихийные бедствия, неблагоприятные погодные условия и различного рода катаклизмы — наводнения, ураганы, торнадо и тому подобное. От каких-то из них можно защититься. Например, избежать потенциально опасного удара молнии поможет молниеотвод. Однако серьезные природные катаклизмы с большой долей вероятности ущерб все-таки нанесут.

Искусственные

Это угрозы, создаваемые человеком. Искусственные угрозы, в свою очередь, делятся на непреднамеренные и преднамеренные. К первому типу относят угрозы, возникающие из-за человеческой ошибки или случайности. Ко второму — атаки злоумышленников, «заказы» конкурентов, саботаж обиженных сотрудников.

Внутренние

Угрозы, возникающие внутри информационной инфраструктуры компании.

Внешние

Угрозы, пришедшие извне, зародившиеся за рамками информационной инфраструктуры.

Существует и другая классификация угроз — по характеру. Например, пассивные угрозы не смогут изменить содержание или структуру информации, а вот активные вполне на это способны. К таким угрозам относятся, например, всем известные вирусы-шифровальщики.

Наиболее опасными считаются именно преднамеренные угрозы. Подготовленный и вооруженный инструментами злоумышленник (будь то хакер или бывший сотрудник) порой может нанести больше вреда, нежели стихийное бедствие.

Утечки данных: кто виноват и как бороться

Как правило, из новостей мира ИТ и ИБ чаще всего можно услышать именно об утечках информации, то есть получения к ней несанкционированного доступа.

Кто может стать причиной утечки данных:

Случайный инсайдер

Допустим, один из бывших сотрудников компании имел доступ к конфиденциальным данным и по неосторожности скачал на свой личный ПК документы или файлы, не предназначенные для посторонних глаз. Конечно, в этом случае утечка вряд ли нанесет ущерб компании, ведь сотрудник сделал это без злого умысла и не собирался использовать эту информацию в корыстных целях. Однако меры, которые позволят исключить подобные сценарии, все равно должны быть приняты, поскольку из-за вирусной активности эти данные могут попасть уже в руки злоумышленников.

Злонамеренный инсайдер

Нередко бывшие сотрудники, обиженные на компанию и желающие причинить ей финансовый или репутационный ущерб, могут воспользоваться своими привилегиями (например, уровнем доступа к данным или доверием коллег) и использовать полученную конфиденциальную или секретную информацию по собственному усмотрению. В ход могут идти попытки шантажа под угрозой публикации данных или их перепродажа конкурентам.

Злонамеренный деятель со стороны

Им может быть любой злоумышленник, который не имеет прямого отношения к компании-жертве, но планирует получить несанкционированный доступ к корпоративной информации. Это могут быть как хакеры, преследующие конкретную цель, или даже школьник, который решил пошутить или проверить свои способности.

Причины утечек

Повышать риск утечек информации могут разные факторы. Среди них наличие уязвимостей в информационных системах и уровень их критичности.

Нередко программные или программно-аппаратные решения становятся «слабым звеном», через которые злоумышленник может попасть внутрь периметра компании из-за уязвимостей в кодовой базе. Как правило, производители стараются максимально оперативно выпускать патчи безопасности и обновления, чтобы закрыть эти «дыры». Однако бывают ситуации, когда разработчики ПО об уязвимостях еще не знают, а хакеры уже успели написать на ее основе эксплойт.

Чаще всего причинами утечек становятся:

Избыточные права доступа у сотрудников компании

Ранее мы уже говорили о том, что часть утечек связана с инсайдерской деятельностью. Чем больше сотрудников имеют доступ к конфиденциальной информации, тем выше риск того, что она попадет не в те руки, случайно или из корыстных побуждений.

Вредоносная активность

Заражение корпоративной инфраструктуры вредоносным ПО может повлечь за собой серьезные финансовые и репутационные риски из-за кражи, порчи, утечки данных или нарушения работы ИТ-систем.

Целенаправленные атаки

В некоторых случаях атаки злоумышленников не направлены на конкретный бизнес или систему — они просто ищут уязвимые места и проверяют защиту на прочность. Однако бывает так, что хакер или даже группировка целятся в определенную организацию. Тогда в ход могут пойти специфичные методы атак: например, письма от имени коллег или даже дипфейки с участием руководителей.

Фишинг и спуфинг

Как правило, фишинг представляет собой рассылку e-mail’ов из якобы доверенных источников (например, с электронной почты руководителя) с целью ввести получателя в заблуждение и заставить его совершить какое-либо действие. Например, скачать вредонос из вложения, перейти по ссылке или отправить корпоративную информацию. Проще говоря, с помощью письма злоумышленник хочет поймать адресата «на крючок» и обманом заставить действовать по своему желанию.

Скомпрометированные учетные записи

После удачной фишинговой кампании злоумышленник может получить в свое распоряжение данные для входа в рабочую учетную запись сотрудника. Как правило, для этого высылается электронное письмо со ссылкой якобы на корпоративный портал. При этом выглядит оно далеко не всегда подозрительно — в большинстве случаев в качестве адреса отправителя указан корпоративный e-mail. После клика по ссылке получатель попадает на страницу авторизации, которая требует ввести логин и пароль. После ввода сотрудник, естественно, ни на какую страницу не попадает, а credentials отправляются злоумышленнику.

Слабые пароли или их повторное использование

Нередко сотрудники используют и для личных, и для рабочих учетных записей ненадежные пароли вроде qwerty12345. Достаточно утечки базы паролей какого-то форума или компрометации старой почты — и вот уже злоумышленники подбирают credentials для входа в вашу корпоративную учетную запись.

Инструменты организации информационной безопасности

Для обеспечения безопасности данных применяются различные инструменты. Это могут быть специализированные устройства, ПО или какие-то организационные мероприятия, направленные на защиту информации.

Все средства защиты делятся на 4 вида по способу реализации.

Аппаратные

К этой категории относятся специальное оборудование или устройства, задача которых — предотвращать несанкционированный доступ к данным и проникновение в корпоративную ИТ-инфраструктуру.

Программные

Особое программное обеспечение, с помощью которого можно защищать, безопасно хранить и контролировать данные.

Программно-аппаратные

Специализированные устройства с ПО «на борту».

Организационные

Набор организационно-правовых и организационно-технических средств и мер.

Организационные меры

Сегодня компаниям доступно множество мер, как технических, так и организационных, которые помогут существенно снизить риск утечки данных. Перечислим базовые — о них не стоит забывать даже малому бизнесу и небольшим компаниям, которые нередко думают, что красть у них нечего.

Внедрение политик безопасности

Реализация политик информационной безопасности бизнеса должна затрагивать не только защиту самих данных, но и учетных записей, которые позволяют получить к ним доступ.

Реализация принципа наименьших привилегий

У сотрудников должен быть доступ только к тем данным, которые нужны им на регулярной основе для выполнения рабочих задач. Это существенно снижает риск утечки данных из-за человеческого фактора или по невнимательности сотрудника.

Корпоративная политика паролей

В обязательном порядке необходимо отключать или менять скомпрометированные credentials. Кроме того, можно реализовать общие корпоративные требования к паролям (например, определенная сложность/длина или внедрение многофакторной аутентификации) или принудительно менять их каждый фиксированный период — например, раз в 3 месяца.

Обучение и тестирование сотрудников

Спасти от изощренных методов социальной инженерии и фишинга поможет методичная работа с сотрудниками и регулярная проверка их знаний. Только так вы сможете повысить шансы на то, что бухгалтер или менеджер не «клюнет» на приманку злоумышленника.

Разнообразие технических средств защиты информации

Последнее время наибольшую популярность приобрели разного рода программные решения. На это есть несколько причин:

возможность быстрого и удобного обновления решений;
не проигрывают по эффективности аппаратным средствам;
их легко заменить или модернизировать.

Сегодня программные решения есть практически на все случаи жизни.

Антивирусы

Антивирусное программное обеспечение позволяет защищать данные от актуальных вирусных угроз и вредоносного кода. Компания может подобрать оптимальный антивирус, исходя из индивидуальных условий — тип используемой среды (традиционная или облачная), тип защищаемых устройств, доступный бюджет, наиболее удобная модель тарификации. Современные антивирусные средства позволяют не только проводить проверки по заранее заданному расписанию, но и работать «на горячую» — отслеживать подозрительную активность, блокировать попытки получения несанкционированного доступа к информации, восстанавливать поврежденные файлы, например, после вмешательств шифровальщика.

DLP (Data Leak Prevention)

Это инструменты, направленные конкретно на предотвращение утечек данных. Такие средства умеют:

контролировать каналы коммуникации, сетевые протоколы, устройства, хранилища и даже активность сотрудников компании (делать скриншоты экранов, фиксировать ввод с клавиатуры, обеспечивать доступ к рабочему столу и записывать видео с экрана);
работать с политиками безопасности;
формировать отчеты и многое другое.

Криптографические средства (DES, AES)

Обеспечивают шифрование данных с целью предотвратить несанкционированный доступ к ним.

Межсетевые экраны (файрволы, брандмауэры)

Фильтруют и блокируют нежелательный трафик в рамках обеспечения контроля доступа к корпоративной сети. Бывают реализованы как в виде программно-аппаратных (физическое устройство с прошивкой), так и сугубо программных средств.

Virtual Private Network (VPN)

VPN-решения, как правило, используются для построения защищенных соединений при передаче данных через общедоступные сети (интернет). Наиболее распространенные сценарии использования VPN:

обеспечение безопасного удаленного доступа к корпоративным данным, например, при подключении сотрудника, работающего дистанционно, к сервисам компании;
организация защищенного подключения к ИТ-площадке, например, специализированной облачной инфраструктуре, где хранятся персональные данные.

SIEM

Системы мониторинга и управления ИБ компании. Проще говоря, это специальные программные решения, предназначенные для комплексного обеспечения безопасности данных. Решения SIEM собирают информацию обо всех событиях ИБ из источников, участвующих в процессе защиты данных — антивирусов, систем предотвращения вторжений, межсетевых экранов и других. После сбора все события информационной безопасности анализируются. Решения SIEM позволяют увидеть полную картину того, что происходит с данными компании, выявить потенциальные сбои, атаки злоумышленников и другие угрозы.

Источник