— Существуют ли стандарты организации контура цифровой безопасности?

— Существуют мировые стандарты СУИБ, систем управления информационной безопасностью в компании, и следование им является важным критерием устойчивости бизнес-процессов. Они описывают комплексно, что нужно сделать собственнику компании, чтобы максимально обезопасить себя.

Чем быстрее прогрессирует цифровизация общества, тем становится больше угроз в сфере информационной безопасности. Взять хотя бы простой пример: пока умных термостатов, чайников, будильников много не было, не было и информационных атак с их использованием. Но чем больше становится устройств, которые могут находиться в корпоративной сети, тем более развивается техника атак с их применением. В России прогремела первая такая масштабная атака на банк: во внутреннем периметре злоумышленники собрали в ботнет сеть из умных устройств, в том числе из кофеварок, термостатов, умных лампочек, и с их помощью организовали DDOS-атаку на инфраструктуру банка.

Один из последних трендов — вирус-вымогатель как услуга. Злоумышленники пишут сервис и потом продают к нему доступ другим злоумышленникам, которые, в свою очередь, уже проводят атаки вирусов-шифровальщиков на различные компании. Затем происходит вербовка сотрудников, им предлагают долю от последующего выкупа, который компания заплатит, чтобы расшифровать данные. Все это нужно учитывать собственникам компании при оценке рисков.

— Из чего состоит личная цифровая безопасность?

— Главный антивирус — это тот, что у нас в голове. Ничто так не обезопасит от мошенников, как знание того, что с вами разговаривают мошенники. Второе — сохранность персональных гаджетов. Третье — сохранность личных цифровых активов, потому что набирает силу мировой тренд на кражу личности. Как бы киберпанково это ни звучало, но мы видим примеры в Китае, как с помощью deepfake мошенники проходят авторизацию в мобильных банках, обманывая биометрию, и получают доступ к финансовым счетам.

В России периодически случаются утечки персональных данных, в том числе и паспортных, и впоследствии они могут использоваться для шантажа, попыток оформления кредитов, просто дискредитации личности в цифровом пространстве. Также может возникнуть вопрос перехвата электронной почты, мобильного телефона, взятие под контроль социальных сетей, написание чего-нибудь нехорошего. От этого не застрахован никто.

— Как организовать цифровую безопасность при увольнении сотрудника?

— В компании должны быть четко прописаны с точки зрения информационной безопасности процедуры приема на работу, проверки благонадежности сотрудника и также действия со стороны отделов и служб компании в момент увольнения. Есть реальный риск, когда увольняющийся сотрудник начинает выкачивать документы. Мы тут не всегда говорим о краже информации — это может быть банальная обида, и один обиженный админ с кувалдой в дата-центре может нанести очень много проблем.

Как только у нас инициирована процедура увольнения сотрудника, со стороны отдела ИБ у него должны быть отозваны все критичные доступы к ресурсам компании.

— Как уловить первые признаки проблем с информационной безопасностью?

— Наличие непосредственно утечек данных. В первую очередь собственник должен быть заинтересован в том, чтобы сделать систему информационной безопасности. Если он считает ее неважной, мы можем сколь угодно красивыми словами рассказывать, что есть злые хакеры, продавцы информации в даркнете, — ему будет наплевать. Отсутствие системы информационной безопасности в компании существует до первого взлома. Как только происходит первая утечка — сразу же собственники понимают, зачем нужна ИБ.

Обращение к стороннему подрядчику в сфере информационной безопасности происходит чаще всего в двух случаях. Первое — если собственник вместе с директором по ИБ понимают, что у отдела не хватает компетенции на проведение каких-либо работ, будь то цифровая криминалистика, расследование инцидента или ликвидация его последствий. Второе — у собственника есть подозрения, что непосредственным инсайдом занимается его отдел информационной безопасности.

У нас никогда не возникает вопроса, зачем нужен хороший главбух, который организовывает работу так, чтобы налоговая была довольна, чтобы никто не отмывал деньги в компании, не крал. Финансовая безопасность не вопрос того, нужна она или нет. Наравне с физической и финансовой безопасностью компании должна быть еще и цифровая.

— Насколько недоверчивым нужно быть в отношении собственной службы ИБ?

— Одна из набирающих силу мировых практик — это политика zero tolerance, когда права по информационной безопасности в компании настраиваются таким образом, что полноты функционала нет ни у кого, в том числе и у генерального директора. Например, если его дети вечером не пришли из школы, и ему пишут: «Ваши дети у нас, и вы нам отдадите все документы компании, всю бухгалтерскую отчетность и прочее». И директор становится внутренним нарушителем. Чтобы обезопасить себя от подобного рода атак, компания может принять политику zero tolerance, и даже у генерального директора будет доступ только к тем документам, которые ему необходимы. Но и сам специалист по информационной безопасности тоже не сможет попасть к этим документам.

Но практика zero tolerance является скорее перекосом в сторону недоверия вообще ко всему и всем. Гораздо более эффективным будет взять руководителя по информационной безопасности с профильными знаниями и, самое главное, авторитетом у вас как у собственника. Такого, которому руководство компании будет доверять. И он уже наладит эффективную работу всех остальных специалистов по ИБ. Полное недоверие к отделу ИБ, ровно, как и к отделам службы безопасности, экономической безопасности и бухгалтерии, приведет лишь к появлению проблем. Как бы парадоксально это ни звучало, но в данном случае кадры решают все.