Оскар Гадыльшин, руководитель департамента ИТ и ИБ компании ICL Системные Технологии, прокомментировал для CISOCLUB рост числа заказных взломов в России, которые, по данным аналитиков, увеличились на 26%. По его словам, злоумышленники всё чаще преследуют не деструктивные, а экономические цели.
«Нарушение операционной деятельности, как правило, не основная цель у хакеров. Потому что, как мы видим по последним прошедшим атакам, компании достаточно быстро после атаки восстанавливают свою инфраструктуру и возобновляют работу. Для чего активируется Disaster Recovery – заранее подготовленный план по восстановлению бизнеса после кризиса», — пояснил эксперт.
Он отметил, что даже если атаки вызывают серьёзный ущерб, это редко приносит конкурентное преимущество.
«И несмотря на то, что хакерские атаки наносят ощутимый финансовый ущерб в моменте, они редко приводят к долгосрочным последствиям, выгодным для конкурентов. Много примеров того, как крупные атаки выводили из строя целые компании на длительный срок, но жертвы взломщиков оправились от инцидента и продолжают своё развитие на рынке», — добавил Гадыльшин.
В связи с этим он назвал более логичной целью атак кражу конфиденциальной информации, включая базы клиентов и финансовые сведения.
«В моменте страшнее не уничтожение инфраструктуры и нарушения операционной деятельности, а долгосрочное присутствие хакеров в сети конкурента, когда они могут находиться в ИТ-периметре компании-мишени на протяжении нескольких месяцев и даже лет, передавая конкурентную информацию», — заявил эксперт.
По его словам, особенно опасным может быть сценарий, при котором хакеры незаметно вносят сбои в информационные системы.
«Ещё более критичный сценарий — нарушать операционную деятельность, постепенно накапливая ошибки отчётной документации, понемногу ломая базу клиентов и подменяя информацию о разработках. Такие плавающие ошибки в долгосрочной перспективе исправлять намного сложнее, чем единоразовый сбой», — уточнил Гадыльшин.
Он подчеркнул, что эффективную защиту необходимо строить не от периметра, а от самих данных и процессов их обработки.
«При защите критически важной информации на передний план выходит достаточно популярная сейчас концепция защиты данных. Она предполагает выстраивание обороны, исходя не от периметра компании или каких-то активов ИТ-инфраструктуры, а от процессов обработки данных и самих данных, которые циркулируют в компании», — прокомментировал он.
В то же время эксперт обратил внимание на перекос, возникающий из-за акцента на персональные данные.
«Однако в концепции защиты данных ввиду наличия жёсткой регуляторики часто акцент делается только на персональных данных. Но в конкурентной борьбе персданные – не единственное, что требует защиты – в бизнесе циркулирует огромное количество важных данных», — пояснил он.
По мнению Оскара Гадыльшина, компаниям следует начать с инвентаризации информации, задействованных процессов и участников.
«Следовательно, первым шагом должна стать классификация всей чувствительной информации компании, включая процессы обработки, задействованные системы, участвующих сотрудников и подрядчиков, а также схемы передачи данных. На основе этой классификации необходимо выстроить цепочку защиты, охватывающую весь процесс обработки информации», — отметил он.
Эксперт заключил, что особую роль в защите сегодня играют современные решения для мониторинга и управления данными.
«Здесь на первый план выходят системы класса Data Monitoring и Data Firewall, обеспечивающие классификацию неструктурированных данных, хранящихся как в распределённых базах данных, так и в гибридных средах — облачных и локальных хранилищах. Эти решения позволяют классифицировать информацию, маркировать метаданными и отслеживать права доступа к ней», — резюмировал Оскар Гадыльшин.