NewsRoom24 21 ноября 2018 20:10 16 +
12.02 09:20

В Нижнем Новгороде развенчали популярные мифы информационной безопасности

В Нижнем Новгороде развенчали популярные мифы информационной безопасности
В городе состоялся международный IТ-Форум Bit-2018.
Нижний Новгород. 12 февраля. NewsRoom24.ru -

О наиболее популярных заблуждениях в сфере информационной безопасности на международном IТ-Форуме Bit-2018, прошедшем в Нижнем Новгороде 8 февраля, рассказал руководитель по информационной безопасности, ThyssenKrupp Industrial Solutions СНГ Илья Борисов.

Миф 1. В сфере информационной безопасности в России очень много регулирования, что осложняет жизнь всем, особенно бизнесу.

Если взять только тему персональных данных, то можно сразу найти 15-20 нормативно-правовых актов, которые регулируют эту сферу. Каждый из них достаточно объемный, у каждого свои требования, у каждого свой регулятор, который проверяет исполнение этих требований. Однако если мы посмотрим на мировую статистику, то увидим, что лидерами по количеству нормативно-правовых актов являются Северная Америка и Европа, немного отстает Австралия. Россия по количеству регулирующих актов находится в середине этого списка. Это говорит о том, что их количество будет расти. И мы это уже наблюдаем, например, многие уже ощутили на себе действие закона «О безопасности критической информационной инфраструктуры», принятый в середине 2017 года.

Что с этим делать? Использовать комбинацию из нескольких нормативных требований. Выбрать один из базовых международных стандартов, например ISO-2701, а потом - совместимые с ним требования из российской практики.

Миф 2. Оперативная установка обновлений помогает от большинства угроз.

Миф стал популярен в последние два года в связи с атаками различных вирусов. После этого все стали усиленно использовать патчи для защиты от различных шифровальщиков. Патчи стали выпускаться каждую неделю, и многие пользователи столкнулись с проблемами. Например, не все патчи работают на системах нового поколения, в некоторых случаях они вызывают перезагрузки, возникают проблемы при работе с приложениями, многие патчи также часто отзываются, как и выпускаются, поэтому приходится вместо новых возвращать предыдущие – и этот процесс продолжается до сих пор. Т.е. те, кто начал «патчится» вовремя, оказался в сложной ситуации, столкнувшись с многими проблемами.

Что делать? На самом деле, патчи нужны, но:

- они должны тестироваться до их применения, желательно, на какой-нибудь тестовой среде, «которую не жалко».

- читать форумы, где люди делятся своим опытом использования конкретных обновлений патчей. Есть разумное требование: устанавливать обновления патчей не раньше, чем через месяц после их выхода.

- до того, как установить патч, нужно посмотреть, актуальна ли для вас эта угроза. Многие атаки невозможны, если обеспечивается физическая безопасность системы, многие не актаульны для систем, не подключенных к интернету. Т.е. нужно понимать вектор атаки и сценарий, а также использовать контрмеры, не связанные с установкой патчей, например, ограничение доступа, аккаунтов и т.д. В большинстве случаев есть возможность этими способами либо минимизировать, либо полностью исключить опасность.

- часть атак можно исключить, если ставить патчи на браузеры, а не на операционную систему и не на прошивку.

Миф 3. Информационная безопасность – это дорого, долго и сложно.

Большинство исследований говорит о том, что компании недостаточно занимаются своей информационной безопасностью по причине того, что с одной стороны, это дорого, с другой – руководителям кажется, что систему «все равно взломают», поскольку сейчас «взламывают всех».

Здесь работают два фактора. Во-первых, увеличение количества атакующих хакеров, у которых есть преимущество в том, что атаки становятся все дешевле: достаточно скачать готовый пакет с набором инструментов, посмотреть на ютубе пару роликов, подготовленных индийскими друзьями – и ты хакер. Во-вторых, поле деятельности для хакеров растет, потому что бизнес переходит в digital и все больше становится уязвимым для информационных атак: у каждой компании есть свой сайт, онлайн-сервисы, интернет-магазины, личные кабинеты и т.д. Если 10 лет назад ломать было нечего, то сейчас можно перехватывать транзакции - появился целый рынок подобных «услуг», где можно купить dos-атаки, взлом ящиков и т.д. – сейчас это уже индустрия.

С другой стороны, компании сталкиваются с тем, что на них давят регуляторы, которые предписывают свои «стандарты безопасности»: «не надо делать дешево, надо делать, как мы говорим».

Проблемой по-прежнему остается цена программных продуктов. Несмотря на то, что у нас заявлено импортозамещение, отечественные продукты пока занимают не достаточную часть рынка, а иностранные не всегда доступны из-за курсовой разницы.

Кроме того, специалиста по безопасности на кадровом рынке найти сейчас достаточно сложно.

Что делать?

1.       Гигиена информационной безопасности: общие правила для всех сотрудников, такие как не записывать пароли на листочке, ставить антивирус, отключать компьютер от интернета, если он не нужен и т.д.

2.       Использовать только те сервисы, которые нужны

3.       Анализировать риски: выявлять наиболее важные направления возможных атак

4.       Сервисные услуги: если нельзя найти специалиста (или это дорого), то можно купить услугу (безопасность как сервис)

5.       Найти стандарт и сделать по нему.

18+

Автор: Ольга Панова
Новостной агрегатор 24СМИ
Агентство недвижимости кварц
«Открытый офис» для всех агентов по недвижимости города
Пакет «готовая сделка»
Узнать больше
Пакет «штатный риэлтор»
Узнать больше
Обучающие семинары
Узнать больше

Подробности по телефону +7(831)423-30-09 и на сайте ankvarz.pro