Декларация об

обеспечении

устойчивости к

киберугрозамОпределение киберугроз

Пугающая

неизвестность

Сражение со

вчерашними

угрозами

Человеческий фактор

Ан

ал

из

те

ку

ще

й

ка

рт

ин

ы

Личные

устройства

Устойчивость к киберугрозамВнутренние

угрозы

Революции

2 3

Устойчивость к киберугрозам:

определение

Приставка «кибер» описывает любые операции в Интернете — от

работы до развлечений; кибертехнологии играют всевозрастающую

роль в нашей повседневной жизни. Сегодня пользователи глобальной

сети — а это около 2,4 млрд человек или 34 % населения земного

шара — проводят в Интернете все больше времени.1 Популярность

Интернета стимулирует развитие веб-компаний, и этот процесс

необратим. А значит, пришла пора революции.

Часть пользователей считает, что риски, связанные с преимуществами

веб-операций и новых бизнес-моделей, целиком понятны и прием-

лемы. Другая часть полагает, что новые технологии требуют более

взвешенного подхода. Однако на споры нет времени. Что на самом

деле сейчас необходимо, так это призыв к действию.

Для уменьшения числа киберугроз нужно разобраться с четырьмя

противоборствующими силами, каждая из которых несет в себе

уникальные риски и требует неотложного внимания руководства:

Демократизация — лозунг «власть — народу» становится

особенно актуальным с расширением сети партнеров, через

которых организации взаимодействуют с клиентами.

Консьюмеризация — влияние многочисленных устройств и,

что еще более важно, приложений, охватывающих все аспекты

работы и отдыха в сети.

Глобализация — экономичные облачные решения стремительно

снижают капитальные затраты и изменяют привычные принципы

передачи данных как внутри организации, так и за ее пределами.

Цифровизация — экспоненциальный рост количества

соединений от сенсоров и устройств («Интернет вещей»).

Сосредоточенность только на одном из этих направлений лишь

активизирует следующую категорию угроз. Не существует единственно

правильного подхода, т. е. максимальный результат, которого можно

добиться, — это оптимизация среды организации для уменьшения

рисков. Перечисленные выше тенденции делают невозможным

абсолютное уничтожение киберугроз.

В этой декларации описывается план по снижению, а не уничто-

жению реальных и растущих угроз для отдельных пользователей,

предприятий и правительственных учреждений. Цель ясна —

обеспечить устойчивость организации к киберугрозам.

Демократизация

Глобал

изац

ия

Ци

фр

ов

из

ац

ия

Консьюмеризация

4 5555555555555555555555555555555555555555

Факты

В киберпространстве невозможное становится возможным. Без

Интернета наша жизнь остановилась бы в прошлом. Задумайтесь:

• Отказались бы клиенты банков от возможности свободно

переводить деньги между странами за доли секунд?

• Вернулись бы бизнесмены в очереди за авиабилетами,

телефонными разговорами или почтовыми отправлениями?

• Зачем пересылать компонент, который можно распечатать

при меньших затратах?

Ситуация становится все более сложной и непредсказуемой для

организаций. В настоящее время мобильный веб-трафик составляет

лишь 15 %, однако эта цифра постоянно растет за счет 5 млрд

мобильных телефонов, треть из которых — смартфоны с доступом

в Интернет.1 Ежедневно пересылается 500 млн фотографий, средне-

статистический пользователь проверяет сообщения 23 раза в день.1

Жертвами кибератак ежедневно становятся 1,5 млн пользователей,

что обходится в 110 млрд долларов США ежегодно.2 В 2012 году

количество вредоносных программ или атак вредоносного кода в

Интернете увеличилось на 30 %, на мобильных устройствах — на

139 %.3 Следует обратить внимание на то, что 62 % веб-сайтов,

содержащих вредоносный код, оказались законными зараженными

веб-сайтами.3

Уже задумались?

Число и сложность киберугроз будут только расти. Это связано с тем,

что на смену старым мишеням, например операционным системам

ПК, приходят новые: веб-платформы, мобильные платформы,

приложения социальных сетей и т. п. Трудно противостоять

изменениям картины угроз, как говорят специалисты в области

безопасности. Для предотвращения современных угроз требуется

многоуровневая система защиты, которую раньше могли себе

позволить только крупные предприятия. Как станет понятно далее,

размер организации — лишь одна из множества проблем.

6 7

Пугающая неизвестность

Прогнозирование будущего открывает новые возможности. Однако

в киберпространстве неизвестные намерения и непредвиденные

последствия создают хаос. Невозможно предсказать, с какими

новыми киберугрозами столкнется ваша организация — некоторые

из них еще даже не изобретены.

Большинство злоумышленников, будь то рассерженные хакеры-

активисты, киберпреступники, кибертеррористы или даже армии

киберспециалистов, финансируемые государством, имеют главное

преимущество перед пользователями — внезапность. Их мотивация

различна — от мирного протеста до злоумышленных действий,

политической или личной выгоды. Разнообразие инструментов,

доступных для создания киберугроз, растет в геометрической

прогрессии, обеспечивая киберпреступникам преимущество

перед неподготовленными организациями.

В Интернете можно легко найти множество готовых комплектов

разработки вредоносных программ, которые можно анонимно

приобрести за виртуальные деньги. Нелегальный бизнес в Интернете

процветает; более того, киберпреступники заботятся о своей репутации.

Сообщества киберпреступников, предназначенные для обмена

знаниями и опытом, тщательно защищены от любопытных глаз.

Здесь они обмениваются данными, украденными без ведома владель-

цев информации. Особо ценную информацию можно приобрести

в сообществе за деньги. Однако вашей законопослушной организации

вряд ли удастся попасть за кулисы.

В отличие от реального мира, в киберпространстве жертвами злоу-

мышленников чаще всего становятся именно небольшие организации.

Действительно, 31 % кибератак направлены непосредственно на

организации, в которых работает от 1 до 250 сотрудников.2 Учитывая,

что крупные предприятия уже привыкли к кибератакам, их мелкие

поставщики становятся намного более привлекательной мишенью

для злоумышленников. Наиболее эффективный путь для несанкцио-

нированного проникновения в канал поставок крупной компании —

восходящий (в порядке возрастания размера организации).

8 9

Человеческий фактор

Несмотря на то что продолжительность 84 % инцидентов утечки

данных составляет не более нескольких часов, их обнаружение

может быть отсрочено на несколько месяцев (66 % случаев), а

для 22 % организаций ликвидация последствий может занять от

несколько месяцев до нескольких лет.4 В чем причина?

Чем отличается организация, устойчивая к киберугрозам, от уязвимой

организации? Вы можете предположить, что дело в более мощных

компьютерах, более эффективных программах или быстрых средствах

связи. К сожалению, эти вещи редко взаимосвязаны. Действительно,

иметь передовые технологии для защиты организации крайне

необходимо. Однако необходимо — не значит достаточно. Новые,

более быстрые и модные компоненты инфраструктуры сами по

себе вряд ли спасут положение.

Самое слабое звено в системе кибербезопасности — это читатели

данной декларации, я и вы.

ИТ-инфраструктура — это кровеносная система современной

организации, охватывающая все ее подразделения, и именно ИТ-

специалисты традиционно несут ответственность за обеспечение

устойчивости к киберугрозам. Очень быстро ИТ-подразделения из

основного покупателя технологий превращаются в надежного

советника. Согласно последним исследованиям, 14 % облачных

хранилищ, 13 % социальных инструментов и 11 % программ для

повышения производительности приобретаются без ведома ИТ-

подразделения.5

Исследования Gartner демонстрируют тенденцию передачи ИТ-

бюджетов от традиционных «распорядителей» в другие подразделения.

Среди них выделяется отдел маркетинга, затраты которого, по

прогнозам, к 2017 году превысят затраты ИТ-подразделения.6 В

целом это означает, что человеческий фактор оказывает первосте-

пенное влияние на картину безопасности организации, но находится

он за пределами ИТ-подразделения.

В современных условиях концентрация знаний о кибербезопасности

в ИТ-подразделении лишь повышает риски для организации. Человеку

свойственно ошибаться, зачем тогда возлагать груз ответственности

на один ИТ-отдел? Настало время распространить культуру безопасной

работы на всю организацию.

первоначальных атак

длятся не дольше

нескольких часов

инцидентов утечки

данных обнаруживаются

спустя несколько месяцев

инцидентов утечки данных

требуют несколько месяцев

для ликвидации последствий

84 %

66 %

22 %

10 1111

Угроза 1 Масштаб угроз превышает

размер компаний

Во всем мире найдется немного организаций, имеющих достаточно

ресурсов для противодействия всем возможным киберугрозам.

Даже международные компании могут иметь в штате небольшое

количество сотрудников. Современные преступники достаточно

умны. Они давно наладили взаимовыгодное сотрудничество в

виртуальных сообществах, для которых не существует государ-

ственных границ. Они продают друг другу ловушки и украденные

идентификационные данные для атак на системы безопасности,

большинство из которых было разработано с учетом давно устаревших

угроз.

Сами по себе кибератаки имеют относительно несложный характер,

однако проблема не только в их масштабе. В большинстве организаций

уже развернуты базовые принципы защиты от киберугроз, что в 10

раз сокращает объем кибератак, доступных среднестатистическому

пользователю. Перейти к более изощренным атакам достаточно

сложно: 78 % злоумышленников используют базовые инструменты

из Интернета, не предусматривающие возможность настройки.4

Одной из проблем может оказаться выбор правильного подхода.

При консервативном подходе естественной реакцией является

приобретение новых, дополнительных средств для обеспечения

безопасности, однако в перспективе использование разрозненных

решений оказывается неэффективным. Более разумный подход —

получить более наглядную текущую картину безопасности и

предпринять соответствующие меры.

В будущем спектр объектов, которые могут заинтересовать киберпре-

ступников, скорее всего, будет расширяться. Учитывая, что повышение

эффективности подразумевает связывание воедино множества

систем, использование разумных датчиков для управления энергопо-

треблением, сенсоров для контроля технологических линий и меток

радиочастотной идентификации (RFID) для отслеживания грузов,

основным «потребителем» киберпространства уже является не

ИТ-подразделение и даже не человек.

Принимая во внимание глобальный характер угроз, лишь некоторые

организации (как правило, из оборонной отрасли) могут позволить

себе уделять неограниченное время сражениям в киберпространстве.

У остальных есть другие ежедневные обязанности, будь то разбор

страховых исков, продажа обуви или обслуживание автомобилей.

Для повышения уровня устойчивости к киберугрозам организациям

нужно научиться расходовать средства более продуманно. Что же

делать менее опытным ИТ-специалистам? Объединяться с коллегами

в сообщества, как это сделали хакеры. Пулы ресурсов и обмен

знаниями о серьезности угроз могли бы даже положить конец борьбе.

12 1313

Угроза 2 Продолжая сражаться со

вчерашними угрозами, вы

проигрываете войнуПо мере совершенствования, персонализации и распространения

киберугроз их обнаружение становится все более трудной задачей.

Вряд ли кто-либо осмелится назвать какую-либо ИТ-систему,

подключенную к Интернету (а это практически все коммерческие

системы), неприступной.

История доказала неэффективность «железного занавеса» —

человеческий разум способен обойти любые преграды. В современных

интеллектуальных кибератаках редко применяются методы штурма;

как правило, это персонализированные атаки, направленные одно-

временно на множество уязвимостей для оказания более разруши-

тельного эффекта.

Независимо от способа проникновения — через Интернет, электронную

почту или мобильное устройство — эти процессы терпеливо и

незаметно ждут запуска в зараженных системах, даже после

обнаружения и закрытия «черного хода». Вчерашние подходы к

обеспечению кибербезопасности уже неактуальны.

Учитывая ужасающие масштабы этой игры в кошки-мышки,

оптимальной является стратегия, обеспечивающая не изолированное

устранение угроз, а непрерывное и последовательное обеспечение

устойчивости к киберугрозам. Обеспечение устойчивости к

киберугрозам — это отсутствие простого решения, универсального

лекарства или внешней помощи. Подразумевается, что продуманная

защита — лучшее нападение. Цель стратегии — создание неравных

условий, позволяющих сделать доступ к вашим системам невыгодным

и затруднительным.

Более качественная информация помогает принимать более

эффективные решения. В конечном итоге слишком осторожный

подход может оказаться таким же рискованным решением в

современной бизнес-среде. Оптимальный способ обеспечения

устойчивости к киберугрозам — получить более четкое представление

об угрозах, которым подвержена ваша организация.

14 15

Угроза 3 Игнорирование роли

сотрудников

О сотрудниках часто говорят как о самом ценном ресурсе организации.

В действительности же сотрудники также несут самую большую

ответственность с точки зрения безопасности. Ситуация значительно

усложняется инцидентами кражи идентификационных данных и

воровства незащищенных устройств, чему способствуют лояльные

политики использования личных устройств (BYOD).

Раньше вопросы безопасности относились к зоне ответственности

ИТ-специалистов, но сегодня ситуация изменилась. С одной стороны,

существуют теневые ИТ-проекты и несогласованные затраты на ИТ;

с другой стороны, это кратчайший путь к инновациям. Агрессивный

запрет на внедрение сторонних инструментов повышения произво-

дительности приведет к тому, что ИТ-специалисты самоустранятся от

принятия решений в будущем (вспомните о сражениях со вчерашними

угрозами).

Также требуется изменить отношение сотрудников. По данным

опросов, 53 % сотрудников не видят ничего предосудительного

в использовании корпоративных данных ввиду предполагаемого

отсутствия ущерба для компании.7 Но в этом ли их задача?

Несомненно, оптимальным выходом является расширение

полномочий нетехнических сотрудников и уменьшение числа

непреднамеренных незаконных действий. Их информированные

решения и процессы помогут повысить уровень устойчивости

организации к киберугрозам. Это важное условие, учитывая что

действия сотрудников составляют 35 % всех инцидентов утечки

данных, число которых резко возрастает в случае увольнения.8

Не стоит воспринимать это как отказ ИТ-подразделений от ответ-

ственности — это шанс получить новое конкурентное преимущество.

Техническим и нетехническим специалистам предстоит договориться

между собой, чтобы повысить устойчивость организации к киберу-

грозам. В киберпространстве игнорирование не является благом,

это проблема коммуникационного и организационного характера.

Другими словами, это неиспользованная коммерческая возможность.

16 17

Как обеспечить устойчивость к киберугрозам 1

Анализ текущей картины

В теории менеджмента говорится, что нельзя управлять тем,

что нельзя измерить. Однако большинство кибератак проходят

незамеченными, не говоря уже о возможности их измерить.4 Каким

образом можно оценить степень риска?

Ответом служит то, что ненавидят школьники и так любят

организации по контролю качества, — внешняя оценка. Организации,

подверженные кибератакам, должны провести комплексную оценку

сотрудников, процессов и продуктов на предмет устойчивости к

киберугрозам. Как ни банально это звучит, но честность — начало

пути к обеспечению устойчивости к киберугрозам.

Рекомендуется начать с независимого аудита уязвимостей,

определения требований к технологиям и процессам, применяемым

в организации. Далее диапазон возможностей расширяется.

Например, сравнительное тестирование позволяет сравнить ваши

результаты с результатами коллег. Анализ просчетов в реализации

намеченного плана поможет получить практические рекомендации.

Сегодня ИТ постепенно становится стратегическим подразделением

организации.

Вооружившись этой информацией, вы получите более ясное

представление о стратегии обеспечения устойчивости к киберугрозам.

При этом неизвестные ранее переменные превращаются в очевидную,

значимую информацию — не только для ИТ-подразделения, но и для

организации в целом. Затем аналитическая информация становится

вашим бесспорным преимуществом.

Устойчивость к киберугрозам не гарантирует иммунитет против

кибератак, ее цель — сделать уязвимости вашей организации

менее привлекательными для злоумышленников. Если в вашей

организации определены требования и общая цель, вы можете

классифицировать кибегугрозы по приоритетам и сосредоточить

внимание на наиболее опасных проблемах.

18

Раньше ответственность за ИТ-решения лежала на небольшой

группе людей. Этот подход был эффективен для стационарных

компьютеров. Сегодня же важные конфиденциальные данные

находятся там, где в конкретный момент времени находится

сотрудник, партнер организации, партнер партнера и т. д.

Мобильные технологии многое изменили. Джинн киберпреступности

навсегда выпущен на свободу. Уровень безопасности компании

определяется тем, в какой мере наименее защищенный сотрудник

или расширенный канал поставок реализует практические

рекомендации по защите от киберугроз.

Т. е. всей вашей работы по созданию и даже принудительному

применению политик использования паролей или блокировки

устройств и соблюдению стандартов ISO может оказаться недостаточно

для обеспечения устойчивости к киберугрозам. Аналогичные

стандарты должны быть применены на всех уровнях — от наемных

клининговых компаний до аудиторов, от стороннего обслуживающего

персонала до юристов.

Во-вторых, согласно аналитическим прогнозам, затраты на ИТ

нетехнических сотрудников вскоре превысят затраты всего ИТ-

персонала, не только специалистов по ИТ-безопасности. Итак,

нужен глобальный подход, выходящий за рамки ИТ-подразделения,

должностных обязанностей и границы организации. В-третьих,

вашего предыдущего опыта в ИТ может оказаться недостаточно,

учитывая современную роль кибертехнологий в нашей жизни.

Как обеспечить устойчивость к киберугрозам 2

Инструктирование ВСЕХ коллег

Пока вы погружены в процессы тестирования и выбора стратегии

обеспечения устойчивости к киберугрозам, на горизонте появляются

еще более сложные задачи. Забудьте о технических терминах.

Распространение знаний среди коллег имеет огромнейшее значение,

но все ваши усилия могут быть обречены на провал из-за отсутствия

одного простого навыка. Навыка обходиться без жаргона ИТ,

сформировавшегося в течение многих десятилетий. Профессиональные

термины не только не нужны, они снижают эффективность

обсуждения. В действительности жаргон — это препятствие для

обеспечения устойчивости к киберугрозам.

20

Теперь становится очевидным, что работа исключительно над

обеспечением устойчивости к киберугрозам — бесполезный труд.

Киберугрозы создаются невидимыми и умными врагами, которые

могут объединяться, рассеиваться и мгновенно перестраиваться.

Нет никакого смысла стремиться к их уровню. Кроме того, никто

не отменял ваши ежедневные обязанности.

Философы утверждают: «Тот, кто не учится на своих ошибках, обречен

повторять их». Но вы не одиноки. В киберпространстве масштаб

имеет значение. К чему испытывать муки выбора оптимальной

стратегии для вашей организации? Намного эффективнее будет

объединить свои усилия с другими аналогичными организациями,

создать пул знаний и разработать стратегии.

Ваш уникальный опыт поможет организации повысить устойчивость

к киберугрозам. Существует мнение, что это единственная стратегия,

которая может помочь добиться успеха, учитывая постоянный характер

угроз.

Представьте, что центр информации о киберугрозах — это

виртуальный мозг, в который непрерывно поступают миллиарды

сигналов от нескольких тысяч организаций и миллионов пользователей

для создания полной картины киберугроз.

В будущем он станет основой устойчивой к киберугрозам организации,

опережающей своих конкурентов благодаря комплексному

представлению ИТ-инфраструктуры. Это не означает, что базовые

принципы утратили свою важность; информация, предоставляемая

имеющимися средствами защиты, действительно важна.

Новая роль ИТ — оценка киберугроз на основе накопленных знаний

и опыта и предоставление руководству рекомендаций по обеспечению

устойчивости к киберугрозам. Киберугрозы выходят за пределы ИТ,

подразделений и даже государственные границы. Обеспечение

устойчивости к киберугрозам — это новый вид соревнования между

лидерами. Такими как вы. Не опоздайте!

Как обеспечить устойчивость к киберугрозам 3

Используйте стратегию обеспечения устойчивости

к кибегугрозам как конкурентное преимущество

22 23

Заключение

Преимущества киберпространства впечатляют, и это только начало.

Поразительно, что для достижения успеха необходимо лишь

обеспечить безопасную передачу и прием данных. К сожалению,

для этого необходимо проявить незаурядное технологическое

мастерство, ведь, как однажды сказал футуролог и писатель Артур

Кларк, «любая достаточно продвинутая технология неотличима от

магии».

На самом деле важность киберпространства намного выше. На

уровне отдельных пользователей кибератаки ставят под угрозу

личные данные и конфиденциальность. На глобальном уровне

они угрожают стабильности правительств и банковских систем.

Информация о киберугрозах требует пристального внимания

руководителей предприятий и общественных организаций так

же, как и информация об энергетических, водных, кадровых и

прочих ресурсах. Сегодня нужны новые подходы.

Директивы сверху уже не работают. Киберпространство меняется

слишком быстро. Только гибкий массовый подход имеет шансы

быть успешным. Важную роль будут играть ИТ-специалисты,

способные выполнять следующие задачи:

1. Эффективная оценка текущей картины угроз в организации.

Быстрее и тщательнее, чем прежде.

2. Обучение сотрудников как неотъемлемого компонента

стратегии обеспечения устойчивости к киберугрозам.

Обучение должно проводиться среди всех участников

канала поставок с целью поиска идеального соотношения

между инновациями и устойчивостью к киберугрозам.

3. Реализация плана по обеспечению устойчивости к

киберугрозам как долгосрочного конкурентного преимущества,

имеющего стратегическую важность для организации.

Надеемся, что идеи по обеспечению устойчивости к киберугрозам,

продвигаемые в этой декларации, запустят цепную реакцию в вашей

организации. Возможно, у вас уже возникло желание присоединиться

к специалистам Symantec, чьи аналитические обзоры киберугроз,

продукты и услуги в области безопасности уже помогают миллионам

пользователей и тысячам руководителей повышать устойчивость

своих организаций к киберугрозам.

Устойчивость к

киберугрозам

Определение

киберугроз

Требования

Личные

устройства Облако

ИТ-отделы

Бизнес

Цепочка

поставок

Сегодня

На ресурсах

компании

Базовые

сети IP

Информированные

сотрудники

Будущая

цепочка

поставок

Облако

Аутсорсинг

Переход

Завтра

Киберугрозы

Влияние на

эволюциюУстаревший

подход

Стратегическая

устойчивость

24 25

Контакты Источники информации

Штаб-квартира Symantec EMEA

350 Brook Drive

Green Park

Reading

RG2 6UH

Тел: +44 (0)870 243 1080

1 — Mary Meeker, KPCB, Тенденции в Интернете, 2013 г.

2 — Отчет Norton о киберпреступности

3 — Отчет Symantec ISTR, 2012 г.

4 — Отчет Verizon DBIR, 2013 г.

5 — Economist Intelligence Unit «Security Empowers

Business – unlock the power of a protected

enterprise», июль 2013 г.

6 — Веб-семинар Gartner «By 2017 the CMO will spend

more than the CIO», Laura McLellan, январь 2013 г.

7 — Статья Symantec «Было вашим — стало

нашим: как сотрудники подвергают риску вашу

интеллектуальную собственность», 2013 г.

8 — Исследование Symantec «Убытки от кражи

данных», 2013 г.

Необратимость процесса ведет к революции. Компания Symantec предлагает вам сотрудничество в

области кибербезопасности. Мы предоставляем ведущие продукты и услуги, в которых сконцентрированы

передовые знания о кибербезопасности.

Делитесь знаниями — присоединяйтесь к сопротивлению! Свяжитесь с нами для проведения начальной

оценки CyberV.

http://www.emea.symantec.com/cyber-resilience/

Компания Symantec является ведущим мировым поставщиком решений для обеспечения безопасности, хранения данных и управления

системами, которые помогают клиентам защищать свою информацию и идентификационные данные, а также управлять ими.

Copyright © 2013 Symantec Corporation. Все права защищены. Symantec, логотип Symantec и логотип с галочкой являются товарными

знаками или зарегистрированными товарными знаками компании Symantec Corporation и ее дочерних компаний в США и других странах.

Другие названия могут являться товарными знаками соответствующих владельцев. 12/12

Представительство

Symantec в России и СНГ:

123317, Россия, Москва,

Пресненская набережная,

10 Москва-Сити,

Бизнес-центр «Башня на

Набережной»,

Блок С, 11 этаж

телефон: +7 (495) 662-8300

факс: +7 (495) 662-3225

www.symantec.ru

Представительство

Symantec в Украине:

03680, Украина, Киев,

ул. Николая Гринченко, 4

Бизнес-центр «Regus Horizon Park»,

2 этаж

телефон: +38 044 390 67 67

факс: +38 044 390 59 00