Соавтор материала – Семен Долгов, Партнер "Национального Центра Управления Рисками"
В последнее десятилетие развитие современных IT-технологий и средств информационной безопасности оказывают все большее положительное влияние на сохранность и целостность конфиденциальной информации компаний из разных секторов экономики и становятся серьезной преградой на пути кибер-преступности. Тем не менее, наряду с совершенствованием систем информационной безопасности банков, страховых компаний и предприятий нефинансового сектора техническая грамотность и оснащенность злоумышленников также продолжает расти и развиваться, совершенствуя методы взлома внутрикорпоративных контуров информационной безопасности, информационных систем и кражи различных баз данных и денежных средств.
В силу специфики своей деятельности наиболее чувствительными к кибер-атакам оказались компании финансового сектора, в частности банки и страховые компании, которые оперируют с все возрастающими потоками конфиденциальной коммерческой информации, клиентскими базами и персональными данными, а также с внутренней информацией, связанной с операционной и административно-хозяйственной деятельностью компании.
Устойчиво нарастающий новостной фон в отношении несанкционированного проникновения злоумышленников в информационные системы российских компаний свидетельствует о том, что сейчас мы находимся практически на пике количества кибер-преступлений. При этом, значительное число банков, страховых и финансовых компаний уже понесли определенные финансовые и, что особенно опасно, репутационные потери, связанные с воровством средств со счетов компаний и клиентов, взломом конфиденциальных баз данных, мошенничеством, а также с попытками физического разрушения информационных систем объектов атаки в том числе и в целях конкурентных войн.
Многие руководители банков и страховых компаний уже давно осознали, что обеспечение безопасности своих информационных ресурсов стало неотъемлемой частью стратегии развития компании, а также одной из важнейших составляющих их деловой репутации. Да и в самом деле, кто из клиентов банка или страховой компании захочет продолжить сотрудничество с ними после кражи своих средств со счетов или утраты конфиденциальной информации, связанной с персональными данными клиентов, тем более что информация о хакерских атаках и взломах информационных систем компаний практически сразу же попадает в прессу и подрывает доверие контрагентов, бизнес-партнеров и клиентов.
Следует заметить, что в последнее время с учетом новых реалий обеспечение информационной безопасности бизнеса не должно ограничиваться только лишь локальными мерами, а требует реализации комплексного подхода в противодействии хакерским атакам. В поисках слабых и наиболее уязвимых мест в системе информационной безопасности злоумышленники постоянно совершенствуют свой инструментарий, технологии и тактику. Единственным эффективным способом сделать вывод о надежности периметра информационной безопасности компании является его постоянное тестирование на прочность и резистентность к внешним атакам.
По своей сути тестирование сводится к целенаправленной и санкционированной руководством той или иной компании попытке взлома их информационных систем. Такие действия носят общее название “penetration test”. Целью этих действий является поиск наиболее слабых мест и уязвимостей информационных систем и баз банных компании с точки зрения риска взлома контуров ее информационной безопасности, риска утраты конфиденциальной корпоративной информации, а также рисков прямых хищений денежных средств со счетов клиентов. Проводятся такие тесты с согласия со стороны руководства компании и не несут никаких угроз целостности информационных систем и баз данных тестируемого объекта, а также рисков утраты корпоративной информации или денежных средств. Для руководства компании успешное прохождение “penetration test” является показателем защищенности корпоративных информационных систем и ресурсов в случае возникновения реальных хакерских атак злоумышленников.
“Penetration test” представляет собой достаточно сложный контролируемый комплекс процедур, в результате которого нельзя допустить каких-либо неосторожных и неквалифицированных действий, приводящих к деструктуризации или декомпозиции информационного ресурса объекта тестирования или неумышленному удалению важной корпоративной информации. Выполнение работ по проведению “penetration test” с подготовкой соответствующего отчета о его направленности и выявленных слабых местах в системе информационной безопасности компании должно проводиться высокопрофессиональными и добропорядочными экспертами, имеющими значительный опыт работы в сфере ИТ-безопасности и цифровых технологий, которые прекрасно понимают, как возможно «взломать» информационную систему компании и, при этом, не нанести ущерба объекту тестирования.
Как было отмечено выше минимизация операционных рисков, связанная с проведением “penetration test” весьма актуальна как для банков, страховых компаний, так и для нефинансовых компаний. Специфика работы банков и страховых компаний состоит в том, что информационные потери могут приводить к огромным убыткам. Это связано с тем, что финансовые компании хранят не только материальные активы своих клиентов, но и конфиденциальную информацию – данные о вкладчиках и заемщиках, их счетах и различных финансовых сделках. Утечка такой информации в результате хакерских атак несет существенный риск не только финансовых, но и серьезных репутационных проблем.
Для компаний нефинансового сектора взлом корпоративной системы информационной безопасности может привести к утечкам данных по их инновационным и технологическим разработкам, финансовым показателям, основным контрагентам и заказчикам, ценам на сырье, продукты и услуги и т.д., что крайне негативно сказывается на финансовых результатах деятельности компании и ее репутации на рынке.
Все перечисленные выше факторы приобретают особую значимость в случае организации и проведения различных тендеров и государственных закупок для компаний с государственным участием. К сожалению, в нашей стране лишь некоторые коммерческие и государственные организации регулярно осуществляют полноценный “penetration test”, чтобы быть уверенными в стабильной защите своих информационных систем, правильно полагая, что подобного рода тестирование представляет собой по сути инвестицию в безопасность и многолетнюю стабильность бизнеса. Зачастую, финансовые организации, которым предписано регулярное проведение “penetration test”, подходят к нему достаточно формально, теряя при этом реальную возможность оценки устойчивости своих IT-систем к хакерским атакам.
Комплекс мер, направленных на проведение “penetration test” целесообразнее проводить не своими силами и собственными ресурсами (в силу возможного субъективизма в трактовках результатов), а заказывать эту процедуру у независимых экспертов, неработающих внутри тестируемой организации. ООО «Национальный Центр Управления Рисками» предлагает своим клиентам проведение комплексных мероприятий по выявлению слабых и максимально уязвимых мест в ИТ-инфраструктуре и информационных системах финансовых институтов и компаниях производственного сектора для минимизации рисков успешных атак на IT-инфраструктуру заказчика.
Проводимое экспертами «НЦУР» тестирование позволит нашим клиентам:
· Оценить вероятность реализации потенциальных угроз корпоративной ИТ-инфраструктуре, системе информационной безопасности, базам данных и конфиденциальной информации;
· Оценить возможные последствия хакерских атак и глубину проникновения злоумышленника во внутрикорпоративную информационную систему;
· Выявить слабые места в системе информационной безопасности и оценить эффективность действующего комплекса мер по обеспечению информационной безопасности;
· Оценить современные методы «атак» на ИТ-инфраструктуру и, как следствие, заранее предпринять необходимые меры противодействия им;
· Выработать комплекс мер для минимизации перечисленных рисков информационной безопасности, а также разработать меры профилактического воздействия на IT-инфраструктуру компании с целью снижения потенциального ущерба в случае успешной реализации реальных хакерских атак.
· Обеспечить снижение потенциального ущерба в случае успешной реализации реальных хакерских атак на периметр информационной безопасности.
По запросу клиентов возможно проведение перманентных дискретных “penetration tests” для обеспечения уверенности руководства компании в постоянном и надлежащем уровне защиты информационных систем и конфиденциальной информации от кибернетических атак. В частности, для банков и финансовых институтов может быть предложено проведение тестирования защищенности информационных систем банка, различных мобильных и web- приложений, в том числе в целях выполнений регуляторных требований Банка России.
Успешно организованная система информационной безопасности любой компании стала существенным фактором стабильного, долгосрочного и высоко-репутационного бизнеса и является неотъемлемой составляющей общекорпоративной системы управления рисками.
Богомолов Алексей
Генеральный Директор и Партнер "Национального Центра Управления Рисками"Хандриков Илья
Председатель «Всероссийского движения за честный рынок»Ванчек Штефан
Директор по продажам ООО «ППФ Страхование жизни»Костевич Сергей
Исполнительный директор Perenio IoTЦветков Дмитрий
Руководитель управления андеррайтинга и методологии корпоративного бизнеса СК «Сбербанк страхование»Разуваев Алексей
Инициатор создания Национального музея российского страхованияАлександрова Елена
Исполнительный директор — статс-секретарь АО «СОГАЗ», член Комитета ВСС по связям с государственными органамиШевцов Олег
Генеральный директор АО «Трансэнерком»Редько Антон
Основатель MUSTINS.RUШевцов Олег
Генеральный директор АО «Трансэнерком»Евланов Артём
Генеральный директор ООО «Интэк-Строй»Шевцов Олег
Генеральный директор АО «Трансэнерком»Шевцов Олег
Генеральный директор АО «Трансэнерком»Редько Антон
Основатель MUSTINS.RUТурбина Капитолина
Специалист по страхованию, доктор экономических наук, профессорМоржаретто Игорь
Автоэксперт, член рабочей группы ОНФ «Защита прав автомобилистов»Евланов Артём
Генеральный директор ООО «Интэк-Строй»Шевцов Олег
Генеральный директор АО «Трансэнерком»