Тенденция “приноси свое” принадлежит к числу шести основных угроз безопасности, с которыми бизнес столкнется в 2014 г., заявила организация Information Security Forum (ISF) в ходе прошедшего в Нью-Йорке ежегодного мероприятия (уже второго по счету) по вопросам безопасности. Эта некоммерческая организация была учреждена в 1989 г. Она занимается изучением проблем, сформулированных более 350 дочерними организациями, созданными по всему миру. Лишь недавно ISF стала предавать результаты своих исследований гласности.

К шести главным ИТ-угрозам, с которыми столкнется бизнес в 2014 г., относятся, в частности, облака, тенденция “приноси свое” и кибер-преступность, утверждает ISF.

В связи с приближением нового года глобальный вице-президент ISF Стив Дёрбин рекомендовал компаниям управлять рисками, руководствуясь необходимостью обеспечения устойчивости к внешним воздействиям. “Поддержание киберустойчивости требует признания, что организациям необходимо быть готовыми к угрозе, — сказал Дёрбин. — Это требует высокого уровня партнерских отношений и сотрудничества, а также определенной гибкости, чтобы организации могли предотвращать атаки, обнаруживать их и реагировать на них быстро и эффективно”.

Говоря о шести угрозах, названных в качестве главных в наступающем 2014 г., Дёрбин подчеркнул, что компаниям необходимо искать пользующихся доверием партнеров и обсуждать с ними вопросы кибербезопасности, которые часто считаются конфиденциальными. “Мы, скорее всего, сможем справиться с любой из этих угроз, — заявил Дёрбин. — Но в сочетании друг с другом они сильно усложняют задачу”.

Тенденция “приноси свое”

Эта проблема возглавляет список ISF. Отсутствие в названии тенденции слова “устройство” не случайно. Сотрудники используют для работы свои учетные записи электронной почты, свои системы хранения в облаках и т. д. “Мы не ограничиваемся использованием собственных устройств”, — сказал Дёрбин.

“В связи с расширяющимся использованием сотрудниками на работе личных мобильных устройств информационная безопасность компаний любого масштаба подвергается рискам, — говорится в отчете ISF. — Риски связаны как с внутренними, так и с внешними угрозами, включая ошибки управления самими устройствами, использование уязвимостей ПО извне и развертывание плохо протестированных, ненадежных бизнес-приложений”.

Если риски слишком высоки, продолжайте наблюдать за развитием событий; если они приемлемы, составьте “хорошо структурированный” план, рекомендуется в отчете.

Конфиденциальность в облаке

Дёрбин с мрачным юмором заявил, что облака не представляют опасности, сели можно быстро составить их список и выяснить, сколько облаков использует компания, какие данные других компаний хранятся на тех же самых серверах, не переданы ли сервисы хранения субподрядчику и имеется ли четкий план на случай разрыва контракта с облачным провайдером.

“Хотя преимущества облачных сервисов с точки зрения затрат и эффективности очевидны, организации не могут позволить себе отсрочки при рассмотрении их влияния на информационную безопасность, — считает ISF. — Организации должны знать, можно ли соотнести имеющуюся у них персональную информацию с конкретными лицами, и, соответственно, нуждается ли она в адекватной защите”.

Ущерб для репутации

Руководитель компании Garcia Cyber Грег Гарсиа сказал, выступая на мероприятии ISF, что есть две категории компаний: те, которые уже подверглись атаке хакеров, и те, которым это еще предстоит.

“Есть идея персонализации безопасности”, — заявил Гарсиа, говоря о том, что некоторые компании наивно полагают, будто они не подвергнутся атакам, или рассматривают действия хакеров как неизбежное условие бизнеса. Один из способов внедрить эту идею заключается в том, чтобы собрать вместе главных действующих лиц и подумать, как каждый из них должен реагировать на вторжение в киберсистему.

“Какие последствия будет иметь вторжение для менеджера по маркетингу, для руководителя подразделения, обслуживающего инвесторов, для пиарщиков, которым необходимо будет подготовить заявление?”, — задавал вопросы Гарсиа. Если ситуация такова, что может привести к падению курса акций, надо учитывать эту возможность.

Защита личных сведений и соблюдение требований регуляторов

Согласно ISF, организации должны рассматривать защиту личных сведений как соблюдение требований регуляторов и как риск для бизнеса.

“Более того, — говорится в отчете, — мы наблюдаем расширение планов регулирования сбора, хранения и использования информации и строгого наказания за утрату данных и сокрытие вторжений, особенно в Европейском союзе. Следует ожидать, что такая тенденция сохранится и получит дальнейшее развитие, вызывая помимо обеспечения безопасности дополнительные расходы на соблюдение требований регуляторов и обязательное участие юристов, специалистов по работе с персоналом и правления”.

Киберпреступность

И Дёрбин, и Гарсия подчеркивали, что преступники поразительно хорошо координируют свои действия и совместно работают ради достижения своей цели. В качестве примера приводился взлом системы “Нью-Йорк таймс” Сирийской электронной армией. “Плохие парни достигли поистине выдающихся успехов в сотрудничестве, поскольку у них от этого многое зависит”, — сказал Гарсиа.

Кибер-преступность, хактивизм (целенаправленное хакерство) и растущие расходы на соблюдение требований регуляторов в связи с их усложнением могут вызвать уникальное в своем роде стечение неблагоприятных обстоятельств, утверждает ISF.

“Организации, определившие, от чего в наибольшей степени зависит их бизнес, смогут обосновать расходы на обеспечение устойчивости к внешним воздействиям, сведя тем самым влияние непредвиденных обстоятельств к минимуму”.

Интернет вещей

Дёрбин сообщил, что недавно беседовал с генеральным директором компании Telefonica, который преисполнен энтузиазма в связи с “колоссальными возможностями, которые открывает мобильная связь 4G”.

Высокоскоростные сети и Интернет вещей позволят, например, автомашине обнаружить пробки на маршруте и понять, что водитель не сумеет вовремя попасть в аэропорт, чтобы успеть на свой рейс. Поэтому она свяжется с аэропортом и закажет билет на другой рейс. “Опасно, если подобная информация попадет не в те руки”, — сказал Дёрбин.

Компании не могут избежать серьезных инцидентов, и лишь немногие из них используют “зрелый, структурированный подход при анализе возникших ошибок, — добавил он. — Применяя реалистичный подход к кибер-безопасности и устойчивости с привлечением широкого круга специалистов и организацией их сотрудничества, правительственные органы, регуляторы, высшее руководство компаний и профессионалы в области информационной безопасности смогут лучше понять подлинную природу киберугроз, реагировать на них быстро и адекватно”.