Перейти к основному содержанию
Узнайте больше о дистанционной работе и обучении во время вспышки COVID-19
Перейти к основному контенту
Новости

АЗБУКА БЕЗОПАСНОСТИ

Кибербезопасность для юристов и финансистов

Деятельность внутренних контролёров компании с точки зрения кибербезопасности

Павел Волчков, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
Павел Волчков
,
заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»

Инсайты по теме:

  • Риски информационной безопасности относятся к группе операционных рисков.
  • Юридический и финансовый отдел находится в зоне риска при проведении атак, начинающихся с использованием инструментов социальной инженерии.
  • Отсутствие взаимопонимания между бизнесом и ИБ одинаково мешает и тем, и другим.

В мае 2020 года юридическая фирма Grubman Shire Meiselas & Sacks подверглась кибератаке, в результате которой злоумышленники получили доступ к ценной информации клиентов, включая Леди Гагу, Мадонну, Брюса Спрингстина, Элтона Джона. Требование о выкупе в 42 млрд долларов не было выполнено и данные оказались в продаже.

Павел Волчков, заместитель директора Центра информационной безопасности компании «Инфосистемы Джет», рассказывает про серьезность рисков и специфику киберзащиты юридического и финансового департаментов компании.

Как договориться о терминах

В любой организации юристы и финансисты чаще других должны задумываться о рисках, а значит им легче понимать специалистов по информационной безопасности, но на практике так не происходит.

Павел Волчков: «Традиционно риски информационной безопасности входят в блок операционных. Достаточно часто сотрудники компании не понимают, как именно те средства автоматизации, которые они используют, включая системы и приложения, могут быть использованы во вред. Проблема в том, что специалисты по информационной безопасности начинают общаться с менеджерами, используя термины ИБ. Очевидно, что это неправильно. Но если говорить на языке бизнес-процессов, то тогда риски и последствия от их реализации будут понятны бизнесу».

В поисках слабого звена

Самым актуальным сценарием начала атаки, в результате которой злоумышленники могут получить доступ в инфраструктуру, остается социальная инженерия. Конечной целью все равно остается информация, но «точкой входа» становится человек.

Павел Волчков: «Что заставляет человека невнимательно себя вести, переходить по непонятным ссылкам, вводить свои данные? Любопытство, невнимательность, может быть страх, жажда наживы – что угодно. И социальная инженерия – это самый простой для злоумышленников способ начала атаки, потому что самый дешёвый.

Под угрозой оказываются те, кто чаще взаимодействует с внешним миром. Когда у сотрудника нет электронной почты, ему и выслать ничего нельзя. А вот те, кто достаточно часто состоит в переписках, открывают большое количество вложений, общаются с контрагентами, могут не заметить опасности в общем потоке. Специалисты юридического или финансового отдела как раз находится в зоне риска, может быть меньшего, чем тот же маркетолог, но вот данные, к которым у них есть доступ, скорее всего, более ценные, чем у маркетинга. Ведь вследствие атаки у злоумышленников может появляться доступ к средствам компании, например, они получают возможность осуществлять отправку поддельных платежей в адрес какого-то подставного лица».

Масштаб имеет значение

Если злоумышленники захотят, они взломают любую организацию, но при условии наличия мотивации и ресурсов, которые не бесконечны. Жертвами становится как крупный бизнес, так и СМБ-компании, но мы пытаемся разобраться в отличиях.

Павел Волчков: «Если говорить про атаки «по площадям», например, эпидемии криптошифровальщиков, то здесь разницы нет, жертвой может стать кто угодно, в том числе и физические лица. Целенаправленно же атакуют тех, с кого можно что-то взять. Средний, а уж тем более малый бизнес вряд ли будет интересен, если только он не обрабатывает особо чувствительную информацию и/или не управляет значительными денежными суммами в интересах других организаций.

Крупный бизнес – интереснее, но у него и с безопасностью всё лучше. Для большинства крупных компаний ИБ – вспомогательный, централизованный процесс, значит, есть служба, которая этим занимается. Руководитель финансового или юридического отдела обычно самостоятельно не участвует в проработке вопросов по информационной безопасности, но должен обеспечивать выполнение организационных мероприятий по защите информации в рамках своего блока. В компаниях среднего масштаба функция ИБ тоже централизована, только слабее, а в маленьких организациях бизнесу приходится решать эти вопросы самостоятельно».

Использование сторонних сервисов

Многие компании из сегмента малого бизнеса, а порой и среднего, активно используют современные финансовые и юридические сервисы, доверяя им решение части своих задач и свои данные. Павел не видит ничего страшного в использовании новых технологий и инструментов.

Павел Волчков: «Любая новая технология, любое изменение бизнес-процесса несёт в себе риски, но ими можно управлять. Если покупается качественный продукт от вендора, который уделяет внимание ИБ, и интеграция этого продукта проводится квалифицированными специалистами, то, скорее всего, проблем не будет. Потенциальный злоумышленник, который захочет реализовать атаку с этой стороны, будет «соревноваться» не с самой организацией, а с вендором этого продукта.

Если ранее компания вообще не была защищена и любой желающий мог бы ее взломать, то новое внедрение может даже изменить ситуацию в лучшую сторону».

Внутренняя консервативность

Мы интересуемся, как общее развитие цифровых технологий отразилось на профессиональной деятельности людей и целых отделов, стали ли они более открытыми к инновациям.

Павел Волчков: «Скорее всего те, кто оказывает юридические или финансовые услуги внешним заказчикам, более инновационны, этого от них требует рынок. А внутренние службы, особенно в крупных организациях, значительно более консервативны, так как обычно у них нет финансовых KPI».

Работа над безопасностью

Стоит ли руководителю финансовой или юридической службы компании самостоятельно инициировать какие-то активности, связанные с ИБ, если у него возникает обеспокоенность? Павел Волчков отмечает, что все зависит от внутренней организации.

Павел Волчков: «Специалист по информационной безопасности – всегда ваш главный союзник. Если его нет, значит, организация уж совсем маленькая, и тогда генеральный директор и, условно, финансовый директор могут сесть вдвоем и вместе обсудить потенциальные риски ИБ. Но начиная со среднего бизнеса своя служба ИБ уже есть практически у каждой организации.

Реализация любых защитных мер требует ресурсов, как минимум времени и людей. В большом бизнесе процесс выстроен таким образом, что специалист по ИБ превентивно думает о том, какие риски возможны в направлениях, например, юридического блока. Когда риск проактивно выявлен, специалист по ИБ сообщает об этом начальнику департамента, и они должны решить, как этот риск может быть обработан, можно ли это сделать с учетом текущих ресурсов.

Самостоятельные инициативы, наверное, возможны там, где процессы еще плохо выстроены и недостаточно автоматизированы. Тут нужно руководствоваться просто здравым смыслом. Если вы видите, что все данные хранятся на одном сервере, логично спросить у своей службы ИТ, а есть ли у нас Backup. Если нет, понятно, что в случае инцидента вы потеряете всю информацию. Кстати, в малых организация функция ИБ очень часто возлагается на ИТ-блок: сделайте так, чтобы работало, а ещё было безопасно. И во многом это верный подход – лучше всё делать изначально правильно, чем залатывать найденные дыры».

Приглашение к диалогу

За время разговора мы неоднократно касаемся необходимости найти общий язык ради достижения бизнес-целей компании. И финальный вопрос тоже касается того, как налаживать взаимодействие.

Павел Волчков: «Если у вас в компании есть служба информационной безопасности, то не надо относиться к ней как к какому-то якорю, стопперу, ограничителю для бизнес-процессов. Я бы посоветовал слушать их рекомендации, искать возможности в диалоге, совместно реализовывать конкретные мероприятия в наиболее удобном варианте. Отсутствие взаимопонимания между бизнесом и специалистами по ИБ одинаково мешает и тем, и другим».