2020-01-15
117
Как повысить информационную безопасность склада
Сегодня многие компании, столкнувшись с экономическими сложностями, сокращают свои затраты, в том числе и на информационную безопасность. Тем не менее обостряющаяся конкурентная борьба и низкая лояльность сотрудников ведут к увеличению рисков информационной безопасности.
Небезопасная конфигурация беспроводной сети
Большинство российских компаний сейчас только формирует процессы управления информационной безопасностью и на этом этапе имеет типовые проблемы, вытекающие из неэффективности существующих процессов. Какие проблемы наиболее актуальны? Использование каких технологий требует повышенного внимания к вопросам информационной безопасности? Какие меры по защите данных должны быть приняты в первую очередь?
Современный склад не может обойтись без такой удобной технологии, как беспроводная сеть. Складские решения с ее применением позволяют улучшить производительность работников склада, максимально автоматизировать учет и уменьшить число ошибок ручного ввода. Однако ошибки, совершенные при развертывании и настройке сети, могут позволить беспрепятственно проникать в нее внешним злоумышленникам. Наиболее серьезной ошибкой является использование уязвимого протокола безопасности.
|
|
|
Для защиты беспроводной сети используются специальные протоколы, которые должны обеспечивать доступ к сети только тем, кому он действительно необходим, а также обеспечивать передачу данных только в зашифрованном виде. Одним из первых протоколов безопасности беспроводной сети был протокол WEP, который широко используется сейчас как во всем мире, так и в России. Еще в 2001 году в протоколе были обнаружены серьезные недостатки, позволяющие злоумышленникам легко получить пароль для доступа к сети. Причиной широкого использования этого небезопасного протокола является то, что он поддерживается практически всеми беспроводными устройствами и легко настраивается.
Пример. Для получения доступа к сети, защищенной протоколом WEP, злоумышленнику достаточно лишь набрать несколько команд. Незащищенная беспроводная сеть позволит злоумышленникам незаметно осуществлять проникновение в корпоративную сеть компании, разместившись в припаркованном рядом со складом автомобиле. Оказавшись в корпоративной сети, злоумышленники смогут атаковать серверы критичных информационных систем. Получив доступ к корпоративным системам, хакеры имеют возможность сделать все, что угодно: украсть финансовую информацию, данные клиентов, внести изменения в данные о товарных остатках, сроках годности товара, внедрить компьютерный вирус. Так, американская сеть оптовых супермаркетов BJ Warehouse Club подверглась ряду атак хакеров, проникавших в ее сеть, используя уязвимости в беспроводной сети. Результатом взлома стало осуществление мошеннических покупок с помощью данных кредитных карт покупателей BJ Warehouse Club на сумму свыше $10 млн.
|
|
|
Настройки по умолчанию
Самой распространенной серьезной уязвимостью является использование паролей, установленных по умолчанию. Эта очень часто встречающееся явление, обусловленное тем, что установщики программного и аппаратного обеспечения в большой степени обеспокоены тем, чтобы заставить работать систему так, как положено, и очень часто при этом игнорируют информационную безопасность. Они просто забывают сменить пароли для системных учетных записей, обладающих наиболее полными привилегиями в системе, оставляя их такими, как они были заданы производителем.
Важно иметь возможность проводить расследования. Защититься от атак злоумышленников на 100% никогда не получится, поэтому необходимо всегда помнить о возможности возникновения инцидента информационной безопасности, который нужно будет расследовать. Иногда IТ-специалисты полностью отключают регистрацию действий пользователей, так как она создает дополнительную нагрузку на систему и требует внимания. В подобном случае компания может даже не узнать о том, что ее сеть была взломана, и конкуренты получают данные о ее деятельности более оперативно, чем руководство самой компании.
Как управлять информационной безопасностью
Существование недостатков в системе обеспечения информационной безопасности связано в первую очередь с отсутствием процессов управления в ней. Как создать эффективную систему управления?
Во-первых, необходимо заручиться поддержкой руководства компании, которое должно осознать возможные последствия игнорирования вопросов информационной безопасности склада и выделить необходимые ресурсы. Последствиями могут быть финансовые потери, ущерб имиджу компании, проблемы с регулирующими органами. Представьте себе, что будет устроена атака «Отказ в обслуживании» на беспроводную сеть компании, систему управления складом, вследствие чего склад не сможет функционировать на прежнем уровне? Каков ущерб, допустим, от мошеннических операций, осуществляемых с помощью складских систем? Есть ли у руководства компании желание нести гражданскую, уголовную, административную, дисциплинарную ответственность за нарушение Федерального закона «О персональных данных»?
Во-вторых, необходимо провести классификацию информации и понять, какие данные являются наиболее критичными и в каких системах они обрабатываются. Для каждого вида информации определяется ее критичность – как минимум по степени конфиденциальности. Обычно компании используют такие категории, как «Общедоступная информация», «Персональные данные», «Коммерческая тайна». Руководитель склада как владелец бизнес-процессов должен принять активное участие в процессе классификации информации, с которой работают его подчиненные. Понимание того, какая информация и какие системы нуждаются в более серь-езной защите, позволят компании сконцентрироваться на самом важном.
В-третьих, необходимо выявить существующие в компании проблемы информационной безопасности, для чего необходимо проведение комплексного аудита. В чем он заключается? Как известно, в обеспечении информационной безопасности задействованы процессы, технологии и люди. Поэтому в ходе аудита проверяются все три составляющие.
При проведении аудита процессов анализируются существующие документы по информационной безопасности и то, как реально функ-ционируют процессы управления информационной безопасностью в организации. В качестве критериев аудита часто используются положения международ-ного стандарта ISO 27001:2005. В ходе технического аудита выявляются уязвимости беспроводной сети, используемого компанией программного и аппаратного обеспечения, позволяющие злоумышленникам получать несанкционированный доступ к данным. Очень эффективным является тестирование на возможность несанкционированного проникновения, в ходе которого осуществляется имитация действий реальных злоумышленников.
|
|
|
В ходе комплексного аудита также проверяется, насколько сотрудники устойчивы к атакам злоумышленников, использующим методы социальной инженерии. Аудиторы связываются с сотрудниками компании по электронной почте, телефону, через социальные сети (сайты «Однаклассники.ру», «Вконтакте.ру» и др.) и пытаются обманным способом получить важную информацию (например, пароли для доступа к информационным системам). Результатом аудита является составление перечня существующих проблем с указанием уровня риска, связанного с каждой из них. Объективно оценить уровни рисков можно как раз благодаря проведенной классификации информации и пониманию, в какой системе какая информация обрабатывается.
