Национальная служба экономической разведки

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

5 мифов о корпоративной кибербезопасности

Интернет полнится советами и слухами о том, как организовать систему корпоративной защиты, однако зачастую стремление обезопасить себя со всех сторон приводит к диаметрально противоположному результату.

Роман Богомолов, руководитель направления технической экспертизы компании Fortis, дистрибьютора решений Check Point Software Technologies, рассказывает о пяти мифах корпоративной безопасности и о том, какой подход способен по-настоящему обеспечить защиту сети и устройств.

 

«Кибербезопасность должна стать приоритетом для каждой компании: инвестируйте в решения безопасности, чтобы вовремя обнаружить угрозу и отреагировать на нее без последствий», — предупреждали ИТ- и ИБ-специалисты, но многие организации с этим уже прилично опоздали. По данным CPST, еженедельно с января по май 2021 г. обычная российская компания в среднем подвергалась 980 угрозам — это на 37% чаще, чем в среднем по миру. Общее число атак на отечественные организации выросло на 69% по сравнению с аналогичным периодом прошлого года. Эта тревожная статистика вкупе с громкими случаями кибератак на крупные мировые компании действительно пугает.

 

Поэтому все больше топ-менеджеров стали задумываться о кибербезопасности и о том, как правильно организовать защиту. Самое опасное в этом случае — хвататься за все подряд, вкладывать большие средства в ИБ, забыв про системный подход, рискуя из-за этого остаться у разбитого корыта. Но сегмент корпоративной кибербезопасности, как выяснилось, окружает слишком много мифов, чтобы путешествие оказалось простым.

 

Миф 1: Моя компания никогда не сталкивалась с кибератаками, а значит, наша система безопасности отлично работает

 

Ландшафт киберугроз постоянно меняется: они становятся еще сложнее и опаснее, постоянно появляются новые, еще неизвестные угрозы «нулевого дня», против которых просто не успели выпустить обновления или разработать средство защиты. Каждой компании необходимо сделать кибербезопасность ключевым приоритетом, поскольку в современных условиях риск приостановки бизнес-процессов на время борьбы с атакой может оказаться слишком велик, а возможные убытки — катастрофическими.

 

Осознание потребности в защите — это только первый шаг к безопасности. Но цель вовсе не в построении идеальной защиты, а в выработке эффективной стратегии безопасности, которая поможет оперативно отреагировать на любой инцидент, включая атаки «нулевого дня», и предотвратить его или, в крайнем случае, смягчить последствия. Обеспечение кибербезопасности — это процесс, а не результат. Поэтому так важно постоянно контролировать критически важные активы, проводить внутренний аудит и анализировать политики ИБ. Необходимо внедрить кибербезопасность в ключевые бизнес-процессы и инвестировать в текущие обновления.



 

Миф 2: Киберпреступники нацелены только на крупные компании, а малый и средний бизнес их не интересует.

 

Руководители многих малых и средних предприятий (СМБ) считают, что кибератаки и утечки данных никогда их не коснутся. На самом же деле, это одно из главных заблуждений о кибербезопасности, с которым необходимо расстаться как можно скорее. Как показало недавнее исследование Verizon о причинах утечек данных, СМБ-компании (с численностью менее 1000 сотрудников) столкнулись с 1037 инцидентами угрозы безопасности. И в 263 их них произошла утечка данных. В крупных организациях (более 1000 сотрудников) произошло 819 инцидентов, и в 307 из них данные были скомпрометированы.

 

Малые и средние предприятия зачастую не имеют надежных современных решений защиты и квалифицированных ИТ- и ИБ-специалистов в штате, поэтому они могут стать легкой добычей для киберпреступников. СМБ-сегмент точно так же подвержен фишингу, атакам с помощью программ-вымогателей и других вредоносов, как и компании-гиганты. К тому же, ни одна организация не застрахована от внутренних угроз, источником которых могут стать ее собственные сотрудники.

 

Миф 3: Наши сотрудники слишком заняты, чтобы отвлекать их от важных дел и рассказывать о киберрисках. За безопасность должны отвечать профессионалы или ИБ-департамент.

 

Несомненно, на ИБ-отделе лежит большая ответственность за управление кибербезопасностью организации. Но угрозы могут повлечь самые опасные и долгосрочные последствия для всего бизнеса. Поэтому обеспечение реальной готовности к кибербезопасности — обязанность каждого сотрудника. Для них необходимо регулярно проводить обучение, рассказывая о наиболее вероятных угрозах и популярных мошеннических схемах, чтобы защитить периметр не только снаружи, но и изнутри.

 



Каждый работник должен не только иметь четкую инструкцию на случай, если он столкнется с угрозой, но и придерживаться этой инструкции. Менеджерам стоит в первую очередь задуматься о разработке политики безопасности и распределить права для всех, кто имеет доступ к корпоративным данным. Не забыв при этом о фрилансерах и партнерах на аутсорсе. Человеческий фактор — самое слабое звено в корпоративной безопасности, и ИБ-специалисты не всегда могут предугадать и проконтролировать все действия сотрудников, которые могут представлять угрозу.

 

Миф 4: На каждом устройстве в нашей компании установлен антивирус — этого вполне достаточно.

 

Антивирусные программы, безусловно, важны для защиты корпоративной сети и устройств, но они не смогут защитить всю ИТ-инфраструктуру от всех возможных киберрисков. Каждой компании необходим целостный и структурированный подход к безопасности с многоуровневой защитой от всех возможных векторов атак. Внедрение нескольких решений — отдельно для защиты конечных точек, для корпоративной сети, для облачной инфраструктуры и для веб-приложений — тоже рискованно, поскольку их будет сложно сынтегрировать друг с другом. При этом каждый отдельный продукт генерирует массу уведомлений, оперативно и вдумчиво реагировать на которые физически не сможет даже целая команда ИТ-специалистов.

 

Не стоит усложнять инфраструктуру безопасности, впустую тратя средства и время на развертывание разношерстных решений. Это не только сделает жизнь сотрудников ИБ-департамента невыносимой, но еще и увеличит риски, плодя уязвимости и бреши в системе, ограничивая видимость и возможности масштабирования.

 

Консолидированный подход к безопасности позволяет обеспечить превентивную защиту от сложных атак пятого поколения и угроз «нулевого дня». Эффективность работы при этом повышается на 50%, а затраты на обеспечение безопасности снижаются на 20%. Комплексная архитектура безопасности обладает всеми преимуществами XDR-решений, полностью защищая ИТ-процессы и данные в корпоративных сетях, облаках и мобильных устройствах. Управлять ими можно с помощью единого интерфейса, что дает широкую видимость угроз, позволяет вести мониторинг в реальном времени и быстро реагировать в полностью автоматическом режиме.

 

Миф 5: Большинство наших сотрудников на удаленке и используют личные устройства по принципу BYOD — это безопаснее.

 

Стратегия BYOD (Bring your own device), которая подразумевает использование личных устройств в рабочих целях, набирает всю большую популярность, особенно на фоне перехода многих компаний на удаленный режим работы. Тем не менее, использование личных устройств вместо корпоративных зачастую представляет большую опасность для организации: корпоративная сеть всегда защищена намного лучше, чем домашняя. К тому же, специалист по ИБ не имеет права контролировать личное устройство сотрудника и вносить в него какие-то изменения. Даже в том случае, если компрометация планшета или смартфона может привести к намеренной или ненамеренной утечке данных.

 

Подключение к сети дополнительных устройств, которые могут вовсе не иметь никакой защиты, расширяет ландшафт угроз и усложняет проведение мониторинга ИТ-специалистами. Политика безопасности компании должна регламентировать порядок использования личных устройств в рабочих целях и устанавливать необходимый уровень защиты для доступа к корпоративным ресурсам, чтобы избежать утечки.

 

Мифы о кибербезопасности в современном цифровом мире очень опасны, поскольку они препятствуют распространению передовых практик и внедрению надежных решений, помогая злоумышленникам сеять хаос. Осознание иллюзорности этих мифов — главный шаг на пути к полноценной защите от всевозможных рисков для корпоративной безопасности.

 

По материалам cnews.ru