30 ноября отмечался Международный день защиты информации, или День компьютерной безопасности. В этот день в 1988 году была зафиксирована первая массовая атака червя Морриса на ARPANET, которая поразила шесть тысяч сетевых узлов в США и повлекла ущерб, оцененный почти в $100 млн. 

В рамках анализа рынка HR-tech (будет презентован 12 декабря) ICT.Moscow узнал у консультанта Центра информационной безопасности ИТ-компании «Инфосистемы Джет» Глеба Карманова, на что обратить внимание предприятиям для защиты корпоративной сети от цифровых угроз.

---

Как показало исследование Аналитического центра компании InfoWatch, в 2018 году в России было зарегистрировано 270 случаев утечки конфиденциальной информации из коммерческих и некоммерческих компаний, а также государственных организаций.

 

Согласно этому же исследованию, в 77,9% случаев виновником утечки в России являются сотрудники, а в 8,8% — руководители. По большей части утечки происходят в госорганах и силовых структурах (23,3%) и муниципальных учреждениях (15,9%).

Смотреть все исследования по информационной безопасности на ICT.Moscow

 

Нельзя забывать о повышении ИБ-осведомленности пользователей. Очень важно обучать персонал по вопросам информационной безопасности и регулярно контролировать соблюдение ИБ-требований. При использовании модели облачных вычислений необходимо разграничивать роли обеспечения безопасности критической информации для того, чтобы понимать, кто несет ответственность за ее защиту.

 

Обеспокоенность относительно облачных моделей отнюдь не праздная. Рынок облачных сервисов растет, в том числе в России: согласно исследованию «ТМТ Консалтинг», в 2018 году он вырос на 31% по сравнению с 2017-м и составил 55,9 млрд рублей. Эту тенденцию отмечает и Глеб Карманов.

Основными трендами в ИТ являются повышение количества удаленно трудящихся работников и перенос функционала на облачные платформы. Последние служат инфраструктурой для различных сервисов, поэтому при компрометации облачного провайдера безопасностью данных рискуют и корпоративные пользователи. Чтобы нивелировать эти риски, компаниям необходимо уделять внимание безопасному взаимодействию с удаленными работниками и защите облачных платформ.

 

Для предотвращения утечек можно пользоваться не только внутренними ресурсами, но и брать уже разработанные DLP-системы (data leak prevention). ICT.Moscow собирал наиболее интересные московские решения по данному направлению, а также мнения экспертов о том, как эти системы работают, кому и зачем они нужны и как их лучше выбирать.

Разработчикам следует придерживаться концепции Security Development Lifecycle для защиты создаваемых приложений. Необходимо задавать базовые настройки приватности, чтобы обеспечить конфиденциальность на всех этапах или, что называется, «by design». При развертывании решения по модели «on-premise» нужно знать ИТ-ландшафт компании, чтобы наладить взаимодействие со всеми ее бизнес-приложениями. Корпоративным пользователям рекомендую убедиться в отсутствии критичных уязвимостей в выбранном ПО.

 

Российские разработчики также могут ориентироваться на национальный стандарт защиты информации, описанный в ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

 

---

 

Смотреть московские решения в сфере информационной безопасности на ICT.Moscow.

Если вы представитель московской компании или московского решения в данной сфере, добавьте его на витрину ICT.Moscow.