Информационная безопасность — это часть кибербезопасности, которая занимается защитой данных от утечек, краж, подмены, несанкционированного доступа, фишинга, вирусных атак и других угроз.
Специалисты в этой области стремятся обеспечить контроль над информацией по трём основным параметрам: конфиденциальность, целостность и доступность.
Конфиденциальность подразумевает, что доступ к данным должен быть только у авторизованных пользователей, а также их надёжную защиту от посторонних лиц. Например, в банковском приложении только вы должны иметь доступ к информации о своих счетах и транзакциях. Если эти данные попадут в руки злоумышленников из-за слабой защиты или ошибки сотрудника банка, это будет нарушением конфиденциальности.
Сохранность информации означает, что данные остаются неизменными и точными без специального разрешения. Например, если злоумышленник изменит данные в финансовом отчёте, подделает подпись или внесёт правки в медицинскую карту пациента, это будет нарушением сохранности информации.
Особенно важно поддерживать сохранность информации в тех сферах, где даже небольшие изменения могут привести к серьёзным последствиям. Например, в рецептах на лекарства, системах управления воздушным движением или документах по безопасности атомных электростанций.
Доступность подразумевает, что у авторизованных пользователей должна быть возможность беспрепятственно получать доступ к информации и связанным с ней ресурсам в нужный момент. Например, если сотрудники налоговой службы не могут подключиться к базе данных налогоплательщиков из-за DDoS-атаки на государственные серверы, это может привести к задержкам в обработке деклараций, проблемам с отчётностью и другим нежелательным последствиям для налоговой системы.
Источники угроз информационной безопасности
Чтобы защититься от угроз, необходимо сначала понять, откуда они исходят. Все источники можно условно разделить на три категории:
- антропогенные — связанные с действиями человека;
- технологические — вызванные сбоями в оборудовании и программном обеспечении;
- природные — вызванные стихийными бедствиями и другими внешними факторами.
Источники угроз, связанные с деятельностью человека. Они могут быть как преднамеренными, так и случайными. Особую опасность представляют инсайдерские угрозы, когда информация утекает по вине сотрудников, имеющих доступ к конфиденциальным данным.
Источники угроз, связанные с технологиями. Это всё, что связано с отказом техники и программного обеспечения. Например, поломка сервера, сбой системы резервного копирования или проблемы со связью могут привести к потере данных или остановке работы. Кроме того, любые уязвимости в программном обеспечении могут быть использованы злоумышленниками для атак.
Источники угроз, связанные с природными явлениями. К этой категории относятся наводнения, землетрясения, пожары и другие стихийные бедствия. Они могут привести к физическому уничтожению серверов и носителей информации, нарушению электроснабжения дата-центров и потере данных. Кроме того, в условиях чрезвычайной ситуации возрастает риск утечек из-за сбоев в стандартных процедурах безопасности и общего организационного хаоса.
Классификация угроз информационной безопасности
В предыдущем разделе мы выделили три основные группы источников угроз: антропогенные, технологические и природные. Однако на практике специалисты по информационной безопасности используют более детальную классификацию внутри каждой группы. Это помогает точнее оценить возможные риски и выбрать подходящие способы защиты.
При этом важно понимать, что таких классификаций существует довольно много, и выбор подхода зависит от множества факторов. Например, в корпоративной среде угрозы часто делят на внутренние и внешние, в государственных системах — по степени критичности, а в медицинских учреждениях особое внимание уделяют защите персональных данных.
Поэтому далее мы рассмотрим лишь несколько примеров классификаций — чтобы показать, как специалисты по информационной безопасности группируют угрозы и на основе этого выбирают подходящие меры защиты.
- По масштабу воздействия угрозы делятся на локальные и глобальные. Локальные затрагивают отдельные элементы инфраструктуры — например, заражение вирусом одного компьютера или компрометация конкретной учётной записи. Глобальные охватывают ИТ-систему целиком, как это бывает при вирусных атаках вымогателей или при эпидемиях вредоносного ПО, которое способно парализовать работу всей компании.
Например, если вредоносное ПО заразит компьютер сотрудника бухгалтерии, то специалисты по информационной безопасности немедленно отключат устройство от корпоративной сети. Затем они проведут полное антивирусное сканирование в изолированной среде и проверят все финансовые операции за последние несколько суток — это поможет выявить источник заражения и не допустить распространения угрозы.
- По преднамеренности угрозы делятся на преднамеренные и непреднамеренные. К преднамеренным относятся целенаправленные действия злоумышленников — фишинговые атаки, использование вредоносного ПО, кража данных и прочее. Непреднамеренные угрозы возникают случайно: когда администратор по ошибке удаляет важные файлы или сервер выходит из строя из-за перегрева в жаркий летний день.
Например, хакер может разослать поддельное письмо якобы от службы поддержки, чтобы получить доступ к паролям сотрудников. Чтобы защититься от таких угроз, компании используют многоуровневую защиту: фильтры спама, обучение персонала, двухфакторную аутентификацию и системы мониторинга подозрительной активности.
Если такие меры настроены правильно, то фишинговое письмо сразу попадёт в спам или будет помечено как подозрительное. А если сотрудник всё же перейдёт по ссылке и попробует ввести данные, то сработает запрос на подтверждение входа через мобильное приложение или другая проверка.
- По способу реализации угрозы делятся на технические, социальные и физические. Технические используют уязвимости в программном обеспечении и оборудовании — например, вирусы или эксплойты. Социальные основаны на обмане сотрудников, как в случае с телефонным скамом. Физические связаны с непосредственным доступом к технике: кража устройств, проникновение в серверную или затопление помещения.
- При технической атаке хакер может воспользоваться уязвимостью на сайте и с помощью специального запроса (SQL-инъекции) получить доступ к базе данных с логинами и паролями пользователей. Чтобы предотвратить такую угрозу, разработчики используют методы валидации и фильтрации данных, блокируют прямое попадание пользовательского ввода в запросы к базе, применяют защитные фреймворки и проверяют код на уязвимости.
При надёжной защите попытка SQL-инъекции ни к чему не приведёт, поскольку сервер распознаёт вредоносный запрос как некорректный ввод. В ответ система выдаст сообщение об ошибке или просто проигнорирует такой запрос — в любом случае база данных останется в безопасности.
Мы уже разобрали, откуда берутся угрозы, как специалисты по информационной безопасности их классифицируют и какие меры применяют для защиты. Но есть ещё один элемент — оценка уязвимостей, без которой невозможно построить надёжную систему безопасности.
Уязвимость — это слабое место в системе, которое злоумышленник может использовать для реализации угрозы. К таким уязвимостям относятся, например, ошибки в коде, неправильные настройки сервера или открытые сетевые порты. Своевременная оценка уязвимостей позволяет выявить наиболее критичные из них и принять необходимые защитные меры.
Поиск уязвимостей можно проводить разными способами. Вот некоторые из наиболее распространённых:
Аудит безопасности — комплексная проверка системы на наличие слабых мест и нарушений политики безопасности. Например, аудитор может выявить, что сотрудники используют простые пароли или что компания редко выполняет резервное копирование данных.Сканеры уязвимостей — специальные программы, которые автоматически проверяют систему на наличие известных уязвимостей. К примеру, такие сканеры могут обнаружить устаревшую версию Apache или незащищённый порт 3389 (RDP) с доступом в интернет.Тестирование на проникновение (пентест) — имитация реальных хакерских атак, которые проводятся с разрешения компании. Во время пентеста специалист может попытаться получить доступ к внутренней сети через Wi-Fi, обнаружить слабые места на корпоративном сайте или разослать фишинговые письма сотрудникам.Фаззинг (fuzzing) — метод тестирования, при котором в систему подаются случайные или некорректные данные для выявления сбоев и уязвимостей. Например, программа-фаззер может автоматически генерировать тысячи вариантов входных данных для веб-формы, пытаясь вызвать переполнение буфера или инъекцию кода.