Что такое миф? По определению одного небезызвестного словаря, «это недостоверный рассказ, выдумка». Терминология говорит сама за себя. Как показывает практика, мифы далеко не всегда являются правдой, зачастую они оказываются просто вымыслом, навеянным народными сплетнями. Не обходят они стороной и сферу информационной безопасности.
Давайте рассмотрим самые распространенные мифы в ИБ.
Миф 1. Информационная безопасность — это про ИТ
Многие не проводят границу между сферами ИТ и ИБ, полагая, что последняя является разновидностью первой. Принято считать, что информационная безопасность ограничивается установкой в компании специализированного технического оборудования или ПО. Но так ли это на самом деле?
К сожалению, в условиях современной действительности многие компании и правда пренебрегают созданием отдела ИБ, перекладывая его обязанности на сотрудников ИТ-отделов или вовсе заменяя человеческий труд оборудованием. Но это неправильно. Снижение рисков зависит не только от использования высокопрофессиональной техники, но и от соответствующего обращения с ней. Согласно отчету Гартнера, 95% всех успешных атак можно было предотвратить, если бы были правильно настроены уже существующие средства защиты. Если не знать, как обращаться с оборудованием, то оно может превратиться в обычную железку или в очередное приложение на компьютере. ИТ-специалисты не обладают необходимыми знаниями и опытом подобной работы, они тестируют сервисы, пишут коды, разрабатывают уникальные решения, но не анализируют риски и не настраивают процессы защиты от утечек. Этим занимаются сотрудники, имеющие квалификацию в области информационной безопасности. Готовы ли вы пожертвовать конфиденциальными данными и репутацией своей компании, сэкономив на грамотном специалисте? Нет? Тогда идем дальше:)
Миф № 2. Хакеры не атакуют маленькие компании
Большинство маленьких компаний считает, что не представляет какой-либо интерес для злоумышленников. Ведь они не очень известны, внутри их систем мало конфиденциальных данных, так что там красть?
Увы, это заблуждение. Современные хакерские атаки полностью автоматизированы, боты ищут уязвимости в Интернете и бьют по любым целям, которые удается найти. Им все равно, большая компания или маленькая, это всего лишь дело случая. И далеко не редкость, когда этот случай приходится именно на маленькие бизнесы или стартапы. Плюс ко всему, принято считать, что небольшие компании не уделяют должного внимания защите данных, что делает их легкой мишенью. Действительно, при безответственном подходе банковская информация заказчиков, пароли, логины, личные данные партнеров и сотрудников – в любой момент могут стать собственностью хакеров. Разница только в том, что у большой компании в случае утечки больше шансов «удержаться на плаву», нежели у маленькой. Последняя может не выдержать значительного финансового ущерба и закрыться.
Миф № 3. Информационная безопасность — это всегда дорого
Пожалуй, самое распространенное заблуждение. Руководствуясь им, многие компании даже не задумываются о мерах защиты, прикрываясь недостатком денежных средств.
Не будем скрывать, ИБ не всегда дешевая. Но разве эти затраты сравнятся с теми, которые вы рискуете понести в случае утечки? По статистике, ежегодно компании теряют свыше 12 млн рублей вследствие кибератак внешних нарушителей и прочих инцидентов информационной безопасности. При этом восстановить похищенные файлы удается далеко не всегда.
Более того, не будем забывать, что некоторые технические и административные меры ИБ бывают бесплатными. К числу таких мер относятся: сегментация сети, формирование списков доступа, логирование всех событий и многое другое.
Несомненно, распоряжаться деньгами нужно правильно, и, возвращаясь к первому мифу, делегировать полномочия специально обученным людям. Ведь даже при больших затратах на ИБ уровень защиты может оставаться крайне низким при неправильном обращении и распределении финансов.
Миф № 4. Обеспечить информационную безопасность = купить оборудование
Зачастую компании думают, что достаточно однажды купить хорошее оборудование, чтобы навсегда обеспечить себе хорошую защиту. Но информационная безопасность — это не разовая акция, а регулярный комплексный процесс. Преступники постоянно совершенствуют свои методы, а значит, крайне важно всегда оставаться «в повестке», оценивать возможные риски и вовремя реагировать на угрозы. В данном случае недостаточно поставить надежный пароль или обновить антивирус, крайне важно проводить профилактическую работу по всем направлениям. К примеру, стоит вводить образовательные тренинги в коллективе для повышения уровня грамотности в сфере информационной безопасности или организовывать пентесты для проверки работы системы. Любая защита начинается с выстраивания процессов компании, и заметьте — это абсолютно бесплатно:)
Миф № 5. За информационную безопасность всегда отвечает один человек
Принято считать, что за ИБ в компаниях ответственность лежит на плечах одного человека: генерального директора, директора по ИТ, администратора безопасности и др. Так считают как обычные пользователи, так и представители руководящих позиций, ведь ИБ, как правило, рассматривают как дополнительный функционал, а не средство первой необходимости. Так зачем же выделять на это такие ценные человеческие ресурсы? Однако человек — не робот, и не способен единолично обеспечить весь цикл необходимых работ, ведь в случае его болезни, ухода или других внешних факторов вы рискуете остаться без какой-либо защиты. Не стоит вешать весь процесс на какого-нибудь пинтестера и в случае чего привлекать его к ответственности, ведь для него эта работа — всего лишь «хвост», прилепленный к его основным обязанностям, и не стоит полагать, что он будет уделять ему должное внимание. Каждому следует находиться на своем месте и делать свою работу. А в случае ИБ, такую работу должен делать ни один, ни два и даже ни три человека.
Почему существуют мифы? Потому что люди не проверяют информацию. Они слепо доверяют слухам, не углубляясь в детали и не оценивая достоверность предложенных суждений. ИБ — слишком опасная сфера для сплетен, ведь на кон поставлено слишком много — в некоторых случаях само существование компаний. Поэтому будьте в меру циничны, отделяйте правду от мифов и не станьте жертвой рекламных слоганов.