• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Физическая безопасность ИТ - старая проблема с новыми неизвестными.

Created: 05 August 2021

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №7 за июль 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Говоря о кибербезопасности, многим сразу же представляются таинственные злоумышленники, которые совершают атаки через интернет из-за рубежа. Однако, значительная часть проблем носит более прозаичный характер - поломки и кражи оборудования, отсутствие энергоснабжения, аварии коммунальных служб. С цифровизацией, угрозы физической безопасности никуда не исчезли. Наоборот, многие предприятия стали более уязвимыми, так как возросла их зависимость от информационных технологий.
Охрана склада, надёжные сейфы, системы видеонаблюдения - давно известные меры защиты собственности. Но для современных предприятий, чей бизнес всё больше зависит от ИТ, появляются и новые угрозы в поле физической безопасности - внос/вынос оборудования, безопасность коммуникаций, утилизация носителей. Без учёта этих, неочевидных на первый взгляд, вещей организацию ждут большие проблемы, даже при идеально защищенном периметре и высоком заборе с колючей проволокой. Новые риски должно понимать высшее руководство предприятия.
В первую же очередь нужно определить, что́ же именно является объектом защиты, что́ нужно защищать и что́ имеет для предприятия наибольшую ценность. Убедится, что проблема с физической безопасностью существует, руководитель любого мало-мальски крупного предприятия может, задав два вопроса начальнику службы охраны/безопасности: «Какие есть требования по защите центра обработки данных, как они обеспечиваются у нас?». И подобный же вопрос задать руководителю отдела ИТ. Скорее всего оба специалиста скажут, что это не их зона ответственности и переадресуют вопрос друг другу.

Несколько важных шагов для снижения рисков физической безопасности:
1. Определение периметра безопасности. У предприятия и профильных служб должно быть чёткое представление об охраняемом периметре. Это только с квартирой или частным домом хорошо понятно, где частная территория, а где «улица». Для предприятия вопрос границ далеко нетривиальный. Если помещение находится в собственности, то таким документом является кадастровый план, схема расположения помещений с привязкой к местности. А вот для арендуемых помещений указанием на место чаще всего является адрес, этаж и общая площадь помещения. Особенно если арендуется часть здания. Поэтому совсем нелишним будет сделать план арендуемых площадей и чётко определить границы. Свериться со схемой очень полезно даже тем предприятиям, которые являются единственными собственниками и здания и участка под ним. В нашей практике встречались случаи, когда различные службы (благоустройство, хозотдел, автоотдел) «захватывали» тротуары, проезды, зоны отчуждения над кабелями или линиями электропередач, размещали там гаражи, склады, подсобные помещения. А потом всё это приходилось ломать, нести убытки. Ведь такой неумышленный захват может происходить из-за того что сотрудники искренне полагали, что территория принадлежит им. Лучше сначала всё проверить по схеме, а не тратится сначала на строительство, а потом ещё и на демонтаж незаконно возведённых строений.

2. Защита центра обработка данных. На любом сколько-нибудь крупном предприятии сам собой формируется центр обработки данных. Это может быть и один-два компьютера, на которых накапливается важная для предприятия информация, базы данных, система документооборота, система электронной почты. Со временем таких систем становится много, оборудование выносится в отдельную комнату. Защите его нужно уделять особое внимание, ведь именно такой центр обработки данных во многом становится «сердцем» предприятия. Подробно технические аспекты освещены в государственном стандарте Oʻz DSt 2875:2014 «Информационная технология. Требования к датацентрам. Инфраструктура и обеспечение информационной безопасности». Со стороны руководства предприятия важно понимание того, что безопасность центра обработки данных должна быть как минимум не менее тщательной, чем у кабинетов самого руководства, бухгалтерии, канцелярии. Надёжные двери, контроль и поддержание климатических параметров, бесперебойное энергоснабжение - базовые требования. К сожалению, в нашей практике встречается и другое отношение - сервера размещают в подсобных помещениях, чуть ли не в кладовых, в полуподвальных или наоборот - чердачных помещениях. А значит, возрастают риски затопления оборудования, проникновение пыли, что особенно губительно для техники, которая работает круглосуточно в течение многих лет.
Особый контроль должен быть за любыми работами в серверных помещениях, ведь практически всегда ремонт техники, пуско-наладку кондиционеров, систем сигнализации выполняют сотрудники подрядных организаций. Даже уборка помещений всё чаще отдаётся на аутсорсинг. А так как такая работа может длиться часами, то посторонние надолго остаются предоставлены сами себе, совершенно без контроля. Злоумышленнику или недобросовестным конкурентам не нужно взламывать двери и проникать под покровом ночи. Проще устроить своего человека в обслуживающую компанию, имеющую полный доступ в центры обработки данных вашей организации. Поэтому специалистов подрядных организаций необходимо включать в систему проверки персонала (см. статью «Как обеспечить информационную безопасность при работе с кадрами» в №9 (165) за сентябрь 2020 г. журнала «Справочник по кадровым вопросам»).

3. Безопасность кабелей и коммуникаций. Целый пласт проблем представляет собой и защита линий связи, кабелей. Распространённая практика - подключение к интернету производится на скорую руку, по временной схеме. Кабели пробрасываются прямо по полу помещений, на них наступают, задевают мебелью. И в самый неподходящий момент происходит обрыв, который ещё и сложно оперативно обнаружить. А включение в холодное время года обогревательных приборов, принесённых из дома, может спровоцировать отключение электроснабжения. Кто на предприятии должен курировать такие вопросы? В отсутствии на предприятии профильных служб всё это должен контролировать руководитель.

4. Техническая поддержка оборудования. Приобрести компьютерное оборудование - только часть заботы руководства об ИТ. Нужно его ещё и поддерживать на всех этапах его жизненного цикла. Для качественного оборудования от известных производителей предусмотрен гарантийный период, обычно от одного года до трёх. Но ведь оборудование работает и по пять, и по десять лет. Значит, после окончания гарантийного периода нужно приобретать пакеты расширенной поддержки. Иначе, в случае выхода из строя, найти замену «железке», выпущенной много лет назад будет невозможно, работа предприятия будет парализована. Нужно обслуживание и для обычных офисных компьютеров. Без элементарного продувания от пыли, срок службы компьютера может сильно сократиться - элементарно начнёт сбоить от перегрева. В целом эта проблема известна и описывается термином «совокупная стоимость владения» (TCO, англ. Total Cost of Ownership) и хорошо знакома автомобилистам. Мало купить автомобиль (в нашем случае компьютер или сервер), тут же появляются расходы на ГСМ, страховку, мойку, техобслуживание. Те же траты есть и в ИТ, просто для многих они неочевидны.

5. Защита терминального оборудования. В связи со всемирной пандемией обострились и специфические угрозы. Например, многие сотрудники начали принимать пищу прямо на рабочем месте. А вместе с этим повысился риск повреждения компьютерного оборудования. Другая проблема «удалёнки» - размытие периметра предприятия. Раньше все сотрудники находились в офисе и контролировать внос/вынос оборудования и носителей информации можно было хотя бы на проходной. С удалённой работой контролировать утечку данных по-старому уже невозможно - рабочее место теперь там, где находится сотрудник и его компьютер. Поэтому для таких случаев нужен более тщательный контроль за действиями работников. Ещё эффективнее превентивно ограничивать доступ пользователей только теми данным, которые им нужны для работы.
Чуть ли не самым распространённым каналом утечки данных по-прежнему остаётся банальная кража или утеря ноутбуков. По разным подсчётам до 86% компаний сталкивались с кражей/утерей мобильных устройств и в более чем половине случаев это приводило к утечкам важных данных. Самый простым и эффективным способ защиты от такого сценария это шифрование дисков. Даже если устройство украдут (в выключенном состоянии), то хотя бы не смогут получить к данным.

6. Организация работы по обслуживанию посетителей. Никуда не исчезла и проблема непреднамеренной утечки данных путём прямого подсматривания. Сейчас всё больше организаций, чаще всего банки, практикуют «открытый офис», свободную планировку, отказ от перегородок и ширм. Чрезмерно увлекаться этим не стоит - посетителю, клиенту не стоит без необходимости демонстрировать интерфейсы внутренних информационных систем. Чтобы не обижать клиентов недоверием и не прятать экран операциониста, существуют даже специальные защитные плёнки. Механизм её работы таков, что изображение на мониторе видит только сам сотрудник, а чуть сбоку виден только чёрный экран. Ещё чаще в нашей практике встречается нарушение принципа «чистого рабочего стола», т.е. приходя в банк или кассу можно видеть на столе операциониста документы от предыдущего посетителя - суммы, детали платежа, имена и фамилии. Такие проблемы решаются несложными административными мерами и обучением линейного персонала.

Выводы: с развитием технологий, ростом рисков в киберпространстве прежние проблемы физической безопасности никуда не исчезли. Только если в XIX веке грабители выносили драгоценности, в XX - купюры, то в XXI - ценную информацию. Для купирования таких угроз нужно периодически проводить критический анализ обеспечения безопасности, внутренний аудит и пользоваться услугами экспертов, часто именно их «незамыленный» взгляд видит многие проблемы.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости