Инциденты ИБ: разбор популярных ситуаций, поиск виноватых и что делать CIO

Инциденты информационной безопасности происходят ежедневно, создавая угрозу сохранности данных и работоспособности инфраструктуры. Нередко срабатывает человеческий фактор.

Главным фактором ИБ по сей день остаётся человеческий фактор. От 60 до 90% успешных кибератак происходят именно из-за ошибок пользователей

Предотвращение инцидентов предполагает обучение персонала правилам безопасной работы, проведение тренингов, внедрение современных средств защиты, регулярное обновление программного обеспечения и проведение регулярных аудитов безопасности.

Содержание
  1. Человеческий фактор
  2. Руководитель поручил сказать пароль коллеге для работы под его логином
  3. Производственная и коммерческая информация в облаке сотрудника
  4. Устное уведомление, что информация секретна
  5. Письмо от ДИТ о сбое с просьбой выслать логин и пароль
  6. Другие инциденты
  7. Общие рекомендации
  8. Заключение

Человеческий фактор

Человеческий фактор остается главным источником угроз информационной безопасности. Согласно разным отчетам, от 60 до 90% успешных кибератак происходят именно из-за ошибок пользователей.

Руководитель поручил сказать пароль коллеге для работы под его логином

Руководителем было дано распоряжение передать пароль сотрудника другому лицу. Такое действие нарушает базовые принципы информационной безопасности, так как передача паролей другим сотрудникам недопустима согласно большинству стандартов и регламентов ИБ.

Нарушение: Нарушено правило хранения и передачи пароля сотрудниками. Пароль является средством аутентификации конкретного лица и не предназначен для передачи кому-либо другому.

Сотрудник передал пароль коллеги руководству, выполняя данное распоряжение. Несмотря на выполнение распоряжения руководства, сотрудник нарушил правила ИБ, так как предоставление собственного пароля посторонним лицам недопустимо независимо от обстоятельств. 

Нарушение: Сотрудником была нарушена политика безопасного обращения с персональными средствами аутентификации (паролем).

Выводы:

  1. Оба участника — руководитель и сотрудник — допустили нарушения правил информационной безопасности.
  2. Правила ИБ предполагают чёткое соблюдение процедур и норм, включая запрет на передачу паролей.
  3. Даже приказ руководства не освобождает сотрудников от соблюдения базовых правил ИБ.

Рекомендуемые действия CIO:

  1. Запретить исполнение поручения: Немедленно сообщите руководителю о нарушении политики информационной безопасности и невозможности выполнения поручения.
  2. Инициируйте разбирательство: Начните служебное расследование, чтобы выяснить мотивы руководителя и зафиксировать инцидент в журнале регистрации инцидентов.
  3. Измените пароль учетной записи: Принудительно смените пароль и блокируйте доступ прежнему владельцу до завершения разбирательства.
  4. Направьте предупреждение: Отправьте официальным письмом ответственным сотрудникам информацию о недопустимости передачи паролей и последствиях несоблюдения правил.
  5. Проведите дополнительное обучение: Организуйте внеплановое обучение сотрудников по вопросам информационной безопасности с акцентом на недопустимость передачи паролей.
  6. Опишите ситуацию в отчете: Подведите итоги расследования, разработайте меры профилактики и представьте руководству компании предложение по улучшению существующей системы защиты.

Производственная и коммерческая информация в облаке сотрудника

В современных реалиях — очень частая ситуация. В отдельных ситуациях можно согласовать объём информации, которую можно выносить во вне. Но в любой крупной компании список будет недлинным. Остальное надо хранить только во внутреннем контуре компании.

Хранение производственной и коммерческой информации в облачных сервисах личного аккаунта сотрудника является грубым нарушением правил информационной безопасности и корпоративной политики большинства компаний. Такая практика несет значительные риски утечки данных, неправомерного доступа третьих лиц и прочих угроз.

Правильные действия в данном случае:

  1. Переместите всю важную информацию: Производственную и коммерческую информацию необходимо незамедлительно перенести на официальные серверы компании внутри закрытого цифрового контура.
  2. Удалите копии: После переноса убедитесь, что все личные облака очищены от копий коммерческих данных.
  3. Получите разрешение: Всегда запрашивайте официальное одобрение от отдела информационной безопасности перед использованием любого внешнего ресурса для хранения рабочих файлов.

Рекомендуемые действия ИТ-директора:

  1. Оцените степень риска: Определите объем и значимость размещенной информации, оцените потенциальные угрозы и возможные последствия утечки данных.
  2. Немедленно заблокируйте доступ: Ограничьте доступ сотрудника к личным облачным ресурсам с рабочего устройства, пока не завершится проверка и перенос данных.
  3. Определите местонахождение информации: Найдите точное местоположение данных в облачном сервисе и проверьте историю операций, чтобы выявить возможные случаи доступа третьими лицами.
  4. Переход на корпоративные облачные ресурсы: Создайте безопасные условия для хранения и обмена файлами путем перевода данных на корпоративные облачные платформы с усиленными мерами защиты.
  5. Проведите внутреннее расследование: Выясните причину такого размещения информации и установите виновников происшествия, чтобы принять дисциплинарные меры и устранить аналогичные нарушения в дальнейшем.
  6. Обучите сотрудников: Организуйте дополнительные занятия по повышению осведомленности работников относительно вопросов информационной безопасности и правильного обращения с конфиденциальными данными.

Устное уведомление, что информация секретна

Встречаются случаи, когда сотрудники получают устные уведомления о том, что та или иная информация носит секретный характер. Работодатели это делают для упрощения процедур. Однако такая практика противоречит нормам законодательства и стандартам информационной безопасности.

Устное оповещение не имеет юридического значения и не обеспечивает необходимой правовой защиты информации. Оно не подтверждает ни факт передачи сведений, ни осознание сотрудником обязанности соблюдать режим секретности. Единственный верный способ установить статус секретности — оформить соответствующее письменное распоряжение или акт, официально уведомив персонал.

  1. Нет доказательств: Без письменного подтверждения сложно доказать факт уведомления и осведомлённости сотрудников о статусе информации.
  2. Несоблюдение закона: Согласно российскому законодательству, порядок установления режима коммерческой тайны предполагает обязательное оформление соответствующих документов.
  3. Риск ответственности: Компания и руководство несут ответственность за нарушение норм охраны коммерческой тайны, а отсутствие подтверждающих документов усугубляет ситуацию.

Правильнее всего придерживаться официального документооборота и оформлять все необходимые акты и инструкции письменно.

Шаги CIO:

  1. Документально зафиксируйте событие: Составьте внутренний отчет о факте устного уведомления, включающий описание ситуации, обстоятельства дела и список вовлеченных сотрудников.
  2. Разработайте письменное подтверждение: Подготовьте официальный документ, подтверждающий классификацию информации как секретной, и направьте его заинтересованным сторонам для ознакомления и подписания.
  3. Организуйте обучение сотрудников: Проведите инструктаж среди сотрудников, разъяснив правила оформления и хранения секретной информации, подчеркивая важность обязательного наличия письменных распоряжений.
  4. Создайте регламент: Разработайте внутренние нормативные документы, регулирующие порядок отнесения информации к категории секретной и обеспечивающие надлежащее оформление и хранение данных.

Письмо от ДИТ о сбое с просьбой выслать логин и пароль

Это типичная попытка социальной инженерии и мошенничества, известная как фишинговая атака. Настоящий отдел информационных технологий (ДИТ) никогда не попросит вас отправить ваши учетные данные по электронной почте.

Что делать сотруднику:

  1. Не отправляйте никаких данных. Никогда не сообщайте свой пароль или логин никому по электронной почте.
  2. Проверьте адрес отправителя. Мошенники часто подделывают адреса, используя похожие доменные имена.
  3. Свяжитесь с вашим ДИТ лично, позвоните по известному вам номеру телефона или обратитесь в службу поддержки для проверки подлинности письма.
  4. Сообщите инцидент службе безопасности. Информируйте соответствующие службы о попытке фишинга, чтобы предотвратить возможные последующие атаки.

Действия CIO в подобной ситуации должны быть направлены на профилактику, расследование инцидента и повышение уровня безопасности:

  1. Проверка инцидента:
    • Проведите аудит исходящего почтового сервера, чтобы убедиться, что рассылка не была осуществлена с официальных аккаунтов компании.
    • Проанализируйте заголовки писем и IP-адреса отправителей для выявления признаков мошеннической активности.
  2. Информирование сотрудников:
    • Опубликуйте официальную информацию о случившейся попытке фишинга.
    • Напоминайте персоналу о правилах безопасности при работе с электронной почтой и важности осторожности при передаче конфиденциальных данных.

Другие инциденты

Из других инцидентов выделим:

  • Потеря мобильных устройств или ноутбука: не допускать хранение конфиденциальной информации, использовать функцию блокировки устройства. 
  • Взлом базы данных: переписанную информацию не вернуть, но сменить пароли и усилить защиту надо обязательно.
  • Кража паролей: зафиксировать и остановить неправомерный трафик как можно раньше, сменить пароли.

Общие рекомендации

Общий подход к профилактике инцидентов информационной безопасности включает несколько ключевых направлений:

  1. Обучение сотрудников: Регулярное проведение тренингов и семинаров по основам информационной безопасности повышает уровень осведомленности персонала и способствует формированию культуры безопасного поведения.
  2. Тестовые занятия и симуляции: Организация регулярных тестов и упражнений по моделированию реальных угроз (например, фишинговые атаки) позволяет сотрудникам быстрее адаптироваться к нестандартным ситуациям и улучшает реакцию на реальные инциденты.
  3. Использование двухфакторной аутентификации (2FA): Двухэтапная аутентификация добавляет дополнительный уровень защиты и существенно затрудняет попытки несанкционированного доступа, делая невозможным проникновение в систему лишь с одним фактором идентификации (паролем).
  4. Комбинация HTTP-аутентификации (htaccess) и стандартной аутентификации в саму систему. Файл .htaccess защищает каталог приложения, требуя ввода имени пользователя и пароля на уровне веб-сервера (Apache, Nginx и др.). Далее пользователь переходит ко второму уровню защиты — введению пароля непосредственно в само приложение.

Мониторинг нетипичных сценариев:

  1. Аномалии трафика: Контроль объёмов и характеристик сетевого трафика помогает вовремя обнаружить атаки типа DDoS, сканирование портов или массовую рассылку сообщений.
  2. Геолокационные отклонения: Проверка географического происхождения запросов позволяет выявить подозрительные подключения из стран или регионов, ранее не использовавшихся организацией.
  3. Паразитные действия: Непривычная активность приложений или служб (например, автоматические загрузки большого объема данных) может свидетельствовать о наличии вирусов или шпионских программ.
  4. Нехарактерные запросы: Периодическое появление необычных поисковых запросов, обращений к редко используемым страницам или интерфейсам сигнализирует о возможной разведывательной активности.

Заключение

Информационная безопасность современной организации зависит не только от технической оснащённости, но и от уровня подготовки персонала. Люди остаются главным звеном в цепочке обеспечения защиты данных, и потому их обучение и регулярное повышение осведомлённости становятся ключевыми факторами успеха.

Кроме того, скорость реакции на инциденты играет решающую роль в снижении негативного воздействия. Быстрое принятие мер по изоляции угроз, восстановлению работоспособности систем и расследованию причин происшествия позволяет минимизировать убытки и сохранить репутацию компании.

CIO-NAVIGATOR

© 2024-2026 CIO-NAVIGATOR. Все права защищены.
Копирование материалов допускается только с разрешения редакции и с активной ссылкой на источник.

Данный проект функционирует при участии Клуба ИТ-директоров города Санкт-Петербург https://www.spbcioclub.ru
197022, Россия, г. Санкт-Петербург, пр.Медиков д.3, Конгресс-центр «ЛЕНПОЛИГРАФМАШ», этаж Н
Электронная почта: cio@cio-navigator.ru, office@spbcioclub.ru
Телефон: +7 (921) 954-37-67