Кризис заставляет оптимизировать расходы на ИТ и защиту информации. Многими предприятиями уже закуплен изрядный арсенал средств защиты, хотя и не всегда эффективно используемых. Возможно, для решения проблем безопасности нет необходимости закупать новое оборудование или программное обеспечение, но достаточно более эффективно использовать уже внедренные продукты. Для определения реального положения дел с информационной безопасностью на предприятии интеграторы, специализирующиеся на безопасности, предлагают услугу аудита, который позволяет оценить уровень информационной безопасности, выявить слабые места защиты и выработать план дальнейшего совершенствования систем безопасности.
Понимая важность аудита для эффективного использования бюджетов, выделенных на ИТ-безопасность, компания «ДиалогНаука» провела 5 февраля семинар «Практические аспекты проведения аудита информационной безопасности компании». На нем обсуждались варианты не только «бумажного» аудита, в процессе которого проверяются и корректируются сопроводительные документы, но также и технологического, который позволяет выявить проблемы защиты информационной системы предприятия. Если первый тип аудита, как правило, нужен для получения различных сертификатов на соответствие стандартам, то есть предназначен для внешнего использования, то технологический аудит необходим в первую очередь самой компании, а точнее — ее руководству, которое может по результатам проведенных исследований оптимизировать работу службы информационной безопасности без потери качества ее работы.
Предлагает такого рода услуги (проведение тестов на проникновение и контроль утечек конфиденциальной информации) и сама «ДиалогНаука». По их статистике, 95% попыток проникновения оказываются успешными.
Андрей Соколов, который занимается проведением тестов на проникновение, отметил, что компании в основном защищаются от атак через Сеть, использующих ошибки в программном обеспечении и его настройке. Такие атаки удаются в половине случаев. Однако при использовании социальных методов доля успешных атак увеличивается фактически до 100% — во всех 25 тестах, которые Соколов провел за последние полтора года, ему удалось проникнуть в систему заказчика.
В ходе типовой атаки такого рода в Internet проводится поиск конфиденциальной информации о сотрудниках компании, выбирается список жертв, которым рассылается сообщение якобы от имени другого сотрудника компании с просьбой запустить приложенную к письму программу. Сама программа является «троянцем» собственной разработки, который не детектируется ни одним антивирусом, но может установить связь с исследователем безопасности по скрытому каналу. Дальнейшие действия зависят уже от условий контракта.
В целом же для сотрудников отдела безопасности проведение подобного типа тестов является хорошим способом увеличения бюджета отдела. По крайней мере, Соколов заверил: «По результатам наших тестов не пострадал ни один сотрудник отдела безопасности».