Светлана Анисимова, генеральный директор UiPath в России и СНГ
Автоматизация бизнес-процессов и стандартных задач — один из ключевых трендов мировой экономики. Роботы активно избавляют людей от рутины в самых разных отраслях и повышают эффективность компаний, но при этом было бы несправедливо отрицать, что RPA, как и любая новая технология, несет определенные риски для информационной безопасности. Важно уделять внимание тестированию и анализу потенциально опасных зон на начальном этапе внедрения роботизированного софта, чтобы предотвратить негативные последствия в будущем.
RPA — это ПО, выполняющее ряд установленных функций. Если человек может остановится и подумать, нужно ли выполнять те же действия с конфиденциальной информацией, то робот действует исключительно согласно алгоритмам. Особенно ярко риски проявляются в финансовой сфере, где с участием RPA в мире сегодня производится каждая вторая операция. Ошибки (невольные или преднамеренные) в кодировании могут привести к непредсказуемым последствиям — например, осуществлению несанкционированных платежей.
Для того, чтобы повысить уровень информационной безопасности, нужно начать с качественной архитектуры. Это залог корректного функционирования RPA. Постоянная аналитика и повышение экспертизы ИТ-команды помогут оставаться в «боевой готовности» и противостоять новым, изощренным видам кибератак. При работе с информацией стоит обращать внимание на следующие аспекты:
- контроль над правами и полномочиями учетных записей, под которыми действует робот;
- запрет на взаимодействие со смежными, не предназначенными для процесса системами;
- зашифрованная передача информации (в UiPath, например, данные передаются по протоколу TLS 1.2).
Для того, чтобы безопасно хранить и обрабатывать информацию, UiPath не позволяет роботам накапливать незадействованные в работе данные. Информационная защита платформы включает в себя управление доступом на основе ролей (RBAC), Encryption Everywhere и сертифицированный код Veracode.
Михаил Лифшиц, совладелец и председатель совета директоров АО «РОТЕК»
Мы живем в мире угроз и рисков и уже привыкли к тому, что случаются климатические аномалии, теракты, кражи и другие отклонения.
Кибернетический мир, созданный людьми, впитал в себя все эти «пороки», но и добавил новые. И если вы решили погрузить свое предприятие в этот кибермир, то должны воспринимать угрозы как данность и предпринимать похожий набор средств безопасности, как и в реальном мире.
Здесь есть мелкие жулики, пытающиеся украсть ваши пароли. Например, система прогностики состояния энергетического оборудования ПРАНА отражает в день до 5 тыс. попыток подбора паролей к внешним контурам системы из интернета. Есть и более осознанные попытки проникновения, с которыми мы также работаем.
Главное — не драматизировать эту историю и иметь либо профильных специалистов внутри бизнеса, либо использовать квалифицированных подрядчиков в области кибербезопасности.
И точно так же, как в бизнесе, внимание и бюджеты на обеспечение безопасности должны быть соразмерны потенциальным рискам и ущербу от вмешательства киберпреступников.
Работая в сфере цифровых решений, разработчики и поставщики услуг для объектов критической энергетической инфраструктуры имеют в штате профильных специалистов и привлекают к работе лучшие подрядные организации в этой сфере.
Иван Боровиков, основатель платформы автоматизации маркетинга Mindbox
Размер финансовых потерь российского бизнеса из-за кибератак стремительно увеличивается. В 2017 году около 50% отечественных компаний столкнулись с киберугрозами, в результате чего российской экономике был нанесен ущерб в размере 116 млрд рублей. В 2019 году из-за кибератак экономика страны уже потеряла 2,5 трлн рублей. Через два года эта цифра может вырасти до $8 трлн, и удивляться такой динамике не приходится. Чем сильнее оцифровывается жизнь людей (электронные документы, электронная подпись, платежные средства, переводы и сделки), тем больше злоумышленники переносят фокус внимания из традиционной жизни офлайн в киберпространство. Мало того, шансов быть пойманным на цифровом преступлении сейчас значительно меньше, чем в случае традиционного преступления. Это дополнительный стимул для цифровизации криминальной активности и переходу ее в диджитал.
В индустрии целевого маркетинга и маркетинга больших данных можно выделить два типа угроз:
- угрозы для компаний-ритейлеров и сервисных компаний (хищение конфиденциальных данных, связанных с коммерческой тайной, клиентскими базами, конкурентами);
- угрозы для физических лиц (хищение персональных данных, истории покупок и действий в интернете).
Покупатель оставляет за собой информацию о просмотрах, кликах, сайтах, способах оплаты, а также личные данные, которые могут быть использованы для социального инжиниринга — для фишинга и шантажа, а данные просмотров (cookie) могут быть проданы игрокам других рынков в рекламных целях.
К счастью, обычно для целевого маркетинга не требуются особо «чувствительные» данные, такие как данные паспорта или номера кредиток, данные о здоровье и другие. Так что утечка информации из маркетинговых систем может нанести существенный ущерб компании и ее репутации, но тяжелые необратимые последствия для субъектов персональных данных (покупателей) маловероятны. Например, утечка базы клиентов программы лояльности сети «Красное и белое» — эмоционально это крайне неприятный случай, но серьезных последствий для покупателей или компании, кроме штрафов регулятора и репутационного ущерба, не случилось.
Защита личных данных покупателей наших клиентов — целый набор технических и организационных процессов. С каждым сотрудником подписывается соглашение о конфиденциальности (часть трудового договора), записываются все действия пользователей в системе, разделяется доступ к информации, специальным образом авторизуются менеджеры со стороны заказчика, имеющие доступ к информации. Кроме того, компания регулярно проводит аудит обеспечения безопасности персональных данных с привлечением внешних компаний и экспертов, а в 2020 году планирует довести уровень обеспечения безопасности до соответствующего международной сертификации ISO. Принципы самоуправления, честности и прозрачности также играют существенную роль. За счет самоуправления ситуаций с «обиженным» на компанию сотрудником как таковых в Mindbox практически не возникает. А значит, и рисков, связанных с желанием сотрудника отомстить или заработать на данных, существенно меньше.
Несколько другой подход действует, если говорить о корпоративных данных. Есть данные, доступ к которым компания ограничивает в соответствии с законом (персональные данные сотрудников, персонализированные данные об их доходах). Если говорить о коммерческих данных — продажи, оборот компании. В этом случае компания более открыта и даже планировала сделать P&L (Profit & Loss Report, с англ. «отчет о прибыли и убытках» — «Хайтек») публично доступным. Mindbox не видит существенных рисков, если конкуренты увидят цифры коммерческой деятельности компании. Эти данные не помогут конкурентам воспроизвести бизнес-процессы, культуру и другие ноу-хау, а секрет эффективности — именно в них.
Андрей Прошин, Orange Business Services, менеджер по развитию бизнеса
Киберугрозы сейчас актуальны как никогда. Наша компания постоянно работает над повышением уровня информационной безопасности. Мы открываем новые и расширяем существующие цены мониторинга кибербезопасности в разных регионах (в том числе в России).
Основная задача таких центров — выявлять инциденты информационной безопасности и вовремя реагировать на них, тем самым снижая риски (финансовые, репутационные и другие).
Инциденты информационной безопасности (ИБ) можно разделить по 8 признакам:
- по уровню тяжести для профессиональной деятельности компании;
- по вероятному возникновению рецидива — повторного «заражения»;
- по типам угроз;
- по нарушенным свойствам ИБ;
- по преднамеренности возникновения;
- по уровню информационной инфраструктуры;
- по сложности выявления;
- по сложности устранения.
Многие наши заказчики, стараясь соответствовать новым вызовам, активно работают в сфере информационной безопасности: составляют стратегии развития, инвестируют в специалистов и технические средства безопасности. Активность связана именно с ростом угроз, их количеством и качеством, общим трендом интеграции ИТ в бизнес-процессы (всё автоматизируется) и повышением стоимости устранения последствий. В 2019 году многие компании делились своим опытом противодействия киберугрозам. Это в первую очередь Сбербанк, Госуслуги, «Росбанк», «Альфа-Банк», Norsk Hydro, Equifax и другие компании.
Что касается наиболее опасных угроз, то наша компания выделяет вредоносное ПО вирусы-шифровальщиками, которые через фишинг, уязвимости попадают в сети компаний.
Еще одна огромная проблема — DDoS. Объем DDoS-атак также растет ежегодно, как по сложности, так и по объему. DDoS может быть использован для сокрытия (отвлечения внимания) другой активности злоумышленников
Компании очень по-разному противодействуют этим угрозам. Многие задумываются о промышленной безопасности, но для большинства это пока начальный и сложный этап. Направление и объем работы зависят от наличия ресурсов — людей и экспертизы. Основная проблема в том, что службы ИБ большинства компаний небольшие и работают вместе с ИТ-специалистами для управления средствами ИБ. Все заняты ежедневными рутинными задачами. Найти время и ресурсы на управление уязвимостями, управление изменениями, работу над инцидентами непросто. Самый актуальный сейчас путь — инвестировать в средства превентивной защиты (фаерволы, системы предотвращения вторжений, песочницы и другие), которые значительно снижают риски. Но при этом нужны функции SOC для работы с теми угрозами, событиями и инцидентами, с которыми по разным причинам не справляются средства превентивной защиты.
Orange Business Services предлагает набор решений и сервисов, которые позволяют нашим клиентам снижать свои риски и справляться с инцидентами, привлекая нашу экспертизу. Наиболее эффективная комбинация методов ИБ: технологии + экспертиза + процессы + взаимодействие с глобальной командой. Мы используем большое количество технологий и средств превентивной защиты как для себя, так и для защиты наших управляемых сервисов и платформ: межсетевые экраны, системы обнаружения вторжений, DDoS-защиты, веб-приложения, фаерволы, двухфакторную аутентификацию и много другое.
А в целом процесс обеспечения ИБ мы видим циклическим:
- понимание рисков и угроз;
- работа с сотрудниками (повышение осведомленности);
- превентивные средства защиты (для снижения рисков);
- мониторинг;
- детектирование инцидентов;
- реагирование на обнаруженные инциденты + решения Threat Intelligence (сводки об угрозах — «Хайтек»).
Читайте также:
— Ученые выяснили, куда пропала Луна в 1110 году. Ее закрыло облако пепла
— Анализ древних минералов показал высокий уровень кислорода на Земле 2 млрд лет назад