Кибербезопасность: какое отношение она имеет ко мне и моей компании?

Со времен Corona в цифровом мире многое изменилось. В том числе это касается и состояния цифровизации не только в Германии, но и во всем мире. Во многих местах инфраструктура неадекватна или даже отсутствует. Не так давно высокопоставленные представители правительства Германии назвали интернет «неизведанной территорией», что вызвало удивление у многих слоев населения, поскольку интернет стал неотъемлемой частью нашей повседневной жизни. Однако цифровизация прошла мимо не только государственных органов, но и многих малых и средних предприятий, и сейчас это особенно болезненно. Привлечение новых клиентов является серьезным препятствием из-за потери личных контактов, домашние офисы представляют собой сложную задачу из-за отсутствия инфраструктуры, а административное бремя растет.

Многие повторяющиеся задачи, которые давно можно было бы автоматизировать, чтобы освободить время для сотрудников, по-прежнему выполняются трудоемко и затратно, частично вручную. При правильном использовании хорошая стратегия цифровизации может расширить клиентскую базу и повысить удовлетворенность сотрудников.

Кибербезопасность и утечки данных

Какое отношение все это имеет к «кибербезопасности»? Чем больше данных и процессов мы переносим в цифровой мир, тем больше «поверхность атаки» для потенциального ущерба. То и дело в заголовках газет появляются впечатляющие утечки данных — от потери данных, которые стоит защищать, до разрушения важных инфраструктур. Как это часто бывает, лучшей стратегией для многих здесь является «если ничего не делать, то и ошибок не будет».

На противоположной стороне спектра мы имеем подход «многое помогает многому», поэтому на проблему бросается все, что только может прийти в голову или что в какой-то мере популярно в данный момент. Но и здесь следует отметить, что сложность также может поставить под угрозу безопасность системы. Чем сложнее система, тем больше места мы отводим потенциальным уязвимостям безопасности. Тем самым мы увеличиваем количество кода, которому мы должны доверять и одновременно поддерживать его в актуальном состоянии; это называется доверенной вычислительной базой (TCB). Уязвимость только в одном компоненте нашей TCB может потенциально скомпрометировать всю систему, поэтому чем меньше TCB, тем лучше.

Безопасность как элемент стратегии

Безопасность также всегда должна быть приоритетом в любой стратегии цифровизации. Самая первая и, вероятно, самая простая стратегия — поддерживать используемое программное обеспечение в актуальном состоянии. Многие системы часто устанавливаются один раз, а затем не поддерживаются или поддерживаются плохо. Распространенный аргумент, почему это не является серьезной проблемой, звучит так: «Наша компания не интересует преступников», но Telekom уже сообщает о количестве кибер-атак, исчисляемых двузначным числом миллионов в 2019 году.

Автоматизация атак

Дело в том, что большинство атак являются не целевыми, а чисто автоматизированными. Романтическая» идея о киберпреступниках, сидящих в подвале между банками энергетических напитков и атакующих компании, уступает место небольшой программе, которая неустанно сканирует Интернет 24 часа в сутки, семь дней в неделю в поисках нескольких заранее определенных уязвимостей. Зачастую эти уязвимости становятся мишенью в тот же день, когда о них становится известно.

Мы говорим о вышеупомянутых программах как о так называемых эксплойтах нулевого дня. Это программы, которые могут использовать уязвимость, иногда даже до появления эффективных контрмер. Существует целый рынок такого рода программного обеспечения, на котором платят большие деньги в зависимости от серьезности и привлекательности уязвимости. Программное обеспечение, пользующееся широким распространением, часто становится объектом таких атак и поэтому требует повышенного внимания при обновлении.

Особенно интересен здесь класс уязвимостей безопасности, с которыми мы имеем дело чаще всего. Проект Open Web Application Security Project (сокращенно OWASP) ведет список TOP 10 проблем безопасности, которые встречаются в современных веб-приложениях. Так называемые «инъекционные» атаки занимают первое место уже много лет. Проще говоря, это атаки, с помощью которых команды могут быть введены в приложение через обычный пользовательский ввод (например, поисковые запросы). Такие уязвимости обычно появляются из-за недостаточной тщательности при разработке программного обеспечения и во многих случаях могут быть значительно уменьшены за счет использования более современных инструментов.

В финансовом секторе такие инструменты, например, передовые языки программирования, уже используются. Однако во многих местах индустрия программного обеспечения все еще испытывает трудности. Часто отсутствует желание инвестировать в такие технологии и соответствующий опыт. В результате значительную часть проблем по-прежнему можно найти путем ручного «поиска». Однако более прогрессивные инструменты могут значительно облегчить разработчикам этот процесс и в конечном итоге привести к лучшим результатам. Люди, которые работают, совершают ошибки. Инструменты существуют не для того, чтобы упрекать нас, а для того, чтобы поддерживать нас;
Важно признать и использовать эту возможность.

Безопасная разработка программного обеспечения

Как разработчики программного обеспечения мы обязаны проявлять повышенную заботу о наших клиентах — особенно в период роста киберпреступности. Разработка правильного и надежного программного обеспечения — задача, требующая большого опыта. Как разработчики программного обеспечения, мы находимся в постоянной игре в кошки-мышки. Осознавать это и регулярно заглядывать в карты злоумышленников, чтобы понять их modus operandi, — часть нашей работы.

Многие стандартные программные решения часто оснащены довольно жестким набором функций, чтобы охватить как можно больше сценариев. Однако часто именно та функциональность, которая была бы желательна для специализированного приложения, не является его частью. В некоторых случаях программное обеспечение адаптируется с большими затратами. Риск, который может возникнуть в этом случае, заключается в том, что система не может быть обновлена без корректировок. Так, если возникает риск безопасности, требующий новой версии используемого программного обеспечения, это автоматически связано с дополнительными усилиями, которые в худшем случае могут привести к полной перестройке программного обеспечения.

Функционирующая инфраструктура требует экспертных знаний, и поиск надежного партнера для выполнения этой задачи может стать серьезной проблемой. Для этого необходимо общение на уровне глаз. «Стопроцентная безопасность» и подобные обещания следует воспринимать с большой осторожностью, поскольку проблемы с безопасностью могут возникнуть всегда. Важно, насколько прозрачно они решаются и как команда реагирует на возможные опасности. Не впечатляйтесь цветистыми словами. Злоумышленники тоже не будут впечатлены.

Дополнительная статья: Кибербезопасность для предпринимателей в 5 пунктах

Автор: Raichoo Ketchum (XING | LINKEDIN) | Antei GmbH

DIGITAL BREAKFAST

WAS IST DAS DIGITAL BREAKFAST? „Deine digitale Wissensdusche - egal wo Du bist!" #LIVE-STREAM Die seit 28. Oktober 2015 stattfindenden Offline-Veranstaltungen wurden im März 2020 in Online-Veranstaltungen umgewandelt. Die Online-Veranstaltungen finden dienstags & freitags von 9:00 Uhr bis 10:00 Uhr an 62 Lokationen statt und beinhalten einen 25-minütigen Impulsvortrag zu einem digitalen Thema mit Diskussion und Austausch im Anschluss. #PODCAST Der DIGITAL BREAKFAST PODCAST widmet sich jeden Montag authentisch aktuellen Themen rund um die Digitalisierung. Für Menschen, die etwas zu sagen haben oder erfahren wollen. Befähigung, Inspiration, Networking - dafür stehen wir!