CSO

Кибербезопасность остается главным приоритетом для компаний всех отраслей. Причина понятна. Криминальные и прочие деструктивные элементы имеют доступ к недорогим инструментам и обучающим средствам, которые позволяют им совершать атаки на компании и правительства. Издание New York Times уже сообщало о росте числа вредоносных программ, направленных на вымогательство. Они шифруют данные пользователей, после чего предлагают им заплатить за расшифровку (в противном случае данные будут уничтожены).

Многие организации выделяют на сдерживание хакеров значительные ресурсы. В Google ликвидацией уязвимых мест постоянно занимается команда из десяти специалистов. Чтобы уберечься от существующих угроз, руководители организаций и их технических подразделений озабочены поиском наилучших методов и технологий. Повышение осведомленности персонала о мерах безопасности, увеличение числа специалистов по безопасности и оснащение ИТ-служб соответствующими средствами мониторинга остаются важнейшими составляющими стратегии управления безопасностью в целом.

Проверка сотрудников путем рассылки фишинговых писем

Весьма ограниченные возможности и знания клиентов и персонала, не имеющего отношения к техническим вопросам, – одна из главных угроз в области кибербезопасности. Попытки склонить пользователей к выполнению действий, помогающих злоумышленникам преодолеть заслоны системы безопасности, относятся к сфере социальной инженерии. Тактика социальной инженерии (а точнее, фишинговые письма) была положена в основу взлома в 2011 году технологии RSA SecurID. Событие это вызвало настоящий шок во всем мире, породив недоверие к системам безопасности. Инцидент показал, что даже самые уважаемые компании и технологии безопасности остаются уязвимыми перед лицом угроз социальной инженерии. Поэтому ведущие компании используют для снижения рисков сразу несколько различных подходов.

«У нас имеется программа подготовки персонала, направленная на обеспечение информационной безопасности, – указал Патрик Харбауэр, технический руководитель сервисов Neohapsis PCI DSS компании Cisco Systems. – Ежегодное обучение и компьютерное тестирование играют ключевую роль в привитии персоналу всех необходимых навыков для обнаружения и устранения угроз фишинга и прочих попыток преодоления системы информационной безопасности. Недавно мы, чтобы проверить эффективность обучения, решили посмотреть, как отреагируют сотрудники на разосланные им фишинговые письма. Одно из таких тестовых писем получил и я. Оно было замаскировано под рассылку сервиса Amazon Prime, и распознать его оказалось довольно сложно! Тестирование качества обучения мерам безопасности приобретает все более важное значение, поскольку идентификация фишинговых писем по старым признакам – отсутствию логотипа компании или грамматическим ошибкам – становится все менее эффективной. Теперь во многих фишинговых письмах присутствуют коды, изображения и другие материалы, взятые непосредственно с сайта компании».

«Наш подход к безопасности предусматривает мониторинг признаков действий, сопряженных с высоким риском, – сообщила Анджела Хайзе, вице-президент по коммерческим рынкам в Lockheed Martin, компании, специализирующейся в области авиастроения, авиакосмической техники, судостроения, автоматизации почтовых служб и аэропортовой логистики. – Если, к примеру, к корпоративной сети в три часа ночи подключается сотрудник, прежде никогда этого не делавший, система устанавливает соответствующий флажок. Конечно, сотрудник вполне мог проверить электронную почту, после того как встал ночью к маленькому ребенку, поэтому окончательное решение принимается с учетом всей совокупности факторов».

Битва за таланты в области кибербезопасности

Успех программы кибербезопасности по-прежнему зависит от талантливых специалистов. Ряд исследований показал, что знания в области безопасности пользуются высоким спросом, а наиболее квалифицированные специалисты вполне могут претендовать на зарплату выше 200 тыс. долл. в год. Опрос «Состояние кибербезопасности и ее влияние в 2015 году», проведенный Ассоциацией аудита и контроля информационных систем, показал, что 35% организаций не удается заполнить имеющиеся вакансии в области безопасности.

Lockheed Martin, выпускающая оборудование военного назначения и космическую технику, известна своим умением противостоять угрозам. Со стороны военных заказчиков компании приходится постоянно сталкиваться с очень высокими требованиями к безопасности. Благодаря своей репутации Lockheed Martin предоставляет сегодня большое количество услуг в сфере безопасности и поддерживает много предприятий, входящих в список Fortune 500, в том числе энергетических, финансовых и коммунальных.

Успех Lockheed в области безопасности объясняется ее подходом к привлечению специалистов. «У аналитика по безопасности, приглашаемого нами, есть возможность перемещаться между различными группами: подразделением внутренней безопасности Lockheed, группой, обслуживающей правительственных клиентов, а также работать с коммерческими клиентами, – пояснила Хайзе. – Наши специалисты могут выбирать наиболее удобные для себя инструменты, выбрать направление, которое им интересно. А мы помогаем нашим сотрудникам продвигаться по карьерной лестнице. Представители разных поколений оказывают помощь друг другу. Я видела много организаций, где предпочтение отдают опытным профессионалам. Мы же охотно приглашаем и выпускников вузов. Им есть чему поучиться у грамотных специалистов, которые готовы делиться с ними своими знаниями».

Лучшие решения (передовой опыт) для ИТ-руководителей

Когда происходит инцидент в области безопасности, ИТ-директор или директор по информационной безопасности должен руководить принятием решения. Отвечать на такие инциденты нужно всегда незамедлительно, а ведущие организации стараются проводить еще и упреждающие мероприятия. Обнаружение угроз и управление другими участниками процесса – вот что в первую очередь требуется от ИТ-руководителей.

«Лучшие ИТ-руководители, с которыми мы работаем, для снижения рисков кибербезопасности придерживаются нескольких стратегий мониторинга, – указала Кэролин Холкоум, руководитель направлений защиты данных при страховании рисков и обеспечения конфиденциальности частной жизни PricewaterhouseCoopers. – При управлении поставщиками и партнерами лучше всего придерживаться отчетности SOC2, предполагающей тщательную оценку безопасности, конфиденциальности и других параметров силами независимой организации». SOC2 – отчетность для внутреннего контроля, разработанная Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA) и предназначенная для оценки параметров безопасности, готовности, целостности информации, ее конфиденциальности и защиты сведений личного характера.

Если подход SOC2 по каким-то причинам не устраивает, есть две альтернативы: использование зафиксированного в договоре права на аудит и опросные листы. Право на аудит позволяет аудиторам организации или специалистам в области безопасности проверить поставщика. Более простой и дешевый вариант – направить поставщику опросный лист, который позволит получить сведения о его методах и технологиях обеспечения безопасности. Однако при таком варианте в вашем распоряжении оказывается менее детализированная информация.

ИТ-директор, будучи одним из представителей высшего руководства, располагает весьма ограниченным временем на управление безопасностью. А потому Холкоум рекомендует обращать внимание на наиболее важные аспекты. Чаще всего целью атаки хакеров становятся клиентские данные, информация о слияниях и приобретениях, интеллектуальная собственность, финансовые сведения. Имеет смысл использовать дополнительные средства контроля и защиты этой информации.

Люди и управление – центральное звено стратегии безопасности ИТ

По оценкам Gartner, мировые затраты на услуги ИТ-безопасности в 2015 году превысят 70 млрд долл. Возможность заработать на этом привлекает множество самых разных поставщиков услуг, начиная от стартапов и заканчивая весьма известными игроками, например IBM. С учетом того, что поставщики консультационных услуг в сфере безопасности просто обязаны пользоваться высоким доверием, выбор у ИТ-директоров достаточно широк. Как показывает опыт Lockheed Martin и Cisco, для обеспечения эффективной безопасности важнейшее значение имеет совершенствование соответствующих навыков в масштабах всей организации.

– Bruce Harpham. How Lockheed Martin, Cisco and PWC manage cybersecurity. CIO. November 24, 2015

Наступление эпохи Интернета вещей сулит появление более умных и полезных устройств как для потребителей, так и для предприятий. А корпоративным специалистам по ИТ и информационной безопасности Интернет вещей обещает новую «головную боль».

Во многих компаниях торопятся осваивать «умные» устройства и технологии Интернета вещей, чтобы поскорее поставить их преимущества себе на службу. Но восхищение может мешать трезво оценивать риски безопасности. Опрос ИТ-руководителей и специалистов, проведенный компанией Tripwire, показал, что 63% топ-менеджеров готовы внедрять Интернет вещей для повышения продуктивности и эффективности, но только 27% выразили серьезную озабоченность по поводу возможности появления новых рисков безопасности.

При этом лишь 30% ИТ-специалистов, участвовавших в опросе, сообщили, что их компании располагают всем необходимым, чтобы оценить защищенность внедряемых IoT-систем, тогда как 59% сотрудников средних и крупных предприятий считают, что Интернет вещей потенциально создает серьезнейшие риски для безопасности их сетей.

Чтобы подготовиться к наступлению эпохи Интернета вещей, специалистам по ИТ и безопасности нужно понимать риски и знать, как их ограничить. Перечислим, от чего стоит отталкиваться при анализе рисков Интернета вещей.

Нельзя недооценивать влияние Интернета вещей на безопасность

Интернет вещей уже становится объектом кибератак. В 2013 году компания Proofpoint, поставщик средств безопасности, объявила об обнаружении «первого достоверного случая» атаки на «умную» бытовую технику. Специалисты компании выявили ботнет, организованный с участием более 100 тыс. устройств, распространивших свыше 750 тыс. сообщений электронной почты со ссылками на вредоносы. Как выяснилось, больше 25% этих устройств – не компьютеры, планшеты или смартфоны, а «умные» телевизоры, холодильники и т. п.

Инцидент, в большей степени затрагивающий предприятия, произошел, когда розничная сеть Target подверглась массированному взлому. Оказалось, что атакующие воспользовались для проникновения в корпоративную сеть верительными данными, украденными у поставщика систем обогрева и кондиционирования воздуха, с которым сотрудничали в Target. Специалисты по информационной безопасности тогда указали на то, что в розничных магазинах растет применение «умных» инструментов управления температурой воздуха, внедряемых для улучшения обслуживания покупателей и оптимизации затрат на электроэнергию. Производители подобных устройств предусматривают для себя возможность дистанционного доступа к ним по сети для установки обновлений, заплат и т. п., а также для устранения проблем со связью. Сами заказчики таких решений прибегают к услугам дистанционной технической поддержки от производителя, поскольку они обходятся дешевле.

Поставщик, с которым работали в Target, отрицает, что выполнял дистанционный мониторинг своих систем. Тем не менее подобные ситуации вполне вероятны, и случившийся инцидент убедительно демонстрирует риски Интернета вещей для корпоративной сети. Сторонний поставщик, выполняющий возложенное на него дистанционное управление своими продуктами, может стать слабым звеном, через которое злоумышленники получат доступ к конфиденциальным данным. Учитывая, с какой готовностью во многих компаниях внедряют «умную» технику, данный риск нельзя недооценивать.

ИТ-служба должна быть в курсе покупки и внедрения «умных» устройств

Так повелось, что на предприятиях редко уделяли внимание вопросам кибербезопасности при покупке офисного и инженерного оборудования. Но теперь, когда эта прежде «безмозглая» техника соединяется с Интернетом, ИТ-службу просто необходимо информировать о всех подобных покупках.

Еще недавно вице-президент по исследованиям Gartner Хью Лехонг предостерегал: грядет наплыв «умной» техники, от медицинской аппаратуры до торговых автоматов. Обо всех этих устройствах в отделах ИТ раньше беспокоиться не было нужды. Теперь же, с наступлением реальности Интернета вещей, необходимо уведомлять ИТ-специалистов, даже когда в компании собираются купить новый торговый автомат.

«ИТ-директорам необходимо помнить об этом, – подчеркнул Лехонг. – Даже если они не будут отвечать за обслуживание такого автомата, о его возможностях им нужно знать. Именно это мы подразумеваем под конвергенцией. Операционный и ИТ-персонал больше не могут существовать в разных мирах. Им нужно согласовывать друг с другом такие вещи, как руководство, безопасность, лицензирование программного обеспечения и сопровождение».

Следите за обновлениями ПО для «умных» устройств

По словам Керка Штайнклаубера, ведущего сетевого архитектора IBM, «если сегодня мы не справляемся с тем, чтобы следить за свежестью ПО на компьютерах, смартфонах и планшетах, то организовать своевременную установку обновлений и заплат на все эти миллионы устройств завтрашнего дня будет и вовсе нереально».

Сказанное касается не только самой техники, но и приложений для управления ими, которые могут устанавливаться на множество оконечных устройств в компании.

Здесь еще раз важно напомнить о необходимости взаимодействия между ИТ-службой и операционным персоналом при внедрении Интернета вещей и «умной» техники. В ИТ-службе должны разработать строгие процессы и протоколы учета ПО, сопровождающего «умные» устройства. Ведь уже когда служащие начали пользоваться личными смартфонами для доступа к корпоративным данным, стало очевидно, что обеспечивать контроль над всем многообразием устройств и их программных ошибок постфактум – гораздо сложнее.

Разъясняйте риски конечным пользователям

Некоторые организации могут оказаться уязвимыми для угроз Интернета вещей, даже если не внедряют соответствующие технологии. Согласно опросу Tripwire, 75% удаленных сотрудников и специалистов отделов ИТ сообщили, что работают с корпоративными данными из домашних сетей через Интернет. В связи с этим возможны проблемы, если учесть что от 25 до 50% респондентов из тех же категорий указали, что к домашней сети у них также подключено как минимум одно «умное» устройство.

Несложно представить, чем это чревато. В докладе Tripwire, в частности, приводили в пример порт USB, известный своими уязвимостями. Поскольку через него заряжают всевозможную персональную электронику, он может стать точкой проникновения в компьютер вредоноса, способного из домашней сети «перебежать» в корпоративную.

Кроме укрепления внутренней антивирусной защиты, на предприятиях мало что могут сделать для снижения этого риска – разве что разъяснять служащим риски, существующие при дистанционной работе. Помимо прочего, необходимо постоянно подчеркивать, как важно применять инструменты, позволяющие изолировать личные данные от корпоративных.

В ИТ-службе должны быть в курсе нюансов Интернета вещей

Интернет вещей пока находится на самой ранней стадии развития. Во многих крупных ИТ-компаниях еще не определились, какие стандарты будет целесообразнее взять на вооружение, и пока еще не появились платформы, столь же влиятельные, как iOS и Android в мобильном мире. Под действием уникального сочетания конкурирующих сил формируется совершенно новая экосистема, в которой непросто будет освоиться даже опытным ИТ-специалистам. Это понимают, в частности, в компании Cisco, где год назад объявили о создании консорциума с участием вузов и агентств по найму. Задача консорциума – помогать ИТ-специалистам в приобретении навыков, необходимых для решения проблем безопасности Интернета вещей.

Но образовательные инициативы только начинают появляться, а потому сегодня Интернет вещей остается областью ИТ, в которой еще даже не устоялся набор необходимых компетенций. Компаниям, где не готовы заниматься решением проблем безопасности Интернета вещей, возможно, лучше всего будет подождать с внедрениями, пока ситуация не станет проще.

– Colin Neagle. 5 ways to prepare for Internet of Things security threats. Network World

Все больше привычных устройств, включая бытовую технику, приобретают приставку smart – мы становимся свидетелями «умной» революции. В сетях предприятий используется множество подобных устройств: камер наблюдения, принтеров, телефонов и т. п. При этом их безопасность часто не попадает в поле зрения служб информационной безопасности. Появляясь в корпоративных сетях, эти устройства начинают представлять такую же угрозу, как компьютеры без актуальных обновлений и средств защиты. 

Недооценка этой угрозы может привести к плачевным результатам: наши исследования показывают, что злоумышленники уже вовсю сканируют Сеть в поисках подключенных устройств», – утверждает Михаил Кондрашин, технический директор Trend Micro в России. Исследователи подключали в сеть фантомные «умные» устройства, и на большинстве из них была выявлена активность хакеров. Интерес у злоумышленников вызывали устройства как в США, так и в России. Уровень подобной угрозы во всех частях света примерно одинаковый.

Масштаб последствий успешной атаки трудно переоценить – от простой недоступности устройств до кражи записей с камер наблюдения. Скомпрометированные видеокамеры, принтеры и телевизоры могут впоследствии стать компонентами более масштабной атаки на конфиденциальные данные компании.

«Риски те же, что и для классических вычислительных систем: кража данных и нарушение работы систем», – полагает Денис Легезо, эксперт «Лаборатории Касперского». Только нарушение работы может быть совсем критичным, а данные будут не из финансовой или бухгалтерской системы, а технологическими, но не менее интересными для атакующих.

Для минимизации рисков нужно, во-первых, правильно настраивать механизмы защиты, уже предусмотренные производителями, а во-вторых, пользоваться специализированными защитными решениями

«Для анализа рисков нужно понимать, как Интернет вещей может повлиять на корпоративные информационные ресурсы», – подчеркивает Олег Левенков, руководитель инновационных проектов компании «Аладдин Р.Д.». С целью такого анализа все устройства Интернета вещей можно разделить на два класса: датчики, поставляющие данные для информационных систем, и контроллеры, управляющие физическими устройствами. Конкретное устройство может реализовывать функции одного или двух классов сразу.

При анализе угроз, помимо самих устройств и каналов связи, рассматриваются и серверы управления. Как отмечает Левенков, отличительными чертами устройств Интернета вещей являются миниатюризация и коммуникационные возможности. Поэтому основные риски в отношении корпоративных систем будут связаны с недостаточной защищенностью каналов связи и дефицитом вычислительных ресурсов для размещения клиентов традиционных виртуальных сетей (VPN). Многообразие платформ для Интернета вещей делает задачу по разработке универсальных клиентов VPN для таких устройств нетривиальной.

Часть рисков снижается благодаря правильной политике безопасности в корпоративной системе. «Основной акцент должен делаться на организации дифференцированного, избирательного доступа к ресурсам корпоративных систем», – говорит Левенков. Чтобы управлять такими устройствами, нужно обеспечить доверенный канал, гарантирующий целостность сообщений, подлинность источника сообщений и при необходимости конфиденциальность.

Для минимизации рисков нужно правильно настраивать механизмы защиты, уже предусмотренные производителями, и пользоваться специализированными защитными решениями, считает Лагезо. В случае встроенных систем важно добиться контроля целостности прошивок, запрета их неавторизованной замены и жесткого разделения доступа к уже реализованным в прошивке функциям. Тогда предприятие точно будет знать, какие именно возможности есть у контроллеров встроенных систем и как могут меняться их настройки.

По мнению Кондрашина, эффективным средством защиты будет вынос каждой группы «умных» устройств в свои виртуальные сети (VLAN), с тем чтобы даже при их компрометации они не смогли повлиять на работу всей сети предприятия. Главным направлением минимизации рисков должен стать элементарный учет устройств.

Сегодня предприятиям, нацеленным на использование инновационных технологий, необходимо прибегать к превентивным мерам защиты, поскольку разработчики, стремясь оснастить свои изделия максимально богатой функциональностью, оставляют некоторые аспекты информационной безопасности без внимания.

Применение интегрированных систем для защиты конечных точек от комплексных кибератак и угроз различного типа может обернуться для предприятий определенными сложностями. Логика здесь простая – чем многограннее решение, чем больше защитных функций оно объединяет в себе, тем сложнее процесс его внедрения в существующую ИТ-инфраструктуру. Непросто будет в этом случае обеспечить и корректную совместную работу всех модулей интегрированного решения. Кроме того, запущенные одновременно защитные механизмы могут замедлять работу критически важных пользовательских систем. Зарубежные разработчики рассматривают различные варианты решения этих проблем. Наиболее перспективные из них предусматривают оперативный анализ процессов, коммуникаций и активностей, которые могут свидетельствовать о нарушении режима безопасности корпоративных ресурсов.

Одна из особенностей защитных систем нового поколения в том, что они могут собирать информацию о происходящем на устройствах как с помощью клиентских программных компонентов, так и без них. Компании оказываются перед выбором: отказаться от клиентских программ и собирать менее подробные сведения об угрозах или регистрировать массу деталей, но при этом иметь дело с трудностями развертывания, администрирования и обновления агентов.

Также нужны механизмы, позволяющие в огромном потоке собираемых данных выделять свидетельства происходящих вторжений. А как только атака обнаружена, приходится решать, каким образом остановить ее максимально быстро.

Сегодня на рынке множество разработчиков, пытающихся решить эти проблемы: крупные компании с широким продуктовым ассортиментом, например Cisco и EMC; представители рынка безопасности, такие как Bit9+Carbon, ForeScout, Guidance Software и Trend Micro; новички, предлагающие только средства защиты оконечных устройств, – Cylance, Light Cyber, Outlier Security и Tanium. Здесь представлена лишь небольшая выборка – рынок переполнен, и его участники предлагают различные способы решения перечисленных проблем.

Ценность платформ защиты оконечных устройств – в способности распознавать тип атаки и помогать оперативнее на нее реагировать. Распознавание осуществляется путем сбора информации о трафике, которым обмениваются оконечные и другие устройства в сети, а также об изменениях, указывающих на компрометацию. Журнал телеметрии, полученной от оконечных устройств, впоследствии становится инструментом экспертизы при расследовании атак, позволяющим выяснить, как именно они проходили, установить, каким устройствам нужна дезинфекция, и в некоторых случаях предсказывать дальнейшие угрозы.

Пользоваться ли агентами?

Главным возражением является то, что агент – это дополнительная программа, и ее надо устанавливать, администрировать и обновлять. Будучи частью защитных систем нового поколения, агенты собирают гигантские объемы информации об оконечных устройствах, которую иначе получить нельзя, но это же может быть и недостатком.

Агенты для конечных точек собирают так много данных, что некоторые атаки трудно отличить от «фонового шума», и важно, чтобы агент дополнялся аналитическим механизмом, способным справиться с подобным объемом информации, отмечает аналитик Gartner Лоренс Пингри.

Защитные платформы могут и без агентов собирать данные об активности оконечных устройств – просматривая трафик маршрутизаторов и коммутаторов, а также взаимодействуя с сетевыми сервисами Windows и инструментарием WMI. Так можно выяснить, кто находится в системе, что этот пользователь делает, уточнить наличие заплат и агентов безопасности, узнать, подключены ли устройства USB, какие запущены процессы и т. п.

Анализ позволяет выяснить, устанавливают ли устройства соединения, не предусмотренные штатным режимом работы, – это может служить признаком того, что атакующие нащупывают способ заразить машину и поднять себе привилегии.

Для агентов может потребоваться дополнительная административная консоль, что повышает уровень сложности и создает потенциальные затраты, отмечает Рэнди Абрамс, директор по исследованиям NSS Labs. Проблема, помимо прочего, и в совместимости – нельзя гарантировать, что агенты разных систем, скажем McAfee и Cylance, смогут сосуществовать.

Необходимо также обращать внимание на защищенность администрирования новых платформ, чтобы свести к минимуму инсайдерские угрозы. Предприятиям стоит выбирать систему защиты оконечных устройств, позволяющую назначать разные уровни доступа ИТ-специалистам в зависимости от их ролей.

Аналитические механизмы

Анализ ценен, но сложен – настолько, что его можно предоставлять в виде отдельного сервиса, как делает международная компания Red Canary, оказывающая услуги по защите оконечных устройств и предлагающая решения по обнаружению киберугроз. Вместо того, чтобы собирать данные об оконечных устройствах с помощью собственных агентов, она применяет «сенсоры» компании Bit9+CarbonBlack. Эти данные дополняются информацией от принадлежащих другим коллегам по отрасли служб разведки угроз и анализируются. При выявлении вторжений в сети клиентов генерируются соответствующие сигналы тревоги.

Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами. Автоматизация помогает корпоративным аналитикам по безопасности, так как уменьшает количество предупреждений, которые им приходится просматривать.

Аналитический механизм отмечает потенциальные проблемы, а затем люди проверяют отмеченные события, чтобы выяснить, являются ли они реальными угрозами

В компании Barkly разрабатывают агентскую программу для оконечных устройств, которая локально анализирует активность на каждом из них, автоматически блокирует вредоносную и уведомляет админов о принимаемых мерах.

Подобные механизмы необходимо соединять с крупными источниками разведывательных сведений об угрозах, позволяющими классифицировать атаки и без использования сигнатур обнаруживать активность, которая может окончиться взломом.

Обычно о возможностях системы распознавания и дезинфекции для оконечных устройств заранее можно узнать только то, что говорят ее разработчики. Поэтому на предприятиях стоит проводить собственные тесты, чтобы уточнить функционал и эффективность еще до покупки.

Дезинфекция

Средства распознавания для оконечных устройств собирают колоссальные объемы данных, которые можно использовать и тактически для остановки идущих атак, и для последующей экспертизы, позволяющей установить, как развивалось вторжение. Это дает возможность выяснить, каким устройствам нужна дезинфекция, и некоторые разработчики пытаются автоматизировать этот процесс: общая тенденция – устранять проблемы с помощью тех же платформ, которыми они обнаруживаются.

На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов

На предприятиях сталкиваются с тем, что оконечные устройства остаются уязвимыми, несмотря на защиту с помощью традиционных инструментов, сейчас эволюционировавших в пакеты безопасности, которые одновременно реализуют функции антивирусов, систем распознавания и предотвращения вторжений и т. п. Здесь одна проблема порождает другую.

«Разработчики добавляют все новые продукты к традиционным комплексам для защиты оконечных устройств, что приводит к чрезмерному раздуванию объема программного обеспечения на них, – сетует Ларри Вайтсайд, директор по безопасности Речного управления Нижнего Колорадо. – Лишь благодаря росту скорости твердотельных накопителей и оперативной памяти эта масса ПО не сводит на нет быстродействие компьютеров».

Вайтсайд надеется решить проблему с помощью защитной системы нового поколения компании SentitelOne. По его убеждению, механизмы анализа активности эффективнее, чем традиционные защитные средства, реагирующие на сигнатуры известных вредоносов: «Я не говорю, что сигнатурные механизмы совсем никуда не годятся, но использовать их в качестве главной или единственной защитной системы нельзя. Их необходимо дополнять инструментами распознавания, работающими по принципу анализа поведения».

И это может быть даже важнее, чем гарантированная окупаемость, считает Вайтсайд: «Меня больше заботит сама возможность распознавания. Поэтому я даже, может, и не буду проводить анализ окупаемости. Я уверен в том, что своевременный переход на системы нового поколения принесет пользу организации».

Замена антивируса?

Разработчики защитных систем нового поколения еще не берутся утверждать, что их продукты могут стать заменой антивирусам, – несмотря на впечатляющие результаты тестов. Но ситуация может измениться. Могут исчезнуть нормативно-правовые помехи, мешающие разработчикам систем нового поколения расширять клиентуру, считает Джордж Курц, генеральный директор CrowdStrike: «Мы не сомневаемся в том, что в течение года нормативные требования, которые сейчас обязывают использовать антивирусы, начнут разрешать и применение новых систем защиты оконечных устройств».

Хотя все внимание сейчас сосредоточено на вредоносах, их доля в общем количестве угроз составляет только 40%. Остальное Курц называет «безвирусными вторжениями», приводя в пример инсайдерские хищения, когда атакующие, у которых есть законные права доступа, крадут информацию без использования вредоносов.

Но пока предприятиям придется выполнять требования о применении антивирусов, пусть даже другие платформы и обеспечивают более надежную защиту – в каких-то случаях юридическая защищенность даже важнее, чем способность защититься от атак.

А пока пользователями защитных систем нового поколения, скорее всего, будут крупные предприятия, поскольку на малых предпочтут не тратиться одновременно на антивирусы и более современные средства. Тем не менее даже для малых предприятий затраты могут быть оправданными – потери из-за утраченной информации могут оказаться больше, чем расходы на защиту, напоминают эксперты.

– Tim Greene. Next-generation endpoint protection not as easy as it sounds. Network World. 07/20/2015

С развитием криминальной инфраструктуры, способствующей ускорению разработки новых способов совершения кибератак, директорам по информационной безопасности надо постоянно осваивать новые навыки, чтобы защищать свои предприятия, считает Джеймс Мобли, вице-президент Cisco по решениям в области информационной безопасности.

Помимо твердых знаний в сфере сетевой безопасности, необходимы еще и хорошие коммуникативные навыки, готовность обучать специалистов по безопасности в собственной организации и быть в курсе актуальных изменений ландшафта угроз, подчеркивает Мобли, работавший ранее генеральным директором компании Neohapsis, занимающейся консалтингом в сфере информационной безопасности, – в 2014 году ее приобрела Cisco.

О сложностях, с которыми сталкиваются директора по безопасности, и о том, что делать в условиях непрерывных перемен, идет речь в интервью с Мобли.

Какие навыки вы порекомендовали бы развивать директору по информационной безопасности, чтобы выжить и преуспеть в нынешнюю эпоху стремительных перемен?

В первую очередь, как это ни банально, необходимо глубокое понимание основополагающих принципов информационной безопасности и осознание того, что она затрагивает три области – людей, процессы и технологии.

Во-вторых, нужно не менее глубоко понимать тех, кто создает угрозы. Информационная безопасность – это борьба с угрозами, которая строится на знаниях о том, как создавать платформы, дающие вам максимум гибкости независимо от того, с чем приходится сталкиваться. Сегодня надо предвидеть действия противника и заботиться о том, чтобы созданные вами инструменты можно было очень быстро масштабировать и адаптировать.

Следующий аспект – это лидерство. Роль директора по безопасности становится более важной, в том числе со стратегической точки зрения, поэтому занимающим эту должность нужны навыки лидера, позволяющие руководить не только самой организацией, но и осуществлением перемен в ней, что далеко не просто – нужен набор навыков, не всегда присущих директорам по безопасности.

Помимо этого, нужны способы формирования высококвалифицированной команды. Нужно найти способы не только привлекать и развивать таланты, но и удерживать опытных специалистов.

Как сегодня изменилась роль директора по информационной безопасности в целом?

Сейчас эта должность стала гораздо больше требовать стратегического планирования, чем раньше, когда среди всех руководящих ролей для этой нужно было больше всего тактических умений. Сегодня директора по безопасности находятся в прямом подчинении у ИТ-директоров или даже у финансового директора либо директора по операциям.

Это важно, поскольку в большинстве случаев стратегии разрабатываются «наверху», а когда топ-менеджеры напрямую взаимодействуют с директорами по безопасности, у них больше возможностей пробовать различные пути достижения намеченных целей.

Как сегодня меняется корпоративная сетевая среда?

Характерный пример – так называемые теневые ИТ. Во многих организациях даже не знакомы с облачными системами, к которым разрешено иметь доступ сотрудникам. А когда вы не в курсе, какими платформами пользуются работники, растут риски безопасности.

Еще есть Интернет вещей – для меня это множество устройств, которые, возможно, не защищены. Все больше вещей имеют IP-адреса, в том числе техника для домашней автоматизации и жизненно важные медицинские приборы. Компьютеризация вещей создает новые трудности, ведя к изменению бизнес-моделей – это одна из самых серьезных проблем, с которыми приходится иметь дело.

Говорят, что самое слабое звено безопасности – люди, а сегодня в их руках технологии, о которых директор по информационной безопасности может и не знать. Проблема в том, что сегодня множество атак по-прежнему происходят на уровне приложений, но сейчас у вас меньше возможностей «заглянуть» в эти приложения.

Еще одна обычная проблема – утрата устройств. Сегодня техника стала компактнее, потерять или забыть ее проще, будь то планшеты, смартфоны или что-то еще.

Если задуматься, насколько увеличилась общая поверхность атаки, количество устройств, людей и остальных элементов в технологической экосистеме, можно представить, насколько возрос общий риск.

Как директорам по информационной безопасности надо реагировать на эти перемены?

Сегодня нужен более стратегический подход к проектированию архитектуры безопасности, исходящий из возможности упрощенного подключения новых технологий по мере необходимости, а также опирающийся на простоту управления. Это еще одна тенденция последнего времени наряду со стремлением к осуществлению проектов, направленных на долгосрочную поддержку бизнеса, а не просто на тактический поиск уязвимостей.

Как директора по безопасности относятся к изменениям ландшафта угроз?

Что сегодня действительно изменилось, так это природа атак. Они стали более развитыми, атакующих лучше финансируют, у них больше ресурсов, чтобы вкладываться в технологии обхода защитных систем. Это позволяет лучше маскировать атаки, на них становится сложнее своевременно реагировать.

Совершенствование атак заставляет брать на вооружение технологии разведки угроз и обработки Больших Данных, чтобы можно было не только реагировать на явные признаки компрометации, но и детально анализировать данные, поступающие от всех компонентов среды – межсетевых экранов, оконечных устройств, серверов электронной почты, сетевого оборудования.

Как сейчас справляются с дефицитом квалифицированных сотрудников?

Сегодня нужны люди с навыками в области прогнозной аналитики, автоматизации различных операций и организации взаимодействия. Нынешние директора по информационной безопасности обращают внимание на все это при найме и ищут способы быстрой самостоятельной подготовки специалистов. Создаются корпоративные программы обучения, позволяющие максимально быстро вводить в курс дела выпускников вузов. Все это помогает, но дефицит специалистов будет сохраняться в связи с большим масштабом проблемы.

Какие подходы применяются для создания защищенных сетей?

Нередко в первую очередь стараются обеспечить необходимый минимум – убедиться в том, что нет каких-либо зияющих дыр. Для этого проводится проверка приложений, сети и инфраструктуры в целом. На контроль защищенности приложений обычно тратится много времени – нужно убедиться, что сеть верно сегментирована, что присутствуют все необходимые системы безопасности.

А когда с необходимым минимумом покончено, проводится подготовка к инцидентам, организуется разведка, вырабатываются меры реагирования.

Как директора по информационной безопасности относятся к Интернету вещей?

Интерес к этой области быстро растет, поскольку все понимают, что эпоха Интернета вещей, или, как его еще называют, «Интернета всего», наступает. Сегодня уже речь идет об оцифровке целых бизнес-процессов. Скажем, некий традиционный для отрасли процесс дополняется датчиками и собирается информация, которая поступает в корпоративные ИТ-системы. Те, в свою очередь, помогают принимать решения по самым разным вопросам.

Об Интернете вещей необходимо думать как о глобальной экосистеме, а не пытаться внедрять его методом «затыкания дыр». Именно в том числе из-за Интернета вещей роль директора по информационной безопасности становится более стратегической.

— Tim Greene. Cisco security chief: 4 things CISOs need to survive. Network World. Sep 3, 2015

Поговорите с любым проповедником идей Open Source, и он наверняка скажет вам, что никакого другого пути просто не существует. Достоинств у программного обеспечения с открытым кодом много, они весьма разнообразны и на сегодняшний день хорошо известны. Использовать такие программные продукты можно бесплатно. Есть возможность самостоятельно адаптировать их к своим нуждам. Поскольку за исходным кодом следит множество людей, прорехи в системе безопасности ликвидируются очень быстро. Устранить ошибку может любой желающий, и в этом смысле от поставщика пользователи не зависят. Закрытые стандарты не ограничивают вашу свободу. И наконец, вы не останетесь без поддержки, если производитель свернет свой бизнес или просто решит, что продукт не приносит ему больше желаемой прибыли.

Однако апологеты программных средств с открытым кодом, скорее всего, не скажут вам, что, несмотря на несомненные и реальные их преимущества, есть ситуации, когда проприетарное программное обеспечение с закрытым кодом окажется для бизнеса более эффективным вариантом.

В каких же случаях имеет смысл отдать предпочтение проприетарным средствам?

Когда неискушенным пользователям справиться с ними легче

Операционная система Linux оказала огромное влияние на рынок серверов, а вот про настольные ПК этого сказать нельзя. И на то есть свои причины. Несмотря на заметный прогресс, достигнутый за последние несколько лет, взаимодействовать с Linux непосвященным по-прежнему сложно, а пользовательский интерфейс различных дистрибутивов в сравнении с интерфейсом Windows или Mac OS X явно проигрывает.

Несмотря на то что в техническом плане Linux, возможно, и превосходит проприетарные операционные системы, большинство пользователей считают эту ОС слишком сложной и не проявляют к ней особого интереса. А снижение производительности труда обойдется предприятию значительно дороже, чем покупка проприетарной операционной системы, с которой персонал хорошо знаком.

Когда они становятся стандартом де-факто

Большинство специалистов, работающих с компьютерами, хорошо знакомы с приложениями Microsoft Word и Excel и активно используют их в своей деятельности. Да, у этих программ есть прекрасные альтернативы (например, LibreOffice и Open Office), но альтернативные варианты отличаются от продуктов Microsoft с точки зрения функционала, пользовательского интерфейса, производительности, плагинов и API, что затрудняет их интеграцию с приложениями независимых разработчиков. В 90% случаев все выглядит абсолютно одинаково, но есть риск того, что существующие различия приведут к каким-либо нестыковкам, особенно при обмене документами с поставщиками или клиентами.

Проприетарные программные средства имеет смысл использовать также при подготовке специалистов. Их поставщики давно пришли в вузы, и теперь студенты обучаются на примере их программного обеспечения. «Их продукты не обязательно являются лучшими, но они были выбраны учебными заведениями еще до того, как вокруг программного обеспечения с открытым кодом сформировалось достаточно большое сообщество, – пояснил участник Apache Software Foundation и старший научный сотрудник Лаборатории реактивного движения НАСА Крис Мэттмен. – В процессе обучения студенты лучше узнают программное обеспечение, предлагаемое такими поставщиками, что позволяет им эффективнее работать с ним. И когда они попадают в бизнес-среду, то вполне естественно стремятся продолжать использовать программные средства, к которым уже привыкли».

Когда проприетарное программное обеспечение лучше поддерживается

Поддержка бизнес-класса иногда распространяется и на программное обеспечение с открытым кодом. Она может исходить от компании, возглавляющей проект, или от независимой организации. Однако встречается не так часто, как хотелось бы.

«Некоторые клиенты предпочитают обращаться за поддержкой к внешнему поставщику услуг и готовы платить за оперативное удовлетворение своих запросов, – указал профессор Университета Карнеги – Меллона Тони Вассерман. – Зачастую представители сообщества очень быстро отвечают на вопросы, опубликованные на форумах, посвященных популярным проектам с открытым кодом, но не надо путать это с гарантированной поддержкой поставщика по телефонному звонку на бесплатную линию».

Когда программное обеспечение предоставляется как сервис

Облачное программное обеспечение несколько отличается от обычного. Как правило, вы не имеете доступа к исходному коду, даже если компоненты, размещенные в облаке, полностью построены на основе платформы с открытым кодом. При этом, строго говоря, программное обеспечение не является проприетарным, но вы не получаете и всех преимуществ открытого исходного кода. Тем не менее достоинства сервисной модели, предполагающей оплату лишь фактически используемых ресурсов, могут перевешивать недостатки, связанные с отсутствием доступа к исходному коду.

Когда проприетарный продукт лучше работает на вашем оборудовании

Многие виды проприетарного оборудования требуют специальных драйверов, которые чаще всего поставляются с закрытым кодом и работают только на аппаратных средствах производителя. Даже если драйвер с открытым кодом существует, он может оказаться не лучшим вариантом. «Разработчики программного обеспечения с открытым кодом могут не знать всех нюансов оборудования, поэтому проприетарный драйвер зачастую работает лучше», – пояснил Мэттмен.

Когда важны гарантии и ответственность поставщика

Некоторые компании, выпускающие программные продукты с открытым кодом (например, Red Hat), работают так же, как и поставщики проприетарного программного обеспечения. Они предлагают на свои продукты ту же ограниченную гарантию, что и производители проприетарных программных средств. «Эти компании действуют точно так же, как и поставщики проприетарных средств, ну разве что реже приглашают вас поиграть в гольф», – заметил Вассерман.

Между тем в мире существует гораздо больше проектов с открытым кодом, которые не поддерживаются коммерческими организациями. Стало быть, вы не получаете и гарантий. И если это не соответствует политике закупок программного обеспечения, которой придерживается ваша организация, вам придется поискать проприетарного поставщика.

Когда нужен надежный поставщик, который в обозримой перспективе вас наверняка не бросит

Да, производитель коммерческого программного обеспечения вряд ли будет продолжать развивать и поддерживать свой продукт, если спрос упадет и продукт перестанет быть прибыльным. Компания может даже полностью свернуть бизнес. Но небольшой проект с открытым кодом тем более подвержен опасности того, что стоящие за ним люди утратят к нему интерес. И если такое произойдет, то найти другого разработчика программного обеспечения с открытым кодом, который возьмет на себя эту миссию, будет непросто. (Это скорее аргумент против небольших проектов с открытым кодом, чем в защиту проприетарного программного обеспечения, но вы по крайней мере можете следить за финансовыми показателями крупных производителей программных средств и, анализируя их, принимать обоснованные решения.)

- Paul Rubens. 7 Reasons Not to Use Open Source Software. CIO Magazine.

Взлом наносит большой ущерб, особенно когда похищены или скомпрометированы данные клиентов. Но то, как компания отреагирует на атаку, может иметь большое значение в отдаленной перспективе.

Быстрая и эффективная реакция позволяет свести к минимуму ущерб или, по крайней мере, выставить организацию в положительном свете перед клиентами, бизнес-партнерами и обществом в целом. А замедленная и неудачная реакция способна усугубить ситуацию и принести убытки на много лет вперед.

Приведем шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома.

1. Сохраняйте спокойствие и осуществляйте план реагирования

Первое, что нужно сделать после взлома, — ввести в действие хорошо продуманный план реагирования на происшествия. Если, конечно, он у вас есть. А если нет, то надо его быстро подготовить.

В таком плане нужно предусмотреть, кто будет отвечать за реагирование в целом, перечислить других участников, меры, которые должны принять разные группы, технические средства, которые понадобятся для распознавания атаки и противодействия ей, и т. д.

«Легко запаниковать, начав пытаться ограничивать ущерб, — отмечает Эрик Коул, преподаватель, директор программы киберзащиты SANS Institute. — Но часто, когда нет плана реакции, вы можете неосознанно начать уничтожать улики и делать все только хуже».

В план надо включить: оценку масштабов взлома; идентификацию скомпрометированных данных; совместное с юридическим отделом выяснение, нужно ли довести инцидент до сведения правоохранительных органов; определение того, насколько атака скомпрометировала организацию в целом; оценку ущерба.

При осуществлении плана нужно сосредоточиться на нескольких ключевых задачах. Одна из них — сдерживание. Необходимо позаботиться о том, чтобы вытеснить атакующего из сети. Атакующие могут вести себя очень агрессивно, и если, все еще сохраняя доступ к данным, они поймут, что вы пытаетесь очистить систему, то могут нанести большой ущерб.

Чтобы свести к минимуму возможный дальнейший ущерб от атаки, обычно пытаются изолировать систему и поставить под контроль поток трафика.

Вторая задача — ликвидация уязвимостей. Полное отключение систем на период инцидента — не лучшее решение, однако необходимо уделить время устранению проблемы для предотвращения повторного заражения. Во время инцидента в организациях часто стремятся все восстановить из резервных копий, чтобы как можно быстрее вернуться к работе, но при этом не уделяют внимания устранению самих брешей, которые были использованы атакующим для взлома.

Если противник ворвался в сеть однажды, а проблема не устранена, он сделает это снова.

Третья задача — восстановление. После устранения брешей, использовавшихся для компрометации систем, нужно переключить внимание на восстановление данных и возвращение систем к работе: важно всегда проверять системы, прежде чем вводить их в рабочую эксплуатацию. В процессе восстановления нередко происходит повторное заражение систем.

После проверки систем нужно выполнять их мониторинг, чтобы не позволить атакующему вернуться. «Акцент нужно делать не на активном противодействии противнику, а на пассивном мониторинге процессов и предотвращении повторного взлома и заражения», — добавляет Коул.

2. Соберите команду реагирования

«Если произошел взлом, оценкой ситуации должна заняться команда реагирования на инциденты», — подчеркивает Тим Фрэнсис, руководитель по киберстрахованию Travelers.

В такую команду надо включить бизнес-руководителей, сотрудников ИТ-службы и представителей операционного, кадрового, юридического и PR-отделов.

«Возможно, вам понадобится “инструктор по взломам” — адвокат с опытом работы по делам, связанным с нарушениями безопасности и приватности. Он поможет с юридической защитой и толкованием законов и декретов, которые могут быть применены к вашей организации в связи с утечкой данных», — уточняет Фрэнсис.

3. По мере необходимости взаимодействуйте с поставщиками и специалистами в области безопасности

Когда надо выяснить причину взлома и позаботиться о предотвращении дальнейших атак, во многих случаях может понадобиться помощь поставщиков ИТ-систем предприятия и компаний, специализирующихся на консультировании по вопросам безопасности.

В начале 2014 года инфраструктура виртуальных машин Иллинойсского технологического института оказалась задействованной в распределенной атаке на отказ в обслуживании, направленной против другого вуза.

«Мы выяснили, что причиной стала уязвимость в платформах VMware, для которой мы не поставили заплату, — сообщает Луис Макхью, системный администратор, преподаватель института. — Брешь нашли в результате проведенного нами исследования и консультаций со специалистами техподдержки VMware. Оказалось, что через нас осуществлялось отражение пакетов NTP для усиления основной DDoS-атаки; мы тогда все еще пользовались NTP для синхронизации времени на серверах».

По признанию Макхью, заплату не установили вовремя в нарушение рекомендаций по лучшим практикам. «Теперь мы внесли изменения, которые нам посоветовали в VMware, — установили заплаты и укрепили серверы для защиты от будущих атак. Кроме того, мы отключили ненужные сервисы на всех системах, регламентировали правила установки заплат для Windows- и Linux-серверов и настроили межсетевые экраны на периферийных маршрутизаторах», — рассказал Макхью.

4. Решите юридические вопросы

После инцидента со взломом топ-менеджерам по ИТ, безопасности и другим нужно провести собрание с участием корпоративных и внешних юристов для обсуждения возможных последствий.

«Адвокаты помогут решить вопросы, касающиеся уведомления властей, а кроме того, могут быть особые требования к таким уведомлениям в контрактах с поставщиками и процессинговыми центрами», — отмечает Ларри Кунин, председатель практики по безопасности и утечкам данных адвокатской конторы Morris Manning & Martin.

Так как первопричина появления бреши не всегда сразу ясна, на решение проблем может уйти определенное время и нужно будет принять меры по сохранению всех улик, подчеркивает Скотт Верник, глава практики по приватности и защите данных юридической фирмы Fox Rotshild.

Нужно всегда помнить, что у правоохранительных или регулирующих органов могут возникнуть какие-то требования и что впереди вас может ждать судебное разбирательство. Поэтому при проведении расследований и устранении проблем нужно заботиться о сохранении улик. Возможно, надо будет «клонировать» содержимое серверов, ноутбуков и настольных систем, а также сделать снимки документов и провести расследование по копиям, а не оригиналам.

Юридические вопросы обычно касаются возможности расследования правительством местного или федерального уровня, а также уведомления различных заинтересованных сторон, в том числе бизнес-партнеров, согласно соответствующим нормативным требованиям.

Некоторые правила и процедуры уведомления о взломе могут зависеть даже от отрасли.

Необходимо стараться быть максимально честными и открытыми. Это может быть непросто, поскольку не всегда сразу выясняются все подробности. Но что касается заинтересованных сторон, особенно клиентов, работников и представителей госструктур, то чем быстрее вы все раскроете и чем более открытыми будете, тем лучше, как правило, все заканчивается для вас.

5. Урегулируйте вопросы страхования

После взлома как можно скорее уведомите свою страховую компанию. Необходимо, чтобы ИТ-персонал собрал и задокументировал факты относительно инцидента. Часто важную роль в уточнении времени начала атаки и выявлении компьютеров, через которые был совершен взлом, играют протоколы событий безопасности сети.

Данные нужно классифицировать, чтобы выяснить, были ли скомпрометированы финансовая информация и сведения, позволяющие установить личность (например, номера социальной страховки, электронные медицинские карты и иные конфиденциальные сведения). Это позволит сосредоточиться на защите самых важных конфиденциальных данных. Нужно задокументировать в человеко-часах время, затраченное на борьбу с атакой, а также затраты на восстановление.

6. Будьте на связи

Важно держать служащих, клиентов, бизнес-партнеров и другие заинтересованные стороны в курсе последней информации об атаке, ее влиянии и реакции организации. Молчание может указывать на вашу некомпетенцию, путаницу или что-то худшее.

«Компаниям очень часто приходится многократно менять публикуемую информацию о масштабах взлома, — отмечает Даррен Хэйес, доцент, директор по кибербезопасности факультета компьютерной науки Университета Пейс. — В Target, возможно, до сих пор не знают, сколько именно записей о покупателях было украдено. Поэтому вам придется уведомить всех клиентов, которым нужно быть бдительными. Также не стоит быть консервативными в оценках последствий взлома».

Пользуйтесь инструментами анализа эмоциональной окраски высказываний, чтобы отыскивать клиентов, жалующихся в социальных сетях, и отвечать на эти жалобы. Считается, что инструменты такого рода нужны прежде всего для маркетинга, но они могут быть эффективными и после инцидентов со взломом.

Но эффективная связь — это еще не все. Нужно также учесть психологические последствия атаки для служащих и клиентов, особенно если результатом стала утечка данных электронной почты или информации, позволяющей установить личность.

«Когда в систему компании проник чужак, это вызывает ощущение серьезного нарушения личного пространства, — полагает Том Кинан, профессор компьютерной науки и природоохранного проектирования Университета Калгари. — Большинство людей воспринимают информацию из электронной почты, даже рабочей, как личную переписку. После взлома стоит найти профессиональных психологов, которые помогут людям справиться с шоком, вызванным тем, что их частная информация попала в чужие руки».

- Bob Violino. You’ve Been Hacked. Now What? Network World. Feb 23, 2015