Безопасный ИТ-код: что мы понимаем под защищенной автоматизацией

Исполнительный директор ALP Group Александр Казеннов объясняет, как гарантировать информационную безопасность бизнеса, закрыть все уязвимости и не пасть жертвой хактивистов.

Сегодня информационная безопасность — важная часть цифровой стратегии любого бизнеса, и это объяснимо: по итогам 2024 года мы видим, что киберугрозы только продолжают множиться. Количество сетевых атак на страны СНГ увеличилось в 2,6 раза по сравнению с 2023 годом, почти в каждой третьей атакованной компании наблюдались нарушения работы на уровне инфраструктуры, число атак программ-шифровальщиков выросло на 44%, а в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба.

Главные жертвы таких атак — субъекты государственного управления, финансовый сектор, производственные, строительные, фармацевтические и ИТ-компании, а также предприятия топливно-энергетического комплекса и сферы услуг. Не удивительно, что на этом фоне в России планируют в разы увеличить штрафы за использование несертифицированного программного обеспечения и нарушение защиты информации в критически значимых цифровых системах.

Чтобы удовлетворить жесткие требования регулятора, компаниям необходимо развивать внутренние механизмы противодействия угрозам и смещать акцент с точечных решений и «заплаток» на комплексный подход к обеспечению информационной безопасности.

О первых шагах на этом пути мы уже рассказывали в статье «Моё ПО — моя крепость: как не дать корпоративным данным утечь в Сеть». Важно повышать осведомленность сотрудников в отношении угроз информационной безопасности, проводить комплексную проверку соискателей при приеме на работу, создавать сложные пароли и хранить их только в защищенном виде, никогда не публиковать ценные данные в открытом доступе, делать резервные копии, внедрять комплекс программ и «железа», которые контролируют периметр и проникновение в локальную сеть, а также регулярно устанавливать патчи вендора.

Но это лишь базовые пункты цифровой «гигиены». Помимо элементарной цифровой грамотности и физической защиты доступа к данным, сегодня бизнесу необходимо внедрять целый комплекс систем и мер, нацеленных на защиту программного кода и операций в системе от уязвимостей.

Что к ним относится:

1. Контроль кода на этапе разработки.

Внедрение системы, которая непрестанно мониторит программный код на предмет соответствия заданным правилам и наличие/отсутствие уязвимостей, включая использование незащищенных сетевых соединений, авторизацию к сервисам без пароля, подключение куда-либо без ведома пользователя и отправку данных, не предусмотренных техзаданием.

2. Контроль того же самого в составе релиза продукта.

3. Проверка соответствия нового релиза версии в продуктиве.

Перманентный контроль на соответствие выпущенного релиза ранее установленной версии системы. Так мы проверяем, что никто не ввел чужой, а тем более вредоносный код в продуктивной среде.

4. Валидация операций и данных.

Разработка механизма валидации, благодаря которому ИТ-система будет знать о взаимосвязи данных (какая информация откуда взялась), не позволит отредактировать более поздние данные без редактирования более ранних и уведомит ответственные лица о возможном мошенничестве. Практический пример: если оператор автозаправки получит 10 тонн топлива и захочет украсть одну из них, он должен будет объяснить исчезновение в документах приемки товара, а оптовик тем временем получит оповещение о несанкционированной попытке переписать его накладную.

5. Визирование документов с помощью ЭЦП.

Подписание всех документов с помощью электронной цифровой подписи, а в идеале — через ЭДО. Хотя формально регулятор не требует применять ЭДО для юридически не значимых операций, это все равно желательно с точки зрения учета.

Конечно, это — идеальная картина мира. Но если вы не готовы создавать собственный отдел информационной безопасности, который будет контролировать автоматизацию начиная с первой строчки кода, тогда важно найти подрядчика, который сделает это под ключ 😉