Статьи

Реализация, управление и поддержка криптографии в различных приложениях требуют от компании значимых затрат. Речь идет о внедрении и эксплуатации аппаратных модулей безопасности (HSM). Подобные продукты на рынке ИБ существуют в большом количестве и обладают разнообразной функциональностью. Несмотря на высокий уровень безопасности, который достигается с использованием этих решений, HSM может стать камнем преткновения.

Совсем недавно в хорошо известной системе хранения и обмена файлами Dropbox была обнаружена (и уже исправлена) уязвимость, связанная с безвозвратной потерей файлов у некоторых пользователей. К сожалению, это еще не все. Позже в сети появилась информация о компрометации учетных данных пользователей. Причем сама компания заявляет об отсутствии атак, проводимых на систему с целью кражи данных. Кто знает, что будет дальше. В любом случае, все это является достаточно неприятным инцидентом, особенно для компаний, использующих подобные Dropbox системы, для решения задач бизнеса.

Увеличение объема информационных потоков сделало процесс передачи информации неотъемлемой частью бизнес-процессов большинства организаций. Появилась необходимость обмена файлами между различными категориями пользователей: как между сотрудниками в пределах компании, так и между сотрудниками и контрагентами. Традиционные решения (электронная почта и FTP) больше не удовлетворяет широкому спектру требований, которые предъявляются к подсистеме безопасности компании, а отсутствие таких решений может и вовсе привести к использованию сторонних неконтролируемых ресурсов передачи (общедоступные файлообменники), что может стать источником утечки конфиденциальной информации компании. Более того, подобные решения либо не способы обеспечить передаваемые файлы комплексной защитой, гарантировать конфиденциальность информации и контролировать процесс обмена, либо слишком усложняют эту задачу, при этом в разы увеличивая расходы на ее решение.

Увеличение спроса на системы дистанционного банковского обслуживания привело к значительному росту атак. На сегодняшний день существует большое количество методов, которыми пользуются злоумышленники с целью кражи денежных средств финансовых организаций или частных лиц. К таковым можно отнести: фишинг, «человек-по-середине», «человек-в-браузере», вредоносное ПО и др.

Некоторое время назад в интернете появились новости о краже пользовательских данных от почтовых аккаунтов Yandex, Google и Mail. В процессе расследования этого инцидента в сети была опубликована информация об отсутствии атак на внутреннюю инфраструктуру выше упомянутых компаний. Причиной же кражи послужило использование вредоносного программного обеспечения на стороне конечного пользователя. По результатам проверок стало известно, что около половины паролей подошли к указанным почтовым аккаунтам. К счастью, большая часть учетных данных (логин/пароль) оказались устаревшими и маловероятно, что их кража привела к большому ущербу. Однако, как говорится, раз на раз не приходится. Так как же быть? Ответ очевиден: нужно предпринимать меры. Иными словами речь идет об обеспечении безопасного доступа конечных пользователей (клиент, сотрудник…) в предлагаемые организацией сервисы. Выбор правильных мер защиты и их реализации значительно помогут снизить риски утечки ценной информации или проведения неправомерных операций от имени пользователя, а для компаний – снизить финансовые и репутационные риски.