У всех на виду: как OPSEC защищает ваши данные от целеустремленных злоумышленников

Благодаря появлению поиска в интернете, а затем и соцсетей, собирать информацию о любом человеке и организации стало намного проще. Опытному злоумышленнику может потребоваться не более нескольких часов, чтобы найти важные данные, которые впоследствии могут быть использованы.

Человек легко может получить увольнение, испортить отношения с близкими или потерять деньги и даже свободу, если будет небрежно относиться к размещаемой информации в открытом доступе. А для компаний такая неосмотрительность грозит обернуться еще более тяжелыми последствиями: потерей репутации, финансовыми издержками, штрафами и полным разорением. Защитить организацию от таких рисков поможет «операционная безопасность» (OPSEC).

Что такое OPSEC

Операционная безопасность (OPSEC) — процесс идентификации и защиты организацией критически важной информации о себе. В ходе OPSEC специалисты определяют, может ли информация, находящаяся в открытых источниках быть использована против них злоумышленниками, а затем принимают меры, которые помогут устранить эту угрозу.

Термин OPSEC был придуман военными США во время войны во Вьетнаме. Американские военные заметили, что вьетнамцы знают об их стратегии и тактике. При этом у противника не было возможности узнавать информацию изнутри или перехватывать важные сообщения, а значит США непреднамеренно сами раскрывали свои планы.

Тогда была создана многопрофильная группа безопасности «Пурпурный дракон» для расследования провалов некоторых боевых операций. После завершения войны, группа систематизировала свои знания и назвала процесс OPSEC, чтобы отличить его от существующих процессов и обеспечить постоянную межведомственную поддержку.

Позднее OPSEC переняли специалисты и других сфер, в том числе по информационной безопасности.

Основные этапы OPSEC

Процесс OPSEC обычно состоит из пяти этапов. Каждый из них важен и обязателен для достижения эффективной защиты информации.

1. Определите, какую информацию необходимо защитить.

Это важный шаг, на котором часто допускаются ошибки. ИБ-специалисты должны четко понимать, какие данные могут быть использованы во вред компании, если попадут к злоумышленникам. Здесь возможны различные варианты: для одних организаций чувствительной окажется личная информация о сотрудниках, данные клиентов, а для других внутренние разработки или местоположение объектов.

Зарема Шихметова

Специалист по анализу защищенности компании «Газинформсервис»

Для точного определения критически важной информации для операционной безопасности нужно использовать систематический подход:

• Идентификация критических активов: Первым шагом является составление списка всех активов, связанных с операциями, включая данные, системы и процессы.
• Анализ уязвимостей: Необходимо выявить слабые места каждого актива и оценить возможные способы их эксплуатации злоумышленниками.
• Оценка угроз: Важно проанализировать потенциальные угрозы и вероятность их реализации, учитывая различные типы угроз — как технические, так и социальные.
• Определение критической информации: Исходя из анализа активов, уязвимостей и угроз, определить данные и операции, требующие наивысшего уровня защиты.

2. Обозначьте потенциального злоумышленника.

Необходимо проанализировать типы возможных угроз и ответить на вопрос «Кто может нам навредить?». Вариантов много: это могут быть прямые или косвенные конкуренты, политические оппоненты, хактивисты, злоумышленники, желающие получить выкуп, недовольные действующие члены команды, обиженные уволенные сотрудники.

Зарема Шихметова

Специалист по анализу защищенности компании «Газинформсервис»

Новички в области информационной безопасности часто делают ошибки в процессе анализа критической информации и оценки потенциальных угроз. Одной из основных проблем является неправильное определение того, какая информация является ключевой для обеспечения безопасности операций. Например, многие могут недооценивать значимость скрытых данных, таких как метаданные. Ошибки также могут возникать при неправильной оценке потенциальных угроз или при недостаточной оценке вероятности их реализации.

Каждая угроза несет свои уникальные риски и, соответственно, способы защиты от них тоже будут разными. Беспечные сотрудники, которые выкладывают в соцсети селфи с рабочего места, обмениваются паролями и обсуждают конфиденциальные вопросы в ближайшем от офиса кафе могут скомпрометировать всю организацию и нанести больший вред, чем начинающий хактивист.

3. Оцените уязвимости.

Поиск и анализ уязвимостей включает в себя обнаружение любых потенциальных слабых мест вашей инфраструктуры, в том числе физических: бэкдоры и дыры, которые увеличивают поверхность атаки, новые сотрудники, использование сотрудниками техники, принесенной из дома, отсутствие видеокамер, слабые пароли и т.д.

4. Определите степень угрозы.

На основе полученных результатов на первых трех шагах необходимо определить вероятность реализации угрозы и степень тяжести последствий для компании, в случае возникновения инцидента. Оценка рисков дает возможность ИБ-специалистам понять чем в первую очередь нужно уделить внимание и на что потратить ресурсы. 

Алексей Гринь

Ведущий системный архитектор Angara Security

В любой средней и крупной IT-компании принято публиковать статьи для тематических площадок. Часто в данных статьях затрагивались смежные с IT вопросы ИБ. Нормальной практикой является согласование публикаций с ИБ подразделением, чтобы снизить риски раскрытия чувствительной информации и скрыть дополнительные вектора атак для злоумышленников.

5. Создайте и реализуйте план OPSEC.

Разработайте комплексный план с учетом приоритетности угроз, оценки критичности информации и предполагаемых злоумышленников. План должен включать себя и технические меры, и организационные.

Зарема Шихметова

Специалист по анализу защищенности компании «Газинформсервис»

• Разработать политики безопасности: Определите и задокументируйте политику OpSec, включая правила и процедуры защиты критически важной информации.
• Обучить персонал: Обучите всех сотрудников основам OpSec и объясните их роли в обеспечении безопасности информации. Очень важно, чтобы все понимали, почему нужно соблюдать меры безопасности.
• Внедрить контроль доступа: Обеспечьте строгую систему контроля доступа, которая позволит получить доступ только тем сотрудникам к той информации, которая необходима для выполнения своих обязанностей.
• Мониторинг и аудит: Регулярно проверяйте действия сотрудников и системы на наличие потенциальных уязвимостей или нарушений, чтобы постоянно контролировать эти моменты.
• Внедряйте защитные технологии, такие как шифрование данных, использование VPN, двухфакторная аутентификация и другие, что снизит риск утечки информации.

• Планируйте и тестируйте меры реагирования на инциденты: Разработайте и регулярно тестируйте планы реагирования на инциденты. Это позволит быстро и эффективно справляться с любыми возможными угрозами.

Процесс OPSEC цикличен. После прохождения всех пяти шагов, необходимо оценить эффективность внедренных мер с помощью пентестов или красных команд. А затем, на основании полученных результатов скорректировать меры безопасности.

Заметаем следы

Процесс OPSEC позволяет не только поставить себя на место злоумышленника, цель которого нанести вред, но и учесть непреднамеренные риски. Информация о том, какой цифровой след оставляет компания и ее сотрудники в сети, кто может нанести вред и какие данные критичны для организации, поможет обнаружить слабые места в защите и правильно расставить приоритеты при выстраивании стратегии безопасности.

Григорий Пашура

Старший аналитик УЦСБ

Типовые ошибки:

• отсутствие описания OpSec процессов, из-за которого невозможно составить и принять регламент безопасного внесения изменений в инфраструктуру;
• недостаточность квалификации ведет к неверной оценке значимости активов и, как следствие, недостаточному вниманию к таким процессам, как, например, Vulnerability Management;
• несоблюдение базовых принципов ИБ, а именно достижения конфиденциальности, целостности и доступности;
• недостаточное понимание рисков ведет к невозможности выбрать золотую середину между удобством использования и достаточным уровнем защищенности.

OPSEC — это непрерывный процесс, который должен учитывать постоянные изменения, как в работе организации и окружающей обстановке, так и в кибербезопасности. Неотъемлемой частью OPSEC являются не только мониторинг передачи данных, обновление технических устройств, ограничение доступа к конфиденциальной информации, но и регулярные аудиты знаний сотрудников, их обучение правилам информационной безопасности.