Сочинение на тему Оценка компьютерной безопасности Hilton Hotels в США
- Опубликовано: 19.07.2020
- Предмет: Информационная наука
- Темы: Cyber
Hilton Hotels: анализ рисков кибербезопасности
«Есть только два типа компаний: те, которые были взломаны, и те, которые будут». Роберт Мюллер, директор ФБР, 2012 год. Кибербезопасность стала главной проблемой для многих компаний, ежедневно возникающих новые задачи. Отели Hilton сталкиваются с реальностью этих ежедневных проблем, создавая острую необходимость в выявлении, оценке и реагировании для снижения связанных с ними рисков. Как ведущий конкурент индустрии гостеприимства, мы постоянно подвергаемся атакам киберпреступников. Мы не одиноки в этом. В нашей отрасли было множество успешных атак на других, что привело к серьезным финансовым потерям и обеспокоенности заинтересованных сторон. Мы должны действовать как единое целое, чтобы осуществить правильный курс действий.
Каковы шансы кибератак на нашу организацию? Возможно ли, чтобы киберпреступники были в наших системах прямо сейчас? Если так, то кто является нашим наибольшим риском?
Вероятность кибератак на нашу организацию выше, чем нет. В сегодняшнем технологически доминируемом мире угроз настолько много, что вопрос не в том, «если» на нас нападут, а в том, когда. Всякий раз, когда информация о кредитной карте или конфиденциальные данные хранятся, высока вероятность взлома безопасности при попытке получить или изменить указанные данные.
Существует высокая вероятность того, что сейчас в нашей системе есть киберпреступники. Было обнаружено, что многие из недавних нарушений кибербезопасности происходили в течение нескольких месяцев или даже лет, прежде чем были обнаружены. Нашим наибольшим риском является нестабильность и неумелость конечных пользователей нашей базы данных и системы информационных технологий. Кроме того, сотрудники, которые получают доступ к нашей сети с личных устройств, представляют еще одну угрозу безопасности. Учитывая сложность современных персональных и мобильных компьютеров с дополнительными сложностями технологии облачных серверов, как никогда трудно не только предотвратить кибератаки, но и обнаружить их.
Вероятность вредоносного или другого вирусного нападения наиболее высока у недовольных сотрудников, согласно исследованию математического исследования Лондонского городского университета в 2013 году. Исследование также указывает, что основные источники этих инфекций были переданы с помощью персональных вычислительных устройств, которые были доставлены на рабочее место или связаны с информационной системой компании. Вероятности следующие на второй странице:
В исследовании раскрывается, что эти данные основаны на выборке и не могут показать истинные вероятности кибератак, поскольку невозможно параметризовать все вероятные переменные, которые могут привести к нарушению кибербезопасности. Поэтому вероятность кибератаки против нас, вероятно, больше, чем указывают эти цифры, в связи с характером и объемом личной информации, за которую мы несем ответственность.
Были ли у каких-либо компаний в нашей отрасли кибератаки в прошлом, о которых мы знаем, и если да, что произошло и каковы были последствия?
В 2012 году Wyndham Hotel Group была взломана, что теперь известно как одно из худших нарушений кибербезопасности за все время. Wyndham Hotels отвечала за разрешение трех отдельных случаев несанкционированного доступа к своим компьютерным сетям и серверам управления имуществом, включая номера счетов их платежных карт, даты истечения срока действия и коды безопасности. 619 000 номеров учетных записей клиентов были взломаны на общую сумму 10,6 млн. Долл. США в виде мошеннических платежей.
Нарушение 1. В апреле 2008 года злоумышленники взломали локальную компьютерную сеть отеля, которая была подключена к Интернету, и их систему управления имуществом. В течение следующего месяца злоумышленники использовали атаку методом «грубой силы» для взлома учетной записи администратора. Используя эту технику, 212 учетных записей были заблокированы, прежде чем они успешно получили доступ. Из-за неадекватной системы инвентаризации компьютеров у Wyndham, они не смогли найти компьютеры, вызвавшие блокировку учетной записи, что не давало им знать о компрометации своей сети в течение четырех месяцев. Кроме того, из-за неадекватных мер безопасности между системой отдельного отеля и корпоративной системой, когда злоумышленники получили доступ к учетной записи администратора, они смогли получить доступ к системам управления имуществом нескольких отелей Wyndham. Серверная операционная система, используемая отелем, устарела и больше не поддерживается его поставщиком – поэтому они не получали обновления безопасности в течение трех лет. Получив доступ к нескольким серверам, злоумышленники установили вредоносную программу для очистки памяти, чтобы получить доступ к данным карты во время обработки платежей. Помимо кражи активных данных, они также обращались к файлам, содержащим ранее незашифрованные данные учетной записи, и украли их. Ворвавшись в сеть одного из отелей, злоумышленники смогли получить доступ к сорока одному отдельному отелю и украсть более 500 000 карт данных учетной записи.
Нарушение 2. В марте 2009 года злоумышленники снова получили доступ к сети отеля через учетную запись администратора поставщика услуг. Помимо использования той же самой вредоносной вредоносной программы для кражи информации с серверов более чем тридцати отелей, они также перенастроили программное обеспечение Wyndham, чтобы их системы создавали незашифрованные файлы всех гостей в затронутых отелях. Из-за этого нарушения 50 000 учетных записей клиентов были использованы и использованы для мошеннических платежей. Персонал Wyndham не обнаружил нарушения, пока многочисленные клиенты не подали жалобы.
Нарушение 3. В конце 2009 года злоумышленники снова получили доступ к сети Wyndham через учетную запись администратора. А поскольку ничего не было сделано для ограничения доступа между отелями Wyndham и между ними, злоумышленники снова использовали ту же самую вредоносную программу для кражи данных 69 000 клиентов из 28 отелей. Опять же, Уиндхэм не обнаружил вторжения, но был проинформирован компанией кредитной карты. (Https://consumermediallc.files.wordpress.com/2015/08/120626wyndamhotelscmpt.pdf)
Где кибербезопасность вписывается в оценку рисков нашей организации?
Кибербезопасность является важной частью оценки рисков нашей организации и играет важную роль в достижении наших целей. Оценка киберрисков играет ключевую роль в влиянии на решения руководства относительно контрольных мероприятий и в определении того, что защищено и как оно защищено.
Что мы должны делать как организация, чтобы защитить себя от киберугроз?
Мы должны оценить возможные методы атаки и подготовить стратегии защиты в ответ. Как отражено в приведенной выше таблице вероятностей, атаки могут быть как внутренними, так и внешними. Мы должны внедрить профилактические и детективные средства контроля, включая общие средства контроля информационных технологий. Эти элементы управления будут эффективны только в том случае, если связь инициируется, когда элемент управления указывает на проблему. Чтобы обеспечить своевременные действия во время предполагаемого нарушения, должна быть составлена карта лиц, которые должны быть проинформированы. Как мы видели в Wyndham Hotels, нарушения продолжались в течение нескольких месяцев без ведома кого-либо. С помощью активного контроля и эффективных коммуникационных стратегий мы можем уменьшить эти риски.
<Р>.
Во-первых, мы должны «установить право собственности на проблему на межведомственной основе». Старший сотрудник с межведомственными полномочиями, кроме ИТ-директора, должен руководить группой. Затем мы должны «назначить межорганизационную группу по управлению кибер-рисками с представительством из всех заинтересованных сторон. Затем мы должны регулярно встречаться и составлять отчеты для Правления ». Руководители должны отслеживать и сообщать поддающиеся количественной оценке показатели влияния усилий по управлению рисками киберугроз на бизнес. Внутренние проверки эффективности управления рисками киберугроз следует проводить ежеквартально. Затем мы должны «разработать и принять общеорганизационный план управления киберрисками и стратегию внутренних коммуникаций во всех департаментах и подразделениях». Все заинтересованные стороны должны участвовать в разработке корпоративного плана и чувствовать себя «вовлеченными в него». Наконец, мы должны «разработать и принять общий бюджет киберрисков с достаточными ресурсами». Поскольку кибербезопасность затрагивает всю организацию, ее бюджет должен отражать это, будучи не связанным ни с одним отделом.
Нам также следует задать себе следующие вопросы: «Какие данные и сколько данных мы готовы потерять или скомпрометировали? Как наши инвестиции в смягчение киберрисков должны быть распределены между основными и передовыми средствами защиты? Какие варианты доступны, чтобы помочь нам перенести определенные кибер-риски? »
<Р> (https://na.theiia.org/standards-guidance/Public%20Documents/NACD-Financial-Lines.pdf)
Ниже приведены элементы управления, которые мы должны рассмотреть. 1) Определите наиболее рискованные точки соприкосновения и убедитесь, что у нас установлены надлежащие межсетевые экраны между отдельными гостиничными системами и корпоративной системой. 2) Обучите наших сотрудников надлежащим процедурам для предотвращения кибератак на нашу компанию. 3) Разработайте или купите программное обеспечение, которое связывает ежедневные изменения информации с основным файлом и уведомляет соответствующих должностных лиц об изменении или извлечении данных изо дня в день. 4) Области, требующие ввода пароля, должны быть ограничены тремя попытками входа в систему, превышение этого порога должно привести к приостановке аккаунта с уведомлением соответствующих должностных лиц. 5) После пяти приостановок работы аккаунта соответствующее должностное лицо должно отправить уведомление с инвентарными номерами / IP-адресом.
После того, как предложенные меры контроля будут реализованы, руководство должно практиковать следующее для мониторинга этих элементов управления: 1) Должен быть постоянный мониторинг, как ежедневный, так и периодический. Некоторая информация должна ежедневно проверяться, чтобы гарантировать, что средства управления работают как требуется. 2) Должен также проводиться мониторинг событий – «расхождения или даже мошенничество могут возникнуть в ходе обычной обработки или в особых обстоятельствах, например, в случае транзакций с крупными суммами. Во многих ИТ-средах вероятны вредоносные атаки. Следовательно, должны быть установлены специальные средства контроля для обнаружения и сообщения о необычных действиях организации в организации, специально уполномоченной для расследования и определения необходимости применения профилактических или корректирующих действий. Такие контрольные средства контроля дополняют обычные используемые средства контроля и обеспечивают уверенность в эффективности этих средств контроля или раннее предупреждение о том, что они могли быть нарушены ». 3) Мы также должны практиковать непрерывный мониторинг, внедряя технологию, которая постоянно отслеживает и оценивает конкретные средства контроля. 4) Нам следует ежеквартально проводить специальные проверки для оценки контроля – «Законодательство Сарбейнса-Оксли в Соединенных Штатах требует проведения циклических оценок контроля. Хотя совет директоров обязан выступать с заявлениями об эффективности внутреннего контроля, руководство фактически должно предоставить гарантии совету, а внутренние и внешние аудиторы должны выполнить достаточную аудиторскую работу, чтобы подтвердить эти гарантии ». 5) Наконец, мы должны проводить аудиторские проверки – должны проводиться формальные проверки инфраструктуры, процессов и внедрения технологий, чтобы CAE могла оценить надежность и полезность средств контроля.
<Р> (https://na.theiia.org/standards-guidance/Member%20Documents/GTAG-1_edited_forWeb-CX.pdf)
Какую аудиторскую работу мы должны выполнять и какие навыки необходимы для обеспечения адекватного охвата в этой области?
Чтобы защитить себя от внутренних и внешних угроз нашей кибербезопасности, нам необходимо использовать несколько методов аудита. Мы должны проверить наших сотрудников и наши системы, чтобы убедиться, что наша информация защищена как от незаконного присвоения, так и от изменения информации. Наши основные виды аудиторской работы можно разбить на две области: профилактический и детективный / контроль ущерба. Превентивная аудиторская работа гарантирует, что мы делаем все возможное, чтобы не допустить проникновения угроз кибербезопасности в данные нашей компании, а аудиторская работа, ориентированная на контроль ущерба, будет работать для ограничения ущерба, наносимого в случае взлома данных.
Для проведения профилактического аудита мы должны контролировать наших сотрудников, чтобы убедиться, что они соблюдают процедуры безопасности, указанные в четвертом вопросе. Они включают в себя ряд различных процедур аудита. Одним из наиболее важных из них является обеспечение должного разделения обязанностей. Наши аудиторы придут за нашими работниками и обеспечат им доступ только к тем материалам, на которые они уполномочены. Это выгодно по двум причинам. Во-первых, это гарантирует, что ни один сотрудник не может нанести чрезмерный ущерб компании умышленно или непреднамеренно. Во-вторых, это мешает нам страдать от тех же проблем, что и у Wyndham, когда компьютеры их сотрудников были взломаны и использовались для кражи данных из разных сетей. В качестве окончательной процедуры превентивного аудита мы должны случайным образом отобрать данные, чтобы определить, правильно ли они классифицированы и доступны ли они только тем, кто сможет их увидеть или изменить.
Для работы по детективному контролю и контролю ущерба мы должны обеспечить, чтобы каждое действие, которое может поставить под угрозу данные, оставляло след. Мы должны не только проводить аудит для предотвращения угроз безопасности, мы также должны быть готовы к успешной атаке. Как указывает KPMG в своих рекомендациях по безопасности (KPMG, 2015), мы можем уменьшить ущерб от атаки, которая проходит через некоторые из наших систем, если мы правильно отреагируем на событие. Аудиторская работа – это важная часть проверки того, правильно ли мы подготовлены. Мы можем проверять наши ответы на эти события до того, как они произойдут, проводя хакерские симуляции и наблюдая за тем, что наши команды реагируют хорошо или плохо. (Http://advisory.kpmg.us/content/dam/kpmg-advisory/PDFs/RiskConsulting/cyber-incident-mistakes-forensic-focus.pdf)
Наши проверки должны быть регулярными, случайными и тщательными. Наши сотрудники должны ожидать, что они будут проверены в будущем; Однако они не должны быть уведомлены о запланированных проверках. Это будет стимулировать их всегда соблюдать процедуры безопасности.
История невест по почте начинается с тех дней, когда американские поселенцы размещали объявления в газетах Восточного побережья, рекламируя, как жена выводит на Запад. Это была
Управление киберугрозами (CMT) отличается от информационной безопасности в том смысле, что CMT основывается на данных реагирования и данных наблюдений, а информационная безопасность – превентивной и
Насколько эффективны рынки? Учитывая вашу позицию, как бы вы, как управляющий капиталом в средней капитале, распределили капитал? Рынки не являются полностью эффективными, потому что инвесторы