Источник: http://www.pcweek.ru/security/article/detail.php?ID=185982
На одной из недавних профильных конференций
прозвучала мысль об отсутствии значимого влияния на бизнес взлома авто. Логика
понятна - ну авто и авто, стоимость по сравнению с другими корпоративными
активами незначительна, товар серийный - легко поддается замене.
Интуитивно я был не согласен с этой оценкой, и вот
сейчас представляю анализ влияния на бизнес взлома авто.
Возьмем 5 ключевые секторов российской экономики -
госуправление и ВПК, промышленность, АПК, финансы и транспорт.
Идентифицируем модели использования авто в разрезе
каждого из них, определим угрозы и опишем итоговое влияние на бизнес.
Модели использования (use cases) корпоративного
автотранспорта:
1.
Перевозка топ-менеджмента - все отрасли
2.
Перевозка секретоносителей -
Госуправление, ВПК
3.
Перевозка работников - ВПК,
Промышленность, АПК
4.
Поставки сырья - Промышленность, АПК
5.
Поставки готовой продукции -
Промышленность, АПК
6.
Перевозка денежных средств - Финансы
7.
Оказание транспортных услуг - Транспорт
Перевозка топ-менеджмента может быть
сорвана конкурентами (актуально во время конфликтного слияния или поглощения,
корпоративного конфликта за важный актив), топ-менеджер может быть физически
устранен (путем вмешательства в работу автомобиля или отслеживания передвижений
автомобиля), автомобиль может послужить каналом утечки ценной информации
(подслушка через встроенный микрофон или отслеживание передвижений автомобиля).
Перевозка секретоносителей с точки зрения
информационной безопасности является частным случаем перевозки топ-менеждмента,
основная проблема - автомобиль как канал утечки ценной информации.
Перевозка работников может быть
использована для компрометации компании перед государственными органами, в
частности регулятором в сфере промышленной безопасности (через рост показателей
смертности на производстве из-за ДТП), а так же для ослабления способности
компании выполнять ежедневные операции при существенных потерях среди
работников.
Поставки сырья в
промышленности является не только существенной статьей затрат (потери
закупленного сырья негативно скажутся на операционной рентабельности бизнеса),
но и необходимой предпосылкой для непрерывного функционирования
производственных процессов. Непредвиденная остановка бизнес-процессов из-за
нехватки сырья (например, нехватка корма для птиц или остановка доменной печи)
влечет немедленные убытки и дополнительные затраты на восстановление
производства. Особенно актуален риск сейчас, когда в целях снижения затрат
промышленность внедряет lean подходы и минимизирует запасы сырья.
Поставки готовой продукции не только
формируют доходную часть отчета о прибылях и убытках предприятия, но и
предоставляют необходимую для функционирования предприятия денежную
ликвидность. Приостановки поставок, недопоставки приводят к недополучению
прибыли, необходимости привлекать оборотный капитал на финансовых рынках
(например в кредит под 20% годовых), а в случае скоропортящихся продуктов АПК -
и к невозможности дальнейшей реализации продуктов.
Перевозка денежных средств - очевидная
цель для криминалитета, автомобиль может быть использован как канал утечки схем
инкассации так и для выведения из строя инкассаторов во время ограбления.
Оказание транспортных услуг
зависит от правильной работы всех узлов автомобиля, несанкционированное
вмешательство в его работу создает бизнесу проблемы в части роста издержек и
возможность недополучения дохода, штрафных санкций от клиентов - в случае
невыполнения доставки в срок.
Актуальность рисков
Конечно, не все из описанных рисков актуальны уже сейчас.
В отдельных случаях приняты другие методы конкуретной борьбы, в отдельных автор
опустил очевидные предохранители (например, склады сырья), в отдельных могут
быть использованы неизвестные автору компенсирующие контрольные меры, в
отдельных случаях еще не настолько развита концепция Connected Car (нет технологии
- нет уязвимости), но с каждым годом будет оставаться все меньше
неподключенного к Сети автотранспорта, и риски будут расти.
Пока еще не поздно стоит посмотреть на покупку
автотранспорта как на введение в корпоративный периметр еще одной
информационной системы, с стандартной необходимостью предварительного анализа
рисков, формирования портфеля сдерживающих мер ИБ, и тестирования уровня
защищенности перед передачей в продуктив.
Благо, архитектуры информационных систем автомобилей
сравнительно просты (например, им далеко до ERP), а фирмы поставщики услуг
анализа защищенности могут быть рады дать значительные скидки за возможность
получить первые коммерческие проекты и отзывы клиентов в области информационной
безопасности автотранспорта.
Комментариев нет:
Отправить комментарий