Доопрацювання засобів захисту

Всі засоби захисту потрібно використовувати так, щоб вони функціонували і продовжували функціонувати передбачуваним і відповідним способом. Цей аспект безпеки є одним з найважли­віших, однак йому часто приділяють мало уваги. Частіше система або служба вже існують, тому захист впроваджують пізніше і потім залишають без нагляду. Існує навіть тенденція ігнорувати засоби захисту, які були застосовані, а підтримці або убезпечуванню приділяти незначну увагу. Більше того, втрату ефективності засобів захисту потрібно спрогнозувати в планах, а не спосте­рігати вже як факт. Також необхідно перевіряти узгодженість захисту, контролювати робоче ото­чення, оглядати записи у журналі та обробляти інциденти для гарантії тривалості процесу убезпечування. Доопрацювання, навіть враховуючи те, що ним часто нехтують, є одним з найважливіших положень безпеки інформаційних технологій. Реалізовані засоби захисту можуть працювати ефективно, якщо вони перевірені в реальному циклі ділової активності. Потрібно бути впевненим, що їх використовують правильно і що будь-які інциденти і зміни захисту виявлені та вжито відповідних заходів. Основні задачі завершальної діяльності полягають у тому, щоб забезпечити правильність функціонування засобів захисту. Через деякий час з’являється тенденція погіршення роботи служб чи механізмів. Доопрацювання призначено для виявлення цих погіршень і ініціювання коригувальних дій. Це єдиний спосіб підтримувати рівні засобів захисту, необхідні для забезпечення захисту системи інформаційних технологій. Керування безпекою інформаційних технологій є безперервним процесом, що не припиняється після реалізації плану безпеки інформаційних технологій.

Діяльність “механізму доопрацювання” охоплює:

– обслуговування засобів захисту для забезпечення їхньої безперервної й ефективної роботи;

– перевіряння, яке гарантує, що засоби захисту задовольняють обумовлені методики і проекти;

– контролювання активів, загроз, уразливості і засобів захисту щодо відхилень, щоб виявити зміни, які впливають на ризики;

– досліджування інциденту, щоб гарантувати відповідну реакцію на небажані події.

Механізм доопрацювання — тривалий процес, який повинен містити переоцінку рішень, прийнятих раніше.

Супровід

Більшість засобів захисту вимагає супроводу і підтримування керівництвом для забезпечення правильного і відповідного функціонування в процесі їхньої діяльності. Ці дії (супровід і підтримування керівництвом) мають бути заплановані і виконуватися згідно з графіком. Таким способом накладні витрати можуть бути мінімізовані і збережена цінність засобів захисту.

Для виявлення несправностей необхідна періодична перевірка. Захисний засіб, що ніколи не перевірявся, не має великої цінності, тому що неможливо визначити ступінь довіри йому.

Діяльність щодо супроводу містить:

– перевірку журналів;

– зміну параметрів, щоб відобразити зміни і доповнення;

– повторне ініціювання початкових значень або лічильників;

– адаптацію до нових версій.

Вартість супроводу і підтримування керівництвом завжди треба брати до уваги під час визначання і вибирання засобів захисту, тому що витрати на супровід і керування можуть дуже відрізнятися залежно від різних засобів захисту, а це може слугувати вирішальним чинником для їхнього вибору. Взагалі, необхідно мінімізувати витрати із супроводу і підтримування керівництвом засобів захисту, тому що можливо після вибору конкретних засобів захисту вони можуть вимагати не тільки одноразових витрат, але й подальших.

Обслуговування

Обслуговування засобів захисту, що охоплює також і керування, є важливою частиною про­грами безпеки організації. Всі рівні керівництва відповідальні за обслуговування, щоб гарантувати:

– виділення необхідних ресурсів організації для обслуговування засобів захисту;

– періодичну переатестацію засобів захисту для гарантування виконання ними своїх функцій;

– модернізацію засобів захисту у разі появи нових вимог;

– чітко визначену відповідальність за обслуговування засобів захисту;

– незмінність визначеного рівня ефективності наявних засобів захисту під час модифікації технічного й програмного забезпечень у разі розширення системи інформаційних технологій;

– запобігання новим загрозам або ураженням при модернізації технологій.

Якщо здійснено описані вище заходи з обслуговування, то засоби захисту продовжуватимуть виконувати свою призначеність, що дає змогу уникати несприятливих і збиткових уражень.

Відповідність засобів захисту

Перевіряння відповідності засобів захисту, тобто аудит чи ревізія захисту, є дуже важливим для гарантування відповідності й узгодженості з планом безпеки системи інформаційних технологій.

Щоб гарантувати, що рівень безпеки інформаційних технологій залишається ефективним, важливо, щоб впроваджувані засоби захисту завжди відповідали проекту чи плану захисту системи інформаційних технологій. Це треба затверджувати на усіх етапах проходження проектів і систем інформаційних технологій:

– проектування і впровадження;

– життєвого циклу експлуатації;

– заміни або переміщення.

Перевіряють відповідність захисту за допомогою зовнішнього або внутрішнього персоналу, і це повинно значною мірою ґрунтуватись на використовуванні контрольних списків, що стосуються проекту або методики захисту системи інформаційних технологій.

Перевіряння відповідності захисту треба планувати і об’єднувати з іншими запланованими заходами. Вибіркові перевіряння особливо корисні для визначання, чи відповідає виконавчий пер­сонал і користувачі певним засобам захисту і процесам.

Перевіряти треба, щоб забезпечити коректність функціонування засобів захисту, правильність їхнього впровадження і використовування і, за потреби, провести випробовування. Там, де знайдено, що засоби захисту не відповідають безпеці, повинен бути створений і реалізований план ко­ригувальних дій з подальшим аналізом результатів. Перевіряння відповідності захисту можна використовувати у випадках:

– нових систем і після впровадження служб інформаційних технологій (після того, як були реалізовані);

– наявних систем чи після впровадження служб інформаційних технологій через деякі проміжки часу (наприклад щорічно);

– наявних систем і служб інформаційних технологій у разі змін у методиках безпеки системи інформаційних технологій для визначання необхідних коригувань з метою забезпечення необхідного рівня засобів захисту.

Перевіряти відповідність захисту може зовнішній чи внутрішній персонал, використовуючи контрольні списки, що стосуються методики безпеки системи інформаційних технологій.

Засоби захисту, що забезпечують захист системи інформаційних технологій, можуть бути перевірені за допомогою:

– проведення періодичного контролювання і випробовування;

– контролювання ефективності функціонування стосовно фактичної появи інцидентів;

– проведення вибіркових перевірянь стану рівнів захисту і цілей у специфічних сферах критичності або важливості.

Під час будь-якого перевіряння відповідності захисту можна одержати цінну інформацію щодо дій системи інформаційних технологій за допомогою:

– використовування пакетів програм для фіксування подій;

– використовування контрольних точок для відстежування повної хронології подій.

Перевіряння відповідності захисту для підтвердження і наступні регулярні перевіряння повинні ґрунтуватись на погоджених переліках засобів захисту, отриманих в результаті останнього аналізу ризику, на методиці безпеки системи інформаційних технологій, а також на процедурах функціонування захисту інформаційних технологій, що затверджені керівництвом, включаючи звіти про інциденти. Цілі полягають в тому, щоб визначити, чи реалізовані засоби захисту, чи правильно впроваджені, чи використовуються правильно, і, де необхідно, чи перевірені.

За нормального режиму функціонування системи необхідно щоденно перевіряти використовування засобів захисту. Співбесіди зазвичай теж необхідні у цьому випадку, але результати повинні бути максимально точними і перевіреними. Сказане кимсь, може бути суб’єктивним поглядом і повинно бути підтвердженим особами, з якими він (вона) працює.

Це допомагає одержати всеосяжний контрольний список і погоджені форми звіту – це не повинно бути недооцінене. Ці контрольні списки повинні охоплювати загальну ідентифікаційну інформацію, наприклад, деталі конфігурації, важливість захисту, методичні документи, навколишнє середовище. Фізичний захист повинен стосуватися зовнішніх аспектів, таких як зовнішні споруди, включаючи доступність крізь отвори і прорізи люків, і внутрішні аспекти, такі як міцність приміщень, блокування, системи виявлення і запобігання пожежам (включаючи сигналізацію), аналогічно і для виявлення води або рідини, несправності систем живлення тощо.

Є багато проблем, які необхідно виявляти:

– зони, відкриті для фізичного проникнення чи для обходу контролю; наприклад, блокатори дверей (кодові замки клавішні і карткові);

– неадекватні механізми чи невірне встановлювання технічних засобів, наприклад, відсутність чи недостатнє встановлення, чи невірний тип датчиків контролю. Чи досить детекторів диму/нагрівання для приміщень, чи вірна висота встановлювання? Чи є адекватна реакція на сигналізацію? Чи під’єднана пожежна сигналізація до пункту контролю? Чи є нові джерела небезпеки: можливо, хтось використовує приміщення для збереження легкозаймистих матеріалів? Чи використовують засоби резервного живлення і системи відновлення? Чи використовують кабелі відповідних типів і чи не проходять вони поблизу гострих країв?

Щоб знайти прогалини в захисті для інших аспектів безпеки, можуть виявитися корисними такі питання:

– для захисту персоналу спостерігайте за виробничими процедурами. Чи отримані інструкції? Чи ліквідовані виявлені прогалини? Чи персонал дійсно усвідомлює ситуацію і добре обізнаний в захисті? Чи залежить ключова функція від однієї особи?

– для керування захистом як насправді розпоряджаються документами? Чи є сучасною і актуальною документація загального користування? Чи використовують аналіз ризику, перевіряння стану і ведення звітності інцидентів так, як їх треба здійснювати? Чи правильні плани продовження роботи, і чи дійсно вони сучасні?

– для програмного забезпечення захисту чи має місце дублювання на необхідному рівні? Наскільки ефективний вибір ідентифікатора/пароля користувача і процедури? Чи охоплюють контрольні точки реєстрацію помилок і положення трасування до правильного вибору і градації? Чи відповідають оцінені продукти вимогам?

– чи наявне необхідне дублювання для захисту комунікацій? Якщо є віддалений доступ, чи є необхідне устаткування і програмне забезпечення і чи використовують їх належним чином? Якщо вимагаються кодування або авторизація повідомлення, то наскільки ефективна система управління ключами і відповідними операціями?

У цілому перевіряння відповідності захисту – це досить складне завдання і вимагає практичного досвіду й поінформованості для успішного завершення. Ці дії є незалежними від внутрішнього огляду або контролювання.

Керування змінами

Системи інформаційних технологій і оточення, в якому вони діють, постійно змінюються. Ці зміни розглядаються як результат появи нових особливостей і служб чи виявлення нових загроз і вразливостей. Ці зміни також можуть спричинити нові загрози і вразливості. Зміни системи інформаційних технологій можуть містити:

– нові процедури;

– нові особливості;

– модифікації програм;

– апаратні перевірки;

– нові користувачі, що включають зовнішні групи чи анонімні групи;

– додаткову роботу з мережами і з’єднаннями.

Коли відбуваються заплановані зміни в системі, важливо встановити порушення, як такі що викликають зміни в захисті системи. Якщо система має пункт керування її конфігурацією чи іншу організаційну структуру з керування технічними змінами системи, то повинен бути призначений системний фахівець та його представники на пункті з обов’язками робити висновки щодо того, чи викликає будь-яку зміну захисту порушення, а якщо так, то яким способом. Для змін, що спричинені придбанням нових апаратних засобів, програмного забезпечення чи служб, необхідне аналізування, щоб встановити нові вимоги захисту. З іншого боку, багато змін, зроблених у системі, незначні і не вимагають значного аналізування, що необхідне для великих змін, але все-таки певного аналізування потребують. Для обох типів змін потрібно виконати аналізування, що оцінює переваги і витрати. Для незначних змін це можна виконати неофіційно на зустрічах, але результати і рішення керівництва мають бути задокументовані.

Контролювання

Контролювання – вирішальна частина циклу захисту інформаційних технологій. Якщо його проводять коректно, то це дає адміністрації чітке уявлення про те:

– що було досягнуто порівняно з поставленими цілями;

– чи переконливими є досягнення, і які специфічні ініціативи впроваджено.

Всі зміни в активах, загрозах, вразливості засобів захисту потенційно можуть мати істотний вплив на ризики, і раннє виявлення змін дозволяє здійснити запобіжні заходи.

Ведуться журнали з безпеки для фіксації подій. Ці журнали треба, як мінімум, періодично переглядати, і, якщо можливо, аналізувати за допомогою статис­тичних методів для раннього прогнозування тенденцій до змін і прогнозування повторів неспри­ятливих подій. Використовування журналів тільки для аналізування подій, що відбулися, веде до втрати потенційних можливостей засобів захисту. Контролювання повинне також охоплювати про­цедури для звітності контролеру безпеки інформаційних технологій і для керування на постійній основі.

Повинен бути підготовлений план щоденного контролювання, щоб забезпечити додатковими інструкціями і процедурами для гарантування поточного функціонування із захисту. Користувачі, операційний персонал і розробники системи повинні періодично консультуватися для гарантування, що всі проблеми безпеки враховано і план захисту інформаційних технологій залишається сучасним.

Одна з причин, чому контролювання є важливою частиною супроводу безпеки інформаційних технологій, – це те, що воно дає змогу знайти впливаючи на захист зміни. Серед положень, що повинні бути перевірені, – матеріальні носії інформації і її значення, загрози та вразливості інформації і засобів захисту, що страхують інформацію.

Активи контролюють для виявлення змін їхніх цінностей і відповідних змін цілей безпеки системи інформаційних технологій. Можливими причинами цих варіацій є зміни:

– бізнесових цілей організації;

– вимог до системи інформаційних технологій;

– інформації, оброблюваної в системі інформаційних технологій;

– устаткування інформаційних технологій.

Загрози та вразливість контролюють, щоб виявляти зміни їхньої важливості (наприклад, спричинені змінами оточення, інфраструктури чи технічних можливостей) та виявляти на ранньому етапі появу інших загроз чи вразливостей. Зміни загроз і вразливостей можуть спричинятися змінами активів.

Засоби захисту постійно контролюють, щоб перевіряти їхню продуктивність і ефективність. Потрібна гарантія, що вони є дієздатними і захищають системи інформаційних технологій відповідно до необхідного рівня захисту. Можливо, що зміни активів, загроз і вразливостей впливають на ефективність і відповідність засобів захисту.

Крім того, коли впроваджують нові системи інформаційних технологій чи коли роблять зміни в наявних системах, необхідно гарантувати, що такі зміни не вплинуть на стан наявних засобів захисту і що нові системи уведені з відповідними засобами захисту.

Коли знайдені аномалії в захисті, необхідно розслідувати і повідомити обставини керівництву для можливого аналізу складу засобів захисту чи, у серйозних обставинах, переглянути політику безпеки системи інформаційних технологій і ініціювати дії з аналізування ризику.

Для забезпечення погодженості з методикою безпеки системи інформаційних технологій потрібно виділити відповідні ресурси для забезпечення відповідного рівня щоденного контролювання:

– наявних засобів захисту;

– уведених нових систем чи служб;

– запланованих змін в наявних системах чи службах.

Щоб вірно зрозуміти природу складного випадку, необхідно взяти інформацію з різних журналів і звести її в єдиний звіт випадку. Ці зведені звіти випадків треба потім аналізувати. Зведення звіту випадків – складне завдання і його найважливіший аспект – визначання умов, які дадуть змогу різні записи в журналі поєднати з потрібним ступенем довіри.

Техніка менеджменту для керування щоденним моніторингом – це підготовка документації оперативних процедур захисту для подальшого використання. Ця документація описує всі дії щодо гарантування необхідного рівня захисту для всієї системи і служб; цього повинні безкомпромісно дотримуватися у всіх системах і службах в подальшому.

Повинні бути задокументовані процедури з модифікації наявної конфігурації захисту. Вони повинні містити відкориговані параметри захисту і всі зміни будь-якої інформації з керування захистом. Ці зміни повинні бути задокументовані і підтверджені процесом керування конфігурацією системи. Мають бути визначені процедури для виконання ручного супроводу, для гарантії, що захист не є під загрозою. Відповідальний розподіл процедур повинен бути описаний для кожної задіяної компоненти захисту.

Необхідно визначити умови і періодичність аналізу журналів безпеки. Повинно бути описано використання методів статистичного аналізування та їх застосування. Керівництво повинно дати інструкції як організувати аудит різних оперативних станів за порогом базового.

Обробляння інцидентів

Практично неможливо уникнути небажаних інцидентів у захисті. Кожний інцидент потрібно досліджувати настільки глибоко, наскільки вагомий збиток він спричинив. Регулювання інциденту дає змогу відповідно реагувати на випадкові або навмисні збої нормального режиму роботи сис­теми інформаційних технологій. Отже, проект звітності і розслідування інцидентів повинні бути придатними для всієї організації і сервісних служб системи інформаційних технологій. Після цього потрібно об’єднати між організаційні плани звітності для глибшого уявлення про місця виявлення інцидентів безпеки інформаційних технологій і пов’язаних з ними загроз, їх впливу на активи інформаційних технологій та ділову активність.

Основними цілями розслідування інцидентів безпеки інформаційних технологій повинні бути:

– чи було компетентним і ефективним реагування на інцидент;

– робити висновки з інцидентів, щоб запобігти подібним несприятливим подіям. Підготовлений план дій із наперед визначеними рішеннями дає змогу організації реагувати на прийнятних умовах для припинення подальшого пошкодження і, якщо можливо, продовжувати ділову активність із запасними засобами. План реагування на інциденти повинен включати вимоги хронологічного документування всіх подій і заходів; це повинно допомогти ідентифікувати джерела інцидентів. Це є передумовою для досягнення іншої мети – зменшення ризику в майбутньому через вдосконалення засобів захисту. Інший позитивний наслідок інцидентів – збільшення готовності інвестувати в засоби захисту.

Важливо також проаналізувати здійснення й документування інциденту, керуючись такими питаннями:

– що сталося і коли саме?

– чи діяв персонал згідно з планом?

– чи вчасно необхідна інформація була в розпорядженні персоналу?

– що персонал запропонував робити інакше наступного разу?

Відповіді на ці питання допоможуть зрозуміти інцидент. Також це допоможе знизити ризик шляхом збільшення релевантності проектів і методик захисту інформаційних технологій (наприклад, вдосконалення засобів захисту, зменшення уразливості й адаптування програми компетентності в захисті).

Щоб визначити ризики і визначити їх серйозність, треба старанно аналізувати ризики. Для підтримки аналізування ризиків і поліпшення результатів необхідна інформація про інциденти захисту. Потрібно зібрати цю інформацію й проаналізувати надійним способом, і зрозуміти отриману користь. Також важливо, щоб організація належним чином розробила план і організувала дієве аналізування інцидентів інформаційних технологій, і щоб отримана та оброблена інформація була доступна для підтримки аналізування ризику, керування та іншої діяльності, пов'язаної з захистом.

Для успішного виконання вимог дійсних і потенційних користувачів дієвого аналізування інцидентів потрібно створювати на підставі їхніх вимог. Перед виконанням будь-якої операції потрібно здійснювати ґрунтовний опис інциденту в програмі компетентності в захисті, який гарантує, що весь ймовірно задіяний персонал розуміє, що таке дієве аналізування інцидентів, пропонована нею користь і як можна використовувати отримані результати у:

– поліпшенні аналізування ризику та оглядах керування;

– допомозі в запобіганні інцидентам;

– приведенні до необхідного рівня компетентності безпеки інформаційних технологій відповідних інструкцій;

– забезпеченні “аварійною” інформацією комп’ютерних груп реакції на надзвичайні обставини.

Відповідні цьому ключові аспекти, що повинні враховуватися в будь-якій дієвий аналіз інцидентів:

– випереджуюча розробка планів обробляння небажаних інцидентів, коли вони відбуваються і викликані зовнішньою чи внутрішньою логічною чи фізичною атакою, або випадковою несправністю устаткування чи людською помилкою;

– навчання персоналу, призначеного для розслідування випадків, наприклад, щоб сформувати групи реакції на надзвичайні обставини.

Реакції на надзвичайні обставини може бути більш-менш визначена як певна група осіб, що розслідують причини інцидентів інформаційних технологій, вивчають потенційні майбутні прояви чи виконують всі періодичні вивчення і досліджування попередніх подій. Результатом цієї роботи можуть бути відновлювальні заходи. Група реакції на надзвичайні обставини може бути внутрішньою чи зовнішньою щодо організації (наприклад контрактна).

Якщо є план заходів і підготовлений персонал і відбувається небажаний інцидент, то поспішних рішень можна уникнути і будуть збережені свідоцтва, які можна використовувати у відстежуванні та ідентифікуванні джерела інциденту, набагато швидше буде встановлений захист цінних активів, і витрати, пов’язані не тільки з інцидентом, але і з усуненням наслідків будуть скорочені. Надалі будь-який негативний розголос буде мінімізований.

Організації повинні готувати і планувати інциденти відповідно до дієвого аналізування інцидентів, що мають місце, зокрема:

– готування – наперед задокументовані попереджувальні заходи, інструкції і процедури обробляння інцидентів (разом зі збереженням свідоцтв ведення журналів реєстрування подій) і контроль зв’язків з громадськістю, інструктивна документація і плани безперервності роботи;

– повідомлення – процедури, засоби та обов’язки для звіту про інциденти і їхній вплив;

– оцінювання – процедури та обов’язки з досліджування інцидентів і визначання їхньої серйозності;

– керування – процедури та обов’язки з таких питань: як діяти, щоб обмежити збитки від інциденту, подолати його та повідомити керівництво більш високого рівня;

– відновлення – процедури та обов’язки з відновлення нормальної діяльності;

– оглядання – процедури та обов’язки для після інцидентних дій, разом з дослідженнями легального характеру та аналізом тенденцій.

Варто підкреслити, що хоч і є вигода від використання дієвого аналізування інцидентів організаціями індивідуально, але організації можуть одержати більше користі від спільного використання деякої інформації про інциденти; це забезпечить ширшу базу щодо виявлення “тривог”, швидкого визначання тенденцій та їхнього запобігання. Щоб полегшити це, треба використовувати структуру бази даних дієвого аналізування інцидентів, яка повинна бути досить гнучкою, щоб охопити весь діапазон вимог для всього (всіх секторів, типів загроз і уражень) і визначити вимоги сектора/загрози/ураження. Немає значення, чи то розділ чи організація входить до дієвого аналізування інцидентів, вони повинні використовувати подібну топологію, виміри і структуру для реєстрації інформації щодо інцидентів. Це дозволить порівнювати та аналізувати. Використання загальної структури – можливість отримувати всеохоплюючі результати і особливо більш ґрунтовну базу для швидкого розпізнавання “тривог”.

Маючи на увазі викладене вище, досягнення взаємодії між дієвим аналізування інцидентів та аналізуванням ризику і методами керування можна істотно поліпшити результати, а отже, збільшити користь від впровадження дієвого аналізування інцидентів.

Інформація щодо появи загроз значно вплине на якість оцінювання загроз і оцінювання ризику. Далі в процесі досліджування інцидентів, імовірно, буде зібрано нову і додаткову інформацію з урахуванням вразливостей і з вказівкою на способи її використання. Супровід дієвого аналізування інцидентів дає можливість користувачу визначити та оцінити вразливість і, отже, забезпечити цінними вихідними даними аналізування ризику. В її основу буде частково введена інформація з урахуванням загроз і, частково, результати розслідувань передумов інциденту, повідомлені комп’ютерними групами реакції на надзвичайні обставини. Наприклад, загроза логічного проникнення (присутність нападника і привабливість оброблюваної інформації) може бути пов’язана з вразливістю до логічного проникнення (недостатність чи відсутність відповідних логічних механізмів контролювання за доступом) і в такий спосіб створювати ризик. Тому використовування дієвого аналізування інцидентів для визначання та оцінювання вразливості використовуванням інформації про загрозу, що занесена до бази даних інцидентів, які вже були розслідувані, разом з інформацією з інших джерел, особливо дослідження реакції інформаційної системи на надзвичайні обставини може розкрити неідентифіковані до цього часу вразливості.

Треба відзначити, що функція дієвого аналізування інцидентів відповідає повідомленням тільки щодо інцидентів, що відбулися. Тому будь-яке дієве аналізування інцидентів не може безпосередньо забезпечувати інформацією про ті вразливості, що можуть існувати, але не були визначені як інциденти інформаційних технологій. Крім того, інформацію від дієвого аналізування інцидентів треба із застереженням використовувати для статистичного аналізування та аналізування тенденцій, тому що вихідні дані можуть бути неповними чи помилково визначеними. Проте результати досліджень групи реакції на надзвичайні обставини може дати деякі уявлення щодо непередбачених вразливостей. У цілому, регулярні вихідні дані дієвого аналізування інцидентів для аналізування ризику та огляду керування можуть допомогти покращити якості оцінювання загроз, ризику і вразливостей.