Ловись, рыбка. Как защитить свой бизнес от хакеров

11 сентября 2019, 07:00
Цей матеріал також доступний українською

Угроза кибератак куда реальнее и ближе, чем может показаться на первый взгляд, даже для тех видов бизнеса, которые не ведут свои дела непосредственно в сети.

Допустим, вы владеете неким бизнесом. Будете ли вы стремиться защитить его от потерь? Конечно, будете, ведь потери ведут к расходам, а расходы — к снижению прибыли. Но большинство владельцев бизнеса относятся к кибератакам, как к извержениям вулканов: мало кто думает, что именно их это может когда-нибудь затронуть.

Видео дня

Хотя, согласно исследованию IBM Х-Force Threat Intelligence Index 2019, на протяжении последних трех лет произошли утечки или кражи более 11,7 млрд записей и свыше 11 терабайт данных. И это касается только обнародованных случаев кибератак. На одну компанию в 2018 году приходилось 1440 слабых мест, а это — потенциально 1440 кибератак.

Вот еще впечатляющая статистика: в ежегодном отчете, выполненном Ponemon Institute по заказу IBM Security, сообщается, что в среднем утечка данных стоит бизнесу $3,92 млн! Кибератаку обнаруживают только через 279 дней, а некоторые руководители и владельцы компаний и вовсе не знают, что у них крадут информацию. С финансовой точки зрения вложения в борьбу с утечкой и ее последствиями длятся годами: 67% затрат происходят в первый год, 22% во второй и еще 11% по прошествии двух лет!

Чтобы лучше понять, что угрожает бизнесу в киберпространстве и насколько это серьезно, давайте зададим себе несколько простых вопросов и попробуем на них ответить.

Кто под угрозой?

В последние несколько лет происходят множество крупнейших инцидентов, связанных с утечками информации и кибератаками в самых различных отраслях: в финансовых и медиакомпаниях, в области ядерной энергетики и других. Наиболее известный случай с компьютерным «червём» StuxNet, который впервые в истории кибератак оказался способным вывести из строя промышленное оборудование и разрушать инфраструктуру, и в 2017 году стал реальной угрозой для ключевой отрасли в экономике Ирана.

В Украине хорошо известна массовая кибератака вирусом Petya в 2017 году, когда была заблокирована деятельность десятков организаций и компаний. Эта атака показала, что большинство украинских компаний недостаточно хорошо защищены от кибератак.

Согласно исследованию IBM Х-Force Threat Intelligence Index 2019, в мире сфера финансов и страхования удерживает первенство по количеству кибератак по меньшей мере в течение трех лет, об этом свидетельствует исследование (19% от всех кибератак). На второе место в 2018 году поднялась сфера перевозок, которая еще в 2017-м была на 10-том месте! Процент кибератак в этой области составляет 13%. На третьем месте сфера профессиональных услуг (например, консалтинг), на четвертом — розничная торговля и на пятом — производство.

IBM
Фото: IBM

С точки зрения масштабов бизнеса, все больше подвергаются атакам компании малого и среднего размера. Владелец небольшого кафе или магазина может подумать, что злоумышленники интересуются только «крупной рыбой» и что поэтому он может не уделять внимание кибербезопасности своего бизнеса. Но хакерам проще атаковать десятки-сотни слабозащищенных и легкодоступных целей, чем отдельные крупные и хорошо защищенные. Также важно, что в случае малого бизнеса финансовые потери от утечки данных гораздо выше по отношению к доходам или прибыли.

Некоторые компании понимают, что безопасность для них очень важна, и вкладывают средства в системы видеонаблюдения, обнаружения вторжения, надежные двери, замки и т. д., но не в информационную безопасность. Защищать свою информацию, а значит, и свой бизнес, в информационном пространстве так же естественно и логично, как и материальное имущество.

Есть распространенное мнение, что «наша информация доступна только для внутренних пользователей, но не через Интернет, значит, мы не уязвимы для кибератак». К сожалению, подобные заблуждения часто основаны на неосведомлённости, потому что для атак могут вообще не использоваться каналы связи с Интернет.

Для хакеров существует множество способов добиться желаемой цели

Например, украсть информацию «оффлайн» можно, подключившись к локальной сети организации через незащищённый кабель или легкодоступный коммутатор локальной сети или внедрив в неё так называемый «dropbox» — современный аналог «жучков», которые были популярны в среде отечественного кибершпионажа ещё 10−15 лет назад. Или мошенники могут получить доступ к внутренним системам компании через неправильно сконфигурированный или уязвимый Wi-Fi маршрутизатор. Для хакеров существует множество способов добиться желаемой цели, и если ваша компания не защищает свое киберпространство, она уязвима. Это как игра в рулетку: проигрыш — лишь вопрос времени.

Что нужно защищать?

В большинстве случаев владельцы бизнеса не знают, какая информация в их бизнесе может стать «лакомым кусочком» для преступников.

В целом, киберпреступники будут счастливы заполучить вашу базу клиентов, персональные данные сотрудников, которые охраняются законом, данные о технологических процессах, список серверных систем, систем защиты, данные партнеров по бизнесу, стратегические планы компании и т. д. Но уязвимые места и потенциально ценная информация не всегда очевидны, поэтому желательно обращаться к специалистам по информационной безопасности.

Зачем мошенникам эта информация? Самый простой пример: из базы клиентов или сотрудников формируются списки потенциальных «жертв» для рассылки рекламы (в том числе и вирусной). В более серьезных случаях данные могут стать элементами разведки в отношении компании, конкретного человека и его личной жизни.

Пример фишинговой атаки (Фото: searchsecurity.techtarget.com)
Пример фишинговой атаки / Фото: searchsecurity.techtarget.com

Кража базы клиентов наносит большой урон для бизнеса. Вы приложили много усилий, чтобы наработать эту базу. При этом в один момент ее могут украсть ваши конкуренты и переманить ваших клиентов к себе, ведь это им обойдется дешевле, чем пройти весь путь сначала.

В последние годы мир бизнеса, независимо от географии и отраслей, накрывает волна так называемого «business email compromise» (BEC) или «CEO fraud», когда аферисты отправляют сообщение финансистам якобы от имени СЕО или топ-менеджера компании с просьбой конфиденциально сделать безналичный перевод. Очевидно, что эти деньги «оседают» в карманах преступников.

Также распространенная практика, когда на компанию осуществляется атака, чтобы добраться до бизнес-партнера. Зная это, прогрессивные и ответственные компании вкладывают ресурсы в безопасное соединение с партнерами по разным каналам, что помогает защитить и себя, и их. Нередко клиенты банков, например, являются не конечной целью, а промежуточной. Через них преступники могут пытаться добраться к внутренним системам банка, а не к средствам самих пользователей.

В такой среде каждый бизнес несет ответственность за безопасность всей экосистемы и общества, в котором он работает. Он должен качественно оберегать не только свои данные, но и информацию клиентов и партнеров, иначе он подвергает большому риску себя и всех, с кем связан.

От кого нужно защищаться?

Людей, желающих разрушить ваш бизнес, гораздо больше, чем вы думаете

Конечно же, от недоброжелателей. Они могут сами атаковать вас или нанять опытного хакера. Но на самом деле людей, желающих разрушить ваш бизнес, гораздо больше, чем вы думаете. Помимо ваших конкурентов или профессиональных хакеров, это могут быть аматоры, которые учатся своему «ремеслу», и даже озлобленные работники, недовольные зарплатой, или же бывшие сотрудники.

Но нередко утечка данных происходит из-за банальных причин. В 2018 году неправильно сконфигурированные облачные серверы, незащищенные облачные базы данных и неправильно защищенные резервные копии способствовали утечке более 990 млн единиц данных, и таких случаев стало на 20% больше по сравнению с годом ранее.

Именно поэтому кибербезопасность должна быть не столько сводом правил, процедур и ограничений, сколько неотъемлемой частью бизнес-культуры любой современной организации. Все работники должны знать о том, что можно разглашать, а что — нет, как пользоваться различными сервисами и т. д. Конечно, создать такую осведомленную корпоративную культуру должны руководители. И прежде всего они должны быть примером для сотрудников.

К сожалению, во многих украинских компаниях нет такого ответственного отношения к кибербезопасности. Бывают даже случаи, когда топ-менеджеры обсуждают стратегические вопросы компании в социальных сетях, что уж говорить о других работниках.

Как защититься от кибератак?

Несмотря на то, что каждая компания во многом индивидуальна, все хорошие стратегии схожи в том, что реализуют многослойную защиту. Сложность ответа на вопрос, как защищаться, растет с каждым годом, потому что информационные технологии быстро эволюционируют. Что же нужно делать? В первую очередь — осознать угрозу, так как ложная уверенность в недостижимости критичных систем для хакеров как раз часто приводит к масштабным нежелательным последствиям.

Нужно проанализировать вместе со специалистами, что конкретно грозит вашему бизнесу, какую информацию нужно защищать и кто может ею завладеть. Я рекомендую взять «безопасников» к себе в штат или подключить на контрактной основе команду «быстрого реагирования» на кибератаки, особенно если речь идет о крупной компании.

China Daily
Фото: China Daily

Дальше необходимо построить стратегию защиты шаг за шагом. Нужно следить за тем, чтобы все сервисы правильно работали: облачные сервисы, электронная почта, сервисы для постановки задач и совместной работы и др. Также тщательно проверяйте своих партнеров: защищают ли они на самом деле свои данные? В противном случае вашу информацию могут украсть у ваших же партнеров.

А вместе с этим внутри компании необходимо создавать ответственное отношение к кибербезопасности на уровне корпоративной культуры и даже привычек (как, например, обязательная проверка флешки при её подключении). Для работников нужно проводить мастер‑классы и делиться тем, как защищать себя и компанию в киберпространстве и почему это так важно. Кроме того, обязательно разработайте документы о неразглашении конфиденциальной информации компании. И каждый работник должен знать, о каких именно данных идет речь.

Лучшее отношение к кибератакам — не только знание, чего можно ожидать от преступников, но и готовность ответить и даже предугадать их действия. Для этого необходимо следить за развитием технологий и идти в ногу с временем. Не помешает регулярно проводить работу над ошибками вместе со специалистами, особенно если кибератака все же произошла.

Также для построения зрелой СУИБ (Системы управления информационной безопасностью) существуют специальные стандарты. Например, международный стандарт ISO/IEC 27 001:2013, который в Украине также имеет статус национального стандарта под названием ДСТУ ISO/IEC 27 001:2015, ISF SoGP (Standard of Good Practice), NIST CSF (Cyber Security Framework) и другие.

Значительным прогрессом для Украины являются обязательные стандарты в наиболее атакуемых отрослях. Например, требования Национального банка Украины к украинским банкам внедрить стандарт ДСТУ ISO/IEC 27 001:2015 до 1 сентября 2019 года.

К сожалению, в Украине законом пока не предусмотрено требование докладывать информацию об утечках. А, например, регламент GDPR в ЄС обязывает предприятия сообщать о кибератаках в течение 72 ч. Штраф за невыполнение — от €10 до €20 млн. Подобные строгие условия есть и в американском законе HIPAA о защите персональных данных в области медицины и страхования, принятом еще в 1996 году.

GDPR
Фото: GDPR

Как убедиться в том, что ваша защита эффективна?

Лучше всего проверить эффективность системы защиты на практике с помощью тестов «на проникновение» («пентесты»). Их цель заключается в том, чтобы сымитировать действия кибер-террористов. Именно после такого «тестового нападения» можно понять, какие в системе есть слабые места и как ее защитить. При этом квалифицированный «белый хакер», проводящий пентест, должен иметь опыт, знания и навыки, как минимум, не хуже, чем у «чёрных хакеров».

В Украине сейчас если какие-то компании и делают пентесты, то чаще всего для того, чтобы показать партнерам по бизнесу, что они ответственные и серьезные. Но нужно это не только показывать, а на деле быть такими. Тем временем в международной практике пентесты давно стали нормой.

Обеспечение кибербезопасности во многих странах — уже не экзотика, а необходимость. В Украине пока очень немногие компании осознают эту потребность.

Но, как говорится, лучше предупредить нападение, чем ждать, когда ваши системы заблокирует вредоносная программа, потребует выкуп и будет вас шантажировать (а вы тем временем будете терять покупателей). Это дороже, чем защищать свой бизнес. Заботясь о киберзащите, ваша компания снизит издержки, связанные с инцидентом утечки данных, в среднем на $1,23 млн. К тому же, важно помнить, что с каждым годом кибератаки становятся все дороже: стоимость утечек данных выросла на 12% за последние 5 лет.

poster
Подписаться на ежедневную email-рассылку
материалов раздела Техно
Рассылка о том как технологии изменяют мир
Каждый понедельник

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X