Ловись, рибко. Як захистити свій бізнес від хакерів

11 вересня 2019, 07:00
Вы также можете прочесть этот материал на русском языке

Загроза кібератак значно реальніша і ближча, ніж може здатися на перший погляд, навіть для тих видів бізнесу, які не ведуть свої справи безпосередньо в мережі.

Припустімо, ви володієте якимось бізнесом. Чи будете ви прагнути захистити його від втрат? Звичайно, будете, адже втрати ведуть до збитків, а збитки — до зниження прибутку. Але більшість власників бізнесу ставляться до кібератак, як до вивержень вулканів: мало хто думає, що саме їх це може коли-небудь зачепити.

Відео дня

А між іншим загроза кібератак значно реальніша й ближча, ніж може здатися на перший погляд, навіть для тих видів бізнесу, які не ведуть свої справи безпосередньо в мережі Інтернет.

Згідно з дослідженням IBM Х-Force Threat Intelligence Index 2019, протягом останніх трьох років відбулися витоки або крадіжки більше 11,7 млрд записів і понад 11 терабайт даних. І це стосується тільки оприлюднених випадків кібератак. На одну компанію у 2018 році припадало 1440 слабких місць, а це — потенційно 1440 кібератак.

Ось ще цікава статистика: у щорічному звіті, виконаному Ponemon Institute на замовлення IBM Security, повідомляється, що в середньому витік даних вартує бізнесу $3,92 млн! Кібератаку виявляють тільки через 279 днів, а деякі керівники й власники компаній взагалі не знають, що у них крадуть інформацію. З фінансового погляду витрати на боротьбу з витоком даних і його наслідками тривають роками: 67% витрат відбуваються першого року, 22% — другого й ще 11% — через два роки!

Щоб краще зрозуміти, що загрожує бізнесу в кіберпросторі й наскільки це серйозно, ми поставимо кілька простих запитань і спробуємо на них відповісти.

Хто під загрозою?

Останні кілька років відбуваються безліч масштабних інцидентів, пов’язаних з витоками інформації й кібератаками в різних галузях: у фінансових і медіакомпаніях, у галузі ядерної енергетики та інших. Найвідоміший випадок з комп’ютерним «хробаком» StuxNet, який вперше в історії кібератак виявився спроможним виводити з ладу промислове обладнання й руйнувати інфраструктуру, і у 2017 році він став реальною загрозою для основної галузі в економіці Ірану.

В Україні добре відома масова кібератака вірусом Petya у 2017 році, коли була заблокована діяльність десятків організацій і компаній. Ця атака показала, що більшість українських компаній недостатньо добре захищені від кібератак.

Згідно з дослідженням IBM Х-Force Threat Intelligence Index 2019, у світі сфера фінансів і страхування утримує першість за кількістю кібератак щонайменше протягом трьох років, про це свідчить дослідження (19% від усіх кібератак). На друге місце у 2018 році піднялася сфера перевезень, яка ще у 2017-му була на 10 місці! Відсоток кібератак у цій галузі становить 13%. На третьому місці сфера професійних послуг (наприклад, консалтинг), на четвертому — роздрібна торгівля й на п’ятому — виробництво.

IBM
Фото: IBM

З погляду масштабів бізнесу частіше страждають від атак компанії малого й середнього розміру. Власник невеликого кафе або магазину може подумати, що зловмисники цікавляться тільки «великою рибою» й що через це він може не приділяти увагу кібербезпеці свого бізнесу. Але хакерам простіше атакувати десятки-сотні незахищених і легкодоступних цілей, ніж окремі великі й добре захищені. Також важливо, що у випадку малого бізнесу фінансові втрати від витоку даних набагато вищі співвідносно з доходами або прибутками.

Деякі компанії розуміють, що безпека для них дуже важлива, і вкладають кошти в системи відеоспостереження, виявлення вторгнення, надійні двері, замки й т. і. Але не в інформаційну безпеку. Захищати свою інформацію, а отже, — і свій бізнес, в інформаційному просторі так само природно й логічно, як і матеріальне майно.

Існує поширена думка, що «наша інформація доступна тільки для внутрішніх користувачів, але не через Інтернет, отже, ми не вразливі до кібератак». На жаль, подібні помилки часто засновані на необізнаності, тому що для атак можуть взагалі не використовуватися канали зв’язку з Інтернет.

Для хакерів існує безліч способів досягти бажаної мети

Наприклад, викрасти інформацію «офлайн» можна, під'єднавшись до локальної мережі організації через незахищений кабель, легкодоступний комутатор локальної мережі або так званий «dropbox» — сучасний аналог «жучків», які були популярні в середовищі вітчизняного кібершпіонажу ще 10−15 років тому. Або шахраї можуть отримати доступ до внутрішніх систем компанії через неправильно сконфігурований або незахищений Wi-Fi маршрутизатор. Для хакерів існує безліч способів досягти бажаної мети, і, якщо ваша компанія не захищає свій кіберпростір, вона вразлива. Це як гра в рулетку: програш — лише питання часу.

Що потрібно захищати?

Переважно власники бізнесу не знають, яка інформація в їхньому бізнесі може стати «ласим шматочком» для злочинців.

У цілому, кіберзлочинці будуть щасливі отримати вашу базу клієнтів, персональні дані співробітників, які охороняються законом, дані про технологічні процеси, список серверних систем, систем захисту, дані партнерів по бізнесу, стратегічні плани компанії й т.д. Але вразливі місця й потенційно цінна інформація не завжди очевидні, тому бажано звертатися до фахівців з інформаційної безпеки.

Навіщо шахраям ця інформація? Найпростіший приклад: з бази клієнтів або співробітників формуються списки потенційних «жертв» для розсилки реклами (і вірусної зокрема). У серйозніших випадках дані можуть стати елементами розвідки щодо компанії, конкретної людини та її особистого життя.

Пример фишинговой атаки (Фото: searchsecurity.techtarget.com)
Пример фишинговой атаки / Фото: searchsecurity.techtarget.com

Крадіжка бази клієнтів завдає великої шкоди для бізнесу. Ви доклали багато зусиль, щоб напрацювати цю базу. При цьому в один момент її можуть викрасти ваші конкуренти й переманити ваших клієнтів до себе, адже їм буде дешевше зробити так, а не пройти весь шлях спочатку.

В останні роки світ бізнесу, незалежно від географії й галузей, «накриває хвиля» так званого «business email compromise» (BEC) або «CEO fraud», коли аферисти надсилають повідомлення фінансистам нібито від імені СЕО або топ-менеджера компанії з проханням конфіденційно зробити безготівковий переказ. Очевидно, що ці гроші «осідають» в кишенях злочинців.

Також поширена практика, коли компанію атакують, щоб дістатися до її бізнес-партнера. Знаючи це, прогресивні й відповідальні компанії вкладають ресурси в безпечне з'єднання з партнерами по різних каналах, що допомагає захистити як себе, так і їх.

Нерідко клієнти банків, наприклад, є не кінцевою метою, а проміжною. Через них злочинці можуть намагатися отримати доступ до внутрішніх систем банку, а не до коштів самих користувачів.

У такому середовищі кожен бізнес несе відповідальність за безпеку всієї екосистеми й суспільства, в якому він функціонує. Він повинен якісно оберігати не тільки свої дані, а й інформацію клієнтів та партнерів, інакше він ризикує не лише собою, а й усіма, з ким пов’язаний.

Від кого потрібно захищатися?

Людей, які бажають зруйнувати ваш бізнес, значно більше, ніж ви думаєте

Звичайно ж, від недоброзичливців. Вони можуть самі атакувати вас або найняти досвідченого хакера. Людей, які бажають зруйнувати ваш бізнес, значно більше, ніж ви думаєте. Крім ваших конкурентів або професійних хакерів, це можуть бути аматори, які навчаються своєму «ремеслу», і навіть озлоблені працівники, незадоволені зарплатнею, або ж колишні співробітники.

Нерідко витік даних відбувається через банальні причини. У 2018 році неправильно сконфігуровані хмарні сервери, незахищені хмарні бази даних і неправильно захищені резервні копії сприяли витоку більш ніж 990 млн одиниць даних, і таких випадків стало на 20% більше порівняно з минулим роком.

Саме тому кібербезпека повинна бути не стільки збіркою правил, процедур та обмежень, скільки невід'ємною частиною бізнес-культури будь-якої сучасної організації. Усі працівники повинні знати про те, що можна розголошувати, а що — ні, як користуватися різними сервісами й т.і. Звичайно, створити таку свідому корпоративну культуру повинні керівники. І перш за все вони повинні бути прикладом для співробітників.

На жаль, у багатьох українських компаніях немає такого відповідального ставлення до кібербезпеки. Бувають навіть випадки, коли топ-менеджери обговорюють стратегічні питання компанії в соціальних мережах, що вже говорити про інших працівників.

Як захиститися від кібератак?

Попри те, що кожна компанія багато в чому індивідуальна, усі хороші стратегії схожі в тому, що реалізують багатошаровий захист. Складність відповіді на запитання, як захищатися, зростає з кожним роком, тому що інформаційні технології швидко еволюціонують. Що ж потрібно робити? Насамперед — усвідомити загрозу, оскільки саме помилкова впевненість в недосяжності критичних систем для хакерів часто призводить до масштабних небажаних наслідків.

Потрібно проаналізувати разом з фахівцями, що конкретно загрожує вашому бізнесу, яку інформацію потрібно захищати й хто може нею заволодіти. Я рекомендую взяти «безпечників» до себе в штат або під'єднати на контрактній основі команду «швидкого реагування» на кібератаки, особливо якщо мова йде про великі компанії.

China Daily
Фото: China Daily

Далі необхідно побудувати стратегію захисту крок за кроком. Потрібно стежити за тим, щоб усі сервіси правильно працювали: хмарні сервіси, електронна пошта, сервіси для постановки завдань і спільної роботи та ін. Також ретельно перевіряйте своїх партнерів: чи справді вони захищають свої дані? В інакшому випадку вашу інформацію можуть вкрасти у ваших же партнерів.

А разом з цим усередині компанії необхідно створювати відповідальне ставлення до кібербезпеки на рівні корпоративної культури й навіть звичок (як, наприклад, обов’язкова перевірка флешки після її під'єднання). Для працівників необхідно проводити майстер-класи й ділитися тим, як захищати себе й компанію в кіберпросторі та чому це так важливо. Крім того, обов’язково розробіть документи про нерозголошення конфіденційної інформації компанії. І кожен працівник має знати, про які саме дані йдеться.

Найкраще ставлення до кібератак — не тільки знання, чого можна очікувати від злочинців, а й готовність відповісти й навіть передбачити їхні дії. Для цього необхідно стежити за розвитком технологій і йти «в ногу» з часом. Також разом з фахівцями регулярно проводити роботу над помилками, особливо якщо кібератака все ж відбулася.

Також для побудови зрілої СУІБ (Системи управління інформаційною безпекою) існують спеціальні стандарти. Наприклад, міжнародний стандарт ISO/IEC 27 001: 2013, який в Україні також має статус національного стандарту під назвою ДСТУ ISO/IEC 27 001: 2015 року, ISF SoGP (Standard of Good Practice), NIST CSF (Cyber ​​Security Framework) та інші.

Значним прогресом для України є обов’язкові стандарти у сферах, в яких найчастіше трапляються кібератаки. Наприклад, вимоги Національного банку України до українських банків упровадити стандарт ДСТУ ISO / IEC 27 001 до: 2015 до 1 вересня 2019 року.

На жаль, в Україні законом поки не передбачена вимога доповідати інформацію про втрати даних. А, наприклад, регламент GDPR в ЄС зобов’язує підприємства повідомляти про кібератаки протягом 72 год. Штраф за невиконання — від € 10 до € 20 млн. Подібні суворі умови є й в американському законі HIPAA про захист персональних даних у сфері медицини й страхування, ухваленому ще в 1996 році.

GDPR
Фото: GDPR

Як переконатися в тому, що ваш захист ефективний?

Найкращий спосіб — перевірити ефективність системи захисту на практиці за допомогою тестів «на проникнення» («пентести»). Їх мета полягає в тому, щоб імітувати дії кібертерористів. Саме після такого «тестового нападу» можна зрозуміти, які слабкі місця є в системі та як її захистити. При цьому кваліфікований «білий хакер», який проводить пентест, повинен мати досвід, знання й навички, як мінімум, не гірші, ніж у «чорних хакерів».

Якщо сьогодні в Україні якісь компанії й роблять пентести, то найчастіше для того, щоб показати партнерам по бізнесу, що вони відповідальні й серйозні. Але потрібно це не тільки показувати, а насправді бути такими. Тим часом у міжнародній практиці пентести вже давно стали нормою.

Гарантування кібербезпеки в багатьох країнах — не екзотика, а необхідність. В Україні поки зовсім небагато компаній усвідомлюють цю потребу.

Але, як кажуть, краще попередити напад, ніж чекати, коли ваші системи заблокує шкідлива програма, вимагатиме викуп і буде вас шантажувати (а ви тим часом будете втрачати покупців). Це дорожче, ніж захищати свій бізнес. Піклуючись про кіберзахист, ваша компанія знизить витрати, пов’язані з інцидентом витоку даних, у середньому на $1,23 млн. До того ж, важливо пам’ятати, що з кожним роком кібератаки стають все дорожчими: вартість витоків даних зросла на 12% за останні 5 років.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X