Не проходит и недели, чтобы в сети не появлялись новости про очередную утечку данных или взлом. Жертвами киберпреступлений часто становятся крупные, хорошо финансируемые и весьма подкованные в области информационной безопасности структуры: банки, госучреждения, корпорации. Если даже крупные компании не всегда могут защитить себя от киберугроз, то, что делать малому и среднему бизнесу, у которого бюджеты на ИБ на порядки скромнее? О том, как повысить уровень информационной безопасности компании, в своей авторской колонке для портала Biz360.ru рассказал ИБ-эксперт Алексей Дрозд.
Алексей Дрозд – начальник отдела информационной безопасности компании «СёрчИнформ». По основной специальности – физик, прошёл профессиональную переподготовку по программе «Информационная безопасность». Автор публикаций и учебных программ по администрированию и практике применения DLP-систем для специалистов по информационной безопасности. Модератор и спикер профильных форумов и конференций.
Владельцы компаний сферы малого бизнеса часто не задумываются о кибербезопасности, думая, что в силу небольшого размера фирмы находятся вне поля интересов сетевых преступников. Это делает малый бизнес идеальной и уязвимой мишенью.
Одна из самых серьёзных опасностей кибератак – утечка важной информации. Это могут быть клиентская база, важные данные о тех или иных аспектах бизнеса, коммерческая информация о текущих и будущих сделках.
Уязвим малый бизнес и перед законом о защите персональных данных. Незначительные штрафы за утечку персональных данных клиентов долгое время не мотивировали небольшие компании исполнять ФЗ-152. Но последние изменения в закон требуют от операторов персональных данных внедрять специализированный софт для защиты от утечек и проводить расследования инцидентов, причём, ответственность за халатность теперь гораздо серьёзнее.
Проблема в том, что обеспечение безопасности – это финансовые и временные затраты. Но требования закона и риски утечки информации игнорировать в любом случае нельзя. Поэтому нужно закрыть хотя бы основные «дыры» и уязвимости.
Для начала давайте поймём, откуда ждать угрозы.
Есть четыре категории злоумышленников, от которых могут исходить проблемы для информационной безопасности.
Внешние случайные злоумышленники
Я называю таких «случайный мимопроходил». Это те хакеры, которые «берут то, что плохо лежит», то есть взламывают любую плохо защищённую IT-инфраструктуру. С помощью автоматизированных сканнеров уязвимостей они находят незакрытые уязвимости, открытые порты, слабые пароли. С такими проблемами чаще сталкивается малый и средний бизнес, где выделенного ИБ-специалиста нет, а функции ИБ чаще всего исполняют системные администраторы.
Внешние намеренные злоумышленники
Такие киберпреступники выбирают жертву прицельно – действуя по заказу или зная, что в компании есть чем разжиться. Например, по заказу конкурента хакеры могут устроить DDoS-атаку, чтобы сорвать распродажу в «Чёрную пятницу».
Внутренние злоумышленники-инсайдеры
Злоумышленник-инсайдер вредит бизнесу куда чаще, чем хакер. И из-за того, что этот нарушитель находится уже внутри IT-инфраструктуры, возможностей для мошенничества, слива данных, диверсий у него больше.
Внутренние случайные нарушители
Но значительно чаще сотрудники оказываются случайными нарушителями: становятся жертвами фишинга, отправляют конфиденциальную информацию по ошибке и т.д.
Вот перечень самых популярных инструментов, с помощью которых злоумышленники могут нанести ущерб вашей компании.
Взлом пароля
Большинство пользователей выбирают простейшие пароли, взлом которых занимает минуты, если не секунды. Поэтому в большинстве случаев мошенники не используют для взлома сложных инструментов, а просто перебирают пароли.
Яркий пример – история со страховой компанией TransUnion South Africa. Хакеры взломали сервер компании, доступ к которому был закрыт паролем «password». За доступ к зашифрованному серверу преступники потребовали от компании выкуп в размере 15 миллионов долларов.
Фишинг
С помощью фишинговых атак мошенники похищают данные через привычный на вид, но на самом деле мошеннический сайт или письмо. Любое смс, ссылка или вложение в почте, которое на первый взгляд вызывает доверие, может быть вредоносным и заразить компьютер программой-шпионом или вирусом-шифровальщиком.
Согласно исследованию Digital Security, сотрудники российских компаний чаще всего получают вирусы из писем по теме инвентаризации, и перед такой уловкой уязвимы как минимум 30% пользователей.
BEC-атаки
BEC-атаки (Business email compromise) – это компрометация корпоративного почтового ящика. Злоумышленники взламывают электронки контрагентов или самой компании и, ознакомившись с историей переписки, имитируют продолжение разговора в собственных целях. Иногда тред в почте может состоять всего из двух-трёх писем, а иногда растягивается на несколько месяцев. Цель злоумышленников – побудить к оплате счёта на подставные реквизиты, получить доступ к инфраструктуре или конфиденциальной информации.
Главную роль в успешности атаки играет социальная инженерия, поэтому лишь внимательность сотрудника может предостеречь компанию от этого вида атак.
DDoS-атаки
Хакеры нагружают сервер компании запросами до тех пор, пока он не начнёт «зависать» или вовсе не перестанет работать. Это бывает критично для бизнеса, т.к. встают процессы компании. Специфика DDoS-атак в том, что их чаще всего используют как инструмент заказного вредительства. Иногда DDoS может скрывать начало атаки, цель которой выведать, какие уязвимости есть в IT-инфраструктуре организации. Этот риск есть у компаний любых сегментов и отраслей.
Вредоносное ПО
Это общий термин, который объединяет любые программы, занес`нные на устройства с целью причинения вреда или получения несанкционированного доступа: вирусы, «черви», трояны, программы-вымогатели и различные программы-шпионы.
Одна из самых реальных угроз для малого и среднего бизнеса – заражение данных компании вирусом-шифровальщиком, чтобы затем требовать выкуп. Атакованные компании могут простаивать неделями, а суммы выкупа хакерам достигать миллионов. В случае отказа платить выкуп данные могут быть скомпрометированы: известно много случаев, когда хакеры сначала копировали коммерческую тайну жертв для «подстраховки», а затем выкладывали в открытый доступ.
Атака на необновлённое ПО
Атака происходит после того, как вендор публикует подробную информацию об уязвимости и выпускает обновление, а клиент забывает поставить исправленную версию программного обеспечения или ОС. Хакеры пользуются этой заминкой. У них есть вся информация об уязвимости, и атака обходится им бесплатно.
Рано или поздно ваш бизнес может стать целью для киберпреступников – это лишь вопрос времени. В первую очередь ломают тех, кого легко взломать, кто не позаботился о защите. Сбор «низко висящих фруктов» актуален и для киберпреступников. Поэтому важно уже сейчас задуматься, надёжно ли защищена IT-инфраструктура компании и нет ли «кротов» среди сотрудников.
Вот минимальный набор технических мер для защиты компании от внутренних и внешних угроз:
-
Не пренебрегайте антивирусной защитой и используйте лицензионное ПО, которое нужно регулярно обновлять;
-
Разделяйте права доступа к конфиденциальной информации (как минимум в Active Directory);
-
Настраивайте двухфакторную аутентификацию для доступа к критичным для компании службам и сервисам;
-
Используйте корпоративный почтовый сервис вместо бесплатных публичных;
-
Проводите мониторинг фишинговой активности с использованием имени вашего бренда;
-
Создавайте резервные копии данных;
-
Используйте только шифрованные каналы передачи данных;
-
Используйте средства контроля сотрудников (DLP-системы) для предупреждения инсайдерских угроз.
Не всегда в компании есть специалисты, которые могут работать с защитным ПО, кроме того, купить софт в собственность бывает дорого. Поэтому обращайте внимание на сервисные модели использования программ, формат аутсорсинга.
Но многие защитные меры можно применять и вовсе бесплатно. Пропишите регламенты взаимодействия с критически важной информацией, например, кто из сотрудников имеет доступ к документам, где они должны храниться и т.д. Введите режим коммерческой тайны – это помогает создать дисциплину, ведь не все сотрудники понимают, что корпоративная информация – это ценность, и её потеря – такое же преступление, как кража оборудования со склада.
Обучение основам ИБ-грамотности помогает снизить число случайных инцидентов и ошибок. Рассказывайте коллективу о фишинге, правилах безопасного поведения в интернете и при работе с чувствительной информацией, введите политику безопасных паролей, объясните почему важно блокировать свой сеанс на компьютере или ноутбуке, уходя с рабочего места и т.д.
Комплексное применение даже минимально необходимых мер существенно повышает уровень защиты компании.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
