Рубрики:

Спасти и сохранить: как защитить компанию от утечек и «сливов» ценных данных

Алексей Дрозд

Прочтёте за 3 мин.

«Атака на руководителя – самая опасная, ведь у него доступы ко всем важным активам»

IT-инструменты, которые использует Алексей Дрозд

DLP СёрчИнформ
TimeInformer
Facebook
Zoom

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как защитить важную служебную информацию, в своей авторской колонке рассказал начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд.

Досье

Алексей Дрозд – начальник отдела информационной безопасности компании «СёрчИнформ». По основной специальности – физик, прошёл профессиональную переподготовку по программе «Информационная безопасность». Автор публикаций и учебных программ по администрированию и практике применения DLP-систем для специалистов по информационной безопасности. Модератор и спикер профильных форумов и конференций.

Малый и средний бизнес – тоже в зоне риска

Хакеры зашифровали данные в IT-инфраструктуре корпорации Colonial Pipeline и вынудили её заплатить выкуп в 5 млн. долларов, чтобы восстановить работу нефтепровода. Сотрудника Apple поймали в аэропорту на пути в Китай с технической документацией на разработку новейшего беспилотника. Всё это касается только крупных компаний? У рядового производства или дизайн-студии нечего украсть, они никому не интересны, верно? Нет.

По статистике половина всех шпионских атак направлена на небольшие компании. Атаковать их обычно проще – и вот почему:

В небольших компаниях хакеры редко встречают сопротивление. Как правило, у малого бизнеса стоит простейшая антивирусная программа, возможно ещё файрвол (сетевой экран, защищающий от несанкционированного доступа), но этого недостаточно.
В компаниях малого и среднего бизнеса очень часто нет собственного отдела безопасности. Более того – часто в штате нет даже IT-специалиста.
Как логичное следствие из п. 2 – зачастую культура защиты данных в компании очень низкая. Информация может храниться и пересылаться в открытом виде, а программное обеспечение не обновляться, из-за чего злоумышленники могут использовать «незапатченные» (то есть не исправленные) уязвимости.
Сотрудники часто не знают базовых принципов цифровой гигиены. Поэтому хакерам порой даже не приходится заморачиваться – достаточно составить умеренно правдоподобное фишинговое письмо со ссылкой на заражённый ресурс или с вредоносным вложением, которое будет содержать вирус-шифровальщик или вирус-шпион.

Атака на босса

При этом цифровая грамотность топ-менеджеров тоже может быть невысокой. А атака на руководителя – самая опасная, т.к. у него есть доступы ко всем критически важным активам.

Владельцам и руководителям компаний важно понимать, какие типичные риски для них существуют. Вот вероятные и опасные ситуации, которые могут быть актуальны для малого бизнеса:

1. Атака вирусами-шифровальщиками

С шифровальщиками сталкиваю многие компании, и этот тип вируса стал настоящим бичом для бизнеса. Ситуация только ухудшается, потому что мошенники постоянно меняют подход к организации атаки. Несколько лет назад хакеры использовали несовершенные вирусы, ключ шифрования мог оставаться внутри кода. Тем самым, оставался шанс успешного извлечения зашифрованных данных. Но сейчас используется новое поколение «зловредов», и если у вас не настроено резервное копирование, с данными скорее всего придется распрощаться.

Поэтому в самых критичных ситуациях компании решаются платить мошенникам, но нет гарантии, что данные вернут – и вернут в целости. Кроме того, мошенники сейчас всё чаще избирают стратегию двойного вымогательства. Данные они сначала могут слить себе, а только потом зашифровать. Это может стать поводом для шантажа компании. Самые креативные преступники заводят отдельные сайты-витрины, где выкладывают похищенные данные компаний, отказавшихся от выплаты выкупа. Данные даже пытаются продать конкурентам.

«Доставляться» вирус-шифровальщик может через фишинговые рассылки, подброшенные флешки, удалённый доступ, который злоумышленник может получить из-за слабого пароля в корпоративных сервисах и т.д.

2. Несанкционированный доступ к активам компании

Не нужно объяснять, что случится, если третьи лица получат доступ к вашим счетам, базе 1С или даже к электронной почте. Злоумышленники могут сделать это, используя те же способы, которые описаны выше. А могут получить учётные данные через инсайдера, воспользоваться учёткой уволенного сотрудника. Проблема в том, что шпион в сети может оставаться незамеченным многие месяцы. За это время злоумышленник может завершить в сети все свои дела, а может передать доступ кому-то ещё.

3. DDoS-атаки

Эти атаки нагружают сервер компании запросами до тех пор, пока он не начнёт «зависать» или вовсе не «ляжет». Главная опасность для бизнеса в том, что DDoS-атаки стали популярным механизмом заказного вредительства. Например, если ваша компания организует распродажу в «Чёрную пятницу», конкурирующий интернет-магазин может заказать DDoS-атаку на ваш сервер, что сделает невозможным покупки в этот день и нанесёт прямой финансовый ущерб. Заказать такую атаку, к сожалению, несложно – «услугу» оказывают обитатели даркнета.

4. Утечки данных и промышленный шпионаж

Данные компании могут быть интересны злоумышленникам и сами по себе – для пополнения массовых баз в даркнете, особенно если в вашей компании хранятся персональные данные клиентов (а это скорее всего так). Часто их удаётся просто собрать с помощью программы (спарсить), если базы данных лежат в открытом виде. И это очень распространённая проблема.

Также охотиться на данные могут и прицельно. Конкуренты выходят на определённых людей в компании, чтобы подкупом или шантажом заставить слить нужную информацию. Другой вариант – использовать инсайдеров обманом: выманить документы и сведения, используя упомянутый выше фишинг или другие методы социальной инженерии.

Атаки с помощью инсайдера – самый опасный и трудно фиксируемый вид угрозы, и самый главный враг малого и среднего бизнеса.

5. «Боковые» и мошеннические схемы сотрудников

В открытом доступе сложно найти статистику про реальный масштаб этих нарушений на стыке информационной и экономической безопасности. Компании предпочитают не распространяться насчёт злоупотреблений сотрудников и не обращаются по этому поводу в суды. Но ещё чаще – могут просто не знать о наличии проблемы.

Мы работаем с компаниями сектора МСБ как аутсорсеры внутренней безопасности, и собрали некоторые наблюдения о распространённости нарушений. Так, в каждой из компаний, с которой мы сотрудничаем, встречаются попытки слива данных о клиентах, технологиях и других документов с коммерческой тайной. 81% компаний сталкиваются с попытками сотрудников создать откатные и другие мошеннические схемы. В 76% компаний обнаруживают, что сотрудники подрабатывают или ведут параллельный бизнес на рабочем месте.

Удалёнка негативно отражается на этой ситуации, т.к. сотрудников становится сложнее контролировать, а в МСБ часто нет проработанных регламентов на этот счёт и редко применяется контролирующее ПО.

Что делать

Такой внушительный перечень угроз при существующем уровне защищённости – не приговор для малого бизнеса. По большому счёту, главные векторы достаточной защиты таковы:

1. Безопасная IT-инфраструктура:

Проверьте, как и где хранятся данные, кто из сотрудников может к ним обращаться. Доступ к конфиденциальной информации должен быть разграничен и предоставлен только тем сотрудникам, которым он нужен по роду деятельности, а не всем подряд.
Для передачи данных нужно использовать только шифрованные каналы (https, ftps, VPN-сервисы).
Обновление ПО должно быть обязательным – устаревшие приложения могут содержать критические уязвимости, о которых злоумышленники всегда знают.
Настройте резервное копирование данных.

Это не полный перечень необходимых технических мер, но достаточный для старта. Наши специалисты готовили более подробный чек-лист, по которому можно двигаться последовательно.

2. Устранение риска человеческого фактора:

Обучите сотрудников основам информационной безопасности. Минимум «образовательной программы» – это рассказ о приёмах социальной инженерии и фишинге, в частности, правилах парольной политики, безопасном поведении на рабочем месте (необходимость блокировать компьютеры, избегать непроверенных флешек и т.п.).
Вводите регламенты и подписывайте соглашения о неразглашении данных. Не делайте из этого пустую формальность, пусть ваша команда осознаёт, что в компании к вопросу защиты данных относятся серьёзно.
Установите программу для контроля сотрудников. Базовый вариант – тайм-трекер с расширенными функциями. В идеале – DLP-система, которая фиксирует все коммуникации и пересылку информации в компании. У хорошего ПО также бывают доступны функции смежных продуктов, что позволит оптимизировать затраты.

ОБЗОР СЕРВИСОВ ДЛЯ КОНТРОЛЯ СОТРУДНИКОВ

Читать обзор

Выбирая IT-продукты, узнайте насчёт того, хорошо ли они интегрируются друг с другом – это в перспективе также позволит сэкономить силы и деньги. Многие продукты доступны сегодня по подписке, в облачном формате или по программам аутсорсинга. В этом случае вы сможете обойтись без сотрудника в штате. Это ценная возможность, так как при существующем кадровом дефиците даже крупные корпорации испытывают трудности с наймом специалистов по информационной безопасности.

P.S.

Наступил момент, когда бизнес больше не может избежать расходов на информационную безопасность. Вопрос в том, как сделать это оптимально. Практика показывает, что выигрывает всегда тот, кто подумал о проблеме заранее. В контексте нашего разговора – тот, кто заложил основы безопасной работы в саму культуру бизнес-процессов.