ИБ-шторм еще не закончился: как защититься малому и среднему бизнесу
Среди пострадавших с громкими именами — «Яндекс.Еда», Школа управления «Сколково», СДЭК, Delivery Club, DNS, «Гемотест». Как малому и среднему бизнесу защитить себя, рассказывает Дмитрий Ковалев, руководитель департамента информационной безопасности «Сиссофт».
Несмотря на то, что медиа публикуют, в основном, новости о взломах ИТ-инфраструктуры крупных брендов, малый и средний бизнес сегодня тоже регулярно попадает под атаки. По данным сервиса разведки утечек данных DLBI, за первые полгода 2022-го к злоумышленникам попал 61 млн записей.
Сценарии взлома
Времена, когда злоумышленники охотились главным образом за данными в банковском секторе и информацией о транзакциях, чтобы затем украсть деньги, прошли. Самой главной “добычей” становится информация, будь то персональные, коммерческие данные или сведения о технологических процессах. Поэтому сегодня под угрозой абсолютно все отрасли бизнеса: онлайн ритейл, энергетика, производство, доставка еды, транспорт, медицина, сфера телекоммуникаций и т. д.
Принципиально новых массовых алгоритмов взломов в этом году не появилось. Базовые сценарии кибератак похожи: хакеры все также используют фишинговые рассылки, телефонное мошенничество, зловредов-вымогателей, АРТ (направленные атаки), социальную инженерию и DDoS-атаки.
Несмотря на то, что методы проникновения в организацию остаются прежними, арсенал онлайн-преступников постоянно обновляется. Однако малый и средний бизнес традиционно предпочитает обходиться скромными бюджетами на инструменты ИБ или вовсе не тратиться на защиту своей инфраструктуры, надеясь на главный национальный антивирус — русское “авось”.
В результате компании не занимаются профилактикой возможных действий злоумышленников и отказываются от превентивных действий. Это ошибочная стратегия – малый и средний бизнес экономит время и деньги себе во вред. Рано или поздно организация оказывается в ситуации постоянного “тушения пожаров” и “заделывания дыр” в контуре компании. Часть бизнесов, столкнувшись с продолжительной хакерской атакой, и вовсе не выдерживают натиска и несут значительные потери.
Алгоритм спасения
Только системная работа над усилением ИБ-безопасности предприятия может защитить критически важные процессы и данные компании. Причем, стоит это не так много, как может показаться. Особенно если учесть, что дыры в информационной безопасности грозят многомиллионными потерями, остановкой рабочих процессов и большими репутационными рисками.
Что важно сделать малому и среднему бизнесу в первую очередь:
Первое – провести анализ рабочих процессов. Первым делом важно выявить критичные бизнес-процессы в компании, остановка или некорректная работа которых может повлиять на бизнес. Затем их стоит ранжировать по степени влияния на жизнь компании, клиентский сервис и работоспособность сотрудников.
Нужно проверить какие средства защиты компания уже использует и как обезопасить процессы, которые ранее не были защищены. Для этого важно ответить на вопрос: какие у компании есть на данный момент инструменты для минимизации рисков. Такими “инструментами” могут выступать не только технологии. Подумайте, какие эксперты есть у вас внутри компании, какие процессы стоит перестроить, чтобы усилить информационную безопасность.
Этот анализ поможет сформулировать основные шаги, которые важно предпринять компании для обеспечения бесперебойной работы, или главные вопросы, которые стоит задать на консультации специалистам по ИБ, чтобы прикинуть пул необходимых программ, составить бюджет и обосновать траты на усиление защиты своих ИТ-систем.
Второе – защитить корпоративную почту. Наиболее распространенный путь попадания хакера внутрь инфраструктуры — через письмо сотруднику компании. Если ИТ-системы и рабочие бизнес-приложении (в том числе почта), не защищены и у компании не подключена “песочница” (изолированная контролируемая среда для безопасного исполнения программ), вероятность проникновения зловреда в систему предприятия очень велика.
В среднем защита почты для 50 пользователей будет стоить от 50 тыс. рублей в год, стоимость “песочницы” в среднем составляет от 2, 7 тыс. за лицензию (минимальная закупка — 250 штук). Впрочем, на рынке много решений под любой бюджет и потребности. Использование данных средств защиты позволит предотвратить проникновение зловредного программного обеспечения в инфраструктуру. А, значит, конфиденциальная информация, письма, адресная книга, файлы не попадут в чужие руки.
Наличие комплексного решения по защите почты, в том числе антиспам-решений, позволят компаниям СМБ обеспечить базовый уровень защиты.
Третье – повысить уровень ИБ-грамотности рядовых сотрудников. Недостаточно защитить почтовый ящик только с помощью технологий. Почта — это инструмент, которым пользуются живые люди. А людям свойственно уставать, ошибаться и терять бдительность, даже если они обладают нужными знаниями в области информационной безопасности. Впрочем, в большинстве случаев таких компетенций у сотрудников все же нет. К тому же мало знать, как распознать фишинговые рассылки и звонки от мошенников, важно понимать базовый алгоритм действий в такой ситуации.
Социальная инженерия (способы манипулирования людьми для получения несанкционированного доступа к данным) до сих пор остается одним из самых легких способов получить доступ к нужным знаниям. Так как люди — одновременно и самое сильный и самый слабый элемент любой компании. Человеческий фактор снижает эффективность защиты ИТ-систем компании даже в том случае, когда компания активно вкладывает средства в экосистему современных решений для обеспечения информационной безопасности. Поэтому важно систематически вкладываться в развитие цифровых компетенций своих сотрудников.
Для этого нужно:
● провести лекции о безопасной работе на корпоративном оборудовании и личных девайсах;
● объяснить правила парольной политики в организации;
● обучить пользователей определять подозрительные сообщения, вложения, ссылки, звонки, картинки и видео;
● разъяснить алгоритм работы с любыми внешними носителями информации.
Четвертое – провести анализ защищенности и выявить критические уязвимости. В ситуации, когда с российского рынка ушли многие зарубежные вендоры ПО, локальные компании остались без возможности обновлять уже купленные программы. Удаленная работа, отъезд ИТ-специалистов, необходимость замены продуктов и экстренной интеграции отечественных и зарубежных программ приводит к использованию “костылей” и самописных решений. В совокупности все это приводит к появлению систематических “болезней” в ИТ-системах компании. Найти эти слабые места, поставить правильный диагноз и начать лечение помогает пентест (от английского penetration test) — тестирование инфраструктуры или web-приложений на проникновение изнутри и снаружи.
Аудит руками пентестеров поможет бизнесу понять фактический уровень надежности своей инфраструктуры и бизнес-приложений. Практика показывает, что спрос на эти услуги на российском рынке за последние полгода значительно вырос. Компания может обратиться к этичным или белым хакерам, которые взломают на заказ ИТ-систему и онлайн-сервисы компании (сайт, бизнес-приложения), обнаружат слабые места, составят отчет о главных проблемах и способах их решения. Данная услуга принесет бизнесу только пользу, потому что поможет своевременно найти уязвимости — до того, как их используют злоумышленники.
В итоге пентест помогает подсветить узкие места в системе безопасности внешнего периметра организации. Для некоторых отраслей необходимость регулярного пентеста закреплена законодательно: например, не реже, чем раз в год через пентест должны проходить российские банки.
Стоимость пентеста зависит от задач и сроков, которые ставит перед легальными хакерами компания. В среднем цены на пентест начинаются от 300 тысяч рублей. Средний чек на тестирование веб-приложений зависит от размера онлайн ресурса и его архитектуры, бюджет на пентест периметра компании будет зависеть от размера инфраструктуры, целей пентеста и заранее выбранных сценариев действий нарушителей, которые требуется проверить.
Резюме
Персональные и корпоративные данные — ценный вид цифровой валюты, очень интересный для мошенников. Кибератаки на все виды и размеры бизнеса, и, как результат, утечки данных, не прекратятся. Несоблюдение правил информационной безопасности — как с технической стороны, так и со стороны самих сотрудников — может дорого стоить бизнесу.
Чтобы минимизировать атаки злоумышленников и утечки данных (по вине хакеров или работников предприятия), важно четко знать, что, как и для чего защищает компания. Для этого нужно обезопасить критически важные рабочие процессы и позаботиться о повышении цифровой грамотности всех пользователей рабочих систем.
Опубликовано 27.12.2022