В 2023 году средний ущерб от кибератак для российских компаний составил 20 млн руб. — и это только деньги, без репутационных потерь, нервов и роста рисков повторных вторжений. В первом квартале 2024-го тенденция продолжилась: количество инцидентов увеличилось как минимум на 7%. Сегодня у любого бизнеса есть ИТ-составляющая: сайт, базы товаров и клиентов, ПО, оборудование, подключенное к интернету, или просто страница в соцсети. Значит, вы уже находитесь в зоне риска, вопрос только в его уровне. Давайте проверим!

1. Минимизируйте влияние «человеческого фактора»

Как думаете, какое самое слабое звено в почти любом, даже ультразащищенном контуре? Человек. Поэтому одним из наиболее действенных способов кибератак является так называемая социальная инженерия. 

Сегодня это уже не богатые дедушки, измывающиеся от посмертного желания передать наследство в ваши руки, а вполне адекватные сообщения. Например, письмо от «босса» с просьбой срочно оплатить счет, сообщение от HR с предложением пройти коллективный опрос или оперативное требование от ИТ-департамента обновить программу для спасения от “страшной киберугрозы”, нависшей над компанией. В первом порыве человек без лишних раздумий совершает необдуманное действие. 

Эксперты посчитали, что в 2024 году социальная инженерия остается опаснейшей угрозой не только для частных лиц (доля таких инцидентов составляет колоссальные 85%), но и для бизнеса — такой вектор атак выбирается в 52% случаев.

Самый яркий инцидент по использованию в преступных целях «человеческого фактора» зафиксирован в 2022 году. Тогда вьетнамский криптовалютный проект Sky Mavis ограбили на $540 млн. Мошенники предложили одному из старших разработчиков компании должность в несуществующей студии с весьма щедрой зарплатой. Сотрудник заинтересовался, прошел «отбор» и получил заветный оффер — PDF-файл с привязанной шпионской программой. Скачал его на компьютер, подключенный к корпоративной сети — и впустил внутрь хакеров, которые впоследствии вывели полмиллиарда долларов на свои счета.

Но «человеческий фактор» может быть и проактивным в виде воровства данных («Какой продавец не уходил из компании с полной базой клиентов?»), заходов на корпоративные ресурсы с небезопасных устройств, использования простых или, ещё хуже, простых и повторяющихся паролей, написанных на стикере, наклеенном на монитор. 

Как снизить риски:

1. Проводите регулярные тренинги для сотрудников. Учите их не доверять чрезмерно щедрым предложениям и не использовать корпоративные устройства в личных целях. Рассказывайте о случаях, похожих на взлом Sky Mavis. 

2. Ограничьте права доступа. Строгое разграничение даже при взломе сокращает ущерб. 

3. Придерживайтесь принципа наименьших привилегий. То есть, «сотрудникам должны предоставляться минимальные возможности, необходимые для выполнения поставленной перед ними задачи». Если перефразировать: дайте человеку только то, что нужно для работы, не более.

4. Пользуйтесь средствами защиты. Межсетевые экраны (брандмауэры) и антивирусы для того и придумали.    

2. Проверьте наличие уязвимостей в ИТ-контуре

«Инфосистемы Джет» сообщает, что 96% российских компаний можно взломать с помощью уязвимостей, которые уже описаны в сети. Все из-за несвоевременного обновления ПО. Получается, что даже начинающий хакер может просто купить инструкцию в даркнете и попытать счастье на попавшихся под руку IT-контурах — и в 9 из 10 случаев попадет в точку. Не удивительно, что в каждой третьей (34%) успешной атаке на организации злоумышленники эксплуатировали уязвимости.

В сентябре 2017 года произошла одна из крупнейших утечек в истории США — тогда бюро кредитных историй Equifax сообщило о «потере» личных данных 143 млн американцев, канадцев и англичан. На секунду, это около 18% всей базы компании, собиравшейся с 1899 года. Как показало дальнейшее расследование, причина весьма банальна —  широко известная в узких хакерских кругах уязвимость в IT-контуре, которую не успели «залатать». 

Как снизить риски:

• используйте сложные и уникальные пароли;

• IPS, Firewall, DDOS-protection — возьмите на вооружение;

• подключите многофакторную аутентификацию;

• проведите сегментацию сети;

• внедрите надежное решение класса EDR для защиты конечных устройств;

• внедрите решение с технологией Sandbox;

• регулярно обновляйте операционные системы и ПО;

• регулярно пересматривайте права сотрудников;

• не забывайте про аудиты ИТ-безопасности. 

3. Обеспечьте ресурсами и кадрами отдел ИБ

Сегодня даже малый и средний бизнес всерьез вкладываются в информационную безопасность. Как показывает статистика Yandex Cloud, каждая четвертая компания в 2023 году отметила увеличение объемов финансовых вливаний в ИБ-отделы. Причем суммы выросли в среднем на 20%. Все это необходимо для повышения уровня реальной защищенности. Это особенно актуально для российской экономики, которая после 2022 года столкнулась с беспрецедентным количеством хакерских атак. Облачный провайдер Nubes сообщает, что сегодня около 15% ИТ-бюджета расходуются именно на блок ИБ. Процентная доля может быть и выше в зависимости от специфики деятельности.

11 июня на ПМЭФ-2024 завершилась сессия с громким названием «Взломать нельзя защитить: как встать на стражу информационной безопасности». Вот несколько интересных фактов, озвученных на сессии:

• треть организаций в мире вынуждены отражать кибератаки ежедневно;

• попытки взлома и хищения данных происходят каждые 40 секунд;

• на мировом и отечественном рынке существует острая нехватка специалистов в области информационной безопасности.

Уже сейчас регулярное финансирование отдела информационной безопасности — это не прихоть или эксперименты, а острая необходимость. Конечно, если бизнес не хочет оказаться на грани банкротства. Цифровой мир кажется неосязаемым, но именно там крутятся ваши деньги. 

Как снизить риски:

• бюджет ИБ не должен формироваться по остаточному принципу (в среднем, компании инвестируют в ИБ около 15% от общего ИТ-бюджета);

• регулярно расширять штат, «бороться» за качественных специалистов, которых не так много на рынке;

• предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;

• заказывайте аудит у сторонних безопасников — свежий взгляд никогда не помешает. 

4. Закажите внешний аудит ИБ 

Эксперты компании Servicepipe заявили, что в 2024 году хакеры изменили ряд классических стратегий. Теперь популярны «ковровые» атаки, когда нападениям одновременно подвергаются все ресурсы организации. Злоумышленники развиваются вместе с методами защиты. И чтобы понять, насколько ваш контур защищен в текущий конкретный момент, проводятся аудиты. Как правило, ограничиваются внутренними. Но этого не всегда бывает достаточно.

Яркий пример — взлом децентрализованной биржи Velocore в июне 2024 года. Потери составили $10 млн. А всего пару дней ранее хакеры взломали японскую компанию DMM Bitcoin и украли более $305 млн. В о боих случаях руководство доверило аудит не тем специалистам, понадеявшись на прошлые успехи. Эксперты по ИБ упустили критические уязвимости в системе, что привело к проникновению злоумышленников внутрь контура, внушительным финансовым и репутационным потерям. Предстоит череда судебных разбирательств с аудиторами, но факт взлома это уже не отменит.

Как снизить риски: рекомендуется проводить аудит ИБ не реже одного раза в год или чаще, в зависимости от сложности структуры. Речь идет именно о внешнем аудите, когда к проверке подключается компания, специализирующаяся на информационной безопасности.

5. Выбирайте российские ИТ-решения, если есть возможность

В 2022 году сложилась ситуация, которую многие организации даже не рассматривали в качестве потенциальной угрозы. Компании не один год строили ИТ-контуры на базе решений зарубежных вендоров, а те практически одномоментно покинули российский рынок. Специалисты по безопасности потеряли доступ к обновлениям, помогающим содержать структуру ИБ в работоспособном состоянии. По данным исследования Naumen, одновременно с этим 56% российских компаний лишились техподдержки. Все это наложилось на распространение «хактивизма» и рост количества инцидентов в стране.

В 2023 году специалисты Минпромторг сообщили, что доля российских ИБ-решений на предприятиях критической информационной инфраструктуры, подотчетной ведомству, в большинстве случаев не превышает 50-70%. В 2024 году курс на вытеснение зарубежного ПО идет полным ходом — просто потому, что так бизнес устраняет лишние риски. Отечественный вендор не прекратит поддержку и не будет препятствовать развитию сферы информационной безопасности России. 

Другая сторона вопроса — соблюдение законодательства. В Указе Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» сказано, что к 1 января 2025 года компании горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и госсектор обязаны полностью перейти на отечественные ИБ-решения. Не исключено, что в будущем требование распространится и на другие сферы.

Как снизить риски: если такая возможность присутствует, отдавайте предпочтение российским решениям в области информационной безопасности. Это надежнее в плане бизнес-рисков и соблюдения законов.

6. Обзаведитесь менеджером паролей для бизнеса

По данным «Лаборатории Касперского», объем утечек данных в 2023 году увеличился на 33%, причем более половины из них содержат информацию о паролях, и это — свыше 47 млн записей. Есть и другая интересная цифра от агентства Verizon — 80% нарушений, связанных с хакерским взломом, так или иначе, касаются паролей. Все ведет к одному выводу: столь ценная информация хранится недостаточно надежно. А как именно?

В высокотехнологичном 2024 году основным способом хранения паролей является его запоминание — об этом сообщили 59% респондентов BusinessWere. И, соответственно, использование одного пароля везде, где только можно. Ведь так его проще запомнить. Еще хуже, когда комбинации цифр и букв записываются на стикеры и приклеиваются на экраны рядом с рабочим местом.  

Опросы показывают, что сотрудники осознают риски: 68% работников призывают работодателей предоставить им доступ к надежным и удобным менеджерам паролей для защиты их учетных данных. Но руководство не всегда прислушивается к подобным идеям. Самое печальное, что компании, привыкшие работать по старинке, осознают свои ошибки только по факту взлома. Ведущие эксперты по кибербезопасности, в том числе и мы, считают, что использование корпоративных менеджеров паролей является наиболее безопасным способом их хранения. Игнорирование проблемы ведет к весьма серьезным последствиям. Так, по данным «Лаборатории Касперского», в 2024 году количество утекших паролей в России выросло в шесть раз. Прямо сейчас в киберпреступных телеграмм-каналах можно найти свыше 361 млн слитых аккаунтов — это почти в 2,5 раза больше населения России.

Как снизить риски:

• установите в компании менеджер паролей отечественной разработки (например, «ОдинКлюч» или аналоги);

• проводите апробацию внедряемого ПО, так как не все менеджеры паролей добросовестно выполняют свою функцию и могут хранить информацию в открытом виде (или ключ шифрования рядом с защищаемыми данными) — эффективность подобных решений сомнительна;

• организуйте тренинги с привлечением специалистов по ИБ. 

7. Внимательнее относитесь к ИТ-инфраструктуре партнеров

Действия хакеров, направленные на взлом компаний через контрагентов, уже носят систематический характер. Эксперты прогнозируют увеличение числа атак на организации через их подрядчиков на 10-25% в 2024 году. И здесь хорошо просматривается логика злоумышленников: зачем «в лоб» ударять по хорошей обороне компании, если можно воспользоваться уязвимостями партнера, который не особо занимается ИБ. Так и ресурсы экономятся, и эффект достигается быстрее. Специалисты «РТК-Солар» заявляют, что современные хакеры активнее используют киберразведку для подготовки целевых атак. То есть, изучают каждого, даже незначительного на первый взгляд подрядчика, имеющего хоть какой-то доступ к ИТ-контуру желанного объекта. 

Хорошо иллюстрирует проблему взлом платформы SolarWinds в 2020 году. Тогда хакеры атаковали ресурсы разработчика и заразили вредоносным ПО их продукт — промышленное программное обеспечение для управления сетями. Им пользовались 18 тыс. клиентов по всему миру, включая Госдеп, Министерство внутренней безопасности США, Министерство энергетики США и другие государственные ведомства. И все, кто скачал обновление, оказались «заражены». Стоит только гадать, к каким последствиям это могло привести, если бы ситуация не была вовремя локализована. 

Как снизить риски:

• предоставляйте доступ к информационной инфраструктуре своей компании только проверенным подрядчикам;

• запрашивайте у подрядчиков результаты независимого аудита их ИБ-контура (при его отсутствии — настаивайте на проведении, фиксируйте требование в договоре).

Финальное слово

Сегодня ни одна компания не в безопасности — киберугрозы повсюду. Ни крупнейшие корпорации, ни микробизнесы. При этом есть базовые и недорогие пути, способные радикально снизить уровень ИТ-рисков.