За последнее время количество кибератак на серверы компаний выросло. Вспомните сбои в работе СДЭК или Wildberries — за всем этим стояли хакеры. Но не стоит надеяться, что мошенники нацелены только на корпорации и не трогают малый и средний бизнес. Защита в небольших компаниях ниже, поэтому они — лакомый кусочек для хакеров. Данные тоже взламывают, деньги похищают, а клиентов обманывают.
Заботиться о защите данных стоит компании любых размеров. В статье расскажем, почему нельзя экономить на кибербезопасности, как ее внедрить и какие инструменты в этом помогут.
Что такое информационная безопасность
Цель информационной безопасности — защита данных и IT-инфраструктуры компании от несанкционированного доступа, случайного или специального. Меры кибербезопасности обеспечивают:
Конфиденциальность. Это значит, что информация не может быть общедоступной. Например, логин и пароль от рабочего компьютера знает только владелец, а доступ к финансовой информации есть у руководителей и топ-менеджеров, но не у линейных работников.
Целостность. Важно, чтобы сведения нельзя было повредить, удалить или внести в них изменения. Например, если злоумышленник проникнет в локальную сеть компании и удалит данные из CRM, то работать будет невозможно. Меры кибербезопасности должны защищать информацию от изменений.
Доступность. Например, у менеджеров по закупкам есть доступ в систему 1С. Хакеры могут поменять пароль в системе, и информация станет недоступной — компания получит большие убытки из-за простоя. Средства защиты данных должны этому помешать.
Информационная безопасность — это не только комплекс специального ПО, но и обучение сотрудников, и меры по восстановлению данных. Все это работает совместно. Например, если в компании стоит качественное защитное ПО, но сами сотрудники не обращают внимания на предупреждения системы и переходят на сомнительные сайты, то данные все равно окажутся под угрозой.
Последствия кибератак делятся на финансовые и репутационные:
Финансовые |
Репутационные |
Потеря клиентов — конкуренты украдут наработки компании и пообещают им более выгодные условия, чтобы переманить. |
Потеря лояльности — если клиенты узнают, что их данные утекли в открытый доступ, они перестанут доверять компании. |
Штрафы за утечку информации — если у компании с партнерами было соглашение о неразглашении (NDA). |
Ухудшение имиджа компании — партнеры расторгнут с фирмой договоры, а инвесторы откажутся от вложений, потому что будут опасаться за свои данные. |
Убытки из-за простоев — пока системы компании не будут работать, клиенты не смогут сделать заказ. |
Ослабление HR-бренда — специалисты и подрядчики не захотят связываться с компанией, которая не может обеспечить безопасность информации. |
Чтобы восстановить репутацию и вновь вступить в конкурентную борьбу, придется потратить время, деньги и усилия. Например, когда у сети отелей Mariott произошла крупная утечка данных, компании пришлось выплатить штраф около 110 млн. долларов. Поэтому лучше предупредить кибератаки, чем думать, как справиться с последствиями, и на средствах защиты не стоит экономить.
Какими бывают киберугрозы?
Глобально вида всего два: внешние и внутренние. Внешние исходят от злоумышленников, а внутренние — от самих сотрудников.
Внешние киберугрозы
Злоумышленники используют различные методы, чтобы получить контроль над данными компании. Расскажем о некоторых из них.
Вредоносное ПО. Это программы для контроля над информацией жертвы — например, для удаления, изменения или скачивания данных на компьютер хакера. Мошенники маскируют вредоносное ПО под безобидные ссылки или программы, чтобы усыпить подозрения жертвы. Вот несколько видов такого ПО:
черви — копируют сами себя на зараженном компьютере, захламляют его и выводят из строя;
шифровальщики — шифруют информацию и требуют у владельца выкуп, чтобы восстановить ее;
трояны — маскируются под безобидные программы и отправляют данные компьютера хакеру;
зомби — «спят» в системе жертвы, пока не получат команду от хакера, и после этого начинают повреждать систему;
шпионы — перехватывают логины и пароли пользователя и отправляют их мошеннику;
руткиты — маскируют работу другого вредоносного ПО.
SQL-инъекции — это внедрение вредоносного кода в базы данных SQL. Код позволяет хакерам похищать данные: банковскую информацию, контакты клиентов, историю покупок. Самый простой способ сделать инъекцию — ввести код в веб-форму на сайте. Если у сайта нет защиты от таких атак, хакеры украдут данные.
Фишинг — обман пользователя, чтобы получить его данные. Например, хакеры маскируют сайты под онлайн-банки, чтобы заставить бухгалтера ввести данные счета. Разновидность фишинга — спуфинг, то есть выдавание себя за знакомого жертвы. Например, хакер может прикинуться коллегой жертвы и попросить у него пароль от компьютера.
MITM — перехват информации в момент ее передачи. Через фишинг или шпионское ПО хакер получает доступ к каналу связи компании, например почте, и может просматривать или удалять сообщения.
DDoS-атаки — многочисленные запросы к серверу компании, которые создают огромную нагрузку на него и выводят из строя. При этом хакеры не могут украсть или изменить данные, но компания все равно получает ущерб из-за простоя и затрат на восстановление систем.
Причины, по которым хакеры атакуют российские компании в 2024 году:
Финансовые. Хакеры похищают базы данных, чтобы продавать их конкурентам — например, злоумышленник украл клиентскую базу компании «Красное и белое» и просил за нее 15 тыс. руб. Также мошенники могут зашифровать важную информацию и потребовать выкуп за расшифровку.
Политические. С 2022 года эксперты зафиксировали всплеск DDoS-атак на СМИ и государственные органы, но данные организаций не были похищены. Такие атаки связаны с политической ситуацией, и цель хакеров — нарушить работу компаний и посеять панику среди пользователей.
Внутренние киберугрозы
Сотрудники тоже могут стать мишенью хакеров. Например, в апреле 2024 года компания Kaspersky рассказала о массовой фишинговой рассылке сотрудникам крупных компаний. Там было указано, что сотрудникам нужно срочно подписать важные документы по ссылке. Если пользователь переходил по ссылке, хакеры получали его данные.
Внутренние киберугрозы делятся на два типа.
Случайные. То есть работник не знает о мерах информационной безопасности и случайно совершает вредоносные действия — например, скачивает на смартфон зараженную музыку с пиратского сайта, а потом перекидывает ее через USB на рабочий компьютер. Или переходит по мошеннической ссылке и запускает вредоносный код в локальную сеть фирмы. По исследованию компании Verizon, 19% кибератак произошло из-за того, что сотрудники не соблюдали правила безопасности.
Намеренные. Иногда сотрудники умышленно крадут конфиденциальные данные — например, отправляют конкуренту базу данных за вознаграждение. По данным Сбера, этот вид угроз занимает 16% от общего числа, но он и самый коварный. Сотрудник может месяцами собирать секретную информацию, и его никто не заподозрит.
Поэтому важно не только установить на серверы антивирусы, но и проследить, чтобы сами сотрудники не спровоцировали утечку данных. Для этого нужно контролировать работников с доступом к секретным данным и регулярно обучать персонал информационной безопасности.
Как понять, есть ли у компании риски кибератак прямо сейчас
Самый надежный способ — организовать penetration test (пентест), или тестирование проникновения в инфраструктуру. Этим занимаются специальные компании — например, Codeby. Цель пентеста — понять, сложно ли будет злоумышленникам получить конфиденциальные данные компании, и отметить слабые места в кибербезопасности.
Пентест состоит из нескольких сценариев, которые имитируют взлом системы. Например:
найти уязвимость в инфраструктуре и проникнуть в нее;
отправить сотрудникам фишинговые письма и посмотреть на их реакцию;
подобрать пароли от учетных записей работников;
попытаться сделать SQL-инъекцию;
организовать DDoS-атаку;
оставить в офисе флешку и проверить, будут ли сотрудники вставлять ее в компьютер;
провести хакерскую атаку, чтобы оценить действия службы безопасности.
Стандартный пентест проходит в пять этапов:
Сбор информации. Специалисты получают данные о компании — домены и поддомены, IP-адреса, список сотрудников, перечень ресурсов и т. д.
-
Поиск уязвимостей. Пентестеры используют ПО (например, Nmap), чтобы просканировать инфраструктуру и найти недочеты.
Проникновение. Тестировщики взламывают систему через найденные уязвимости. Для автоматизации используют специальные программы — эксплойты.
Настройка доступа. Чтобы проникнуть в базу данных и получить права администратора, пентестеры применяют программы-бэкдоры. Если это получилось сделать, система ненадежна и нужно срочно применять меры.
Анализ и отчет. Специалисты описывают уязвимости, оценивают их уровень риска и дают рекомендации по киберзащите.
По запросу пентестеры тестируют сотрудников компании — насколько они знают правила кибербезопасности и сопротивляются фишингу. После всех тестов руководство компании изучает отчет и коллегиально утверждает решение, которое будет учитывать риски, затраты и выгоду.
Компании с критически важной инфраструктурой — например, банки — должны по закону проходить пентесты раз в год и соблюдать стандарты кибербезопасности (положения 382-П, 683-П, 684-П, ГОСТ Р 57580.1-2017 и др.). Но другим компаниям тоже полезно регулярно тестировать безопасность.
Какими бывают технические меры по защите информации
Небольшие и средние компании могут самостоятельно или с помощью специалистов выстроить систему кибербезопасности. Для этого используются различные виды ПО.
Firewall (файрволл). Контролирует входящий и исходящий трафик. Например, распознает подозрительный почтовый адрес или предупреждает сотрудника, если он переходит на непроверенный сайт. Это как фильтр, который не позволяет вредоносной информации просочиться в инфраструктуру компании.
Антивирус. Борется с уже попавшими в локальную сеть вирусами. Но хакеры придумывают все новые и новые вариации, и антивирус не всегда может за ними успеть. Поэтому как панацею его рассматривать не стоит.
Система предотвращения утечки данных (DLP Data Loss Prevention). Следит за перемещением конфиденциальной информации и блокирует передачу, если замечает подозрительную активность.
Системы обнаружения и предотвращения вторжений (IDS/IPS, Intrusion Detection System / Intrusion Prevention System). В режиме реального времени мониторят данные, сетевую активность и внутренние процессы, чтобы не допустить кибератак. IDS/IPS бывают для проверки протоколов, сетей, хостов или гибридные.
Сервис для резервного копирования. Копии информации помогут, если хакеры запустят в систему вирусы-шифровальщики. Но хранить их надо на отдельном сервере или лучше на съемном носителе. Сервисы можно настроить на автоматическое создание копии и шифрование, чтобы усложнить мошенникам доступ к информации.
Все эти меры должны применяться в комплексе, но они не смогут защитить от мошенников, если в компании нет комплексного подхода к обеспечению информационной безопасности. Например, если аккаунт уволенного работника не блокируется автоматически, бывший сотрудник может зайти в него и украсть информацию, чтобы продать новому работодателю.
В крупных компаниях, особенно с критической инфраструктурой (банки, госучреждения), создают специальные центры информационной безопасности — Security Operations Center (SOC). Это целые офисы, сотрудники которых 24/7 отслеживают и блокируют подозрительную активность — например, такой есть у Сбера.
В составе SOC работают разноплановые специалисты: системные администраторы, специалисты по настройке внутренних систем обработки инцидентов (SIEM, SOAR, IRP и т. д.), аналитики, специалисты по реверс-инжинирингу, форензик-эксперты, специалисты по киберразведке. Регулярно (например, раз в неделю) они формируют отчеты, которые анализирует менеджер SOC, чтобы понять, какие угрозы возникают чаще всего и какой ущерб они могут нанести. На основе этого модернизируется система кибербезопасности компании.
У Академии Кодебай есть курс, посвященный такому центру – «Специалист центра мониторинга инцидентов информационной безопасности (SOC)». На нем, под руководством опытных кураторов, вы поймете, как организовать мониторинг безопасности IT сегмента предприятия — какие процессы внедрить и как это сделать? Узнать подробнее.
Как минимизировать человеческий фактор
Даже если вы потратили деньги на отличный антивирус и файрволл, это не гарантирует сохранность информации. Например, сотрудник поверит мошеннику и даст ему доступ от корпоративной почты. Поэтому, чтобы не допустить утечки информации из-за ошибок работников:
Введите корпоративную почту и мессенджер. Информация не должна покидать рабочее инфополе. То есть сотрудники должны общаться по работе только через определенные ресурсы.
Разграничьте доступ. Например, к особо секретной информации могут иметь доступ только топ-менеджеры, проработавшие в компании не менее двух лет. А линейным сотрудникам и новичкам дайте минимальные права доступа.
Закройте доступ к соцсетям и развлекательным сайтам. Вместо этого можно создать корпоративный портал с чатами и новостями, где сотрудники будут общаться и получать информацию.
Внедрите режим коммерческой тайны. Определите, какая информация будет конфиденциальной, и назначьте наказание за ее разглашение — например, штраф или увольнение.
Проведите обучение по обеспечению информационной безопасности предприятия. Расскажите работникам о видах атак и о том, как их избежать, а затем проверьте их знания.
Как провести обучение сотрудников по информационной безопасности
Обучение — это самый бюджетный, но эффективный способ улучшить кибербезопасность. Он направлен на повышение бдительности и информированности команды, помогает избежать ошибок по незнанию.
Чтобы обучение было эффективным, лучше поручить его компании-подрядчику — например, Codeby. Специалисты на основе своего опыта разработают программу, обучат персонал и проведут тестирование.
Обучение может проходить офлайн и онлайн. Для небольших компаний подойдут офлайн-занятия: сотрудников собирают в одном зале, и специалист компании по обучению проводит уроки. Онлайн-обучение проходит в формате видеолекций и вебинаров либо с помощью системы обучения — LMS.
Типы занятий могут быть такими:
лекции — сотрудники слушают экспертов и в конце задают вопросы;
семинары/вебинары — занятия проходят в формате вопрос-ответ, сотрудники сами могут задавать интересующие вопросы по кибербезопасности;
тренинги — практические уроки, на которых преподаватели рассказывают теорию, а затем сразу дают задания;
мастер-классы — преподаватели сами показывают на практике, как они работают с киберугрозами;
тестирование — проверка знаний сотрудников, можно использовать их до и после обучения.
В обучение можно включать геймификацию, то есть игровые методики. Например, давать сотрудникам баллы за успешное прохождение теста, которые потом можно будет обменять на бонусы от компании.
В программу обучения могут входить такие темы:
Методы социальной инженерии — хакерские приемы, которые действуют на доверие людей. Например, использование фишинга, спуфинга и дипфейков, чтобы выманить конфиденциальную информацию.
Цифровая гигиена — правила использования публичных ресурсов и устройств. Например, нельзя вводить свои пароли на чужом устройстве или всегда использовать режим «инкогнито» в публичной сети.
Работа с корпоративной информацией — понятие конфиденциальных данных и ответственность за их разглашение. Например, какие документы относятся к коммерческой тайне, какие действия нельзя с ними выполнять, что говорит на этот счет закон.
Безопасность на удаленке — правила доступа к корпоративной информации вне офиса: в командировке, дома, из общественных мест. Например, нужно использовать VPN и общаться только через корпоративные ресурсы.
Защита информации — методы для безопасности собственного аккаунта. Например, как придумать надежный пароль и где его хранить, что такое двухфакторная аутентификация.
По запросу для некоторых сотрудников проводится углубленное обучение. Например, топ-менеджерам важно знать, как выдавать права доступа, а специалистам службы безопасности — как реагировать на внешние киберугрозы.
Проводить обучение по информационной безопасности нужно регулярно — хотя бы раз в год, потому что хакеры постоянно придумывают все новые способы для своих преступлений.
Что делать при взломе системы
На случай ЧП в компании должен быть заранее продуманный регламент. Это поможет избежать хаотичных действий и быстро сработать по алгоритму. В регламенте нужно указать:
где хранятся резервные копии и кто будет заниматься их восстановлением;
какие органы нужно уведомить при утечке информации;
как найти источник утечки (опросить сотрудников, проверить отчеты системы, посмотреть камеры видеонаблюдения в серверной);
как прекратить дальнейшую утечку;
как оценить ущерб;
какие меры принять для сохранения лояльности клиентов, партнеров и контрагентов;
кто будет ответственным за выполнение регламента (например, руководитель, CEO или начальник службы безопасности).
Это поможет быстро восстановить работоспособность компании и уберечь репутацию.
Если взлом все же произошел, нужно не паниковать, а работать по плану:
Изолируйте систему от хакеров. Например, отключите внешние сети и поменяйте пароли на всех ключевых ресурсах.
Проверьте масштаб бедствия. Просканируйте инфраструктуру и составьте перечень ущерба, который нанесли злоумышленники.
Соберите команду. В нее могут войти специалисты службы безопасности, юристы компании и топ-менеджеры. Определите, как с минимальными потерями вернуться к работе и как сообщить об инциденте клиентам и партнерам.
Устраните угрозы. Если в системе есть вредоносный код, восстанавливать ресурсы нельзя, иначе хакеры снова взломают систему. Сначала нужно определить и устранить уязвимости.
Составьте план восстановления. Сверьтесь с регламентом и отметьте приоритетные ресурсы. Составьте план действий — например, поменять пароли, восстановить ресурс из резервной копии, дать сотрудникам новые доступы.
Сообщите об атаке. Соберите сотрудников, чтобы рассказать об инциденте. Не скрывайте информацию от клиентов, партнеров и СМИ — так вы испортите репутацию.
Примите меры по восстановлению репутации. Будьте на связи со СМИ, чтобы дать развернутые комментарии. Держите партнеров и клиентов в курсе о том, как вы устраняете причину взлома и укрепляете свою безопасность.
Хакерская атака — неприятное событие, но от нее никто не застрахован, даже крупные корпорации с развитой системой безопасности. Например, только в 2024 году хакеры украли базу партнеров крупного облачного сервиса Snowflake, выставили на продажу клиентские данные сервиса Discord и использовали дипфейки на парламентских выборах в Индии. Поэтому важно вложиться в составление регламентов реагирования и восстановление репутации — с этим тоже могут помочь компании-подрядчики.
Коротко о том, почему не стоит экономить на информационной безопасности
Утечка информации рушит репутацию, убивает конкурентные преимущества, нарушает соглашения с подрядчиками и партнерами. Поэтому нельзя экономить на защитных мерах — установке ПО и обучении сотрудников.
Чтобы проверить уровень информационной безопасности, можно обратиться к подрядчику, который проведет пентест. Тест покажет уязвимости в инфраструктуре компании и подсветит слабые места в подготовке сотрудников. По результатам пентеста принимается решение — обучить сотрудников или внедрить дополнительное ПО для защиты информации.
RestTiger
Ощущение, что прочитал выдержку из учебника...
Shaman_RSHU
Причём автор учебника чуть чуть не в теме. Навскидку:
Риски кибербезопасности названы последствиями кибератак (финансовые и репутационные).
В киберугрозах всё перемешено: вредоносное ПО как сущность, SQL-инъекции как технология, Фишинг как техника... Почему тогда не перечислен XSS и всё остальной из OWASP TOP10?
Не припомню кейсов чтобы именно хакеры передавали данные конкурентам. Вот не лояльные сотрудники уносят с собой сплошь и рядом.
Врядли всплеск DDoS-атак на СМИ и государственные органы посеет панику среди пользователей. Большинство населения всё ещё пользуются другими источниками информации (судя по сложившейся вокруг ситуации). Вот если бы заблокировали телевизоры :)
То что написано в абзаце про Firewall больше относится к NGFW.
DLP сама не за чем не следит. Чтобы это средство работало как надо необходим штат высоко квалифицированных специалистов, которые постоянно будут дорабатывать правила, в зависимости от обрабатываемой в компании информацией.
Вот как раз топ-менеджерам и не нужно выдавать доступ к особо секретной информации. Как правило у них исключения в парольной политике, отключен антивирус чтобы не тормозило, исключения по контролю DLP и неограниченный доступ в Интернет.
Как закрытие доступа к развлекательным сайтам повысит уровень безопасности? Тут уже попахивает контролем рабочего времени сотрудников.
Зачем топ-менеджерам знать, как выдавать доступ? Не разу не видел, чтобы топ-менеджер настраивал групповые политики AD или права с CRM/ERP.
Приступать к пентесту внешним подрядчиком стоит только после проведения hardening собственными силами, иначе это пустая трата времени.