Чим більше IT-рішень впроваджує бізнес, тим вища ймовірність, що він зіткнеться з руйнівною силою кібератак. У разі успішного злому зловмисники можуть отримати всю конфіденційну інформацію компанії та її клієнтів, а також вивести з ладу системи компанії, тим самим припинивши її роботу. Єдиний спосіб уникнути катастрофічних наслідків – вчасно виявити вразливості. Дмитро Будорін, СЕО міжнародної компанії у сфері кібербезпеки Hacken, спеціально для Mind розповів, як захистити свій бізнес від кібератак і яким міфам вже не варто вірити.
Якою є ціна легковажності? Недооцінювати ризик кібератак і масштаби збитку – це заперечувати факти і піддавати бізнес небезпеці. За даними Cybersecurity Ventures збитки від хакерських нападів до 2021 року складуть $6 трлн (для порівняння: у 2015 році кіберзлочини оцінили в $3 трлн). Липневий звіт Hackmageddon цього року називає шкідливе ПЗ головним методом атаки, від якого страждають як окремі сфери економіки, так і приватні особи.
У зоні ризику – всі організації, незалежно від форми власності, розміру або галузі. Бізнес атакують не машини, а люди, причому дуже талановиті: немає єдиного алгоритму або антидоту для їхньої нейтралізації.
Збиток від кібератак буває економічний, репутаційний та юридичний.
Фінансові втрати компанії обумовлені крадіжкою корпоративної фінансової інформації, наприклад, банківських реквізитів або даних платіжних карт. Чорні хакери можуть вкрасти як кошти компанії, так і гроші з банківських карт клієнтів.
Репутаційний збиток – втрата довіри клієнтів.
Що стосується юридичної відповідальності, закони про захист даних вимагають від бізнесу оберігати як дані клієнтів, так і співробітників. Якщо необхідних заходів не було вжито й інформацію скомпрометовано – бізнесу загрожують штрафи та санкції. Для компаній, що працюють у Європі, наслідки особливо неприємні: згідно GDPR (General Data Protection Regulation), штрафи можуть досягати 20 млн євро або 4% річного обороту бізнесу.
Захист даних – головний біль не лише відділу інформаційної безпеки. Це один з головних бізнес-ризиків на сьогоднішній день в цілому.
Яким міфам вже не варто вірити? Хибні уявлення про ризики – головні спільники кібератак. Саме тому важливо розвіяти багато популярних міфів.
Міф 1. Фаєрвол ідеально захищає мережу
Фаєрвол – це елемент комп'ютерної мережі для фільтрації трафіку. Фаєрволи бувають програмні (наприклад, брандмауер Windows) і програмно-апаратні (до них належать роутери). Фаєрволів у корпоративній мережі може бути декілька: один захищає від проникнення всю мережу, інші – окремі сегменти. Але навіть така складна система не завжди є стовідсотковим захистом. Існують протоколи шифрування даних, які унеможливлюють фільтрацію трафіку.
Міф 2. Антивірусу достатньо
Вакцинація від грипу не захищає від інших вірусів. Так само і з антивірусним ПЗ: воно не завжди рятує від черв'яків, троянів, вірусів-вимагачів, кейлогерів, програм-шпигунів, руткітів та інших шкідливих програм.
Міф 3. VPN = повна анонімність
VPN (Virtual Private Network) можна порівняти з фіранками на вікнах: вони допомагають приховати те, що відбувається всередині кімнати від сторонніх очей, але не можуть змусити кімнату зникнути. Далеко не всі сервіси гарантують анонімність. Найчастіше VPN-провайдер орендує сервер у третіх осіб, тому немає жодної гарантії, що власник серверу не «зливає» дані.
Що робити «про всяк випадок»? Є низка заходів, які допоможуть організації убезпечити свої дані. Ось невеличкий чек-лист.
Створення резервної копії даних. Хмарні сервіси дозволяють зберігати резервну копію даних поза робочим місцем і гаджетами, що дає змогу отримувати до неї доступ у будь-який час з будь-якого пристрою, навіть якщо дані на робочому девайсі буде загублено.
Мінімізація використання мобільних пристроїв. Планшети і смартфони анітрохи не менш схильні до атак. TechBeacon наводить результати дослідження, яке показало, що компанії, що дозволяють співробітникам використовувати мобільні девайси для роботи, регулярно піддаються нападам. Якщо цих гаджетів більше 500, шанс стати жертвою атаки – 100%. Середня кількість атак – 54 на рік (на один бізнес). Це привід розробити правила безпеки, що забороняють працювати зі стратегічно важливою інформацією зі смартфона.
Використання ліцензійного ПЗ. Слід використовувати ліцензійне програмне забезпечення і регулярно встановлювати оновлення. У будь-якому софті є вразливості, розробники регулярно тестують його на помилки і випускають необхідні патчі. А ось піратські версії цієї переваги позбавлені. Не кажучи вже про те, що піратська версія може від самого початку містити шкідливий код.
Протидія фішингу. Фішинг – вид шахрайства, при якому зловмисник, використовуючи різноманітні хитрощі, підштовхує користувача добровільно надати особисті дані. Не завадять і тренінги з безпеки, де кожен співробітник дізнається, як розпізнати і не допустити спробу фішингу.
Контроль надійності паролів. За інформацією CSO, 81% витоків даних відбуваються через злам паролів. Тому команда повинна знати, як виглядають надійні та ненадійні паролі. Не буде зайвим встановити менеджери паролів, які автоматично їх генеруватимуть і зберігатимуть.
Використання 2FA (two-factor authentication). Двофакторна аутентифікація – це подвійний захист: спочатку система запитує у вас пароль, а потім ще відправляє код підтвердження на інший пристрій (наприклад, SMS на телефон). Навіть якщо зловмисник підбере пароль, він не зможе авторизуватися без доступу до другого девайсу.
Як протистояти атаці? Навіть якщо ви виконуєте всі профілактичні рекомендації зі списку вище, це ще не панацея. Компанії слід самостійно шукати свої вразливі місця, залучаючи білих хакерів.
Білі хакери – це фахівці зі злому, які користуються тими ж методами, що і кіберзлочинці, чорні хакери. Ось тільки цілі у етичних хакерів інші: вони шукають уразливості, щоб розповісти про них компанії і допомогти захистити дані бізнесу і клієнтів.
Подивитися, як працюють етичні хакери, можна буде на bug bounty марафоні Hacken Cup, який пройде в рамках форуму кібербезпеки HackIT (8-11 жовтня, КВЦ «Парковий» у Києві). У марафоні змагатимуться одні з кращих білих хакерів з усього світу.
У програмі форуму – дводенна конференція, день тренінгів, поїздка на Чорнобильську АЕС, змагання для білих хакерів. Загалом на конференції виступлять понад 30 спікерів – топових експертів у сфері інформаційної безпеки.
У числі доповідачів – Моксі Марлінспайк (співзасновник найзахищенішого месенджера Signal), Динис Гарда (СЕО і засновник Ztudium), Брайан Горенц (директор Trend Micro Zero Day Initiative), Ібрагім Хегазі (старший консультант з безпеки Deloitte), Ремінгтон Онг (партнер Fenbushi Capital ), Педро Фортуна (співзасновник і СТО Jscrambler) та інші експерти.
Стати жертвою кібератаки може будь-яка компанія. Ідеальних систем не існує, хакери в будь-якому випадку здатні знайти лазівку. Отже тут діє правило «не можеш перемогти – очоль». Тому якщо свідомо відкрити білим хакерам доступ до інфраструктури бізнесу – вони допоможуть знайти уразливості, щоб усунути їх.