Захворіло у світі
11,910,220
Померло у світі
545,728
Вилікувалось у світі
6,505,587
Захворіло в Україні
50,414
Померло в Україні
1,306
Вилікувалось в Україні
23,119
Білі хакери проти чорних: як знайти і залатати пробоїну в кіберзахисті компанії

Білі хакери проти чорних: як знайти і залатати пробоїну в кіберзахисті компанії

Чому «ідеальні» атаки здійснюються завдяки цікавості й жадібності

Цей матеріал також доступний російською
Білі хакери проти чорних: як знайти і залатати пробоїну в кіберзахисті компанії
Фото Shutterstock

Світові збитки від кіберзлочинів за останні роки оцінюються в суму від $300 млрд до $1 трлн. До 2022 року вони можуть досягти $8 трлн, вважають аналітики британського агентства Juniper Research. Як запобігти збиткам, убезпечити дані та фінанси українських компаній? Про це розповіли спікери Legal Forum Technology. Media. Telecommunications, що відбувся 22 листопада.

Онлайн-ресурс для перевірки вразливостей. В Україні стартує проект Hacken. «Це платформа, на якій будь-яка компанія може розмістити свій продукт, а білі хакери з усього світу його протестують і отримають винагороду, якщо знайдуть уразливості», – розповів співзасновник Hacken Єгор Аушев. Під час тестування самого проекту в альфа-версії «препарували» п'ять великих вітчизняних компаній і виявили близько 500 вразливостей. Клієнти зможуть розраховуватися за послуги в криптовалюті Hacken, яку створили розробники однойменної платформи.

Єгор Аушев запевняє, що дані замовників перевірки захищені: «Деякі клієнти побоюються, що тестувальники можуть вкрасти інформацію. Щоб уникнути цих ризиків, ми все юридично зарегулювали, обирали відомих, з кращими рейтингами в світі, білих хакерів».

Для залучення коштів Hacken вийшов на IСО і залучив $3 млн. «Поки цієї суми достатньо для розвитку платформи», – розповів Єгор Аушев.

Найбільша діра у броні компаній. Сьогодні найголовнішою вразливістю будь-якої компанії є персонал, відзначили спікери форуму. «Можна придбати багато сучасного і дорогого обладнання з кібербезпеки, налаштувати ПЗ. Але якщо співробітники не знають елементарних правил цифрової гігієни, то всі технічні способи захисту можна буде обійти за допомогою методів соціальної інженерії (персонал сам видаватиме необхідні паролі, доступи й інформацію зловмисникам)», – підкреслив операційний директор 10Guardes Віталій Якушев.

Візіонер CIOneer Андрій Погорелий навів хрестоматійний приклад: «У 2004–2005 роках одну дуже велику компанію, яка інвестувала величезні гроші в інформаційну безпеку, хакери намагалися атакувати багато разів. Спочатку безуспішно. Потім змінили тактику. Поставили під офісом компанії розкладку з дисками, на яких були популярні фільми і музика. На кожен з дисків записали вірус». За словами Андрія Погорелого, стійка простояла три дні – доти, поки співробітник компанії не купив диск і не вставив його в робочий комп'ютер.

«Це була ідеальна атака. Хакери вкрали величезний обсяг інформації та грошей. І в подальшому інструменти соціальної інженерії використовуватимуться зловмисниками в першу чергу. Тому що вони ґрунтуються на двох головних слабкостях людини: цікавості і жадібності. Ненавчений співробітник, який знайде флешку, з 90% ймовірності вставить її в комп'ютер, щоб подивитися, що на ній записано», – зазначив візіонер CIOneer.

Захист персональних даних клієнтів. Спікери відзначили, що багато компаній вже навчилися правильно зберігати інформацію клієнтів, тому хакери шукають нові лазівки для крадіжки даних. «Важливо правильно передавати дані, щоб їх не перехопили. Наприклад, використання відкритих Wi-Fi-мереж призводить до того, що інформація витікає з незахищених каналів. Той же VPN можна застосовувати не тільки для того, щоб заходити на заборонені ресурси, а й для захисту даних. Ми рекомендуємо крім використання шифрованих каналів шифрувати і саму інформацію, наприклад, користуватися криптоконтейнерами», – каже Віталій Якушев. Він зазначає, що, з одного боку, це ускладнює процедуру обміну інформацією, але з іншого – компанія буде впевнена, що інформація не піде «наліво».

Спікери нагадали, що в травні 2018 року набирає чинності Загальний регламент щодо захисту персональних даних ЄС (General Data Protection Regulation, GDPR). «Якщо українська компанія працює з персональними даними громадян Євросоюзу – вона повинна виконувати GDPR. При витоку інформації – нестиме відповідальність: 4% від річного обороту або 20 млн євро. Звичайно, можна сподіватися, що Печерський суд допоможе виграти справу. Але санкцій ЄС ніхто не скасовував», – іронізує Віталій Якушев.

Правильні резервні копії. Після червневої кібератаки багато компаній стали робити бекапи, відзначили спікери. «Але більшість підприємств (за нашими оцінками, не менше 80%) не тестують процедури відновлення, не перевіряють коректність зроблених резервних копій», – підкреслив Андрій Погорелий.

За оцінками CIOneer, від вірусу Petya.А постраждали близько 70% українських компаній. «Іншим переважно пощастило: або не встановили оновлення MeDoc, або головбух перебував у відпустці. І тільки незначна частина компаній оперативно відновилася, бо у них був план відновлення, вони заздалегідь тестували бекапи», – зазначив Андрій Погорелий.

Створення центрів реагування на кіберзагрози (СERT). Поки в Україні лише два таких центри. Один – державний при Держспецзв'язку – CERT-UA. Другий – приватний – CYS-Centrum, створений екс-керівником першого. «Нашій країні потрібні десятки таких центрів. Для порівняння: у Німеччині їх 35, в Чехії 28. Ми вже півроку намагаємося створити CERT при «Укроборонпромі», який «охоронятиме» безпеку 130 підприємств концерну. Але за цей час недалеко просунулися, навіть маючи політичну волю. Оскільки в нашій країні заборонено все, що не дозволено, доводиться стикатися з бюрократичними бар'єрами», – підкреслив Єгор Аушев.

Стежте за актуальними новинами бізнесу та економіки у наших Telegram-каналах Mind.Live та Mind.UA, а також Viber-чаті