Хакеры не спят: как обезопасить бизнес от кибератак

Чем больше IT-решений внедряет бизнес, тем выше вероятность, что он столкнется с разрушительной силой кибератак. В случае успешного взлома злоумышленники могут получить всю конфиденциальную информацию компании и ее клиентов, а также вывести из строя системы компании, тем самым приостановив ее работу. Единственный способ избежать катастрофических последствий – вовремя обнаружить уязвимости. Дмитрий Будорин, СЕО международной компании в сфере кибербезопасности Hacken, специально для Mind рассказал, как защитить свой бизнес от кибератак и каким мифам уже не стоит верить.

Какова цена беспечности? Недооценивать риск кибератак и масштабы ущерба – значит, отрицать факты и подвергать бизнес опасности. По данным Cybersecurity Ventures убытки от хакерских атак составят $6 трлн к 2021 году (для сравнения: в 2015 году киберпреступления оценили в $3 трлн). Июльский отчет Hackmageddon этого года называет вредоносное ПО главным методом атаки, от которого страдают как отдельные сферы, так и частные лица.

В зоне риска – все организации, вне зависимости от формы собственности, размера или отрасли. Бизнес атакуют не машины, а люди, причем очень талантливые: нет единого алгоритма или антидота для их нейтрализации.

Ущерб от кибератак бывает экономический, репутационный и юридический.

Финансовые потери компании обусловлены кражей корпоративной финансовой информации, например, банковских реквизитов или данных платежных карт. Черные хакеры могут украсть как средства компании, так и деньги с банковских карт клиентов.

Репутационный ущерб – потеря доверия клиентов.

Что касается юридической ответственности, законы о защите данных требуют от бизнеса оберегать как данные клиентов, так и сотрудников. Если необходимые меры не были приняты и информация скомпрометирована – бизнесу грозят штрафы и санкции. Для компаний, работающих в Европе, последствия особенно неприятны: согласно GDPR (General Data Protection Regulation), штрафы могут достигать 20 млн евро или 4% годового оборота бизнеса.  

Защита данных – головная боль не только отдела информационной безопасности. Это один из главных бизнес-рисков на сегодняшний день в целом.

Каким мифам уже не стоит верить? Ошибочные представления о рисках – главные союзники кибератак. Именно поэтому важно развеять многие популярные мифы.

Миф 1. Фаервол идеально защищает сеть

Фаервол – это элемент компьютерной сети для фильтрации трафика. Фаерволы бывают программные (например, брандмауэр Windows) и программно-аппаратные (к ним относятся роутеры). Фаерволов в корпоративной сети может быть несколько: один защищает от проникновения всю сеть, другие – отдельные сегменты. Но даже такая сложная система не всегда является стопроцентной защитой. Существуют протоколы шифрования данных, которые делают невозможной фильтрацию трафика.

Миф 2. Антивируса достаточно

Вакцинация от гриппа не защищает от других вирусов. Так же и с антивирусным ПО: оно не всегда спасает от червей, троянов, вирусов-вымогателей, кейлоггеров, программ-шпионов, руткитов и других вредоносных ПО.

Миф 3. VPN = полная анонимность

VPN (Virtual Private Network) можно сравнить с занавесками на окнах: они помогают скрыть происходящее внутри комнаты от посторонних глаз, но не могут заставить комнату исчезнуть. Далеко не все сервисы гарантируют анонимность. Чаще всего VPN-провайдер арендует сервер у третьих лиц, поэтому нет никакой гарантии, что собственник сервера не «сливает» данные.

Что предпринять «на всякий случай»? Есть ряд мер, которые помогут организации обезопасить свои данные. Вот небольшой чек-лист.

Создание резервной копии данных. Облачные сервисы позволяют хранить резервную копию данных вне рабочего места и гаджетов, что дает возможность получать к ней доступ в любое время с любого устройства, даже если данные на рабочем девайсе будут утеряны.

Минимизация использования мобильных устройств. Планшеты и смартфоны ничуть не меньше подвержены атакам. TechBeacon приводит результаты исследования, показавшего, что компании, которые позволяют сотрудникам использовать мобильные девайсы для работы, регулярно подвергаются нападениям. Если этих гаджетов более 500, шанс стать жертвой атаки – 100%. Среднее количество атак – 54 в год (на один бизнес). Это повод разработать правила безопасности, запрещающие работать со стратегически важной информацией со смартфона.

Использование лицензионного ПО. Следует использовать лицензионное программное обеспечение и регулярно устанавливать обновления. В любом софте есть уязвимости, разработчики регулярно тестируют его на ошибки и выпускают необходимые патчи. А вот пиратские версии этого преимущества лишены. Не говоря уже о том, что пиратская версия может изначально содержать вредоносный код.

Противодействие фишингу. Фишинг – вид мошенничества, при котором злоумышленник, используя разнообразные уловки, подталкивает пользователя добровольно предоставить личные данные. Не будут лишними тренинги по безопасности, где каждый сотрудник узнает, как распознать и не допустить попытку фишинга.

Контроль надежности паролей. По информации CSO, 81% утечек данных происходят из-за взлома паролей. Поэтому команда должна знать, как выглядят надежные и ненадежные пароли. Не будет лишним установить менеджеры паролей, которые будут их автоматически генерировать и сохранять.

Использование 2FA (two-factor authentication). Двухфакторная аутентификация – это двойная защита: сначала система запрашивает у вас пароль, а потом еще отправляет код подтверждения на другое устройство (например, SMS на телефон). Даже если злоумышленник подберет пароль, он не сможет авторизоваться без доступа ко второму девайсу.  

Как противостоять атаке? Даже если вы выполняете все профилактические рекомендации из списка выше, это еще не панацея. Компании следует самостоятельно искать свои уязвимые места, привлекая белых хакеров.

Белые хакеры – это специалисты по взлому, которые пользуются теми же методами, что и киберпреступники, черные хакеры. Вот только цели у этичных хакеров другие: они ищут уязвимости, чтобы рассказать о них компании и помочь защитить данные бизнеса и клиентов.

Посмотреть, как работают этичные хакеры, можно будет на bug bounty марафоне Hacken Cup, который пройдет в рамках форума кибербезопасности HackIT (8–11 октября, КВЦ «Парковый», Киев). В марафоне будут соревноваться одни из лучших белые хакеры со всего мира.

В программе форума – двухдневная конференция, день тренингов, поездка на Чернобыльскую АЭС, соревнования для белых хакеров. В общей сложности на конференции выступят более 30 спикеров – топовых экспертов в сфере информационной безопасности.

В числе докладчиков – Мокси Марлинспайк (сооснователь самого защищенного мессенджера Signal), Динис Гарда (СЕО и основатель Ztudium), Брайан Горенц (директор Trend Micro Zero Day Initiative), Ибрагим Хегази (старший консультант по безопасности Deloitte), Ремингтон Онг (партнер Fenbushi Capital), Педро Фортуна (сооснователь и СТО Jscrambler) и другие эксперты.

Стать жертвой кибератаки может любая компания. Идеальных систем не существует, хакеры в любом случае способны найти лазейку. Так что здесь действует правило «не можешь победить – возглавь». Поэтому если сознательно открыть белым хакерам доступ к инфраструктуре бизнеса – они помогут найти уязвимости, чтобы устранить их.