Белые хакеры против черных: как найти и залатать брешь в киберзхащите компании

Мировой ущерб от киберпреступлений за последние годы оценивается от $300 млрд до $1 трлн. К 2022 году он может достичь $8 трлн, полагают аналитики британского агентства Juniper Research. Как предотвратить убытки, обезопасить данные и финансы украинских компаний? Об этом рассказали спикеры Legal Forum Technology. Media. Telecommunications, состоявшегося 22 ноября.

Онлайн-ресурс для проверки уязвимостей. В Украине стартует проект Hacken. «Это платформа, на которой любая компания может разместить свой продукт, а белые хакеры со всего мира его протестируют и получат вознаграждение, если найдут уязвимости», – рассказал соучредитель Hacken Егор Аушев. Во время тестирования самого проекта в альфа-версии «препарировано» пять крупных отечественных компаний, выявлено около 500 уязвимостей. Клиенты смогут рассчитываться за услуги в криптовалюте Hacken, которую создали разработчики одноименной платформы.

Егор Аушев уверяет, что данные заказчиков проверки защищены: «Некоторые клиенты опасаются, что тестировщики могут украсть информацию. Чтобы избежать этих рисков, мы все юридически зарегулировали, выбирали известных, с лучшими рейтингами в мире белых хакеров».

Для привлечения средств Hacken вышли на IСО и привлекли $3 млн. «Пока этой суммы достаточно для развития платформы», – рассказал Егор Аушев.

Крупнейшая дыра в броне компаний. Сегодня самой главной уязвимостью любой компании является персонал, отметили спикеры форума. «Можно купить много современного и дорогостоящего оборудования по кибербезопасности, настроить ПО. Но если сотрудники не знают элементарные правила цифровой гигиены, то все технические способы защиты можно будет обойти с помощью методов социальной инженерии (персонал сам станет выдавать необходимые пароли, доступы и информацию злоумышленникам)», – подчеркивал операционный директор 10Guardes Виталий Якушев.

Визионер CIOneer Андрей Погорелый привел хрестоматийный пример: «В 2004–2005 годах одну очень крупную компанию, которая инвестировала огромные деньги в информационную безопасность, хакеры пытались атаковать много раз. Вначале безуспешно. Потом изменили тактику. Поставили под офисом компании раскладку с дисками, на которых были популярные фильмы и музыка. На каждый из дисков записали вирус». По словам Андрея Погорелого, стойка простояла три дня, до тех пор, пока сотрудник компании не купил диск и не вставил его в рабочий компьютер.

«Это была идеальная атака. Хакеры украли огромный объем информации и денег. И в дальнейшем инструменты социальной инженерии будут использоваться злоумышленниками в первую очередь. Потому что они основываются на двух главных слабостях человека: любопытстве и жадности. Необученный сотрудник, который найдет флешку, с 90% вероятности вставит ее в компьютер, чтобы посмотреть, что на ней записано», – отметил визионер CIOneer.

Защита персональных данных клиентов. Спикеры отметили, что многие компании уже научились правильно хранить информацию клиентов, поэтому хакеры ищут новые лазейки для кражи данных. «Важно правильно передавать данные, чтобы их не перехватили. К примеру, использование открытых Wi-Fi-сетей приводит к тому, что информация утекает из незащищенных каналов. Тот же VPN можно применять не только для того, чтобы заходить на запрещенные ресурсы, а и для защиты данных. Мы рекомендуем, помимо использования шифрованных каналов, шифровать и саму информацию, например, пользоваться крипто-контейнерами», – рассказал Виталий Якушев. Он отметил, что, с одной стороны, это усложняет процедуру обмена информацией, но, с другой, компания будет уверена, что информация не уйдет «налево».

Спикеры напомнили, что в мае 2018 года вступает в силу Общий регламент по защите персональных данных ЕС (General Data Protection Regulation – GDPR). «Если украинская компания работает с персональными данными граждан Евросоюза – она должна выполнять GDPR. При утечке информации – будет нести ответственность: 4% от годового оборота либо 20 млн евро. Конечно, можно надеяться, что Печерский суд поможет выиграть дело. Но санкций ЕС никто не отменял», – иронизирует Виталий Якушев.

Правильные резервные копии. После июньской кибератаки многие компании стали делать бекапы, отметили спикеры. «Но большинство предприятий (по нашим оценкам, не менее 80%) не тестирует процедуры восстановления, не проверяет корректность сделанных резервных копий», – подчеркнул Андрей Погорелый.

По оценкам CIOneer, от вируса Petya.А пострадали около 70% украинских компаний. «Остальным преимущественно повезло: либо не установили обновление MeDoc, либо главбух был в отпуске. И только незначительная часть компаний оперативно восстановилась, потому что у них был план восстановления, они заранее тестировали бекапы», – отметил Андрей Погорелый.

Создание центров реагирования на киберугрозы (СERT). Пока в Украине только два таких центра. Один – государственный при Госспецсвязи – CERT-UA. Второй – частный – CYS-Centrum, созданный экс-руководителем первого. «Нашей стране нужны десятки таких центров. Для сравнения: в Германии их 35, в Чехии 28. Мы уже полгода пытаемся создать CERT при «Укроборонпроме», который будет обеспечивать безопасность 130 предприятий концерна. Но за это время недалеко продвинулись, даже имея политическую волю. Поскольку в нашей стране запрещено все, что не разрешено, приходится сталкиваться с бюрократическими барьерами», – подчеркнул Егор Аушев.