Пять способов защитить бизнес от киберпреступников

Кто и что под угрозой

База с персональными данными клиентов и сотрудников. Её взлом приводит к утечкам, с которыми в прошлом году столкнулись три четверти россиян. Это подсчитали аналитики Data Leakage & Breach Intelligence (DLBI). Они выяснили, что в сеть попали около 100 млн уникальных email-адресов и 110 млн телефонных номеров жителей страны. Из российских банковских карт были скомпрометированы не меньше 13 млн штук, отмечает Сбербанк — и это только с февраля по июнь 2022-го.

Персональные данные не уберегли сервисы, которыми россияне пользуются ежедневно: «Яндекс.Еда», СДЭК, «Туту.ру», «Почта России», Kwork и сотни других. Публичной становится не только платежная или адресная информация, но и медицинская. Недавно в рунете всплыли личные записи сотен тысяч клиентов «Ситилаб», а от одной из самых крупных утечек пострадали 30 млн пользователей «Гемотеста». 

Если симки и банковские карты можно заблокировать и перевыпустить — пусть на это и уйдут миллиарды рублей, то слив, например, результатов анализа на ВИЧ может серьезно испортить жизнь человека. 

Посредники и поставщики. Даже если организация хорошо защищена, злоумышленники могут дотянуться до нее через службу доставки или консалтинг. И, как правило, наибольший вред у преступников получается нанести, если они успешно атакуют вендоров софта и железа. Ведь куда проще не штурмовать серверы условного ритейлера «в лоб», а зайти «с тыла». Например, внедрить программу-шпиона в кассы самообслуживания, поставляемые третьей стороной. 

Поскольку даже корпорации не в силах контролировать каждый шаг поставщиков, через них хакеры могут месяцами собирать чувствительную информацию, оставаясь при этом незамеченными. Как это случилось с SolarWinds и Microsoft. В 2020 году в обновления их софта внедрили вирус, и под угрозой оказались данные десятков тысяч частных компаний и их клиентов по всему миру, а также данные госучреждений. В том числе почтовые адреса американских министерств финансов, торговли и национальной безопасности, стратегия США по борьбе с ковидной пандемией и даже записи контрразведки.

Сотрудники с низкой цифровой грамотностью. Это еще одна мишень кибермошенников. У офис-менеджеров зачастую такой же уровень доступа к ИТ-системе компании, как и у работников отдела информационной безопасности. Хотя у этих двух групп разное понимание цифровых рисков и разная кибергигиена: администратора офиса вряд ли смутит стикер с паролем на мониторе и ключ вроде «qwerty 123». По наблюдениям VK, именно эту комбинацию предпочитают россияне, вместе с «qwerty1», «123456», «йцукен» и, конечно, «пароль».

Как защититься 

Хакеры — это бизнесмены. Для них все упирается в деньги. Прибыль от взлома должна превосходить затраты на штат, вычислительные мощности, аренду помещения. Так что бизнесу для ИТ-самозащиты нужно повышать «порог входа»: сделать кибератаку невозможной на сто процентов вряд ли выйдет, а вот нерентабельной — вполне реально даже для небольшого проекта.

Для этого ответственным за информационную безопасность нужно:

Внимательно изучать закон. В первую очередь ФЗ-152 «О персональных данных», а также ФЗ-187 «О безопасности критической информационной инфраструктуры» — чтобы понять, считать ли компанию субъектом КИИ. Если да, важно смотреть приказ ФСТЭК от 25 декабря 2017 г. №239 — там есть указания, как обезопасить значимые объекты.

Не распыляться. Не пытайтесь найти и закрыть все дыры сразу — лучше определить самые важные для бизнеса процессы, системы и данные. Так, маркетплейс должен заботиться об «обороне» сайта и приложения, а финтех — защитить платежный шлюз.

Нащупывать бреши в защите. Тестировать ИТ-систему — анализировать, как она защищена — нужно регулярно. Слабые места, естественно, придется «залатать». 

Формулировать требования к контрагентам. Особенно это важно для крупных игроков — установить требования не только к самому сервису или товару, но и к общей ИТ-безопасности поставщика. Например, спрашивать о методах киберзащиты и лицензиях на соответствующее ПО. Небольшому бизнесу это может показаться излишним — но потратив однажды полчаса на выяснение, каким антивирусом пользуется вендор, компания может защитить себя от потери денег и клиентов.

Повышать цифровую грамотность персонала. Проводить лекции с практическими заданиями, давать сотрудникам безопасные и удобные ИТ-инструменты, оповещать их о новых угрозах.

Эти шаги займут время и потребуют инвестиций. Но расходы на киберзащиту будут меньше потенциальных расходов на устранение финансового и репутационного ущерба от взломов. Особенно с учетом того, что импортозамещение и перестройка рынка будут провоцировать мошенников на новые атаки. Российский бизнес и потребители, вероятно, еще не раз столкнутся с утечками и сбоями, если не будут соблюдать элементарные правила кибергигиены. 

Фото на обложке: Freepik/Freepik