Вакцина для бизнеса: 7 шагов,
которые защитят вашу компанию
от вирусов и кибератак

В последние годы тема кибербезопасности становится все более актуальной. В докладе Всемирного экономического форума за 2020 год киберпреступность входит в топ-10 рисков, с которыми мир столкнется в ближайшие 10 лет. Пандемия может его приблизить: этой весной только американские компании стали жаловаться на кибератаки на 300% чаще (количество ежедневных жалоб увеличилось с тысячи до трех-четырех тысяч). О всплеске сообщал и Google, который ежедневно блокирует в среднем 18 млн почтовых мошенников и 240 млн спам-сообщений.

Ошибок, которые совершают компании в организации собственной защищенности, множество: от неграмотности сотрудников в сфере IT до недофинансирования. Но основная из них – дискретный подход к кибербезопасности, при котором компания относится к информационной безопасности не как к постоянному процессу, а как к задаче, которую необходимо один раз выполнить и потом про неё забыть, отмечает технический директор Fortinet в России Алексей Андрияшин. «Между тем, информационная безопасность – это такой же бизнес-процесс, как и другие, и к нему необходимо относиться как к непрерывной, непрекращающейся работе. Нельзя проверять свои системы защиты только раз в неделю или раз в месяц и верить, что ты в безопасности. Угрозы эволюционируют и появляются постоянно, и когда именно состоится атака, предсказать невозможно», – предостерегает эксперт.

Разница в обеспечении безопасности для малого и крупного бизнеса – только в масштабах, считает Андрияшин. В больших компаниях четко распределены роли: кто отвечает за удаленный доступ, кто за обеспечение защиты периметра компании и так далее. В маленьких бизнесах IT и безопасность часто совмещены. «Так удобнее владельцу компании, но, как правило, это большая ошибка», – говорит эксперт. По его мнению, если человек отвечает за IT, он не должен отвечать за безопасность, так как он в первую очередь смотрит на решение IT-задач и порой из-за этого безопасность может пострадать. Важно, чтобы эти роли выполнялись отдельными людьми, подчеркивает он.

Совместно с компанией Fortinet редакция Rusbase подготовила несколько рекомендаций, которые будут полезны вне зависимости от размера вашего бизнеса. В первую очередь необходимо соблюдать три основных принципа, уверен Андрияшин: конфиденциальность, целостность и доступность. На этой триаде строится информационная безопасность во всем мире для всех без исключения компаний: и малых, и больших.

Совместный опрос Университета Мэриленда и Университета Джона Хопкинса показал, что около 30% людей никогда не использовали двухфакторную аутентификацию на своих устройствах. А 64% и вовсе никогда о ней не слышали.

Вместе с тем двухфакторная аутентификация – это дополнительный уровень безопасности для доступа к онлайн-платформам или девайсам. Как правило, первый уровень – это традиционный пароль, состоящий из цифр и букв, а второй – дополнительные данные, которые должен ввести пользователь. Это может быть, например, электронная подпись, биометрические данные, идентификация местоположения (когда банк блокирует операции, если они совершаются в нетипичном для человека регионе) и так далее.

Вечером 4 июля 2019 года документы пользователей сервиса Google Docs, не скрытые настройками приватности, оказались доступны в поисковой выдаче «Яндекса». На выдачу файлов из Google Docs обратили внимание сами пользователи, информация об этом быстро распространилась в социальных сетях. В публичном доступе оказались документы с самой разной информацией — от участия компаний в тендерах до паролей к кредитным картам. Многие из попавших в открытый доступ документов оказались доступными для редактирования и подверглись вандализму.

При этом в облачных хранилищах труднее обнаружить несанкционированный доступ, а войти в них можно из любой точки мира. 61% пользователей SMB считают, что данные в облаках хранить небезопасно, однако 94% предпринимателей до сих пор пользуются облачными сервисами. Облакам действительно не доверяют многие компании, указывает Андрияшин из Fortinet, но при должном уровне контроля и современных инструментах, которые активно применяются по всему миру, это надёжная и очень удобная технология.

Американское Агентство кибербезопасности и охраны инфраструктуры считает сегментацию и сегрегацию данных необходимым условием планирования IT-инфраструктуры компании. Как указывает агентство, это эффективный механизм безопасности, предотвращающий распространение вирусов и перемещение злоумышленников по внутренней сети. В слабо сегментированной сети преступники могут получить доступ к критически важным устройствам и системам, даже если попали в сеть через junior-сотрудника.

Ещё одна важнейшая мера безопасности компаний – шифрование данных. К 2021 году глобальный IP-трафик данных, по прогнозам, составит 278 108 петабайт в месяц. Благодаря шифрованию часть этих данных хакеры точно не смогут взломать – процесс предполагает, что любой фрагмент информации кодируется и читается только тем человеком, который может использовать специальный ключ.

86% руководителей компаний считают, что удалённые сотрудники угрожают безопасности данных компании. В это же верят и 90% специалистов по кибербезопасности. Такой высокий процент обнадёживает экспертов – если стейкхолдеры осознают угрозу, они будут в неё инвестировать. Во время пандемии спрос на системы и решения, которые обеспечивают защищённую удалённую работу, резко вырос, это был самый популярный запрос бизнеса, отмечает Андрияшин: «Доступ был к ним и раньше, но именно в эти несколько месяцев популярность таких инструментов была колоссальной». При общем сокращении рынка IT в России в 2020 году сегмент кибербезопасности показывал уверенный рост, добавляет он.

Одно из наиболее верных решений для безопасности удалённых сотрудников – использование VPN, даже когда сотрудники работают через домашний Wi-Fi. Этот инструмент направляет трафик через интернет из частной сети вашей организации и тем самым обеспечивает большую безопасность. Любой, кто попытается перехватить зашифрованные данные, не сможет их прочитать.

Неосведомленность сотрудников приводит к утечкам данных и проникновению вредоносных программ – в 2019 году более 75% руководителей были уверены, что сотрудники случайно подвергли риску корпоративную информацию, в то время как 92% сотрудников заявили, что не делали ничего, что могло бы поставить под удар бизнес.

Часто атаки совершаются неумышленно, самими сотрудниками компании, которые не подозревают о возможных последствиях, подтверждает Андрияшин: «Построить процесс так, чтобы сотрудники полностью были лишены возможности совершить ошибку, невозможно». Опасность может таить даже работа с электронной почтой: любое взаимодействие с зловредным сообщением (открытие прикреплённого файла, переход по ссылке и так далее) может привести к атаке, объясняет он.

Для того, чтобы сотрудники не совершали ошибок, недостаточно составить регламент и отправить его по электронной почте. Нужно регулярно – хотя бы раз в квартал – проводить киберучения: тренинги, лекции, ролевые игры, иначе сотрудники забудут об опасности. Кроме этого, компаниям стоит как можно чаще распространять новости о кибербезопасности, памятки, правила и экстренные контакты сотрудников, которые смогут среагировать на возникшую проблему.

Эксперты EY говорят о том, что в 2019 году 54% компаний включили кибербезопасность в область экспертизы, которую запрашивает совет директоров, по сравнению с 40% годом ранее. При этом только 12% компаний привлекают для анализа рисков бизнеса внешних экспертов по кибербезопасности. Однако крупным компаниям полезно приглашать сторонних экспертов для оценки систем безопасности, считает Андрияшин из Fortinet. Некоторые компании, например, в финансовом секторе, даже обязаны это делать, согласно требованиям законодательства. «Это очень дорогая и сложная услуга, но хотя бы раз в год такие проверки устраивать необходимо», – советует он.

В 2017-2019 годах 53 компании из различных секторов экономики (здравоохранение, финансы, потребительские товары, информационные технологии, телекоммуникации) провели эксперимент – начали работать с экспертами по IT-безопасности. Средний балл по компаниям вырос с 6,1 до 8,5 (из 14 показателей по безопасности компании с точки зрения IT) за три года экспериментов.

В то же время дефицит грамотных специалистов чувствуется настолько остро, что во время пандемии 400 волонтёров с опытом в кибербезопасности объединились в группу Covid-19 CTI League, чтобы бороться с кибератаками, связанными с новым коронавирусом. По данным Reuters, группа охватывает более 40 стран и включает в себя в том числе руководящих специалистов таких крупных IT-компаний, как Microsoft и Amazon.

Пока корпорации и госучреждения продолжают укреплять свои компьютерные системы на случай кибератаки, важно помнить, что угрозой для безопасности могут быть и сами сотрудники. Тот же Эдвард Сноуден, который скопировал и опубликовал секретную информацию Агентства национальной безопасности США, – наглядная тому иллюстрация.

В опросе The Wall Street Journal (WSJ) среди руководителей служб кибербезопасности (в нём приняли участие почти 400 компаний) 67% заявили, что их беспокоят злонамеренные сотрудники. Это значительно меньше, чем доля тех, кто рассматривал как угрозу киберпреступников (88%), но больше, чем тех, кто беспокоился о так называемых хактивистах и хакерах, работающих на государства (63% и 60% соответственно).

Традиционно основным способом защиты организаций от инсайдерских атак была проверка кандидата службой безопасности. Однако подобную оценку уже работающих сотрудников обычно не проводят. По данным WSJ, 76% внутренних злоумышленников не устроились работать в компанию с намерением что-то украсть, а приняли решение пойти на преступление уже во время работы: из-за ухудшения материального положения, негативного опыта работы, алкогольной или наркотической зависимости, плохого менеджмента и так далее.

Одной из наиболее распространённых причин успеха кибератак является пренебрежение обучением по вопросам безопасности. Неподготовленный персонал вероятнее станет жертвой фишинга и, не задумываясь, введет свои персональные данные на сомнительном сайте, в ответ на письмо, во всплывающем окне. Кроме того, большинство организаций позволяют сотрудникам использовать личные устройства для работы: ноутбуки, смартфоны, планшеты, что с точки зрения корпоративной безопасности недопустимо.

Простых решений этой проблемы нет, но каждый сотрудник может сам делать небольшие шаги, чтобы по мере возможности обезопасить компанию:

Отношение и компаний, и сотрудников к кибербезопасности меняется – они становятся всё более осведомленными о том, что угрозы действительно могут коснуться каждого бизнеса и каждого человека, отмечает Андрияшин. «Если в предыдущие годы мы зачастую только рассказывали компаниям о том, что угрозы развиваются, то сейчас мы видим, что на практике многие компании начинают внедрять все необходимые решения. Убеждать кого-то, что их системы должны быть готовы к киберугрозам, уже не нужно», – считает он.