Колонки

За что хвататься в инфобезопасности, если вы малый или средний бизнес

Колонки
Алексей Дрозд
Алексей Дрозд

руководитель отдела информационной безопасности «СёрчИнформ»

Софья Федосеева

Киберпреступления в 2019 году принесли триллионы долларов убытков. Предполагается, что к 2027 году глобальные расходы на кибербезопасность достигнут 10 миллиардов долларов в год — как оборонный бюджет целой страны. Проблема в том, что все эти огромные цифры — инвестиции крупного бизнеса. 

Руководитель отдела информационной безопасности «СёрчИнформ» Алексей Дрозд рассказывает, на что разумно тратиться малому и среднему бизнесу. 

За что хвататься в инфобезопасности, если вы малый или средний бизнес

В этом году жертвами киберпреступлений стали крупнейшие, хорошо финансируемые и наиболее подкованных в области ИБ предприятия: банки, государственные учреждения, торговые компании, операторы сотовой связи.

Если даже крупные игроки не всегда могут защитить себя, то что делать среднему и малому бизнесу, в котором бюджет на информационную безопасность на порядки скромнее? Ниже — соображения на этот счет, но сначала один факт.

По статистике, половина всех кибератак направлена ​​на малый бизнес.

Владельцы малого бизнеса часто не обращают внимания на кибербезопасность, думая, что из-за размера находятся вне поля интересов преступников. Именно это и делает такие компании идеальной мишенью. 

Один из лучших способов подготовиться к кибератаке — понять, какие методы используют злоумышленники. Список ниже — не исчерпывающий перечень потенциальных угроз. Но владельцам компаний следует знать о наиболее типичных видах атак.


APT (advanced persistent threats) — целевая кибератака

Это направленные атаки, в ходе которых хакеры взламывают корпоративную сеть в несколько этапов, чтобы избежать обнаружения.

Как только злоумышленник получает доступ к сети, он старается оставаться незамеченным и понемногу увеличивает бреши в обороне. Если одна уязвимость будет обнаружена и устранена, злоумышленники войдут с другой стороны и продолжат наносить вред. В «Лаборатории Касперского» утверждают, что злоумышленники остаются незамеченными в среднем 200 дней.



Если говорить про APT как про атаку на конкретную компанию, эта угроза для малого бизнеса менее вероятна. Подобный «налет» — дело дорогое и долгое, хакеры идут на атаку, если она того стоит. Пример классической жертвы — банк. Но вот когда цель — это конкретная уязвимость, малый и средний бизнес под раздачу попадает очень часто.


DDoS (distributed denial of service)

Эти атаки нагружают сервер компании запросами до тех пор, пока он не начнет «зависать» или вовсе не перестанет работать. Главная опасность для бизнеса в том, что DDoS-атаки стали популярным механизмом заказного вредительства.

Например, если ваша компания организует распродажу в «черную пятницу», конкурирующий интернет-магазин может заказать DDoS-атаку на ваш сервер, что сделает невозможным продажи в этот день и нанесет прямой финансовый ущерб.


Вредоносное ПО

Этот общий термин, объединяющий любые программы, занесенные на устройства с целью причинения вреда или получения несанкционированного доступа. К вредоносному ПО относят вирусы, «черви», трояны, программы-вымогатели и программы-шпионы. Это одна из самых реальных угроз для МСБ. 

Бум вирусов-шифровальщиков пришелся на 2017 год, когда мир столкнулся с эпидемиями WannaCry, NotPetya, BadRabbit. Только от первого вируса-шифровальщика в мае 2017-го пострадало 200 тысяч компьютеров.  


Взлом пароля

Мошенники могут подобрать пароль методом полного перебора вариантов — простые взламываются за считанные секунды. Пароли могут собирать с помощью специальных программ (кейлоггеров), которые, попадая на компьютер человека, фиксируют в журнале нажатия клавиш. Также пароль можно «подглядеть», используя взломанное или открытое для общего доступа видеонаблюдение.



Но большинство утечек происходит по вине легкомысленного выбора пароля. Яркий пример того, как тривиальные пароли подводят даже продвинутых пользователей, — история с твиттером Павла Дурова. В 2012 году в его микроблоге появилось провокационное сообщение об убийствах бездомных собак. Позже Павел удалил запись и признался, что взломали его из-за пароля «7777777».


Фишинг

С помощью фишинговых атак мошенники похищают данные через привычный на вид, но на самом деле мошеннический веб-сайт. Ссылки на него часто приходят в письмах или сообщениях в мессенджере.

В последнее время фишинговые атаки все больше направлены на топ-менеджеров и руководителей компаний, так как, используя их привилегии, можно совершить наиболее серьезные преступления (например, попросить бухгалтера перевести средства на свой счет). 

Это явление на Западе даже получило свое название whaling (охота на кита). Год назад злоумышленники обманули так топ-менеджеров представительства французской киностудии Pathe. В результате фишинговой атаки по электронной почте студия лишилась 19 миллионов евро. 


Атака через SQL-инъекции

Язык структурированных запросов (SQL) — стандартизованные коды, которыми владеют разработчики — может быть использован хакерами. Наиболее частый сценарий — когда злоумышленники вводят команды в поле формы сайта.

Например, вместо логина хакер может написать команду: «' UNION SELECT TOP 1 login FROM users». Если на сайте не закрыта уязвимость, он не перепроверит эту команду, и сервер ответит на этот запрос, выдаст информацию о первом «юзере» в базе данных. Тогда хакер сможет развивать атаку дальше, давать следующие команды. 



Благодаря успешной атаке SQL-инъекции на серверы, злоумышленник может получать доступ к конфиденциальной информации, изменять базы данных, загружать файлы и даже манипулировать устройствами в корпоративной сети. В 2014 году Drupal выпустила срочное обновление для ядра своей CMS, так как все сайты, построенные на этой платформе, были уязвимы к SQL-инъекции. То есть любой анонимный пользователь мог перехватить управление сайтом.


Атака через «уязвимость нулевого дня»

Эти атаки пользуются уязвимостями в программном обеспечении, ОС или «прошивках» оборудования, обнаруженными злоумышленниками до того, как разработчики ПО или сотрудники службы безопасности узнают о них. Это может длиться месяцами и даже годами. 

Например, уязвимость BlueKeep и до сих пор позволяет атаковать компьютеры с необновленными операционками Windows Vista, Windows 7, Windows XP, Server 2003 и Server 2008, используя брешь в протоколе удаленного рабочего стола (RDP). Уязвимость настолько серьезная, что она заставила Microsoft выпустить обновление даже для неподдерживаемой Windows XP.


Внутренние угрозы

Принципиально другой тип угроз, так как нарушители — это не хакеры или мошенники, а сотрудники с доступом к данным компании. Они целенаправленно или случайно используют свои полномочия во вред компании, в том числе и для организации атак, описанных выше.

Сотрудники могут стать сознательными или случайными виновниками сливов персональных данных и другой ценной для компаний информаций.

Это самый опасный и трудно фиксируемый вид угрозы и главный враг малого и среднего бизнеса. Злоумышленник в лице инсайдера вредит бизнесу куда чаще, чем хакер. 


Не если, а когда 


Перед тем, как мы предложим решения по борьбе с угрозами, сформулируем правило номер один для малого и среднего бизнеса:

Киберугроза обязательно возникнет — это лишь вопрос времени. Рано или поздно ваш бизнес станет «целью», потому задавайтесь вопросом «когда», а не «если».

Вот минимальный набор решений, которые помогут вам защитить свою компанию на начальном этапе ее развития.


Со стороны IT-инфраструктуры

  • Предоставляйте доступ к конфиденциальной информации только ключевым сотрудникам. 
  • Пользуйтесь только шифрованными каналами передачи данных (https, ftps, VPN-сервисами).
  • Своевременно обновляйте все ПО, установленное в компании, избегайте устаревших приложений.
  • Регулярно делайте резервные копии данных.

В работе с сотрудниками

  • Обучите сотрудников основам информационной безопасности: расскажите о фишинге, введите политику безопасных паролей, объясните, почему важно блокировать свой сеанс на компьютере или ноутбуке, уходя с рабочего места.
  • Установите DLP-систему для защиты от инсайдерских атак.


Как достичь максимума

  • Как бы ни хотелось избежать трат, безопасность стоит денег, с этим придется смириться — нанять ИБ-специалиста в штат или на аутсорсинге, закупить защитное ПО. Что можно сделать в этой ситуации — оптимизировать затраты. 
  • IT-аутсорсинг в целом и ИБ-аутсорсинг в частности лучше всего подходят в качестве быстрого и недорогого решения для МСБ. В этом случае вам не придется содержать собственный отдел ИБ и тратить средства на его обучение и переобучение. 
  • Найти на рынке хорошего специалиста по инфобезопасности нелегко. Обычно таких людей приходится переманивать. Но у небольшого или среднего бизнеса, как правило, нет на это бюджета. Аутсорсинг — хороший способ сэкономить деньги и время, а также преодолеть быстрорастущий разрыв в навыках по кибербезопасности.  
  • Что касается софта, делайте выбор в пользу более универсальных IT-решений — это поможет существенно сэкономить как на покупке, так и обслуживании. Например, если выбираете DLP-систему, пусть она умеет не только блокировать утечки информации, но и шифровать флешки, чтобы их можно было открыть только на корпоративном компьютере. 

Пусть этот перечень угроз и мастхэв-решений не создает у вас ложное впечатление об огромном страшном онлайн-мире, который только и ждет, чтобы украсть ваши данные. Однако риски реальны и лучше встретить их во всеоружии.

Более подробную информацию мы собрали в специальной инструкции.


Фото в тексте и на обложке: Unsplash

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 «Быть инженером кибербезопасности — значит быть стражем. Мир нуждается в тебе»
  2. 2 Отдаете разработку на аутсорс? Можете проиграть в безопасности
  3. 3 Кибербезопасность – это не только защита от хакеров

Актуальные материалы —
в Telegram-канале @Rusbase