"Petya" — не последний. Как защитить бизнес от кибератак
У 2017 році під час кібератаки вірусу Petya постраждали понад 1 500 компаній, а 13 тис комп'ютерів були заражені.
За рік український бізнес втратив від кібератак мільярди гривень.
При цьому всі усвідомлюють, що з розвитком технологій ризики від кіберзагроз будуть тільки підвищуватися.
Чим більше компанія залежить від ІТ, тим більша ймовірність, що вона зіткнеться з новими руйнівними атаками. Найбільш уразливі галузі — енергетика і фінанси.
Як і за будь-якої кризи, велика частина успіху в її подоланні залежить від готовності бізнесу. Так, спрогнозувати все неможливо, завжди будуть "чорні лебеді". Втім, як показав 2017 рік, багато компаній недооцінюють ризики кібербезпеки і не схильні вживати серйозні превентивні заходи.
Тимчасом у сучасному світі всі ризики бізнесу призводять до зростання вразливості клієнтів. Пропоную звернути увагу на низку простих кроків, які дозволять компаніям своєчасно подбати про свою кібербезпеку.
Внутрішній співробітник з питань IT більше не є гарантією безпеки
Згідно із звітом про ризики кібербезпеки Cybersecurity Venturesreport, до 2019 року бізнес у світі буде стикатися з атаками кожні 14 секунд. До 2021 року збитки від загроз кібербезпеки будуть оцінюватися 6 трлн дол. Крім збільшення кількості кібератак, буде зростати й рівень складності кіберзлочинів.
Так, одна з найбільш масштабних кібератак 2017 року із застосуванням вірусу WannaCry завдала компаніям з різних країн збитків на 4 млрд дол.
Це означає, що зараз недостатньо мати в компанії IТ-фахівця, який відповідає за кібербезпеку, як це було досі. Періодично слід проводити зовнішній аудит інформаційної безпеки. Його доцільність пояснюється тим, що внутрішні співробітники далеко не завжди мають відповідний рівень експертизи та повноважень для виявлення всіх загроз у сфері інформаційної безпеки.
Крім того, багато українських компаній мають невеликий штат IТ, а деякі взагалі нічого не роблять у сфері кібербезпеки або не вважають її пріоритетом.
Однак чим сильніше бізнес "зав'язаний" на IТ, тим вищим повинен бути пріоритет, тим частіше компанії мусять проводити аудит своїх систем, впроваджувати практики контролю за дотриманням правил інформаційної безпеки.
Виконуйте внутрішній і зовнішній аудити інформаційної безпеки
Універсального рецепту аудиту не існує, це унікальний продукт, розроблений для потреб конкретного бізнесу. Як базовий мінімум до нього необхідно включити перевірку управління доступом і змінами програм, мережеву безпеку, управління безперервністю ведення бізнесу за настання форс-мажорних обставин.
Ризики IТ-безпеки не завжди пов'язані з технічними причинами. Часто мова може йти про халатність або незнання співробітниками правил інформаційної безпеки.
Зовнішній IТ-аудит допомагає виявити критичні зони і розробити план дій з їх усунення. Особливо важливо робити IТ-аудит під час змін, наприклад, у процесі впровадження нових IТ-систем або зміни операційної моделі ведення бізнесу.
Не варто економити на навчанні співробітників та IT-фахівців
Внутрішні фахівці найчастіше є слабкою ланкою в системі управління інформаційною безпекою. Рівень контролю за їх обліковими записами, як і за тим, наскільки вони обізнані щодо питань безпеки, в компаніях часто досить низький.
Відсутні вимоги щодо регулярної зміни паролів, нема захищеної системи реєстрації та моніторингу дій адміністратора. Ці недоліки особливо актуальні на тлі технології фішингу, яка активно поширюється у всьому світі. Це вид інтернет-шахрайства, що використовується для крадіжки даних користувачів.
Згідно із звітом про результати розслідування випадків порушення безпеки даних за 2017 рік DBIR, приблизно один з чотирнадцяти користувачів став жертвою такого шахрайства, просто перейшовши за посиланням або відкривши програму.
Якщо хакерам вдавалося отримати доступ до системи, вони пускали в хід шкідливі програми, які захоплювали та експортували дані або отримували контроль над усією системою. Збитки від фішингу важко переоцінити.
Функція управління оновленнями ПЗ повинна бути пріоритетом
Неефективне управління оновленнями ПЗ робить системи уразливими до використання дірок у безпеці. Ще більшим ризиком є застаріле ПЗ, яке більше не підтримується розробниками і для якого не випускаються оновлення.
Так, восени 2017 року була зламана система найбільшого у США бюро кредитних історій Equifax. У результаті під загрозою крадіжки опинилися дані 143 млн американців. Це майже половина населення країни. Причина злому банальна: вразливість елемента інтернет-програми, яку пропустили внутрішні служби ІТ.
Заходи із зменшення ризиків мусять бути комплексними
Впровадження технічних рішень для забезпечення інформаційної безпеки не повинно відбуватися окремо від розробки і впровадження супутніх процесів та регламентів, інакше інвестиції у впровадження рішень можуть бути втрачені.
Наприклад, дорога IТ-система може автоматично реєструвати інформацію про потенційні порушення інформаційної безпеки. Однак існує ризик, що через відсутність правил реагування на такі події вони залишаться поза увагою співробітників, або їх реакція не буде швидкою, що знижує шанси на успіх.
Будь-яка корпоративна інформація повинна мати резервну копію
Поширення вірусів-вимагачів на зразок ransomware істотно підвищує значення резервного копіювання. Особливо гостра ця проблема для малого і середнього бізнесу. Розповім про випадок однієї американської компанії з Оклахоми.
Якось на екрані комп'ютера менеджера компанії з'явилося повідомлення, що файли цифрової мережі зашифровані, і якщо фірма хоче отримати до них доступ, необхідно за п'ять днів заплатити викуп 500 дол у біткоїнах.
Мова йшла про всі документи фірми, створені з дня її заснування. Співробітник компанії зателефонував до поліції та ФБР, але вони не змогли допомогти.
Виявити проблему — 20% її вирішення, інші 80% залежать від роботи співробітників. У випадках проведення зовнішніх і внутрішніх аудитів безпеки критично важливий етап — виправлення недоліків працівниками компанії.
Якщо результати перевірки кібербезпеки з року в рік показують одні й ті ж проблеми, варто задуматися про ефективність роботи над помилками. Однією з причин повторення проблем може бути відсутність процедур реагування та відповідальних за усунення недоліків, виявлених за результатами аудитів.