Кибербезопасность для бизнеса. Как защититься от ошибок сотрудников?
Колись до наших фахівців надійшов запит від компанії, яка займалася розробкою онлайн-ігор: вона продавала користувачам ігрову валюту, аж раптом – кількість покупок почала різко знижуватись.
Виявилося, що двоє співробітників анонімно продавали її на різних майданчиках значно дешевше, ніж на сервісі. І вручну змінювали баланс.
Звісно, з такими ситуаціями можна боротися за допомогою юридичних договорів, служби безпеки, моніторингу співробітників зі сторони HR та керівників. Що і зробила тоді компанія. Крім того, було прийнято рішення перейти на приватний блокчейн, адже він анулював можливість виправлення балансу вручну.
Ключова перевага полягає в тому, що подальші шахрайські операції для зловмисників стають досить ризикованими. Найімовірніше, вони на це більше не зважаться.
Головне у роботі з безпекою – суворе дотримання правил
Звісно, держава застосовує більш комплексний та суворий підхід у роботі, проте глобальної різниці в технічних методах захисту немає.
В цілому для бізнесу важлива безпека своїх серверів і баз даних. Натомість держава (крім захисту власних даних) має гарантувати безпеку всього кіберпростору країни: телекомунікацій, стільникового зв’язку, інтернет покриття.
Що буде у разі успішної атаки на систему телекомунікації, скажімо, в Одеській області? Звісно, це вдарить по великій кількості локального бізнесу.
Далеко відходити не треба – нещодавно світ сколихнув масштабний IT-збій. Як виявилося, техногігант Microsoft провів оновлення програмного забезпечення, проте невдало.
Внаслідок цього перестали працювати величезні банки, аеропорти, лікарні, фондові біржі, а окремі держави змушені були збирати комітети з реагування на позачергові загрози стабільності цифрового простору.
Тож держава має реагувати на так звані "позаштатні події" та захищати критичні інфраструктури, які мають бути ізольованими й не залежати від зовнішніх факторів.
Цікавим підходом є так звана система "мультисіг" (декілька підписів). Наприклад, є рахунок з криптоактивами і три партнери. Для проведення будь-якої транзакції потрібна верифікація щонайменше від двох.
Кожен з них підв’язує до рахунку свій особистий криптогаманець, який є лише на власному пристрої, і з нього підписує транзакцію в блокчейні. Підробити підпис або підібрати логін та пароль – неможливо. Це гарантує, що двоє не зможуть змовитися між собою проти іншого й спустошити касу.
Як протидіяти кіберзагрозам: дієві поради для бізнесів
Багато принципів кібербезпеки ускладнюють бізнес-процеси. І найважче – це знайти баланс між потребою у захисті інформації та комфортом у користуванні внутрішньою системою.
Тож давайте розглянемо базові поради з прикладами і висновками, які допоможуть прийняти раціональне рішення.
1. Наймайте команду безпеки, яка бачить загрозу в кожному
Зазвичай, людина, яка очолює кіберзахист, – це не чоловік у дорогому костюмі та годиннику Audemar Piguet, а персонал, схильний до параноїдальної недовіри до усіх і кожного. І це правильно. Що має застосовувати ваш керівник безпеки та які є плюси та мінуси?
- Шифрування доступу до усієї системи через власний VPN – без спеціальних власних налаштувань підключення ніхто не зможе отримати доступ до внутрішньої частини системи.
- Сепарація доступів до даних – жодна людина не має мати доступ до усієї системи.
- Величезна консультаційна робота з власниками бізнесу – бо вони є одними з найвразливіших ланок щодо доступів, особливо в командах де, інвестор "з класичного не IT-бізнесу". Зазвичай, вони є основною ціллю соцінженерії чи просто базових помилок.
Існує багато принципів розподілення та контролю інформації, як сегментування даних та доступів, система нагляду за працівниками, і т.д., але усе зводиться до людського фактора.
Є випадки, коли для того, щоб знайти і передбачити ризики серед співробітників, було навмисно додано в робочі PDF-документи і файли трекери для відстежування геолокації та часу відкриття і інших даних. Але, перш ніж використовувати цей метод, потрібно розуміти, що є зона конфіденційності самих співробітників та їх власні права і ставитися до цього обережно.
Наприклад, троє працівників засудили компанію за порушення своєї приватності і відсудили 1,1 млн євро, а компанія отримала своєю чергою ще 450 тисяч євро за порушення NDA в межах судового процесу.
Інший приклад – без застосування технологій. З приміщення компанії вкрали носії даних та готівку. Представники охорони одразу ідентифікували трьох потенційних злочинців та за допомогою поліграфа виявили винного, на це пішло всього 6,5 години.
Бачимо, що потрібно аналізувати загрози з погляду психології й споглядання та формувати культуру та політики між працівниками. Не технічними засобами єдиними.
2. Тверезо підходьте до контекстних доступів та ШІ
Почнімо з того, що контекстний доступ передбачає блокування у разі відсутності збігу статистичних даних: час заходу, геолокація, країна, патерни відвідування сторінок адмінпанелей і тд.
Автоматизувати це відслідковування допомагає ШІ. Ви можете спробувати використовувати цей метод, але як і в будь-якому потрібно прораховувати потенційні ризики, ось декілька кейсів:
- Керівник з розвитку бізнесу не зміг отримати доступ до верифікації даних оплати та авторизувати її, поки був у польоті на інший континент. Компанія мала власний самописний мультисіг-гаманець, що майже призвело до підриву важливої угоди.
- Проблеми з переїздом співробітників і людьми, які працюють за кордоном і часто змінюють локації та часові пояси. Додаткова верифікація доступів сповільнює робочий процес, а в деяких випадках це критично.
- Штучний інтелект працює з масивом даних та вчиться на них, при глобальних змінах в компанії він потребує великих коштів та часу на перепрограмування.
Наразі індустрії ШІ ще потрібен деякий час для верифікації програм та їхнього застосування.
3. Інтегруйте таємну "червону" команду
Абсолютна база безпеки – таємна команда хакерів, які будуть постійно намагатись зламати систему та повідомляти про знайдені вразливості замість їхнього зловмисницького використання.
Радимо це усім великим компаніям, які вміють диференціювати та планувати свій час та роботу. Для менших компаній потрібно враховувати можливість "падіння" серверів і сервісів після тестів, щоб застрахувати себе від ризиків прямих збитків.
4. Консультуйтеся та зважуйте
Якщо казати про блокчейн, він дійсно може гарантувати певну чи часткову безпеку бізнесу завдяки незмінності даних. Проте ця технологія є складною в розробці та використанні. Деякі компанії можуть бути не готовими до цього і їм краще розглянути інші варіанти.
Втім є абсолютно чіткі точки застосування блокчейну у глибоких структурах, що потребують базових принципів цілісності та неушкодженості інформації.
Резюмуючи, велика кількість фундаментальних рішень із засобів кібербезпеки можуть стати як некомфортними у використанні, так і ресурсозатратними. Але ми усі постаємо перед вибором: або незначний дискомфорт та регулярні витрати, або неминуча катастрофа у майбутньому.
Зважайте на специфіку та масштаб вашого бізнесу, щоб обрати правильні методи. Краще заздалегідь протидіяти загрозам, ніж несподівано втратити все. Тому що людський фактор у питанні безпеки фігуруватиме завжди.