Логины, явки, пароли: как компании защищаются от киберрейдерства
Пандемия и карантинные ограничения, связанные с ней, уже год загоняют потребителей и бизнес все глубже и глубже в дебри интернета. Это удобно, а ещё ослабляет зависимость от очередного карантина. (укр)
Але не варто забувати й про іншу сторону такої тенденції – небезпеку кібершахрайства як для пересічного користувача, так і для цілої компанії. Як захиститися від цього та що робити, якщо атака все-таки сталася, розбиралася ЕП.
За даними ЄМА, за останні три роки середня сума шахрайської операції за схемою перевипуску сім-картки зросла майже в 3,5 рази і торік склала 12,5 тис.грн. Маючи "сімку", шахраї викрадають гроші з банківського рахунку без фізичної банківської карти. І це тільки один спосіб дістати персональні дані людини та обікрасти її.
Проте не тільки споживачі останнім часом стали більше страждати від кібершахрайства. Набагато звабливіше для злочинців викрасти комерційну інформацію компанії.
У юридичній фірмі Sayenko Kharenko кажуть, що за останні роки бізнес став значно частіше скаржитися на факти отримання незаконного доступу до інформації, яка належить компанії.
"Злочинці викрадають паролі і логіни клієнтів, комерційну інформацію, персональні дані клієнтів та клієнтську базу, матеріали щодо діяльності компанії як-от ціни, зарплата, податкові зобов’язання та багато інших чутливих даних", – розповідає радниця Sayenko Kharenko Злата Симоненко.
"Нерідко на просторах Інтернету можна за винагороду отримати базу клієнтів або інформацію щодо митних розмитнень і, на жаль, конкуренти купляють її, незважаючи на незаконність її отримання, та використовують у своїй діяльності", – каже вона.
У групі ризику всі
Експерти кажуть, що під прицілом може опинитися будь-який бізнес, який використовує комп’ютери. Тобто в принципі будь-який.
"Загроза кібершахрайства для бізнесу не менш реальна, ніж "традиційне" рейдерство у вигляді незаконного отримання корпоративних прав чи фізичного захоплення приміщень", – зауважує Злата Симоненко.
"Навіть якщо для підприємства електронні процеси не є ключовим елементом бізнес-процесів, воно все одно ризикує стати жертвою кіберзлочинців", – зазначає заступник директора SK Security Віктор Дроботенко.
Він одразу ж наводить приклад сумнозвісного вірусу NotPetya, від якого в 2017-му постраждали тисячі компаній через зараження бухгалтерських систем, серверів баз даних, та навіть користувацьких комп’ютерів.
"При цьому у деяких випадках ці системи не мали прямого підключення до мережі Інтернет, а вірус діставався до них, поширюючись через внутрішні локальні мережі компанії", – підкреслює Дроботенко.
Найбільш цікавими для кіберзлочинців залишаються компанії, що використовують електронну комерцію, обмінюються фінансовою документацією засобами електронної пошти та зберігають і обробляють персональні дані, дані платіжних карток або реквізити банківських рахунків.
"Саме ці елементи дозволяють кіберзлочинцям ефективно "монетизувати" результати злочинів та отримати високий рівень "повернення інвестицій", – пояснює Дроботенко.
Причому наслідки таких кібератак можуть виявлятися по-різному: це і блискавичне зупинення всього бізнесу, якщо йдеться про атаку на великий маркетплейс чи інтернет-магазин, і довге і поступове пограбування клієнтів і контрагентів через використання викраденої клієнтської бази даних компанії.
"Хибно думати, що кібершахраї цікавляться тільки середніми компаніями, які не інвестують у захист своїх систем", – зауважують в SK Security. Наприклад, одним із способів "доставки" вірусу на комп’ютер жертви є використання так званих вразливостей "ЗироДей" (0Day). Це такі вразливості, про які раніше, крім злочинців, ніхто не знав. Тобто від 0Day ще не створено захисту.
"Найбільш актуальним прикладом такої атаки стало виявлення тривалого та масованого використання кіберзлочинцями з угрупування HAFNIUM одразу чотирьох "ЗироДей"-вразливостей у популярному поштовому сервері від компанії Microsoft, який використовується абсолютною більшістю великих комерційних організацій", – розповідає Віктор Дроботенко.
"Внаслідок використання цих вразливостей зловмисники мали можливість викрадати усе листування та усі адресні книги, які зберігалися на атакованих серверах", – додає він.
За його словами, в основному доступ до конфіденційної інформації своїх жертв кіберзлочинці отримують через "зараження" електронних пристроїв жертви шкідливим програмним забезпеченням.
"Таке програмне забезпечення записує дії жертви, у тому числі її паролі та логіни, викрадає разові коди авторизації або ідентифікатори та ключі вже відкритих захищених сесій і передає цю інформацію злочинцям", – каже Дроботенко.
В Україні в грудні 2015-го зловмисники здійснювали кібератаки на комп’ютерні мережі енергетичних об’єктів, застосовуючи деструктивне ПО Black Energy. Про кіберінцидент також торік заявляла одна з найбільших українських ІТ-компаній. Тоді, імовірно, відбувся витік розробок для великих клієнтів та персональних даних співробітників.
"Як правило, компанії в таких випадках намагаються реагувати власними силами з залученням служби безпеки", – каже партнер Sayenko Kharenko Сергій Смірнов.
Однак критично важливо подумати не тільки про наслідки для себе, але й про контрагентів і партнерів: у деяких випадках повідомити їх про атаку критично важливо.
"Наприклад, інколи треті особи отримують доступ до електронної пошти деяких ключових співробітників компанії, створюють схожі електронні адреси та домагаються переводу на власні рахунки всіх або частини платежів за поточними контрактами з контрагентами компанії. Звісно, в такому випадку своєчасне доведення інформації до контрагентів та партнерів дозволить припинити такі незаконні дії максимально швидко", – пояснює Сергій Смірнов.
Докази часто знищують зовсім не злочинці
Звичайно, коли компанія стикається з витоком даних, вона передусім зосереджується на питанні: як його припинити? Але при гасінні цієї пожежі важливо також не знищити сліди зловмисників.
"Часто щоб якомога швидше припинити витік даних, відповідальні особи компанії просто знищують доказову базу. Через це ідентифікувати та відстежити порушника стає неможливим", – пояснює Сергій Смірнов.
Тому перед початком будь-яких дій експерти радять звернутися до фахівців із кібербезпеки. Так принаймні можна уникнути хоча б помилкового видалення цінних даних.
"При проведенні розслідування порушень у сфері кібербезпеки дослідження комп'ютерної техніки доцільно проводити з залученням спеціалізованих організацій та експертних установ, в яких роботу виконують фахівці з необхідною професійною підготовкою. Це в тому числі викликано тим, що докази, що пов'язані з кіберпорушеннями, можуть бути змінені як в результаті помилок при їх вилученні, так і в процесі проведення розслідування", – каже Смірнов.
Хоча затримати кіберзлочинця вкрай важко, у Sayenko Kharenko мають успішні кейси. В одному з випадків завдяки співпраці з департаментом кіберполіції Національної поліції України вдалося ідентифікувати та затримати особу, яка продавала бази даних однієї з компаній. На цей час кримінальне провадження вже перебуває на розгляді в суді.
На тому, що варто фіксувати сліди і звертатися до правоохоронних органів, наголошує і віце-президент SK Security Максим Літвінов. При цьому важливо домогтися відкриття кримінального провадження – для того, щоб зібрані дані отримали статус доказів.
"Злочинці так само роблять помилки і нехтують правилами безпеки, як і ті, кого вони атакують. Через це залишаються сліди. Тому якщо принципово відреагувати на інцидент, докази будуть знайдені", пояснює Літвінов.
"Але якщо нікому було відслідковувати кібератаку на початковому етапі, якщо не було організовано журналювання подій, якщо не були створені резервні копії, то реагування на інцидент перетворюється на аналіз і спостереження за наслідками, а причини можуть бути непомічені або не знайдені. Бо немає матеріалу для дослідження атаки", – каже Максим Літвінов.
Щоб "матеріал для дослідження" все-таки був, важливо зафіксувати, яким способом здійснено правопорушення, як злочинці приховували незаконне втручання в роботу комп’ютерів або комп’ютерних мереж, яким знаряддям або засобами користувалися.
Топ-5 порад, як захистити свої персональні дані в інтернеті
Як давно ви змінювали свої паролі? Як часто залишаєте в інтернеті персональні дані, автоматично погоджуючись на їхню обробку? Все це – те, що називається кібергігієною. Серед ефективних засобів реагування на кібератаку є й подальше навчання персоналу правилам безпеки в інтернеті.
Віце-президент SK Security Максим Літвінов сформулював топ-5 порад, як захистити свої персональні дані:
- За будь-якої можливості завжди використовуйте псевдоніми замість реальних персональних даних.
- Принципово розділіть всі дії з поширення власних персональних даних на дві групи: де ви вимушені залишити реальні персональні дані і де є можливість використати псевдонім. Для першої групи використовуйте один набір реквізитів (як правило, це електронна пошта та номер телефону), для другої застосовуйте інший набір реквізитів (одноразові електронні пошти, інший номер телефону).
- Використовуйте менеджери паролів для того, щоб генерувати складні паролі, завжди використовуйте різні паролі у різних випадках, а також двофакторну авторизацію всюди, де це можливо.
- Ніколи не публікуйте у відкритих джерелах разом із раніше поширеними частинами персональних даних (як правило, це ПІБ) адреси проживання, номери телефонів, номери або копії документів, реєстраційні номери автотранспорту (фото з авто, на якому видно номер) чи інші конкретні дані, через які вас можна однозначно ідентифікувати в реальному житті.
- Ведіть облік кожного випадку надання дозволу на обробку ваших персональних даних.
Вимагають дозволу на обробку персональних даних, посилаючись на абзац третій ст. 2, ч. 1-3 ст. 6 Закону України "Про захист персональних даних"? Поставте тому, хто це просить, три запитання: "Яка мета обробки персональних даних?", "Який склад персональних даних, який має бути наданий?", "Яка процедура обробки персональних даних?"
Це мінімізує випадки необґрунтованого збору персональних даних. А як вирішите припинити користування сервісами, яким надавали власні персональні дані, ви зможете вимагати їх видалення або заборонити їх обробку.