Кібербезпека давно перебуває в центрі уваги. Компанії дедалі частіше стикаються із серйозними збоями системи, великими витоками інформації, порушеннями конфіденційності та суттєвими фінансовими втратами. Водночас багато керівників досі не знають, як підступитися до інформаційної безпеки, і не вживають належних заходів, що призводить до значних збитків. Щоб не припускатися таких помилок, рекомендуємо ознайомитися з можливими ризиками, стратегіями й рішеннями, які допоможуть захистити вашу компанію від кіберзагроз.
Що таке інформаційна безпека?
Почнімо з того, що інформаційна безпека (ІБ) — не якийсь особливий сервер або крутий антивірус, який можна просто «встановити й забути». Це комплекс адміністративно-технічних заходів, які не дають зловмисникам отримати доступ до даних чи IT-систем підприємства. Це безперервний процес, що вимагає постійної уваги та контролю.
А якщо врахувати те, що кількість цифрових активів упевнено зростає та дедалі більше аспектів бізнесу оцифровується й автоматизується, — приділити увагу організації ІБ точно варто.
Увагу хакера потрібно заслужити, тому що це складна, висококваліфікована та досить небезпечна робота, але не обов’язково бути криптобіржею, щоб вами зацікавилися шахраї. Можна потрапити під масову атаку, мета якої заразити якнайбільше вразливих ПК або стати мішенню цільової атаки, де хакер добирає інструменти зламу спеціально під слабкі місця вашої інфраструктури. Крім того, завжди існують внутрішні загрози у вигляді власних працівників.
Хай якою буде атака, масовою чи цільовою, проти вас може бути використано наведені нижче методи.
Шкідливе програмне забезпечення
Шахраї створюють його самостійно, щоб пошкодити комп'ютер користувача або дані на ньому. Таке ПЗ часто розповсюджуються у вигляді цілком невинних файлів або поштових вкладень. Шкідливе ПЗ має безліч форм:
SQL-ін'єкція
Один із найдоступніших способів зламати сайт. Його суть полягає у введенні в дані довільного SQL-коду. Цей вид кібератак також використовується для викрадення інформації з бази даних.
Фішинг
Атаки, що здійснюються з метою отримати конфіденційну інформацію користувачів. Зловмисники найчастіше просто надсилають жертвам електронні листи, представляючись важливою організацією, і отримують доступ до необхідних даних.
Атаки посередника
Атака, під час якої кіберзлочинець перехоплює дані, які передаються. Він стає проміжною ланкою в ланцюзі, і жертви навіть не підозрюють про це.
DDoS-атаки
Злочинці створюють надмірне навантаження на мережі та сервери, що є об'єктами атаки, через що система припиняє нормально працювати й користуватися нею стає неможливо.
Кожен із цих методів так чи інакше загрожує конфіденційності, цілісності й доступності даних, що призводить до репутаційних і фінансових збитків та втрати продуктивності. Дізнаймося, які можуть існувати ризики.
Порушення конфіденційності
Зловмисники отримують доступ до інформації та можуть непомітно шпигувати, продавати конкурентам ваші дані або оприлюднювати їх.
Порушення доступності
Зловмисник зупиняє роботу всіх систем. Наприклад, недобросовісний конкурент наймає хакера, щоб зламати вашу інфраструктуру й видалити всю інформацію. Що більше зацифрований бізнес, то вища ймовірність серйозних наслідків таких дій.
Порушення цілісності
Це видалення чи модифікація даних. Якщо ваш бізнес переважно полягає в зберіганні важливої інформації, такі дії можуть бути фатальні. Додайте до цього трудовитрати на відновлення після змінення або видалення даних і прямі фінансові збитки.
Зламують усіх, і до цього варто бути готовим. Грамотний підхід до кібербезпеки передбачає кілька рівнів захисту для комп’ютерів, мереж, програм і даних. Щоб розгорнути ефективний захист від кібератак, організація повинна налаштувати правильну взаємодію людей, процесів і технологій. Нижче наведено кілька очевидних, але від цього не менш ефективних порад.
Конфіденційність
Тут усе просто — що менше того, що ви хочете приховувати від сторонніх очей, що частіше ви видаляєте старі дані та що більше сегментовані ваші сервіси, то менш імовірна шкода.
Доступність
Що сильніше ви залежите від IT, то серйозніші будуть збитки. Найкращий вихід – бути готовим працювати без IT. Якщо у вашому офісі зникло з'єднання з Інтернетом, працівники повинні продовжувати роботу. Наприклад, вони можуть виконувати завдання, які не потребують Інтернету. Завжди можна провести зустріч чи нараду або вдатися до тимбілдингу. І такі рішення мають бути готові заздалегідь. А якщо ви надаєте публічний сервіс, ідеальним варіантом буде оповіщення користувачів про проблеми із сервісами та час відновлення доступу.
Цілісність
Резервне копіювання – це перший і найважливіший крок, який мінімізує збитки в разі видалення або змінення даних. Навіть якщо шифрувальник захопив усі ваші дані на всіх ваших ПК та серверах, ви завжди зможете скористатися свіжим бекапом. А ще бекапи захищають від помилок співробітників, які випадково видаляють або псують дані.
Звісно, кількість кіберзлочинів і методів, які застосовують шахраї, продовжує зростати. Зокрема, цьому сприяє пандемія. Тому компаніям необхідно не тільки серйозно замислитися над тим, як зміцнити кіберзахист IT-інфраструктури, а й про те, як підвищити кіберграмотність своїх працівників. І аутсорсинг інформаційної безпеки може вирішити цю проблему.
А тепер перейдімо до добрих новин — ви можете захиститися майже від усіх атак, погроз і ризиків. А дбати про організацію ІБ не обов’язково повинні ваші працівники; ви завжди можете передати ці завдання на аутсорс.
Залишається тільки вибрати відповідний тип послуг:
Це «добрі хакери», які намагаються зламати вашу IT-інфраструктуру так, як це зробили б «злі хакери». Зазвичай послуги діляться за доступною виконавцям інформацією.
Black-box pentest
Хакер знає лише назву компанії або сайту та повинен самостійно провести розвідку за відкритими даними (OSINT) і вже за допомогою зібраної інформації знайти вразливі місця вашої IT-інфраструктури.
Gray-box pentest
Ви надаєте частину інформації або доступ до коду свого сайту чи продукту. У цьому випадку пентестер стає на місце хакера, який уже проникнув в інфраструктуру або отримав дані чи належить до ваших працівників.
White-box pentest
Ви нічого не приховуєте від пентестера та всіляко сприяєте аудиту інформаційної безпеки.
Коштують такі послуги від $5k до $15k, і виконуються протягом місяця командою експертів. В результаті, ви отримуєте звіт з інформацією про успішні і неуспішні вектори атаки і рекомендації по усуненню слабких місць. Важливо розуміти, що замовляти пентест необхідно тоді, коли ви уже інтегрували всі засоби захисту, інакше пентест пройде по «найроротшому шляху» і весь потенціал не буде розкрито.
Дистриб’ютор програмного забезпечення від великих вендорів, які не продають своє ПЗ безпосередньо клієнтам. Типові приклади вендорів: IBM, Cisco, Symantec. Взаємодія з такими постачальниками передбачає експертизу на вашому боці, тобто фахівця з інформаційної безпеки, який зможе вибрати рішення, налаштувати й супроводжувати його. Постачальники вважають за краще працювати із середніми й великими компаніями (від 100 співробітників), у яких є ІБ-фахівець. Важливо розуміти, що їхнє завдання — продати свій продукт. Тому для кожної проблеми вони пропонуватимуть платні рішення та не намагатимуться вирішити проблему архітектурно.
Усі ваші системи генерують події (логи), такі як авторизація певних дій користувачів і подій системи. SOC збирає, агрегує, шукає кореляції в подіях — тобто виявляє ознаки зламу. Це досить дорога послуга, оскільки потребує зберігання великого обсягу логів, дорогих SIEM-систем і штату висококваліфікованих аналітиків. Водночас ця послуга дуже ефективна, тому що дає змогу захиститися від найскладніших атак із використанням вразливостей нульового дня, які не виявляються антивірусами.
Вважається, що найкращі антивіруси відбивають 99% атак, а 1% здатні виявити лише експерти в «ручному режимі». При цьому послуга вимагає високої кваліфікації клієнта, який має передати всі логи SOC, а також реагувати на виявлені небезпеки, оскільки SOC не зупиняє загрози, а лише вказує на них.
Якщо діяльність вашої компанії підпадає під регулювання, ви зобов’язані дотримуватися тих чи інших стандартів. Наприклад, PCI DSS, якщо ви хочете обробляти картки; GDPR, якщо серед ваших клієнтів є принаймні один європеєць; 152-ФЗ, щоб обробляти персональні дані в РФ; ISO 27001 і Cyber Essential для роботи з держорганами Великобританії. Завдання – пройти сертифікацію, а реальна безпека вторинна, тобто не у фокусі уваги фахівців. Зазвичай така підготовка коштує 5–15 тис. доларів США.
Хоч як це дивно звучить, але «детектор брехні» – найефективніший захист від витоку даних. Так, на ринку є безліч систем DLP (Data Loss Prevention), але вони ефективні лише в тому випадку, коли процеси налагоджені й регламентовані аж до конкретних дій. До того ж DLP – дорога, складна в експлуатації система, що вимагає наявності фахівця, який досконально знається на ваших бізнес-процесах. Як показує практика, значно простіше опитати працівника під час співбесіди, тим більше, що таке опитування обійдеться від 50 до 100 доларів США.
Ідеальне рішення для всіх компаній, які не мають своїх ІБ-фахівців. У цьому випадку завданням підрядника буде підбір найефективніших заходів для організації системи кібербезпеки клієнта.
Як показує практика, у 90% випадків увага до системи безпеки приділяється за залишковим принципом. Це не тому, що IT-фахівці некомпетентні або не виконують свої завдання, а тому, що зосереджені на іншому, — максимально швидко надати сервіс і підтримувати його в належному стані. Через поспіх десь залишаються відкриті порти, а десь встановлюються слабкі паролі. Це найкращі точки входу для зловмисників.
Якщо ви вирішили подбати про організацію системи кібербезпеки та захистити свій бізнес від кібератак, зв’яжіться з командою os.eco, яка добере для вас ефективне рішення.
Жольнай Кирил,
CEO DIS.works & CO-CEO os.eco
Залиште свої контакти
і решту завдань ми візьмемо на себе
