Як хакери можуть дістатися до цифрових активів бізнесу і що з цим робити?

Ціна питання  

Почнемо з цифр. За підрахунками IBM Security, середня вартість витоку даних у 2021 році складала $4,24 млн. Це майже на 10% більше, ніж роком раніше. Причому сума збитків суттєво варіюється в залежності від галузі, в якій працює компанія, і регіону. Наприклад, витік даних у Бразилії призводить до втрат, що майже в 9 разів менші, ніж аналогічна ситуація на ринку США - $1,08 млн проти $9,05 млн. До найбільших фінансових проблем призводять дії кіберзлочинців відносно компаній, що працюють у сферах охорони здоров’я та фінансів. 

При формуванні суми збитків аналітики IBM Security враховували усі витрати, пов’язані з виявленням, розслідуванням, локалізацією атаки, комунікацією всередині компанії та з партнерами, втрачені контракти, витрати на пошук нових клієнтів тощо. 

У багатьох українських підприємців може увімкнутись зрозуміла захисна реакція – мабуть такі суттєві збитки стосуються лише компаній-гігантів. Навряд чи кіберзлочинців цікавить малий та середній бізнес. Ще й як цікавить! Більш того, саме невеликі бізнеси все частіше стають жертвами кіберзлочинів і несуть збитки, які можуть стати причиною їх банкрутства. У компанії Hiscox Business Insurance підрахували, що лише один кіберінцидент в середньому коштує малому або середньому бізнесу близько $200 тисяч. 

Підписуйтесь на Telegram-канал delo.ua

Фішинг, смішинг, використання вразливостей  

Найбільш вразливою ланкою будь-якої системи є її оператор, чим і користуються хакери. До 90% усіх зламів систем відбувається через людський фактор. Яким чином кіберзлочинці можуть потрапити в інформаційні системи компанії? Можна виділити три основні напрямки: взлом облікових даних, фішинг та використання вразливостей програмного забезпечення.

За підрахунками американської телекомкомпанії Verizon, на компрометацію облікових даних припадає майже половина всіх проникнень. Ще близько 20% витоків даних відбується через фішинг, коли зловмисники розсилають листи з посиланнями на фейкові сайти, що збирають дані. Отримавши авторизаційний логін та пароль співробітника компанії, хакери отримують і доступ до відкритих для нього чи неї  даних.  

Існує навіть окремий вид фішингу за допомогою коротких повідомлень — смішинг, від слів SMS та phishing. Такі повідомлення з лінками на зловмисні сайти можуть надсилатись як через SMS, так і через месенджери.  

Трохи менше 10% проникнень відбувається внаслідок використання вразливостей програмного забезпечення. Саме тому так важливо використовувати лише ліцензійне ПЗ зі актуальними оновленнями, зберігати дані та вести корпоративне спілкування лише за допомогою захищеного ПЗ від надійних постачальників.   

Між загрозами і витратами: як протистояти кіберзлочинцям 

Очевидно, що створити ідеальну корпоративну інформаційну систему, надійно захищену від дій хакерів неможливо. Кібербезпека — це постійне балансування між ризиками та економією ресурсів. Компанія має чітко розуміти, що їй загрожує, якими можуть бути втрати і скільки коштує захист від того чи іншого ризику. Тільки так можна ухвалювати зважені рішення та купувати продукти чи послуги з кібербезпеки, що підходять під бізнес-модель саме цієї компанії. 

Окрім традиційного аналізу ризиків і рівня виконання кращих практик управління інформаційною безпекою, першим кроком зазвичай стає compromise assessment — пошук скомпрометованих елементів ІТ-системи. З моменту проникнення зловмисників у систему до викриття інциденту може пройти кілька місяців, тож перш ніж впроваджувати інструменти та процедури, слід переконатись, що компанія не є жертвою кібератаки уже зараз, просто цього не бачить.  

Далі йде vulnerability assessment — оцінювання вразливостей, яке допоможе зрозуміти наскільки інфраструктура захищена зараз і запобігти майбутнім атакам. Найвідомішим методом тут є пентести (тестування на проникнення).  

Під час підготовки компанії до проходження пентесту було б доцільно провести так званий харденінг - відключення усіх непотрібних доступів й інструментів, що більше не використовуються, ліквідація непотрібних зв’язків між різними ІТ-рішеннями та елементами системи. Харденінг є простим і дієвим інструментом, який значно зменшує кіберризики.  

Після оцінювання стану системи, пошуку вразливостей та наведення ладу в системі варто приступити до виконання задач SOC (security operations center), до яких належать, наприклад, виявлення інцидентів та проактивний пошук загроз. Розбудова SOC — процес тривалий і дорогий, проте є й дешевша опція: підключення до готового SOC у хмарі, постійне або ж тимчасове, поки компанія будуватиме власний центр.  

Ну і в жодному разі не можна ігнорувати питання підвищення та утримання високого рівня кібергігієни співробітників. Найпростіший спосіб – проведення курсів і тренінгів. Проте не варто покладатись виключно на навчання, оскільки методи соціальної інженерії постійно розвиваються, і навіть обережного користувача можна спровокувати на некоректні дії. Тому важливо впровадити систему дозволів , при якій співробітники матимуть доступ лише до необхідних їм даних і сервісів. Допомогти уникнути (або краще сказати зменшити ризики виникнення) витоку інформації може використання сервісів кіберзахисту від професійних компаній та установ, що повинно стати частиною культури, як корпоративної, так і особистої. 

"Бонус" для МСБ 

Наприкінці хотілось б ще раз звернути увагу на важливість кібербезпеки для малого та середнього бізнесу, який, на жаль, як в Україні, так і в світі, нерідко ігнорує кіберризики.  Найголовніша причина — навіть не брак ресурсів, а ілюзорне відчуття безпеки: вони думають, що не цікаві зловмисникам. 

Однак, щонайменше третина усіх кібератак спрямовані саме на МСБ. Зокрема вони можуть використовуватися у supply chain атаках, коли малу організацію атакують для того, щоб отримати дані та доступи до більшої компанії, для якої вона виступає підрядником.  

Компанія Verizon у звіті Data Breach Investigations Report 2022 навіть окремо виділила категорію мікро бізнесу — до 10 співробітників. У 93% випадків цілями зловмисників є облікові дані користувачів, які викрадаються з фінансовою мотивацією. А серед методів — соціальна інженерія, несанкціонований доступ до систем і некоректне налаштування доступів.  

Для мікро і малих компаній, які поки що не готові виділяти ресурси на комплексний аудит, можна порадити планувальник від Федеральної комісії США зі зв’язку. Обравши інструменти, які використовує ваш бізнес, можна отримати ґайд з необхідних безпекових засобів та операцій, і впроваджувати його поступово.  

Під час війни бізнесу менше всього хочеться перейматися ще і питання кібербезпеки, але ігнорувати ризики не можна, адже кількість атак постійно зростає. У поле зору хакерів може потрапити будь-яка компанія, навіть невелика. Особливо, якщо вона орієнтована на експортні ринки і продовжує працювати попри всі негаразди. Тому захист цифрових активів повинен бути у фокусі особливої уваги власників та управлінців бізнесів не залежно від їх розмірів та специфіки роботи.