Как хакеры могут добраться до цифровых активов бизнеса и что с этим делать?

Кибератака может стоить бизнесу очень дорого. Это факт. Но "дорого", это сколько? Насколько критичны могут быть последствия кибератак для вашей компании и каким образом можно подготовиться к возможной кибератаке?

Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Цена вопроса

Начнем с цифр. По подсчетам IBM Security, средняя стоимость утечки данных в 2021 году составляла $4,24 млн. Это почти на 10% больше, чем годом ранее. Причем сумма ущерба существенно варьируется в зависимости от отрасли, в которой работает компания, и региона. Например, утечка данных в Бразилии приводит к потерям, которые почти в 9 раз меньше аналогичной ситуации на рынке США - $1,08 млн против $9,05 млн. К наибольшим финансовым проблемам приводят действия киберпреступников в отношении компаний, работающих в сферах здравоохранения и финансов.

При формировании суммы убытков аналитики IBM Security учитывали все расходы, связанные с обнаружением, расследованием, локализацией атаки, коммуникацией внутри компании и с партнерами, утраченные контракты, затраты на поиск новых клиентов и т.п.

У многих украинских предпринимателей может включиться понятная защитная реакция – наверное, такие существенные убытки касаются только компаний-гигантов. Вряд ли киберпреступников интересует малый и средний бизнес. Еще как интересует! Более того, именно небольшие бизнесы все чаще становятся жертвами киберпреступлений и несут ущерб, который может стать причиной их банкротства. В компании Hiscox Business Insurance подсчитали, что всего один киберинцидент в среднем стоит малому или среднему бизнесу около $200 тысяч.

Фишинг, смешинг, использование уязвимостей

Наиболее уязвимым звеном любой системы является ее оператор, чем и пользуются хакеры. До 90% всех изломов систем происходит из-за человеческого фактора. Как киберпреступники могут попасть в информационные системы компании? Можно выделить три основных направления: взлом учетных данных, фишинг и использование уязвимостей программного обеспечения.

По подсчетам американской телекомкомпании Verizon, на компрометацию учетных данных приходится почти половина всех проникновений. Еще около 20% утечек данных происходит через фишинг, когда злоумышленники рассылают письма со ссылками на фейковые сайты, собирающие данные. Получив авторизационный логин и пароль сотрудника компании, хакеры получают доступ к открытым для него или ее данным.

Существует даже отдельный вид фишинга с помощью коротких сообщений – смешинг, от слов SMS и phishing. Такие сообщения со ссылками на злонамеренные сайты могут отправляться как через SMS, так и через мессенджеры.

Чуть менее 10% проникновений происходит вследствие использования уязвимостей программного обеспечения. Именно поэтому важно использовать только лицензионное ПО с актуальными обновлениями, хранить данные и вести корпоративное общение только с помощью защищенного ПО от надежных поставщиков.

Между угрозами и расходами: как противостоять киберпреступникам

Очевидно, что создать идеальную корпоративную информационную систему, надежно защищенную от хакерских действий невозможно. Кибербезопасность – это постоянная балансировка между рисками и экономией ресурсов. Компания должна четко понимать, что ей грозит, какие могут быть потери и сколько стоит защита от того или иного риска. Только так можно принимать взвешенные решения и покупать продукты или услуги по кибербезопасности, подходящие под бизнес-модель этой компании.

Кроме традиционного анализа рисков и уровня выполнения лучших практик управления информационной безопасностью первым шагом обычно становится compromise assessment — поиск скомпрометированных элементов ИТ-системы. С момента проникновения злоумышленников в систему до разоблачения инцидента может пройти несколько месяцев, поэтому прежде чем внедрять инструменты и процедуры, следует убедиться, что компания не является жертвой кибератаки уже сейчас, просто этого не видит.

Далее следует vulnerability assessment — оценка уязвимостей, которая поможет понять насколько инфраструктура защищена сейчас и предотвратить будущие атаки. Самым известным методом здесь есть пентесты (тестирование на проникновение).

При подготовке компании к прохождению пентеста было бы целесообразно провести так называемый харденинг - отключение всех ненужных доступов и неиспользуемых инструментов, ликвидация ненужных связей между различными IТ-решениями и элементами системы. Харденинг является простым и действенным инструментом, значительно уменьшающим киберриски.

После оценки состояния системы, поиска уязвимостей и наведения порядка в системе следует приступить к выполнению задач Security operations center (SOC), к которым относятся, например, выявление инцидентов и проактивный поиск угроз. Развитие SOC — процесс длительный и дорогой, однако есть и более дешевая опция: подключение к готовому SOC в облаке, постоянное или временное, пока компания будет строить собственный центр.

Ну и ни в коем случае нельзя игнорировать вопрос повышения и удержания высокого уровня кибергигиены сотрудников. Самый простой способ – проведение курсов и тренингов. Однако не стоит полагаться исключительно на обучение, поскольку методы социальной инженерии постоянно развиваются и даже осторожного пользователя можно спровоцировать на некорректные действия. Поэтому важно внедрить систему разрешений, при которой сотрудники будут иметь доступ только к необходимым им данным и сервисам. Помочь избежать (или лучше сказать уменьшить риски возникновения) утечки информации может использование сервисов киберзащиты от профессиональных компаний и учреждений, что должно стать частью культуры как корпоративной, так и личной.

"Бонус" для МПБ

В заключение хотелось бы еще раз обратить внимание на важность кибербезопасности для малого и среднего бизнеса, который, к сожалению, как в Украине, так и в мире, нередко игнорирует киберриски. Самая главная причина — даже не нехватка ресурсов, а иллюзорное чувство безопасности: они думают, что не интересны злоумышленникам.

Однако по меньшей мере треть всех кибератак направлены именно на МCБ. В частности, они могут использоваться в supply chain атаках, когда малую организацию атакуют для того, чтобы получить данные и доступы к большей компании, для которой она выступает подрядчиком.

Компания Verizon в отчете Data Breach Investigations Report 2022 даже отдельно выделила категорию микробизнеса – до 10 сотрудников. В 93% случаев целями злоумышленников являются учетные данные пользователей, угоняемые с финансовой мотивацией. Среди методов — социальная инженерия, несанкционированный доступ к системам и некорректная настройка доступов.

Для микро и малых компаний, пока не готовых выделять ресурсы на комплексный аудит, можно посоветовать планировщик от Федеральной комиссии США по связи. Выбрав инструменты, которые использует ваш бизнес, можно получить гайд из необходимых средств безопасности и операций, и внедрять его постепенно.

Во время войны бизнесу меньше всего хочется заботиться еще и о кибербезопасности, но игнорировать риски нельзя, ведь количество атак постоянно растет. В поле зрения хакеров может попасть любая компания, даже небольшая. Особенно, если она ориентирована на экспортные рынки и продолжает работать на все проблемы. Поэтому защита цифровых активов должна быть в фокусе особого внимания владельцев и управленцев бизнеса независимо от их размеров и специфики работы.