Проблеме защищённости бизнеса в Сети в последнее время уделяется всё больше внимания. Зарубежные исследования сигнализируют: за 6 месяцев 2021 года по сравнению с первым полугодием 2020-го в мире более чем в 2 раза выросло количество компаний, которые столкнулись с проблемой хакеров-вымогателей. Такого показателя не ждали даже эксперты ИТ-отрасли.
Впрочем, специалисты считают, что во многом проблема кроется в восприятии цифровой гигиены: в глазах руководителей предприятий она чаще является "сопутствующим" элементом деятельности организации, а потенциальные масштабы ущерба от атак хакеров не принимаются в расчёт. Лица, принимающие решения, нередко сталкиваются с вопросом обеспечения инфобезопасности не чаще раза в год: когда приходит время согласования бюджета. А меж тем задача требует постоянного внимания.
"Сегодня скорость обновлений программного обеспечения и инфраструктуры настолько высока, что существующие системы защиты устаревают буквально на глазах, — поясняет кандидат технических наук, декан факультета безопасности информационных технологий Университета ИТМО Данил Заколдаев. — И пользователь не в силах зафиксировать защищённое состояние в моменте. Система защиты годовой давности в большинстве случаев — музейный экспонат".
Массовый переход на удалённый режим работы, ускоренные темпы цифровизации бизнес-процессов и рост кибератак выводят вопросы информационной безопасности на первый план. Хорошая новость в том, что для любого масштаба бизнеса можно подобрать релевантные ИБ-решения с учётом потребностей и экономической целесообразности.
Надёжный щит
Есть базовые меры безопасности, не требующие дополнительных вложений, которые может предпринять каждая компания. В первую очередь речь идёт о работе с персоналом для противодействия так называемой социальной инженерии. Необходимо убедиться, что в организации установлена парольная политика, существует разграничение доступов, выстроены процессы определения и защиты конфиденциальной информации. Впрочем, как показывает практика, дело не только в технике и цифровой гигиене.
Данил Заколдаев рассказывает: "Алгоритм действий во многом зависит от вида бизнеса, скорости обесценивания информации и стоимости защиты. Если говорить в целом, то к важным шагам по обеспечению предприятий инструментами противодействия угрозам из Сети можно отнести формализацию, внедрение и поддержку политики кибербезопасности силами профессионалов, приглашённых на достойную оплату труда в компанию. Также важно грамотно, вдумчиво выстраивать кадровую политику и уметь своевременно предотвращать конфликтные ситуации в коллективе. Огорчённый сотрудник может нанести урон информационной безопасности бизнеса".
Из других методов элементарной цифровой гигиены: двухфакторная аутентификация и установка антивирусного ПО. Но если требуется максимальная степень защиты, следует на постоянной основе проводить тщательную проверку инфраструктуры на уязвимости. Процесс может быть автоматизирован посредством специального ПО. Либо комплексную проверку могут провести "белые хакеры". Ценообразование зависит от нескольких факторов: насколько глубокая проверка требуется и нужно ли приводить систему в соответствие с требованиями регуляторов.
Если говорить о последнем, то здесь тоже многое зависит от рода деятельности компании. Специалисты "МегаФона", занимающиеся аудитом безопасности, подчёркивают, что если речь идёт о работе с персональными данными, то необходимо соответствовать требованиям ФЗ-152 "О персональных данных". В случае финансовых институтов имеются положения Банка России, определяющие требования безопасности. Также ряду компаний следует соблюдать ФЗ-187 "О критической информационной инфраструктуре".
А если комплексно
Автоматизированная проверка — способ аудита, не требующий больших вложений. Она осуществляется с помощью специального ПО — сканера уязвимостей. Программа в автоматическом режиме формирует карту ИТ-инфраструктуры и проверяет, есть ли в ней "дыры", которыми воспользуется хакер. "Это может быть открытый порт и, соответственно, полученный доступ к данным, — перечисляет руководитель по облачным платформам и инфраструктурным решениям компании "МегаФон" Александр Осипов. — Устаревшая версия операционной системы, уязвимость в коде веб-сайта, через которую можно сделать SQL-инъекцию и получить доступ к базе пользователей. Некоторые типы сканеров предлагают сразу решения для устранения — обновление ПО или дополнительные настройки на сетевом узле". Однако такая мера позволяет защититься только от самых базовых угроз.
ПО не может симулировать разновекторные атаки, использовать найденные уязвимости системы, как действовал бы настоящий хакер, и в целом не подходит для глубокого анализа защищённости. Но такая процедура убережёт от большинства атак.
Гораздо более тонко настроен процесс комплексного аудита, но он и более "прицельный". Цена в таком случае индивидуальна и зависит от объёма работ. Как правило, основой для стоимости выступают человеко-часы экспертов, занятых в проекте.
Хакеры светлой стороны
Комплексную проверку иначе называют penetration test, или пентест. Команда "белых хакеров" по-настоящему взламывает инфраструктуру заказчика, но под чётким контролем и с оговоренными ограничениями, чтобы ни в коем случае не нанести вред бизнес-процессам.
В отличие от "автоматики", пентестеры могут обнаружить не только базовые "дыры", но и возможности для взлома с более сложными сценариями. По словам Александра Осипова, это может быть проникновение во внутреннюю сеть предприятия через принтер, "подсадку" кода в веб-сайт, например, для накручивания бонусов в интернет-магазине, брутфорс пароля к VDI, получение доступа к 1С-базе организации, шифрование сервера без возможности восстановления, получение доступов к базам через незадачливого сотрудника, который нажал на фишинговую ссылку, и многое другое.
"По нашему опыту проведения пентестов, спектр уязвимостей, которые можно обнаружить подобным способом, гораздо шире. Задача команды — найти все возможные способы взлома: от каналов социальной инженерии до получения данных через публичные Wi-Fi-точки или мобильный телефон топ-менеджера", — отмечает эксперт МегаФона.
Вообще же, по словам экспертов, около 95% всех успешных атак можно было предотвратить имеющимися в компании средствами. "Если давать общие рекомендации, то не следует подключать к интернету устройства, содержащие "чувствительную" информацию, — говорит Данил Заколдаев. — Лучше встретиться, чем созвониться. Также важно использовать многофакторную аутентификацию, последние модели гаджетов и их прошивок". И доверять профессионалам в области кибербезопасности.