Как малому бизнесу не стать жертвой киберпреступников

Представьте ситуацию: сотрудник ждал срочный счет от подрядчика. В этот момент пришло письмо с похожей темой, и он не задумываясь открыл его. Оказалось, в нем был вирус-шифровальщик. Он зашифровал все файлы на компьютерах, даже бухгалтерские документы и наработки для клиентов. Пора сдавать отчеты в налоговую, клиенты ждут свои документы, а ничего нет. Пришлось все срочно восстанавливать, а компания потеряла деньги и доверие.

Чтобы такого не случилось с бизнесом, эксперты Тинькофф Бизнеса и «Лаборатории Касперского» собрали простые советы по защите от кибератак. Они очевидные и известные, но часто не соблюдаются, хотя и избавляют от большинства проблем с цифровой безопасностью.

Кажется, если у вас маленькая компания, скажем, одна булочная, то хакерам на нее плевать. Ну кому придет в голову что-то там взламывать или вредить? На самом деле угрозе кибератак подвергаются не только корпорации.

Ситуации, в которые может попасть любая компания:

Деньги могут уйти злоумышленнику.
Хакеры украдут данные и перепродадут их.
Вирус зашифрует файлы и будет требовать деньги за расшифровку.

А иногда хакеры вредят просто так, чтобы похвастаться потом, мол, «вот какой я молодец — взломал».

За 2019 год с утечками столкнулись 27% небольших компаний в России. Например, из-за хакеров они теряли базы данных клиентов.

Средний ущерб малого и среднего бизнеса от одной успешной кибератаки — 4 млн рублей.

Посмотреть результаты исследования «Лаборатории Касперского»

Самый частый совет, который вы слышали, — держать пароли в секрете. Неважно, от чего: ноутбука, 1С или корпоративного чата. Вроде бы все просто, но мы заметили: не всегда понятно, что значит «в секрете».

Наш совет — прячьте пароли буквально ото всех. Конечно, хочется, чтобы в компании все друг другу доверяли, но лучше перестраховаться.

Вот как можно это сделать:

Блокировать вход в компьютер каждый раз, когда отходите от него.
Не сохранять логин и пароль в браузере или программах. Если перестаете работать — выходите. А перед началом работы заново набирайте логин и пароль.
Не выписывать пароли на стикеры и не приклеивать их на монитор, стол, внутри его ящиков.
Не держать на компьютере файлы с паролями. Для хранения используйте менеджеры паролей.

Сотрудники выдали кредит ненадежным клиентам

У сотрудников микрофинансовой организации был план — продать займы на определенную сумму. Кто выполнит, тому премия и похвала.

Чтобы МФО не разорилась из-за убытков, всех клиентов проверяли. Доступ к программе проверки был только у директора.

Менеджеры получали премию лишь за тех, кто прошел отбор. Как-то директор ушел на весь день, а стикер с паролями остался висеть на его мониторе. Через месяц директор понял, что некоторые сотрудники вошли в его аккаунт, согласовали всех клиентов без разбору, получили премию и уволились.

В итоге директор потерял деньги, потому что клиенты были недобросовестными и не смогли вернуть займы.

Почти любой пароль можно взломать. Вопрос только в том, насколько это трудно. Принцип простой: чем сложнее пароль, тем больше шансов, что его не станут взламывать или будут ломать так долго, что решат переключиться на кого-то еще.

Существуют специальные брутфорс-программы. Они узнают пароль путем перебора, и их часто используют хакеры. Такая программа взломает пароль:

parol123 за 3 минуты;

PaRRoL123 за 12 дней;

P!a@r#o$l%123 — за столетия. У киберпреступника терпение и здоровье кончатся раньше.

Вот что советуем делать:

Придумывать пароли, которые состоят из строчных и заглавных букв, цифр и специальных символов.
Проверять, как быстро можно взломать ваши пароли, например через сервис «Лаборатории Касперского».
Создавать разные пароли для всего, скажем, для входа в компьютер, почту или CRM.
Настроить двухфакторную аутентификацию везде, где получается. Это такая дополнительная проверка. Например, сначала вы вводите пароль, а потом код, который придет в смс. Такую аутентификацию всегда используют банки, а еще ее можно настроить самим, допустим, в соцсетях и почтовых сервисах. Во Вконтакте для этого нужно зайти в настройки, открыть вкладку «Безопасность», найти «Подтверждение входа» и нажать «Подключить». Готово, у вас есть двухфакторная аутентификация.

Даже если создать разные пароли на все, с чем работаете, остается проблема — как их запомнить. Вот вам два способа.

Использовать менеджер паролей. Программа самостоятельно придумывает разные немыслимые пароли и шифрует их, вам останется только помнить пароль от самого менеджера. Менеджеров паролей очень много, вы можете найти их в комплексных антивирусных решениях, в Google Play или Appstore.

Мнемонический способ. Он сложнее, но кому-то так нравится больше. Как это работает:

Вспомните фразу, которая для вас много значит, скажем, из песни, фильма или колыбельной. Например, «Ложкой снег мешая, ночь идет большая, что же ты, глупышка, не спишь».
Запишите первые буквы из первых пяти слов. Например, «ЛСМНИ».
Теперь у вас есть базовая комбинация, которую нужно усложнить.
Добавьте по специальному символу между каждой буквой. Например, «Л*С?М)Н#И». Все, пароль готов.

Даже если уверены, что ваш бизнес незачем взламывать, а сотрудники никогда не нажмут на странную ссылку, все равно поставьте антивирусную программу.

В начале 2019 года «Лаборатория Касперского» зафиксировала вспышку банковских троянов Buhtrap и RTM. Чаще всего атакуют компании в регионах, малое производство, юридические и айти-бизнесы. Цель — получить деньги компаний.

RTM рассылает письма с вирусами. Темы и текст напоминают финансовые сообщения, например: «Заявка на возврат», «Копии документов за прошлый месяц», «Просьба оплатить дебиторскую задолженность». Сотрудник переходит по ссылке в письме или открывает вложение, и троян заражает компьютерную систему.

В основном деньги крадут через подмену реквизитов в платежных поручениях. Бухгалтер уверен, что оплачивает счет за аренду, а на самом деле деньги уходят злоумышленнику.

Наш совет — использовать антивирусную программу.

Для защиты микробизнеса «Лаборатория Касперского» и Тинькофф создали специальную версию Kaspersky Small Office Security. Это антивирусная программа для компаний или ИП, например, салона красоты, кофейни, небольшой веб-студии. Она защищает три компьютера, три мобильных гаджета и один сервер.

Чтобы не допустить действий мошенников, банки мониторят операции клиентов. Например, банк видит, что раньше по реквизитам ООО «Вышка» платили 1000 рублей, а теперь пытаются перевести 100 тысяч и за несколько попыток. В этом случае сработает система безопасности: банк приостановит перевод и свяжется с клиентом. Если клиент подтвердит, что это он переводит деньги, банк пропустит платеж. Если нет, деньги не уйдут со счета.

Но даже при такой проверке все равно нужна антивирусная программа. Так защита будет в два раза надежнее.

Платеж ушел не той компании

Бухгалтер создал платежку за поставку молочной продукции. Реквизиты компании, счета и стоимость — все как обычно. Этому поставщику платили два раза в месяц, поэтому никаких подозрений.

Через неделю поставщик звонит и спрашивает, откуда задержка, почему без предупреждения, ну как же так. А без оплаты он не повезет товар.

Сначала никто ничего не понял, ведь платежка есть, деньги ушли. Затем выяснилось, что в компьютерной системе вирус, умеющий менять часть реквизитов, чтобы деньги уходили другим юрлицам.

Хакеры могут подключиться к корпоративному вайфаю, получить доступ к управлению роутером и настроить его под себя.

Благодаря доступу харкер может устроить DDoS-атаку — это когда сайт перегружается огромным количеством запросов, больше, чем он может выдержать. В этом случае роутер становится частью ботнета, или «зомби-сетью».

Из-за перегрузки клиенты не смогут зайти на сайт. Например, магазин вложился в интернет-рекламу, закупил побольше товара и ждет наплыва покупателей. Реклама сработала, а покупатели не могут зайти на сайт или заходят, но вот выбрать товар — уже нет. Так магазин теряет деньги.

Еще хуже, если на роутере появится сниффер — программа, отслеживающая весь трафик. Тогда никакие сложные пароли не спасут от утечки данных.

Просто так получить доступ к роутеру нельзя — он запаролен. Проблема в самом пароле. Роутеры продаются с логином и паролем, которые стоят по умолчанию. Они простые, например, admin / admin. Взломать такой роутер ничего не стоит, даже и ломать не надо — можно просто попробовать набрать эту пару.

Наш совет — не оставлять логин и пароль по умолчанию, а менять на свои. Для этого:

Подключите роутер к интернету.
Откройте браузер и введите в адресную строку цифры, написанные на корпусе роутера. Выглядят они примерно так: 192.168.0.1. Появится окошко с полями для логина и пароля.
Введите логин admin и пароль admin. Если не подошли — посмотрите пароль в инструкции к роутеру или на корпусе.
Найдите ссылку с надписью Wi-Fi или Wireless. Откроется экран, где можно поменять пароль.

Хорошо, если сотрудник и работодатель нашли друг друга и их все устраивает. Но так бывает не всегда. Сотрудник недоволен тем, что его не повысили, работодатель — качеством отчетов: вот вам и потенциальная проблема. Если все сложится, разойдутся спокойно, если нет, сотрудник может попробовать отомстить.

Для подстраховки советуем вот что:

Определитесь, каким сотрудникам какие доступы действительно нужны для работы. Чем больше сотрудников с максимальным доступом — тем больше риск утечек. Хорошо, если доступы выдаются по определенному процессу, например: нужно получить согласование от руководителей, а не просто подойти к айтишнику и попросить доступ.
Не давайте всем полный доступ, он называется доступ администратора. Обычно с этим доступом сотрудник может делать все, что угодно: дать его кому-то еще или заблокировать, удалить или изменить информацию. Ограничение доступа называется «принципом минимальных привилегий».
Там, где это технически возможно, настройте доступ к истории изменений. Например, в сервисе для финансового учета можно посмотреть, кто какие строки заводил, редактировал и удалял.
Если расстаетесь с сотрудником, закройте ему доступ ко всем корпоративным программам, сайтам и сервисам. Если это не ломает рабочий процесс, советуем закрыть все важные доступы в день подачи заявления, а все остальные — в день увольнения.

Разработчик удалил каталог товаров

Работодатель лишил разработчика премии, и тот уволился. У него остался доступ к админке сайта, так что он в отместку удалил раздел с каталогом продуктов, и компания несколько дней не могла работать с покупателями.

По опросу «Лаборатории Касперского», половина компаний считают наибольшей угрозой системе безопасности своих сотрудников. Для этого им необязательно быть мошенниками и специально помогать хакерам. Например, менеджер по продажам может потерять корпоративный ноутбук, а тот без пароля. Или секретарь откроет письмо, которое запустит вирус. Вот и все — у компании проблема.

Как подстраховаться. Неважно, насколько здорово сотрудники разбираются в кибербезопасности, все равно защищайте себя. Вот что советуем:

Создайте памятку по работе с техникой, письмами, сайтами и всем, с чем может столкнуться сотрудник. Пусть это будет материал со скриншотами, примерами и конкретными пояснениями. Рассылайте его раз в месяц, проводите тесты на знание правил. Например, точно ли сотрудник отличит поддельное письмо от сообщения из кадров? И что делать, если письмо кажется сомнительным?
Проводите раз в месяц тренинги по повышению цифровой грамотности. Для этого необязательно собираться вживую, можно провести мероприятие удаленно, например, через корпоративный чат, зум, скайп или любой другой сервис. Или записать его один раз и давать посмотреть, а потом проводить тесты.

Вирус зашифровал документы и потребовал деньги за расшифровку

На следующий день на рабочих мониторах появилась заглушка с требованием заплатить выкуп интернет-вымогателям. Они зашифровали данные и готовы передать ключи для расшифровки, но уже за деньги.

Работать было невозможно, ничего не открывалось: ни отчеты клиентам, ни бухгалтерские документы для сдачи в налоговую. Вообще ничего.

Компания перевела деньги злоумышленникам, но ключи расшифровки так и не получила. Пришлось объясняться с госорганами и клиентами и все восстанавливать.

Сотрудник получил письмо, которое напоминало письмо от кадров. А там — ссылка на аттестационный тест для повышения зарплаты. Это было необычным, потому что руководители обсуждали зарплату лично. Но выглядело интересно, так что сотрудник открыл ссылку, ответил на несколько вопросов, отправил результаты и забыл.

Если вирус зашифровал документы, а компания не хочет платить, можно и не платить. Но только если есть копия всех документов.

Наш совет — регулярно делать резервные копии, то есть бэкап. В случае проблем вы вернете себе материалы без выплаты злоумышленнику. Вот что можно сделать:

Выберите, на какой внешний ресурс будете копировать данные. Есть три основных варианта: внешний жесткий диск, сетевое хранилище или облачное хранилище.
Задайте периодичность копирования. Чем чаще копируете, тем лучше. Хороший вариант — каждый вечер после окончания рабочего дня, ну или хотя бы раз в неделю.
Бэкапы стоит делать на всех устройствах, которыми пользуетесь вы и сотрудники: на компьютере, ноутбуке, смартфоне, планшете.
Чтобы не забыть о бэкапах, лучше их автоматизировать. Есть много решений, можно искать по словам «комплексные защитные решения с функцией автоматического резервного копирования».