Чек-лист по кибербезопасности. Ключевые факторы риска и проверенные практики их минимизации

В 2023 году средний ущерб от кибератак для российских компаний составил 20 млн руб. — и это только деньги, без репутационных потерь, нервов и роста рисков повторных вторжений. В первом квартале 2024-го тенденция продолжилась: количество инцидентов увеличилось как минимум на 7%. Сегодня у любого бизнеса есть ИТ-составляющая: сайт, базы товаров и клиентов, ПО, оборудование, подключенное к интернету, или просто страница в соцсети. Значит, вы уже находитесь в зоне риска, вопрос только в его уровне. Давайте проверим!

Мы в компании «АБП2Б» специализируемся не только на аудите и оптимизации инфраструктур, но и разрабатываем собственные IT-продукты, помогающие не стать частью печальной статистики по взломам: RDP/VNC/SSH/SFTP-клиент, корпоративный менеджер паролей и др. Ниже мы подготовили для вас чек-лист, выявляющий наиболее уязвимые точки в системе — те «низковесящие фрукты», которые легко срываются, но сразу дают ощутимый эффект на уровень кибербезопасности любого бизнеса.

Как думаете, какое самое слабое звено в почти любом, даже ультразащищенном контуре? Человек. Поэтому одним из наиболее действенных способов кибератак является так называемая социальная инженерия.

Социальная инженерия — это комплекс мошеннических действий и психологических манипуляций, главная цель которого — собрать с человека нужную информацию (пароли, личные данные) или заставить совершить какие-либо действия.

Сегодня это уже не богатые дедушки, измывающиеся от посмертного желания передать наследство в ваши руки, а вполне адекватные сообщения. Например, письмо от «босса» с просьбой срочно оплатить счет, сообщение от HR с предложением пройти коллективный опрос или оперативное требование от ИТ-департамента обновить программу для спасения от “страшной киберугрозы”, нависшей над компанией. В первом порыве человек без лишних раздумий совершает необдуманное действие.

Эксперты посчитали, что в 2024 году социальная инженерия остается опаснейшей угрозой не только для частных лиц (доля таких инцидентов составляет колоссальные 85%), но и для бизнеса — такой вектор атак выбирается в 52% случаев.

Самый яркий инцидент по использованию в преступных целях «человеческого фактора» зафиксирован в 2022 году. Тогда вьетнамский криптовалютный проект Sky Mavis ограбили на $540 млн. Мошенники предложили одному из старших разработчиков компании должность в несуществующей студии с весьма щедрой зарплатой. Сотрудник заинтересовался, прошел «отбор» и получил заветный оффер — PDF-файл с привязанной шпионской программой. Скачал его на компьютер, подключенный к корпоративной сети — и впустил внутрь хакеров, которые впоследствии вывели полмиллиарда долларов на свои счета.

Но «человеческий фактор» может быть и проактивным в виде воровства данных («Какой продавец не уходил из компании с полной базой клиентов?»), заходов на корпоративные ресурсы с небезопасных устройств, использования простых или, ещё хуже, простых и повторяющихся паролей, написанных на стикере, наклеенном на монитор.

Как снизить риски:

«Инфосистемы Джет» сообщает, что 96% российских компаний можно взломать с помощью уязвимостей, которые уже описаны в сети. Все из-за несвоевременного обновления ПО. Получается, что даже начинающий хакер может просто купить инструкцию в даркнете и попытать счастье на попавшихся под руку IT-контурах — и в 9 из 10 случаев попадет в точку. Не удивительно, что в каждой третьей (34%) успешной атаке на организации злоумышленники эксплуатировали уязвимости.

В сентябре 2017 года произошла одна из крупнейших утечек в истории США — тогда бюро кредитных историй Equifax сообщило о «потере» личных данных 143 млн американцев, канадцев и англичан. На секунду, это около 18% всей базы компании, собиравшейся с 1899 года. Как показало дальнейшее расследование, причина весьма банальна — широко известная в узких хакерских кругах уязвимость в IT-контуре, которую не успели «залатать».

Как снизить риски:

Сегодня даже малый и средний бизнес всерьез вкладываются в информационную безопасность. Как показывает статистика Yandex Cloud, каждая четвертая компания в 2023 году отметила увеличение объемов финансовых вливаний в ИБ-отделы. Причем суммы выросли в среднем на 20%. Все это необходимо для повышения уровня реальной защищенности. Это особенно актуально для российской экономики, которая после 2022 года столкнулась с беспрецедентным количеством хакерских атак. Облачный провайдер Nubes сообщает, что сегодня около 15% ИТ-бюджета расходуются именно на блок ИБ. Процентная доля может быть и выше в зависимости от специфики деятельности.

11 июня на ПМЭФ-2024 завершилась сессия с громким названием «Взломать нельзя защитить: как встать на стражу информационной безопасности». Вот несколько интересных фактов, озвученных на сессии:

Уже сейчас регулярное финансирование отдела информационной безопасности — это не прихоть или эксперименты, а острая необходимость. Конечно, если бизнес не хочет оказаться на грани банкротства. Цифровой мир кажется неосязаемым, но именно там крутятся ваши деньги.

Как снизить риски:

Эксперты компании Servicepipe заявили, что в 2024 году хакеры изменили ряд классических стратегий. Теперь популярны «ковровые» атаки, когда нападениям одновременно подвергаются все ресурсы организации. Злоумышленники развиваются вместе с методами защиты. И чтобы понять, насколько ваш контур защищен в текущий конкретный момент, проводятся аудиты. Как правило, ограничиваются внутренними. Но этого не всегда бывает достаточно.

Яркий пример — взлом децентрализованной биржи Velocore в июне 2024 года. Потери составили $10 млн. А всего пару дней ранее хакеры взломали японскую компанию DMM Bitcoin и украли более $305 млн. В обоих случаях руководство доверило аудит не тем специалистам, понадеявшись на прошлые успехи. Эксперты по ИБ упустили критические уязвимости в системе, что привело к проникновению злоумышленников внутрь контура, внушительным финансовым и репутационным потерям. Предстоит череда судебных разбирательств с аудиторами, но факт взлома это уже не отменит.

Как снизить риски: рекомендуется проводить аудит ИБ не реже одного раза в год или чаще, в зависимости от сложности структуры. Речь идет именно о внешнем аудите, когда к проверке подключается компания, специализирующаяся на информационной безопасности. Например, мы в «АБП2Б» из более 100 компаний только в одной пока не нашли «брешей в обороне». Причем у 75% осмотренных защит нашлись уязвимости высокого и критического уровня.

Как снизить риски: запланируйте внешний аудит ИБ. Если в вашей компании более 55 офисных сотрудников, можете написать нам и получить бесплатный аудит опубликованных ресурсов.

В 2022 году сложилась ситуация, которую многие организации даже не рассматривали в качестве потенциальной угрозы. Компании не один год строили ИТ-контуры на базе решений зарубежных вендоров, а те практически одномоментно покинули российский рынок. Специалисты по безопасности потеряли доступ к обновлениям, помогающим содержать структуру ИБ в работоспособном состоянии. По данным исследования Naumen, одновременно с этим 56% российских компаний лишились техподдержки. Все это наложилось на распространение «хактивизма» и рост количества инцидентов в стране.

В 2023 году специалисты Минпромторг сообщили, что доля российских ИБ-решений на предприятиях критической информационной инфраструктуры, подотчетной ведомству, в большинстве случаев не превышает 50-70%. В 2024 году курс на вытеснение зарубежного ПО идет полным ходом — просто потому, что так бизнес устраняет лишние риски. Отечественный вендор не прекратит поддержку и не будет препятствовать развитию сферы информационной безопасности России.

Другая сторона вопроса — соблюдение законодательства. В Указе Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» сказано, что к 1 января 2025 года компании горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и госсектор обязаны полностью перейти на отечественные ИБ-решения. Не исключено, что в будущем требование распространится и на другие сферы.

Как снизить риски: если такая возможность присутствует, отдавайте предпочтение российским решениям в области информационной безопасности. Это надежнее в плане бизнес-рисков и соблюдения законов.

По данным «Лаборатории Касперского», объем утечек данных в 2023 году увеличился на 33%, причем более половины из них содержат информацию о паролях, и это — свыше 47 млн записей. Есть и другая интересная цифра от агентства Verizon — 80% нарушений, связанных с хакерским взломом, так или иначе, касаются паролей. Все ведет к одному выводу: столь ценная информация хранится недостаточно надежно. А как именно?

В высокотехнологичном 2024 году основным способом хранения паролей является его запоминание — об этом сообщили 59% респондентов BusinessWere. И, соответственно, использование одного пароля везде, где только можно. Ведь так его проще запомнить. Еще хуже, когда комбинации цифр и букв записываются на стикеры и приклеиваются на экраны рядом с рабочим местом.

Опросы показывают, что сотрудники осознают риски: 68% работников призывают работодателей предоставить им доступ к надежным и удобным менеджерам паролей для защиты их учетных данных. Но руководство не всегда прислушивается к подобным идеям. Самое печальное, что компании, привыкшие работать по старинке, осознают свои ошибки только по факту взлома. Ведущие эксперты по кибербезопасности, в том числе и мы, считают, что использование корпоративных менеджеров паролей является наиболее безопасным способом их хранения. Игнорирование проблемы ведет к весьма серьезным последствиям. Так, по данным «Лаборатории Касперского», в 2024 году количество утекших паролей в России выросло в шесть раз. Прямо сейчас в киберпреступных телеграмм-каналах можно найти свыше 361 млн слитых аккаунтов — это почти в 2,5 раза больше населения России.

Как снизить риски:

Действия хакеров, направленные на взлом компаний через контрагентов, уже носят систематический характер. Эксперты прогнозируют увеличение числа атак на организации через их подрядчиков на 10-25% в 2024 году. И здесь хорошо просматривается логика злоумышленников: зачем «в лоб» ударять по хорошей обороне компании, если можно воспользоваться уязвимостями партнера, который не особо занимается ИБ. Так и ресурсы экономятся, и эффект достигается быстрее. Специалисты «РТК-Солар» заявляют, что современные хакеры активнее используют киберразведку для подготовки целевых атак. То есть, изучают каждого, даже незначительного на первый взгляд подрядчика, имеющего хоть какой-то доступ к ИТ-контуру желанного объекта.

Хорошо иллюстрирует проблему взлом платформы SolarWinds в 2020 году. Тогда хакеры атаковали ресурсы разработчика и заразили вредоносным ПО их продукт — промышленное программное обеспечение для управления сетями. Им пользовались 18 тыс. клиентов по всему миру, включая Госдеп, Министерство внутренней безопасности США, Министерство энергетики США и другие государственные ведомства. И все, кто скачал обновление, оказались «заражены». Стоит только гадать, к каким последствиям это могло привести, если бы ситуация не была вовремя локализована.

Как снизить риски:

Сегодня ни одна компания не в безопасности — киберугрозы повсюду. Ни крупнейшие корпорации, ни микробизнесы. При этом есть базовые и недорогие пути, способные радикально снизить уровень ИТ-рисков. Чтобы понять, за что браться в первую очередь, рекомендуем пройти быстрый онлайн-опрос из 9 пунктов — это не займет много времени, но позволит подсветить ключевые киберриски.