Не только крупная рыба: каким кибератакам подвергаются небольшие компании

До сих пор устойчиво распространённое заблуждение, что только крупный бизнес является мишенью для злоумышленников. На самом деле их интересуют компании любых размеров и отраслей — как сами по себе, так и в качестве точки входа в корпорации, если являются поставщиками для них. В таком случае бизнес может получить репутационный ущерб и потерять ключевого клиента.

Небольшие компании, в отличие от корпораций, недооценивают риски киберугроз, меньше инвестируют в информационную безопасность и чаще используют устаревшее программное обеспечение, которое больше не поддерживается. Ещё один риск заключается в том, что сотрудники небольших компаний чаще используют для работы личные устройства, на которых не стоят защитные решения.

Каким образом злоумышленники получают доступ в корпоративную инфраструктуру. Если компания не контролирует доступ к своим информационным ресурсам, то проникнуть в её корпоративные системы в целом достаточно несложно.

Это может происходить, например, через получение удалённого доступа к RDP-протоколу. Обычно для этого злоумышленники подбирают логины и пароли (например, из баз утекших данных или методом перебора наиболее часто используемых комбинаций), а в некоторых случаях эксплуатируют уязвимости в самом протоколе. Ещё один способ — организовать фишинговую атаку, чтобы выманить напрямую у пользователей конфиденциальные данные для входа в учётную запись.

В результате проникновения в сеть злоумышленники могут совершать любые нелегитимные действия на компьютерах компании, например в случае отсутствия двухфакторной защиты перевести деньги со счёта организации на собственный счёт либо вступить в переписку с клиентами и попытаться взломать серверы более крупной компании-партнёра.

Атаки вымогателей. На серверы компании внедряется вредоносное ПО, которое шифрует всю информацию и блокирует доступ к корпоративным компьютерам и серверам. В результате компания может лишиться доступа к собственной системе отгрузки товаров, закупок или любым другим учётным программам. Злоумышленники требуют выкуп за расшифровку данных, но гарантий, что они вернут доступ после получения денег, нет. В некоторых случаях перед шифрованием атакующие крадут данные. И тогда, даже если компания заплатит выкуп, то, как правило, от неё требуют ещё денег за то, чтобы украденные данные не были опубликованы в сети. Очевидно, что для бизнеса лучше вовсе не допускать подобных атак. В пятёрку шифровальщиков, которые чаще всего попадают на рабочие компьютеры предприятий среднего бизнеса, входят Lockbit, Conti, Vega/Zeppelin, Phobos/Eking, Dcryptor.

DDoS-атаки. Злоумышленники блокируют работу сайта путём перегруза серверов компании трафиком от множества устройств. Особому риску DDoS-атак подвержены компании, для деятельности которых очень важна непрерывная доступность ресурсов, например онлайн-магазины. DDoS можно распознать по нескольким признакам — долгая загрузка страницы, пользователи заходят на сайт из одной геолокации или с одного IP-адреса, подозрительный всплеск запросов только к одной странице, неестественные скачки трафика с определённым интервалом времени. Но бывает и так, что отказ в обслуживании происходит из-за того, что сайт не готов к неожиданному росту трафика со стороны заинтересованных пользователей, например в периоды распродаж. Разобраться в том, атакован сайт или не выдержал нагрузки, могут помочь специалисты по кибербезопасности.

Скамерские атаки. Серьёзной угрозой также является скам, то есть атаки, направленные на выманивание денег. Например, в 2023 году эксперты «Лаборатории Касперского» сообщали о резком всплеске скам-рассылок по электронным адресам сотрудников российских компаний. Жертвы злоумышленников — бухгалтеры. Схема выглядит так: сотруднику приходит письмо на русском языке с просьбой оплатить счёт за доставку груза — например, посылки или корреспонденции. Отправитель сообщает, что письмо предназначается бухгалтерии, контакт которой он не помнит или потерял, поэтому просит получателя переслать письмо нужному адресату. Во вложении действительно находится счёт в формате PDF. Как правило, в нём указана небольшая сумма. Расчёт делается на то, что для бухгалтеров она покажется незначительной и они оплатят счёт без дополнительных проверок.

Различные скам-схемы существуют много лет, и злоумышленники продолжают активно их эксплуатировать и совершенствовать. Поскольку речь идёт о сравнительно небольших по меркам компаний суммах, часто адресаты не проявляют должную бдительность. Такие мошеннические письма представляют серьёзную угрозу, потому что внешне ничем не отличаются от обычных деловых входящих.

BEC-атаки. Суть атак типа Business E-mail Compromise сводится к компрометации деловой переписки в целях финансового мошенничества, добычи конфиденциальной информации или подрыва репутации компании. Зачастую для проведения ВЕС-атак злоумышленники используют взломанные аккаунты сотрудников или адреса, визуально похожие на официальную почту компании, но отличающиеся на несколько символов. Если мошеннические письма рассылаются с легитимных адресов внутри компании, это значит, что адрес был взломан. Таким образом с технической точки зрения письмо злоумышленников абсолютно легитимно, единственный способ распознать фальшивку — изучать содержимое. Чаще всего жертвами становятся сотрудники, имеющие доступ к финансам и важным для злоумышленников документам.

Фундамент любой системы информационной безопасности — это защита конечных точек, то есть серверов, корпоративных компьютеров, смартфонов и планшетов. Такое решение обязательно должно быть установлено на каждом компьютере и мобильном устройстве предприятия. Продукт Kaspersky Security для бизнеса, например, предлагает несколько уровней под разные размеры и потребности. Кроме того, нужна специализированная защита корпоративной почты и веб-трафика. В портфолио «Лаборатории Касперского» за это «отвечают» решения Kaspersky Security для почтовых серверов и Kaspersky Security для интернет-шлюзов.

После того, как зарубежные поставщики защитных продуктов перестали обновлять их в России, весьма востребована оказалась программа «Мигрируй», которая помогает выгодно и просто перейти на продукты «Лаборатории Касперского».

Существенную роль в системе безопасности играют решения для управления парком мобильных устройств, задействованных в работе организации, ведь многие сотрудники небольших предприятий сегодня часто работают с мобильных гаджетов. Такие продукты позволяют централизованно настраивать политики и обеспечивать комплексную безопасность мобильных устройств, минимизируя риски утечки данных и блокируя специфические для них угрозы.

Важно принимать и организационные меры информационной безопасности. Так, необходимо обучать сотрудников основам кибербезопасности и проводить имитацию фишинговых атак, чтобы убедиться, что они умеют распознавать фишинговые письма, а также установить политики доступа к корпоративным активам, включая почтовые ящики, общие папки и онлайн-документы, поддерживать их в актуальном состоянии и обязательно удалять доступ, если сотруднику больше не нужны данные для работы или если он покидает компанию.

Нужно учить сотрудников анализировать письма, в которых присутствует просьба о финансовом переводе или раскрытии каких-либо конфиденциальных данных. При получении такого рода сообщений даже от коллег всегда лучше перепроверить, точно ли информация исходит от того человека, который представляется адресантом. Для этого можно, например, позвонить коллеге по телефону, написать в доверенном мессенджере или, если такая возможность есть, просто подойти лично, чтобы уточнить детали.

Неизменно важным шагом является регулярное создание резервных копий важных данных. Это даёт возможность обеспечить сохранность корпоративной информации в случае возникновения непредвиденных ситуаций.

В целом кибербезопасность — это не одно готовое решение, а постоянный процесс. Чтобы бизнес действительно был надёжно защищен, нужен комплексный подход, предполагающий совокупность технических и организационных мер. И эти меры требуют регулярной ревизии и обновления.