«Киберпреступники объединяются и вымогают деньги»: как организовать безопасность бизнеса, если ты ИП без миллионов

«Сравни.ру» о том, как 70% компаний-жертв кибератак не считали себя целевой аудиторией хакеров и никак не защищались.

Во-первых, малый бизнес обычно не покупает надёжные системы защиты, потому что считает, что атаки совершают на крупные компании с огромными активами. Во-вторых, источником угроз часто становятся сотрудники, не знакомые с правилами цифровой гигиены.

Результат — слитые данные сотрудников и клиентов, кибервымогательство и воровство. Ничего приятного — поэтому лучше быть начеку.

Мы пообщались с экспертами и выяснили, что именно делать малому и среднему бизнесу, чтобы случайно не стать жертвой киберпреступления. А начнём с того, что угрожает небольшим компаниям. Казалось бы — ничего, ведь охотятся только за крупным бизнесом. Но не всё так просто — преступники охотно следуют за компаниями любого размера, если видят в этом ценность.

Кибератака — это сознательная попытка злоумышленника нанести вред организации. Сейчас будет немного матчасти.

Атаковать бизнес можно разными способами. Вот самые распространённые:

На компании из разных отраслей совершают разные типы атак, объясняет руководитель департамента системных решений Group-IB Станислав Фесенко. По данным аналитики Group-IB, финансовый сектор чаще страдает от прямых хищений или от мошеннических действий, например, несанкционированного доступа мошенников к личным кабинетам клиентов банка.

Многие компании просто не могут оправиться от потери данных и прекращают деятельность.

В 2020 году Group-IB заметила большой рост партнёрских сетей кибератакуюших группировок. Есть группировки, которые специализируются на доставке и запуске внутри инфраструктуры вируса-шифровальщика, другие группировки продают несанкционированные доступы в инфраструктуру, третьи проводят сложные целевые атаки с похищением данных или денег компании. Теперь киберпреступники объединяются в коллаборации и производят атаки совместными усилиями. Это ещё одна опасность, с которой столкнулся наш мир.

Group-IB против любых переговоров со злоумышленниками, потому что они не приводят к положительному результату. Если бизнес стал жертвой вируса-шифровальщика, нужно сразу обратиться к специалисту по кибербезопасности, рекомендует Станислав. Зачастую у специалиста получается расшифровать данные: многие мошенники используют устаревшие вирусы-шифровальщики, для которых уже подобраны ключи для расшифровки.

Если преступники используют более современные программы, расшифровать данные не получится. Но специалист по кибербезопасности возьмёт на себя коммуникацию со злоумышленниками, чтобы в процессе провести расследование и выяснить, кто стоит за атакой.

В последние годы тренд сменился на целенаправленные атаки, когда объектом нападения становится конкретная компания и подготовка занимает много времени, рассказывает директор по стратегическим коммуникациям Infosecurity (входит в ГК Softline) Александр Дворянский. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.

Главная ошибка малого и среднего бизнеса, по мнению Станислава Фесенко, — считать, что он неинтересен мошенникам. Активы небольшие, значит, и кибератаки не грозят, уверены владельцы небольших интернет-магазинов и кофеен. Но в действительности это не так.

По статистике Group-IB, 70% компаний-жертв атак не боялись киберугроз и никак не защищались.

Вторая ошибка — разовая покупка базовых средств защиты. Часто небольшие компании покупают антивирус и считают, что на этом можно остановиться. Но сложные вирусы успешно работают даже на компьютерах с установленным антивирусом, потому что атака целевая и готовится на конкретную организацию. Злоумышленник проводит разведку и выясняет, какой антивирус использует жертва, устанавливает себе такой же и готовит вредоносную программу, которую не распознает антивирус.

Компьютерная преступность развивается — и как только появляются новые тактики атак, на рынке появляются новые средства для борьбы с ними. Поэтому информационная безопасность — это процесс, а не разовая акция. Она должна стать постоянной статьёй бюджета компании.

Дальше расскажем о том, как именно бизнесу защитить себя от возможных угроз.

Выясните, где хранятся ваши данные, кто имеет к ним доступ и какие риски наиболее опасны для вашей компании.

Даже не пытайтесь проводить аудит без базовых навыков в информационной безопасности. Вы просто не сможете обнаружить «слепые зоны», но будете уверены, что провели аудит и защитили бизнес от угроз.

Спойлер: понимание, как выглядят надёжные пароли, не считается навыком в области кибербезопасности.

Пригласите для аудита специалиста или компанию, которая занимается информационной безопасностью.

Вместе с подрядчиком вам нужно определить все активы бизнеса: компьютеры, серверы, данные. Затем найти потенциальные угрозы. Ими может быть утечка данных или использование простых паролей.

Выявив возможные угрозы, ответьте себе, достаточно ли защищены от них:

Каждый ответ «нет» увеличивает ваши риски стать жертвой мошенников.

После аудита специалист по кибербезопасности должен подобрать для вас подходящие решения.

Из универсальных Станислав Фесенко рекомендует такой комплекс:

Крупные компании используют такой класс решений, как SOC (Security Operations Center) — центр мониторинга и реагирования на инциденты, объясняет Александр Дворянский. Фактически это группа специалистов по информационной безопасности, которая круглосуточно мониторит состояние инфраструктуры компании.

Малый и средний бизнес не может позволить себе SOC, для этого сегмента есть другое решение — SOC-as-a-Service — подключение к уже существующему центру мониторинга и реагирования одного из провайдеров. Компания пользуется сервисом из «облака» и не тратит бюджет на целый штат сотрудников.

Аудит провели, защитное ПО купили и установили, а сотрудники продолжают записывать пароли на стикерах и работать из кафе с бесплатным Wi-Fi. Меж тем, в 86% случаев кибератаки связаны с непреднамеренными ошибками персонала, выяснил разработчик защитного ПО «Код безопасности».

Поэтому второй шаг — повысить грамотность ваших сотрудников в этом вопросе.

Можно заказать тренинг у компании, которая поставляет вам защитное ПО, если у неё есть такая услуга. На курсах и тренингах сотрудников обучают, как использовать программы защиты, создавать и обновлять надёжные пароли, работать с внешними носителями. И рассказывают об основных угрозах, с которыми можно столкнуться.

Компании-производители постоянно ищут уязвимости в своих программах. Обнаружив недочёты, они выпускают обновление, защищённое от найденных угроз. Такое простое действие, как установка обновлений по мере их выпуска, поможет вам избежать атак на ПО.

В 2017 году вирус-вымогатель WannaCry совершил атаку на 200 тысяч компьютеров в 150 странах. Пострадали даже такие крупные компании, как FedEx, РЖД, «Мегафон» и Renault.

Чтобы одновременно атаковать столько компьютеров, не нужен штат программистов, достаточно найти уязвимость в массово используемом продукте. Злоумышленники выбрали уязвимость в операционной системе Microsoft Windows, а именно — в протоколе удалённого доступа SMBv1, блокировали доступ к Windows и вымогали у пользователей деньги.

Однако за три месяца до атаки WannaCry компания Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. То есть пострадали те, кто не установил это обновление.

Звучит банально, понимаем. Но подбор слишком простого пароля — причина 17,5% взломов. Многие беспечно выбирают легко запоминающиеся пароли, считая, что их рабочая почта никому не интересна. Но для злоумышленников она станет лазейкой, через которую можно добраться к внутренней инфраструктуре компании. Чаще всего кибератакам подвергаются именно рядовые сотрудники, а не топ-менеджеры.

Проверьте, защищены ли ваши пароли, по чек-листу исследовательской компании vpnMentor:

Вряд ли кто-то открывает дверь в квартиру и в машину одним ключом. Так и с паролями к нескольким сервисам: опасно использовать одну и ту же комбинацию. Взломав вашу почту, хакер легко доберётся и до всего остального.

Сегодня это достаточно спорная рекомендация. Раньше все компании в области кибербезопасности призывали менять пароли раз в полгода или даже раз в три месяца. Но в 2019 году Microsoft отказалась от рекомендации по смене паролей. По данным производителя операционных систем, практика смены паролей не повышает защищённость и даже может быть опасной. Когда сотрудников заставляют часто менять пароли, они не успевают их запомнить и записывают на видных местах. Или, чтобы наверняка запомнить новые пароли, меняют в них только одну букву или цифру.

Вместо этого Microsoft предлагает пользоваться многофакторной аутентификацией, которая поддерживается платформой Windows Hello.

Поэтому оставляем совет vpnMentor на ваш выбор.

Здесь никаких разночтений нет: даже если пароль был скомпрометирован, у мошенника нет доступа к вашему телефону. А значит, он не сможет войти в учётную запись от вашего имени.

Надёжные пароли состоят из 12-15 символов, содержащих цифры, заглавные и прописные буквы и знаки препинания. Вы можете воспользоваться специальным сервисом, чтобы удостовериться в надёжности пароля. Таких сервисов немало, например, Kaspersky Password Checker, vpnMentor, Roboform.

Чтобы составить сложный пароль, обратитесь к генераторам случайных паролей.

Кажется, что запомнить рандомный набор цифр и символов невозможно. Но здесь вам может пригодиться мнемоника — система запоминания с помощью простых ассоциаций.

Например, взяв первые буквы и цифры из английской фразы «I have 3 pink goats and 5 cats in the house» можно составить пароль «Ih3pga5cith». Вам не придётся запоминать комбинацию, заучите саму фразу.

Это программы, которые хранят все ваши пароли в зашифрованном виде. Таким образом, вам не придётся запоминать все пароли, достаточно заучить один — от виртуального «сейфа» с паролями.

Если рабочим компьютером пользуется несколько человек, отключите автозаполнение логинов и паролей.

Здесь как и с банками, которые постоянно учат клиентов не сообщать никому пароли и коды доступа.

«Облако» и ваша флешка или жёсткий диск — это разные вещи: «облачное» хранилище вам не принадлежит. Это собственность другой компании, а значит, у провайдера может быть доступ к вашим данным.

Если не хотите рисковать, зашифруйте данные перед загрузкой в такое хранилище. В этом вам поможет программа для шифрования.

Чтобы снова открыть данные, вам придётся расшифровать содержимое с помощью ключей, которые есть только у вас. То есть провайдер облачного хранилища не сможет прочитать вашу информацию, и утечка вам никак не навредит.

Потеря данных грозит бизнесу серьёзными простоями, поэтому позаботьтесь о копиях. Специалисты по кибербезопасности рекомендуют иметь три копии данных в двух разных форматах, причём одна должна находиться не в офисе — например, в «облачном» хранилище.

Способов делать резервные копии много. Можно просто купить место на «облаке» или обратиться к поставщику платформы для резервного копирования данных из виртуальных, физических и облачных сред. Он будет автоматически создавать резервные копии ваших данных.

Поскольку беспроводная сеть не требует физического подключения к кабелю, злоумышленник может прийти в зону действия вашего роутера и взломать сеть.

Удостоверьтесь, что все функции безопасности вашей сети включены, а доступ по Wi-Fi есть только у определённых компьютеров.

Допустим, вы использовали основные методы защиты — здорово! Но они бесполезны, если удалённые сотрудники подключаются не через защищённую сеть вашей компании. Домашние сети защищены значительно слабее, ещё опаснее — подключение через публичный Wi-Fi.

Чтобы обезопасить данные, используйте VPN-сервис. С его помощью сотрудники на удалёнке сначала подключатся к офисной локальной сети, а затем к своим компьютерам через функцию подключения к удалённому рабочему столу.

Также используйте DLP-системы (Data Leak Prevention), которые позволяют контролировать удалённые рабочие места и предотвращать утечки информации.

DLP-системы создают виртуальный «периметр» вокруг компании и анализируют всю исходящую и входящую информацию: интернет-трафик, документы на внешних носителях. У DLP-систем есть и другие функции, связанные с контролем действий сотрудников.

Для малого и среднего бизнеса есть специальные варианты таких систем — «облачные» DLP-сервисы, объясняет директор по стратегическим коммуникациям Infosecurity Александр Дворянский.