«Киберпреступники объединяются и вымогают деньги»: как организовать безопасность бизнеса, если ты ИП без миллионов

«Сравни.ру» о том, как 70% компаний-жертв кибератак не считали себя целевой аудиторией хакеров и никак не защищались.

Во-первых, малый бизнес обычно не покупает надёжные системы защиты, потому что считает, что атаки совершают на крупные компании с огромными активами. Во-вторых, источником угроз часто становятся сотрудники, не знакомые с правилами цифровой гигиены.

Результат — слитые данные сотрудников и клиентов, кибервымогательство и воровство. Ничего приятного — поэтому лучше быть начеку.

Мы пообщались с экспертами и выяснили, что именно делать малому и среднему бизнесу, чтобы случайно не стать жертвой киберпреступления. А начнём с того, что угрожает небольшим компаниям. Казалось бы — ничего, ведь охотятся только за крупным бизнесом. Но не всё так просто — преступники охотно следуют за компаниями любого размера, если видят в этом ценность.

Кибератака — это сознательная попытка злоумышленника нанести вред организации. Сейчас будет немного матчасти.

Атаковать бизнес можно разными способами. Вот самые распространённые:

• Вредоносная программа, которая получает доступ к незащищённой ИТ-системе и крадёт или уничтожает данные компании. Под угрозой — конфиденциальная информация, например, о клиентах или производстве.

• Фишинг — методы, позволяющие обмануть пользователя и вынудить его раскрыть конфиденциальную информацию: логины и пароли от онлайн-банка, номер карты. Чаще всего мошенники выдают себя за крупные организации, например, банки. Самый распространённый пример — преступники звонят бухгалтеру от лица сотрудника банка и просят назвать пин-код карты под предлогом защиты от попытки взлома.

• Кибервымогательство с помощью вирусов-шифровальщиков. Мошенники шифруют ваши файлы или блокируют экран и предлагают вернуть доступ за вознаграждение.

• DDoS-атаки — это когда злоумышленники отправляют много запросов на ваш сервер, чтобы «‎уронить» его. Цель такой атаки — навредить конкуренту или вымогать деньги.

• SQL-инъекция — мошенники внедряют в данные бизнеса вредоносный код на языке управления базами данных (SQL). Так они крадут информацию из баз данных.

На компании из разных отраслей совершают разные типы атак, объясняет руководитель департамента системных решений Group-IB Станислав Фесенко. По данным аналитики Group-IB, финансовый сектор чаще страдает от прямых хищений или от мошеннических действий, например, несанкционированного доступа мошенников к личным кабинетам клиентов банка.

Многие компании просто не могут оправиться от потери данных и прекращают деятельность.

В 2020 году Group-IB заметила большой рост партнёрских сетей кибератакуюших группировок. Есть группировки, которые специализируются на доставке и запуске внутри инфраструктуры вируса-шифровальщика, другие группировки продают несанкционированные доступы в инфраструктуру, третьи проводят сложные целевые атаки с похищением данных или денег компании. Теперь киберпреступники объединяются в коллаборации и производят атаки совместными усилиями. Это ещё одна опасность, с которой столкнулся наш мир.

Group-IB против любых переговоров со злоумышленниками, потому что они не приводят к положительному результату. Если бизнес стал жертвой вируса-шифровальщика, нужно сразу обратиться к специалисту по кибербезопасности, рекомендует Станислав. Зачастую у специалиста получается расшифровать данные: многие мошенники используют устаревшие вирусы-шифровальщики, для которых уже подобраны ключи для расшифровки.

Если преступники используют более современные программы, расшифровать данные не получится. Но специалист по кибербезопасности возьмёт на себя коммуникацию со злоумышленниками, чтобы в процессе провести расследование и выяснить, кто стоит за атакой.

В последние годы тренд сменился на целенаправленные атаки, когда объектом нападения становится конкретная компания и подготовка занимает много времени, рассказывает директор по стратегическим коммуникациям Infosecurity (входит в ГК Softline) Александр Дворянский. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.

Главная ошибка малого и среднего бизнеса, по мнению Станислава Фесенко, — считать, что он неинтересен мошенникам. Активы небольшие, значит, и кибератаки не грозят, уверены владельцы небольших интернет-магазинов и кофеен. Но в действительности это не так.

По статистике Group-IB, 70% компаний-жертв атак не боялись киберугроз и никак не защищались.

Вторая ошибка — разовая покупка базовых средств защиты. Часто небольшие компании покупают антивирус и считают, что на этом можно остановиться. Но сложные вирусы успешно работают даже на компьютерах с установленным антивирусом, потому что атака целевая и готовится на конкретную организацию. Злоумышленник проводит разведку и выясняет, какой антивирус использует жертва, устанавливает себе такой же и готовит вредоносную программу, которую не распознает антивирус.

Компьютерная преступность развивается — и как только появляются новые тактики атак, на рынке появляются новые средства для борьбы с ними. Поэтому информационная безопасность — это процесс, а не разовая акция. Она должна стать постоянной статьёй бюджета компании.

Дальше расскажем о том, как именно бизнесу защитить себя от возможных угроз.

Выясните, где хранятся ваши данные, кто имеет к ним доступ и какие риски наиболее опасны для вашей компании.

Даже не пытайтесь проводить аудит без базовых навыков в информационной безопасности. Вы просто не сможете обнаружить «слепые зоны», но будете уверены, что провели аудит и защитили бизнес от угроз.

Спойлер: понимание, как выглядят надёжные пароли, не считается навыком в области кибербезопасности.

Пригласите для аудита специалиста или компанию, которая занимается информационной безопасностью.

Вместе с подрядчиком вам нужно определить все активы бизнеса: компьютеры, серверы, данные. Затем найти потенциальные угрозы. Ими может быть утечка данных или использование простых паролей.

Выявив возможные угрозы, ответьте себе, достаточно ли защищены от них:

• Есть ли в компании сотрудник, отвечающий за кибербезопасность?
• Работает ли на всех устройствах антивирус?
• Понимают ли сотрудники, какие действия могут привести к угрозе? Например, открытие подозрительных ссылок.
• Использует ли компания VPN и системы обнаружения вторжений?
• Есть ли в компании план реагирования на разные виды атак?

Каждый ответ «нет» увеличивает ваши риски стать жертвой мошенников.

После аудита специалист по кибербезопасности должен подобрать для вас подходящие решения.

Из универсальных Станислав Фесенко рекомендует такой комплекс:

1. Межсетевое экранирование — файрволы, которые контролируют информационные потоки, поступающие в информационную систему и выходящие из неё.
2. Антивирусные программы.
3. Anti-APT — решения, предназначенные для борьбы со сложными целевыми атаками. Они анализируют пользовательский трафик, обнаруживают компьютеры, заражённые вредоносным ПО, проводят поведенческий анализ объектов, которые поступают в инфраструктуру.

Крупные компании используют такой класс решений, как SOC (Security Operations Center) — центр мониторинга и реагирования на инциденты, объясняет Александр Дворянский. Фактически это группа специалистов по информационной безопасности, которая круглосуточно мониторит состояние инфраструктуры компании.

Малый и средний бизнес не может позволить себе SOC, для этого сегмента есть другое решение — SOC-as-a-Service — подключение к уже существующему центру мониторинга и реагирования одного из провайдеров. Компания пользуется сервисом из «облака» и не тратит бюджет на целый штат сотрудников.

Аудит провели, защитное ПО купили и установили, а сотрудники продолжают записывать пароли на стикерах и работать из кафе с бесплатным Wi-Fi. Меж тем, в 86% случаев кибератаки связаны с непреднамеренными ошибками персонала, выяснил разработчик защитного ПО «Код безопасности».

Поэтому второй шаг — повысить грамотность ваших сотрудников в этом вопросе.

Можно заказать тренинг у компании, которая поставляет вам защитное ПО, если у неё есть такая услуга. На курсах и тренингах сотрудников обучают, как использовать программы защиты, создавать и обновлять надёжные пароли, работать с внешними носителями. И рассказывают об основных угрозах, с которыми можно столкнуться.

Компании-производители постоянно ищут уязвимости в своих программах. Обнаружив недочёты, они выпускают обновление, защищённое от найденных угроз. Такое простое действие, как установка обновлений по мере их выпуска, поможет вам избежать атак на ПО.

В 2017 году вирус-вымогатель WannaCry совершил атаку на 200 тысяч компьютеров в 150 странах. Пострадали даже такие крупные компании, как FedEx, РЖД, «Мегафон» и Renault.

Чтобы одновременно атаковать столько компьютеров, не нужен штат программистов, достаточно найти уязвимость в массово используемом продукте. Злоумышленники выбрали уязвимость в операционной системе Microsoft Windows, а именно — в протоколе удалённого доступа SMBv1, блокировали доступ к Windows и вымогали у пользователей деньги.

Однако за три месяца до атаки WannaCry компания Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. То есть пострадали те, кто не установил это обновление.

Звучит банально, понимаем. Но подбор слишком простого пароля — причина 17,5% взломов. Многие беспечно выбирают легко запоминающиеся пароли, считая, что их рабочая почта никому не интересна. Но для злоумышленников она станет лазейкой, через которую можно добраться к внутренней инфраструктуре компании. Чаще всего кибератакам подвергаются именно рядовые сотрудники, а не топ-менеджеры.

Проверьте, защищены ли ваши пароли, по чек-листу исследовательской компании vpnMentor:

• Для каждой учётной записи — свой пароль

Вряд ли кто-то открывает дверь в квартиру и в машину одним ключом. Так и с паролями к нескольким сервисам: опасно использовать одну и ту же комбинацию. Взломав вашу почту, хакер легко доберётся и до всего остального.

• Меняйте пароли

Сегодня это достаточно спорная рекомендация. Раньше все компании в области кибербезопасности призывали менять пароли раз в полгода или даже раз в три месяца. Но в 2019 году Microsoft отказалась от рекомендации по смене паролей. По данным производителя операционных систем, практика смены паролей не повышает защищённость и даже может быть опасной. Когда сотрудников заставляют часто менять пароли, они не успевают их запомнить и записывают на видных местах. Или, чтобы наверняка запомнить новые пароли, меняют в них только одну букву или цифру.

Вместо этого Microsoft предлагает пользоваться многофакторной аутентификацией, которая поддерживается платформой Windows Hello.

Поэтому оставляем совет vpnMentor на ваш выбор.

• Включайте двухэтапную верификацию

Здесь никаких разночтений нет: даже если пароль был скомпрометирован, у мошенника нет доступа к вашему телефону. А значит, он не сможет войти в учётную запись от вашего имени.

• Ставьте сложные пароли

Надёжные пароли состоят из 12-15 символов, содержащих цифры, заглавные и прописные буквы и знаки препинания. Вы можете воспользоваться специальным сервисом, чтобы удостовериться в надёжности пароля. Таких сервисов немало, например, Kaspersky Password Checker, vpnMentor, Roboform.

Чтобы составить сложный пароль, обратитесь к генераторам случайных паролей.

Кажется, что запомнить рандомный набор цифр и символов невозможно. Но здесь вам может пригодиться мнемоника — система запоминания с помощью простых ассоциаций.

Например, взяв первые буквы и цифры из английской фразы «I have 3 pink goats and 5 cats in the house» можно составить пароль «Ih3pga5cith». Вам не придётся запоминать комбинацию, заучите саму фразу.

• Используйте менеджеры паролей

Это программы, которые хранят все ваши пароли в зашифрованном виде. Таким образом, вам не придётся запоминать все пароли, достаточно заучить один — от виртуального «сейфа» с паролями.

• Отключите автозаполнение

Если рабочим компьютером пользуется несколько человек, отключите автозаполнение логинов и паролей.

• Не отправляйте пароли по SMS или электронной почте

Здесь как и с банками, которые постоянно учат клиентов не сообщать никому пароли и коды доступа.

«Облако» и ваша флешка или жёсткий диск — это разные вещи: «облачное» хранилище вам не принадлежит. Это собственность другой компании, а значит, у провайдера может быть доступ к вашим данным.

Если не хотите рисковать, зашифруйте данные перед загрузкой в такое хранилище. В этом вам поможет программа для шифрования.

Чтобы снова открыть данные, вам придётся расшифровать содержимое с помощью ключей, которые есть только у вас. То есть провайдер облачного хранилища не сможет прочитать вашу информацию, и утечка вам никак не навредит.

Потеря данных грозит бизнесу серьёзными простоями, поэтому позаботьтесь о копиях. Специалисты по кибербезопасности рекомендуют иметь три копии данных в двух разных форматах, причём одна должна находиться не в офисе — например, в «облачном» хранилище.

Способов делать резервные копии много. Можно просто купить место на «облаке» или обратиться к поставщику платформы для резервного копирования данных из виртуальных, физических и облачных сред. Он будет автоматически создавать резервные копии ваших данных.

Поскольку беспроводная сеть не требует физического подключения к кабелю, злоумышленник может прийти в зону действия вашего роутера и взломать сеть.

Удостоверьтесь, что все функции безопасности вашей сети включены, а доступ по Wi-Fi есть только у определённых компьютеров.

Допустим, вы использовали основные методы защиты — здорово! Но они бесполезны, если удалённые сотрудники подключаются не через защищённую сеть вашей компании. Домашние сети защищены значительно слабее, ещё опаснее — подключение через публичный Wi-Fi.

Чтобы обезопасить данные, используйте VPN-сервис. С его помощью сотрудники на удалёнке сначала подключатся к офисной локальной сети, а затем к своим компьютерам через функцию подключения к удалённому рабочему столу.

Также используйте DLP-системы (Data Leak Prevention), которые позволяют контролировать удалённые рабочие места и предотвращать утечки информации.

DLP-системы создают виртуальный «периметр» вокруг компании и анализируют всю исходящую и входящую информацию: интернет-трафик, документы на внешних носителях. У DLP-систем есть и другие функции, связанные с контролем действий сотрудников.

Для малого и среднего бизнеса есть специальные варианты таких систем — «облачные» DLP-сервисы, объясняет директор по стратегическим коммуникациям Infosecurity Александр Дворянский.

• Основная ошибка бизнеса — считать, что ему ничего не угрожает. Чем меньше вы занимаетесь кибербезопасностью, тем вероятнее станете мишенью для атаки.

• Чтобы понять, какое решение по кибербезопасности подойдёт именно вам, нужно провести аудит. Самостоятельно оценить риски вы, скорее всего, не сумеете, лучше пригласите для этого эксперта.

• После аудита станет понятно, в чём ваши слабые стороны. После этого специалист подберёт подходящее решение. Есть универсальный комплекс инструментов: файрволы, антивирусные программы, Anti-APT и SOC-as-a-Service.

• Чтобы удалённые сотрудники не поставили под угрозу ваши данные, подключите VPN-сервис. Сотрудники сначала будут подключаться к офисной локальной сети, а затем к своим компьютерам.Также не пренебрегайте DLP-системами, которые контролируют удалённые рабочие места и предотвращают утечки информации. Для малого бизнеса компании-производители предлагают «облачные» DLP.