У криптовалютной биржи украли > 100 млн долларов, а ты все еще думаешь, что твой бизнес в безопасности?

Несколько дней назад хакеры вывели биткоины, этериумы и троны с криптовалютной биржи Полоникс, хотя еще недавно адепты криптовалют говорили, что они максимально защищены.

Думать, что именно твой бизнес кибератаки обойдут стороной — как минимум наивно и как максимум безалаберно. Деньги, время, надежды — все может полететь в тартарары.

Почему я это утверждаю? Потому что имею печальный опыт. Собственный и клиентский.

Представьте ситуацию: запустил какой-нибудь ВасильПетрович интернет-магазин товаров для животных. Прорекламировался у блогеров, вкладывается в таргет, наставляет сотрудников (как общаться с проблемными клиентами и оформлять заказы — клиентам-душкам), устраивает акции, доставляет товары по всей России. Продажи потихоньку растут, и, кажется, бизнес набирает обороты, а потом вдруг наступает день (желательно в предновогодние недели) и бац — продажи резко упали, новых заказов почти нет, мессенджеры замолчали. «Что случилось?!», — в панике думает ВасильПетрович. Но паниковать уже поздно, потому что прошаренный конкурент вирус на сайт товаров для животных ВасильПетровича «натравил» и не только на него, а на ресурсы еще пятерых сильных игроков этого рынка в конкретном регионе.

Бизнес — это еще «мелкая сошка», есть масса примеров атаки государственных баз, в том числе Российских. Некоторое время назад были взломаны сайты правительства и парламента Израиля. После — началось то, что сейчас происходит. Злоумышленники высокой квалификации крадут ценную информацию, которая составляет коммерческую или даже военную и государственную тайну.

На фоне таких громких киберпреступлений кража паролей от личных кабинетов на «Госуслугах» или данных банковских карт обычных людей уже не кажется чем-то из ряда вон выходящим, правда? А, меж тем, в наши дни это распространено уже почти так же, как еда навынос.

Самое меньшее, что могут сделать хакеры — украсть личные данные ваших клиентов и использовать их в корыстных целях: оформить на человека кредиты, пользоваться его банковскими картами, при желании подавать заявления в госорганы и пр. То есть, фигурально выражаясь, «черные» айтишники способны украсть нехилый кусок жизни любого человека.

Любой IT-ресурс (сайт, приложение, CRM-система) может быть подвержен DDos-атаке. Это явление, при котором идет имитация множества обращений на ресурс, происходящих одномоментно. То есть, к вам на сайт как будто заходят 100 тыс. или 10 млн. человек одновременно (цифра может быть любой), нагрузку которых сервис не выдерживает и «ложится».

Оправиться после такого можно, но не всегда. И, как правило, не быстро.

Еще один способ атаковать ваш IT-бизнес — «инъецировать» его. В ведущие на ресурс ссылки внедряется SQL-код или SQL-инъекция , которая позволяет просматривать и изменять данные на сайте (удалять контакты, отказываться от заказов, изменять логику продукта). Опасность SQL-инъекции в том, что долгое время она может оставаться незамеченной и портить ваш бизнес (сливать часть или даже большинство заказов, передавать персональные данные и пр.).

Кроме этого, от лица компании злоумышленники могут распространять ложную информацию, вредоносные ссылки, просить оплатить покупки и совершить иные действия. Что влечет за собой не только потерю прибыли, но огромные репутационные риски и даже проблемы с законом.

Нередко можно встретить шпионские методы «внутреннего» хакерства. Подосланный человек внедряется в коллектив (устраивается на работу), а потом путем перекидывания данных на флешку или даже через вай-фай скачивает пароли и другую ценную информацию. А еще есть современные микрофоны высокой дальности, которые позволяют прослушивать звуки даже через бетонные стены. Даже в офисе на пятом этаже. Их кстати можно свободно приобрести на маркетплейсе от 3-4 тыс. рублей.

На черном рынке предлагают сим-карты, ни на кого не оформленные, официально их запретили продавать уже несколько лет назад, ведь симка без указания контактных данных владельца — еще одна прекрасная лазейка для хакеров. Когда в рамках рекламных акций такие сим-карты раздавали в метро больших городов и на улицах, злоумышленники скупали их пачками.

Такой серый айтишник садился в какое-нибудь многолюдное кафе, подключался к общему вай-фаю, проводил атаку по указанному клиентом адресу сайта или другого IT-продукта, затем портил роутер и уходил. Таких невозможно было отследить, поэтому сейчас купить карту без указания паспортных данных официально невозможно. Но мы с вами понимаем, что тот, кто ищет, тот всегда найдет.

Сбербанк. 7 октября 2022 года Сбербанк выдержал крупнейшую в своей истории кибератаку, которая длилась на протяжении 24 часов и 7 минут. Атака велась одновременно с 30 тысяч устройств из-за рубежа. За весь 2022 год Сбербанку удалось предотвратить попытки хищения средств клиентов на 154 млрд рублей. В 2023 году банк купировал фишинговую атаку на сотрудников с «приглашениями в военкомат».

«РТК-Солар». Специалисты компании только за второй квартал 2023 года выявили 325 тысяч инцидентов, связанных с IT-безопасностью. Эксперты отмечают, что более половины случаев составляет применение вредоносного ПО. Из них 36% связаны с использованием шифровальщиков. Также в компании участились случаи утечки информации.

РЖД. 5 июля этого года ОАО «Российские железные дороги» сообщили о многочисленных атаках на сайт и приложение компании. На восстановление доступа к ресурсам у IT-специалистов ушло два дня. Крупная атака на ресурсы РЖД была зафиксирована и в феврале 2022 года.

Гипермаркеты и магазины. В июне 2023 года произошла утечка информации личных данных клиентов таких интернет магазинов, как «Твое», «Эксмо», «Буквоед», Edimdoma.ru, «Леруа Мерлен», «Ашан», «Читай-город», «АСТ», Book24.ru, «Твой Дом» и Gloria Jeans. Вероятно, пользователи просто перешли по вредоносной ссылке, встроенной злоумышленниками в электронное письмо.

ВКонтакте. Некоторое время назад хакеры создали сайт, внешне идентичный ВК (с чуть-чуть отличающимися элементами), и в поиске он выходил первый. Люди заходили, авторизовались и сливали свои данные. Я сам чуть не попался «на удочку» мошенников, но все же вовремя увидел, что это подделка.

Способы защиты, которые были актуальны 7-10 лет назад, сегодня уже устарели. Их можно использовать, но только как вспомогательный элемент, но не как защитную базу. Сегодня придумываются, обновляются и постоянно совершенствуются все новые системы защиты, ведь пока одни хакеры придумывают новые системы взломов, другие IT-профи разрабатывают «антидотные» программы.

Представьте, что ваш сайт, приложение или CRM-ресурс — это иголка, которую нужно надежно спрятать. По традициям народной сказки — в яйцо, яйцо — в утку, утку — в зайца и так далее. То есть, чем больше защит (слоев брони) используется, тем меньше вероятность, что иголку быстро найдут и сломают.

Для защиты IT-продуктов наши разработчики и специалисты по безопасности используют множество методов. Расскажу о некоторых:

• Мы применяем криптографическое шифрование AES-256. AES считается наиболее надежным и усовершенствованным способом шифрования. Его использует Агентство национальной безопасности, в том числе в отрасли онлайн-банкинга.
• Наши специалисты выстраивают IT-архитектуру. Все процессы в продукте выстраиваются не как монолит, а как множество микросервисов, чтобы если взломали что-то одно, к другим элементам доступа не было.
• Установка межсетевого экрана — еще один наш must have. Другим языком, это подмена IP-адресов, позволяющая скрыть адреса серверов от глаз злоумышленников.
• Применение сервиса очередей, например, RabbitMQ. С его помощью систему можно настроить так, что при подозрительной активности она банит предполагаемого хакера, и он уже не может зайти на ресурс с прежнего оборудования.
• Почти всегда наша команда внедряет многофакторную аутентификации. Для всех пользователей, даже тех кто работает удаленно, установите МФА из доверенной среды или локальной системы. При этом аутентификацию не стоит привязывать к номерам телефонов, чтобы киберпреступники не смогли перехватить код авторизации.
• Интеграция SIEM-решений, благодаря чему можно своевременно выявлять попытки взлома и другую подозрительную активность злоумышленников.

Опираясь на свой личный и профессиональный опыт, могу сказать, что если обычный человек более-менее научился хранить деньги в нескольких электронных кошельках или картах, регулярно менять пароли от всех ресурсов и использовать двухфакторную аутентификацию, то вот российский бизнес практически не защищен. За исключением таких гигантов, как Газпром, Сбербанк и прочих крупных корпораций. Владельцы среднего и малого бизнеса часто ограничиваются лишь покупкой лицензированного антивируса.

Давно уже нет таких сайтов или приложений, которые нельзя взломать. Вся наша жизнь под прицелом тех, кому это важно. Между тем, любой интернет-магазин или другой ресурс, где идет сбор персональных данных — это зона риска. При том, что каждый предприниматель обязан соблюдать закон «О защите персональных данных», одной антивирусной программы недостаточно. Компаниям важно использовать самые современные методы защиты информационной безопасности, если они хотят долго и успешно жить.

Однако 90% российских компаний не соблюдают правила IT-безопасности, играя в «русскую рулетку», где взлом интернет ресурса — это только вопрос времени.

… которой нет. Да, вот так сразу и честно. Никто не защищен на 100%.

Кибератаки становятся нормой для современного бизнеса — это факт. Такой же, как и то, что ежедневно разрабатывается множество программ, способных значительно повысить уровень информационной безопасности и минимизировать «общение» с кибервредителыми. Однако уходите прочь от IT-специалистов, которые гарантируют вам абсолютную защиту, ее не существует.

Когда Comrades еще не был сильным брендом, из-за вирусов у нас слетело два проекта. Слетело совсем, без шансов на восстановление. Позже мы с командой прошли долгий путь аналитики и тестирования, чтобы понять механизмы защиты интернет-продуктов, поэтому на собственном опыте знаем, как простраивать IT-безопасность для создания успешных проектов.

Если вы до сегодняшнего дня пренебрегали правилами IT-безопасности или планируете запустить новый интернет-проект, то самое время записаться на консультацию в Comrades Devs. Мы изучим ваш проект с разных сторон и порекомендуем лучшие системы IT-безопасности для него.

Напишите в комментариях, пользовались ли вы чем-то для защиты своих бизнесов в интернете, какие методы помогают вам больше всего?