Курс на безопасность: риски бизнеса в новых условиях
Объединение отечественного бизнеса и сектора информационных технологий еще никогда не было таким молниеносным. Недаром спрос на услуги российских разработчиков вырос примерно в шесть раз.
Несомненно, сейчас у бизнеса есть важная задача – перестроить информационные процессы и перенести их на отечественные платформы из-за отсутствия поддержки и обновлений иностранного софта. Однако вспоминается народная мудрость: спешка нужна лишь при ловле блох.
Разве мы не слышим каждую неделю о кибератаках на разные индустрии? Пострадали российские компании из топливно-энергетического сектора, финансовой отрасли, розничной торговли, производственной сферы, СМИ и телеком-индустрии. На слуху инциденты – Газпром, Лукойл, Норникель, Сибур, Wildberries, сайты ТАСС, «Коммерсанта», Forbes, Е1 и другие.
На волне возрастающего количества атак и дискуссий об импортозамещении компании устремились на поиски дополнительного защитного софта. Однако все в одночасье забыли о проверках собственных систем (или пентестах), и, сами того не осознавая, отложили вопросы безопасности в долгий ящик. Тем временем уязвимости продолжают играть на руку злоумышленникам.
Пентест (от англ. pentest), или тестирование на проникновение – имитация действий злоумышленников, которая направлена на поиск уязвимостей и их последующее устранение. Пентест также может являться частью аудита безопасности.
Зачем наспех выстраивать из песка процесс замещения одного средства защиты на другой, если в итоге все это неизбежно смоет волна кибератак?
С какими основными проблемами столкнулись российские компании в последний месяц
Нарушение технологического процесса. Ушли крупные поставщики программного обеспечения для управления бизнес-операциями и отношениями с клиентами – SAP, Oracle и другие. Хлопнули дверью и Microsoft, Adobe, Intel и многие другие значимые участники рынка. Начались поиск и внедрение софта и железа другого производства.
Вредоносное ПО. Причины его распространения могут быть разные, к примеру, часть компаний (в теории) может поднять пиратский флаг над своим ИТ-кораблем. Да и официальные open-source решения становятся опасными для пользователей из России. Вот список таких продуктов, собранный энтузиастами.
Атаки и взломы. Жертвой кибератак может стать любая компания, и ответственность за конфиденциальность, целостность и доступность данных лежит на каждом сотруднике.
Анализ запросов, с которыми клиенты приходят в Digital Security, выявил следующие тенденции:
- Первую строчку среди самых распространенных угроз сегодня занимают DDoS-атаки, которые нарушают работоспособность инфраструктуры компании и клиентских сервисов. Если атака уже запущена, обращаться за помощью поздно, поэтому тестирование систем для предотвращения DDoS стало приоритетом.
- Серьезной проблемой для компаний могут стать сотрудники, не знающие о приемах социальной инженерии и не предупрежденные о вредоносных рассылках и поддельных сайтах. Небрежность и халатность персонала – частые причины нарушений доступа в информационные системы.
- Руководствуясь личными мотивами, сотрудники, имеющие доступ к конфиденциальной информации (или инсайдеры), могут дать злоумышленникам доступ для развития атаки внутри компании.
- Корпоративная сеть, являясь основой ИТ-инфраструктуры компании, таит в себе ошибки конфигурации ПО и оборудования, а также другие недостатки безопасности, на которые стоит обратить особое внимание.
- Последнее, но не менее важное – уязвимости веб-приложений и сайтов, эксплуатируя которые злоумышленники могут получить нелегитимный доступ к аккаунтам и корпоративным ресурсам.
Когда ваша инфраструктура больна…
Когда бизнес сталкивается с нарушением безопасности, вызванным серьезными уязвимостями и их эксплуатацией хакерами, это приводит к снижению прибыли и объема инвестиций, штрафам, репутационным рискам, а также сокрушительному оттоку клиентов и пользователей.
Финансовые потери
Деньги, которые уведут со счетов компании или клиентов. Затраты на расследование инцидентов и выплату, например, выкупа злоумышленникам. Возмещение ущерба и длительное восстановление данных. Это проблемы, которые ждут собственников бизнеса уже на берегу. Кроме того, каждая минута простоя для большинства компаний приносит ощутимые финансовые потери. Если системы или данные недоступны, клиенты не могут размещать заказы, а сотрудники – выполнять задачи. Даже если удалось сохранить работоспособность процессов, риск потерять клиентов все равно остается – они просто уйдут к более защищенному и “здоровому” конкуренту.
Ущерб репутации
Потеря доверия ведет не только к оттоку клиентов, но может и негативно повлиять на стоимость акций и компании. Не стоит также упускать из виду отношения с партнерами и подрядчиками, которые могут отказаться от сотрудничества вовсе или, как минимум, пересмотреть условия.
Парализация бизнес-процессов
Кибератака может замедлить или остановить не только процессы, напрямую связанные с получением прибыли. Пока специалисты “тушат пожар”, разгоревшийся из-за незакрытых уязвимостей, они не способствуют росту бизнеса. ИТ-персонал не разрабатывает фичи, а ищет первопричины и укрепляет безопасность. Яркий пример – история взлома норвежского завода Norsk Hydro.
Риск нормативной и гражданской ответственности
Организации должны учитывать риск нормативной и гражданской ответственности за утечку данных. В зависимости от региона и типа данных компания обязана сообщать о реальных или предполагаемых нарушениях, которые могут повлечь за собой крупные штрафы. Помимо нормативных обязательств, организации могут столкнуться с гражданскими исками от затронутых клиентов и деловых партнеров.
Предотвратить легче, чем лечить
Абсолютно неуязвимых систем нет, и слабые места будут найдены рано или поздно. Вопрос только – кем?
В противоборстве безопасников и злоумышленников нет ни выходных, ни больничных. И в настоящее время у мошенников явные преимущества: условия, в которых оказался бизнес вместе с вечными поисками лучших решений, лишь укрепляют позиции злодеев. Тем не менее организации могут сыграть на опережение и получить дополнительное время на улучшение технических процессов.
Бóльшая часть уязвимостей и проблем может быть обнаружена и закрыта в процессе аудита, в рамках которого проходит проверка информационных систем и их компонентов, в том числе на соответствие необходимым требованиям. Более того, определив и устранив проблемные зоны, не нужно будет менять и разрушать существующие технологические процессы.
С чего начать?
Атаки на системы зачастую осуществляются именно через внешний периметр, то есть ресурсы компании, доступные через интернет. Поэтому мы рекомендуем начать именно с него, чтобы предупредить атаки на компанию извне, и проверить в первую очередь:
● сайты и веб-приложения;
● почтовые и файловые серверы;
● сетевое оборудование;
● средства удаленного доступа и администрирования.
Компании, уделяющие внимание безопасности, стараются проводить тестирования ежегодно. Если такой возможности нет, чтобы не допустить нарушения работы инфраструктуры, стоит тестировать периметр после внесения масштабных изменений, таких как переезд на новый почтовый сервер, внедрение облачных сервисов или запуск нового веб-приложения.
Так, ориентированность в первую очередь на работу над поиском и устранением уязвимостей дает гораздо больше возможностей для сохранения и дальнейшего развития бизнеса, чем замещение решений обеспечения безопасности.
Итак, …
Мир, в котором мы живем, терпит глобальные перемены. Задачи остались прежними, но вопрос усиления безопасности ощущается особенно остро. Вандализм прикрывается идейными соображениями, и у злоумышленников развязаны руки. Выстоят не все – а значит, победят самые защищенные.
Таким образом, пренебрегая поиском уязвимостей в своих системах, можно столкнуться с куда более сокрушительными последствиями, чем нарушение технологических и бизнес-процессов.
Владельцы бизнесов, которые выберут вектор развития, направленный на первичную задачу поиска уязвимостей и предотвращение атак, выйдут победителями из переломного момента истории. И ключевым шагом на этом пути будет регулярная забота о безопасности своей ИТ-инфраструктуры.