Моё ПО — моя крепость: как не дать корпоративным данным утечь в Сеть

Кибератаки и слив корпоративных данных — страшный сон для любого бизнеса. Заместитель директора по работе с корпоративными клиентами Павел Мельник и руководитель корпоративных практик ALP Group Александр Казеннов рассказывают, как не стать очередной жертвой хакеров.

Количество утечек данных и массивных кибератак неуклонно растет. Согласно одному исследованию, в 2022 году утечки персональных данных выросли в 40 раз по сравнению с предыдущим годом и затронули около 100 миллионов россиян. Взломав корпоративную учетную систему крупной организации, хакеры получают доступ к огромному количеству информации, от личных контактов рядовых граждан из клиентской базы (какой репутационный удар для компании!) до коммерческой или даже гостайны (здесь так вообще можно поседеть от ужаса).

При этом в любой крупной компании, а тем более в системообразующих предприятиях страны, как правило, есть целый отдел, отвечающий за информационную безопасность. Кажется, будто киберпреступники — абсолютные гении, если им раз за разом удается вскрывать супер-защищенные корпоративные системы.

На деле же всё гораздо проще, чем кажется. Сегодня многие хакеры — это вчерашние школьники, которые атакуют системы от нечего делать по инструкциям из даркнета. А «неприступные крепости» корпоративных систем рушатся из-за таких элементарных вещей как излишне простые пароли, нерадивость сотрудников или несвоевременное обновление программного обеспечения. Чтобы не стать легкой добычей для юных взломщиков, достаточно выполнить всего 5 простых шагов и тем самым гарантировать себе хотя бы базовую информационную безопасность.

1. Обучайте сотрудников цифровой грамотности

Помните, как в сериале «Шерлок» Мориарти одновременно хакнул Банк Англии, вскрыл камеры в тюрьме Пентонвиль и взломал бокс с королевскими драгоценностями в Тауэре? На протяжении всей серии Шерлок уверен, что Мориарти знает некий секретный двоичный код, который позволяет вскрыть любую систему прямо с экрана смартфона. В конце выясняется, что такого кода никогда не существовало — гений преступного мира просто-навсего везде подкупил охрану.

Нужно понимать, что в корпоративной практике тоже бывают «шпионские» ситуации, достойные своего сериала: иногда хакеры специально устраиваются в компанию, чтобы получить доступ к конфиденциальной информации, или заводят отношения с сотрудниками компании с той же целью. В таких случаях не поможет технологическая защита на уровне фаерволов — в компании нужно формировать определенную культуру.

Зачастую мы повторяем ошибку Шерлока и переоцениваем хакеров. Факт в том, что абсолютное большинство взломов происходит из-за человеческого фактора, то есть из-за банальной небрежности. Мы думаем о самых передовых способах защиты продуктивного контура, тогда как начинать нужно было с обучения собственных сотрудников. Персоналу нужно объяснять, почему нельзя оставлять пароли без присмотра на рабочем столе, пренебрегать двухфакторной аутентификацией, открывать сомнительные ссылки с рабочей почты, а также слишком редко или вообще никогда не менять пароли.

2. Не делитесь лишней информацией и делайте копии

Чем меньше данных вы публикуете в открытый доступ, тем лучше. Не выдавайте данные о своих серверах во внешний мир и не храните больше информации, чем это необходимо. К примеру, если вы пытаетесь наладить процесс согласования отпусков, спросите себя, правда ли нужно создавать общедоступный портал, где будет храниться вся HR-документация и все личные данные сотрудников из кадровой базы.

И еще один совет при работе с базами данных: обязательно создавайте резервные копии критически важной информации и храните их отдельно от основной информационной системы. В противном случае, восстановить данные после эшелонированной атаки шифровальщиков будет уже невозможно.

3. Регулярно обновляйте ПО

Недавно в СМИ появилась информация, что данные клиентов сразу трех крупных российских розничных сетей могли утечь из-за уязвимости корпоративной информационной системы, которая уже была успешно закрыта в новом релизе от вендора. Другими словами, торговые компании просто не запустили вовремя апдейт лицензионного ПО.

Справедливости ради стоит сказать, что на уровне крупной корпорации процесс обновления софта выглядит сильно сложнее, чем какое-нибудь обновление приложения в смартфоне. Иногда на тестирование и установку релиза может уходить до 8 часов. Это значит, что обновление нужно либо выкатывать ночью (и платить сотрудникам сверхурочные), либо арендовать за безумные деньги дублирующий сервер и проводить обновление через него.

Тем не менее, это не повод игнорировать релизы вендора. Если новая версия закрывает существенные уязвимости, ее стоит установить как можно скорее. В крайнем случае, можно переждать несколько дней, чтобы посмотреть на опыт других компаний и убедиться, что релиз не содержит какого-нибудь проблематичного бага. Чего точно не нужно делать, так это откладывать обновление на пару месяцев, «когда руки дойдут». Иначе первыми до системы могут дойти уже руки хакеров.

4. Цените своих специалистов по информационной безопасности

Служба информационной безопасности в крупных компаниях нередко вызывает раздражение у всех, кто в нее не входит. Мол, «опять ко мне пристают эти безопасники!» Тут, понимаешь, и так много рабочих задач, а еще нужно каждый раз тратить время на цирковые трюки с двухфакторной аутентификацией и паролем на 20+ символов.

Научитесь ценить не только свой, но и чужой труд. «Безопасники» работают не просто так. К сожалению, все риски информационной уязвимости для бизнеса обычно понимает лишь его руководитель. Здесь тоже встает вопрос об обучении сотрудников. Линейному персоналу стоит отдельно объяснить, чем грозит беспечность и почему пароль не должен походить на “password1234”.

5. Не бойтесь работать со сторонними экспертами и подрядчиками

Некоторые компании так напуганы сложившейся ситуацией, что боятся делегировать проекты подрядчикам и пытаются всё тянуть на себе. Снять эти страхи легко. Например, ИТ-интеграторы могут работать в отдельных защищенных средах разработки или дорабатывать учетные системы на основе так называемых синтетических данных.

Та же история касается и подрядчиков в сфере информационной безопасности. Если ресурсы и требования корпоративной безопасности позволяют, имеет смысл нанять внешнюю компанию, много лет специализирующуюся на защите корпоративных систем, нежели создавать свой внутренний отдел из новичков.

* * *

Пожалуйста, не откладывайте решения вопросов по информационной безопасности в долгий ящик. Начинайте строить свою цифровую крепость уже сегодня, чтобы у злоумышленников и хакеров-энтузиастов не было никаких шансов.