– Айдар Фаилевич, ваша компания специализируется на кибербезопасности. Кому как не вам знать, какие основные цифровые угрозы сегодня подстерегают бизнес?
– Не хочу никого пугать, но хакерских атак объективно с каждым днем становится все больше. И чем выше уровень цифровизации – тем больше количество и вес рисков, которым подвергается бизнес. Основные угрозы в сфере кибербезопасности включают взлом систем, утечку конфиденциальной информации, кражу и нарушение целостности данных, DDoS-атаки, а также сбои в работе сетевых инфраструктур вплоть до полной остановки бизнеса.
Если говорить про инструменты реализации таких рисков, то это прежде всего вредоносное ПО: вирусы-шифровальщики, трояны, шпионские и другие виды программ, которые могут нанести ущерб системам и данным. Так, деятельность федерального логистического оператора парализовал вирус-шифровальщик. Подобные вирусы - классика хакерского жанра, активно используемая с начала 2010-х годов, усложняются лишь подходы к внедрению подобных вредоносов. Например, раньше достаточно было прислать на корпоративную почту секретарю или бухгалтеру «письмо счастья» с зараженным вложением – с высокой долей вероятности его вскрыли бы. Сейчас вырос и уровень защиты почты, и цифровая гигиена сотрудников, поэтому мошенники пускают в ход мощные технические средства. Скажем так, если раньше хакеры обманом вынуждали сотрудника открыть им дверь, то сейчас они взламывают ее монтировкой или даже сносят всю стену бульдозером.
– Получается, на доверчивости персонала хакеры больше не играют?
- К сожалению, играют. По-прежнему самым слабым звеном киберзащиты являются люди. Человеческий фактор был и остается одной из главных причин инцидентов информационной безопасности. Так, причиной инцидентов информационной безопасности в 78% случаев становились ошибки ИТ-специалистов. Например, сотрудник случайно опубликовал в общедоступном файловом хранилище код, где в комментариях или метаданных файла упоминаются пароли, ключи API или другие конфиденциальные сведения. Фактически, чувствительная информация преподносится хакерам на блюдечке. Другая часто встречающаяся ошибка - внедрение новой сетевой службы без соответствующего анализа угроз и оценки рисков, что может стать для взломщиков воротами для входа в систему и совершения широкого спектра кибератак.
Но чаще хакеры не дожидаются «зевков» от ИТ-специалистов и провоцируют на ошибки обычных офисных сотрудников. Киберпреступники совершенствуют методы социальной инженерии, ежедневно обманом, манипуляциями и давлением на эмоции добиваясь своих целей. Сейчас с развитием искусственного интеллекта и генеративных нейросетей они подделывают фотографии, голоса, внешность знакомых жертвы, чтобы втереться к ней в доверие.
Продолжает развиваться фишинг: рассылка мошеннических сообщений через любые доступные каналы: соцсети, мессенджеры, ту же почту с целью получить конфиденциальную информацию или установить вредоносное ПО. Обманом выманивают данные учетных записей, уводят аккаунты, чтобы распространять «инфекцию» другим контактам. В феврале по Татарстану прокатилась целая фишинговая волна, захлестнувшая ряд государственных служащих. Подобных атак становится все больше: для сценариев, в которых злоумышленники выдают себя за руководителей компаний или представителей силовых ведомств, даже появился специальный термин FakeBoss. По статистике, одна из пяти FakeBoss-кампаний приносит «улов» в виде хотя бы одного обманутого сотрудника, кликнувшего по фишинговым ссылкам или передавшего мошенникам чувствительную информацию.
Да что там далеко ходить – кто-то создал фейковый аккаунт под мое имя и пытался воздействовать на сотрудников нашей компании. Конечно, в данном случае они очень сильно просчитались: в компании уровень цифровой гигиены достаточно высок.
– Какие виды киберинцидентов наиболее опасны для бизнеса, и какие последствия они могут иметь?
– В кибербезопасности все чаще используется термин «недопустимое событие», или НС. Это как раз про действия, влекущие наиболее критичные последствия для коммерческих компаний или госструктур. И каждая организация для себя сама определяет, что для нее является НС. На международном киберфестивале PHDays мы с коллегами как раз обсуждали подобные сценарии на пленарной дискуссии. Например, недопустимое событие для госсектора может заключаться во взломе информационных сервисов и рассылке гражданам сообщений о десятикратном росте тарифов или другой дезинформации, направленной на общественный резонанс.
Если говорить про бизнес, то одно из ключевых НС - кража денежных средств. Это кровь, которая течет по венам предприятия, и такая «кровопотеря» угрожает жизни и здоровью компании. Не менее критичный бизнес-риск - кража или шифрование контактов и других данных компании, которая останавливает операционную деятельность. Даже день простоя для ряда ниш, таких как продажа и доставка товаров, бронирование билетов и гостиниц или заказ такси могут очень сильно снизить бизнес-показатели.
Для промышленного предприятия НС - остановка производственной линии, служащей основным генератором прибыли. В случае со СМИ критичным инцидентом может быть недоступность сайта, взлом учетных записей админки.
Последствия кибератак: финансовые и репутационные потери, штрафы за нарушение законодательства, снижение доверия клиентов, а также главный риск - остановка бизнес-процессов, грозящая крахом организации.
– Какие действия компании должны предпринять, чтобы защитить свои системы и данные от кибератак?
– По нашей методологии, достижение киберустойчивости возможно в цикличном подходе из пяти этапов. Первый - оценка защищенности компании. Второй - построение дизайна целевой картины. На третьем шаге производится трансформация инфраструктуры и обеспечение технологических процессов, на четвертом - обучение сотрудников информационной безопасности и, наконец, на пятом - проведение независимой оценки в виде внешних пентестов, кибериспытаний и других форматов проверки защищенности.
Причем, собственникам и CEO придется набраться терпения. Каждый шаг – это огромный набор последовательных действий и процессов, которые реализуются на протяжении довольно большого времени. Даже у нашей компании, специализирующейся на кибербезопасности, путь к статусу самого защищенного ИТ-интегратора занял более девяти месяцев. Точнее, он еще не завершен. Сейчас вышли на пятый шаг и проводим багбаунти в режиме кибериспытаний. Правильнее сказать, что за этот период мы укрепили свою оборонительную крепость, и теперь регулярно патрулируем ее границы.
– Какую роль играют сотрудники компании в обеспечении кибербезопасности, как их можно обучить правильным практикам?
– Штат компании составляют сотрудники-пользователи ИТ-систем и эксплуатирующий персонал, ИТ и специалисты информационной безопасности (ИБ), обеспечивающие непрерывную работу этих сервисов. Если речь не про ИТ-компанию, то, как правило, преобладают обычные пользователи. Таким сотрудникам надо проводить обучения основам цифровой безопасности с проверкой усвоенного материала. Важно внедрять цифровую культуру: учить распознавать фишинговые атаки, использовать сложные пароли, вырабатывать осторожность при открытии электронных писем и ссылок. А потом – в качестве экзамена сделать фишинговую рассылку и посмотреть, кто усвоил уроки, а кто продолжает попадаться на удочку мошенников. Что касается специалистов по ИБ, то им нужно периодически проходить обучение на киберполигонах – цифровых платформах, позволяющих сымитировать хакерские атаки на цифровых двойниках предприятий. И, конечно, огромный практический опыт ИБ-команда набирает, пока отражает атаки хакеров-участников программы багбаунти. Это бонус мы получаем уже сейчас, хотя с момента старта нашей проверки хакерами прошло немного времени.
– Назовите топ-5 распространенных ошибок, которые делают уязвимыми соцсети и сайты компаний?
– Использование слабых паролей или их бесконтрольная передача сотрудникам, отказ от двухфакторной аутентификации, отсутствие процесса управления уязвимостями и систем безопасности, не распознавание фишинга, отсутствие эффективных средств для защиты конфиденциальных данных.
– Какие роли и ответственности должны быть назначены внутри компании для эффективного управления кибербезопасностью?
– В отдельных отраслях цифровые риски уже начинают перевешивать более традиционные: финансовые, юридические или коммерческие. Поэтому для эффективного управления кибербезопасностью в компании вводятся такие роли и зоны ответственности как: CISO (Chief Information Security Officer) – ИБ-директор, ответственный за разработку и реализацию стратегии кибербезопасности; команда информационной безопасности (Security Operations Center, SOC) – центр противодействия и реагирования на инциденты, а также ИТ-управление, отвечающее за обновление и защиту систем и программного обеспечения. К слову, Security Operations Center (SOC) – это элитный киберотряд, готовый вступить в бой с хакерами 24 часа в сутки. Организация и поддержание такой боевой единицы крайне затратно, поэтому услуги SOC нередко передаются на аутсорсинг.
Также в компаниях могут создаваться комитеты или отделы по управлению цифровыми рисками, куда помимо ИТ и ИБ директоров включаются коллеги из блока физической безопасности и финансово-юридического департамента.
– Какие действия следует предпринять в случае возникновения кибератаки, чтобы минимизировать ущерб и восстановить работоспособность систем?
– В случае возникновения кибератаки, компания должна: сообщить об инциденте специалистам по информационной безопасности, изолировать скомпрометированную систему или сеть. Параллельно запускается расследование инцидента, чтобы выявить причину и источник атаки, а также усиливаются меры кибербезопасности, чтобы предотвратить подобные атаки в будущем.
Если произошло недопустимое событие, например шифрование или утечка данных, важно восстановить системы из последних резервных копий (если делаются бэкапы) и оповестить клиентов, партнеров и регуляторов, о произошедшем инциденте и принятых мерах. Взломать могут абсолютно любую компанию, поэтому важно не скрывать неприятный факт, а сделать все для расследования атаки, нейтрализации ее последствий и пресечения подобных действий в отношении других участников рынка.
