Просто про головне: кібербезпека вашого бізнесу в запитаннях та відповідях

Відповідаючи в своїй практиці з кіберзахисту кожного дня на численні запити керівників та власників бізнесів з різних галузей економіки в Україні, сьогодні ми вирішили надати в одному матеріалі на одному майданчику відповіді одразу на всі найбільш актуальні та поширені питання наших партнерів. Тож в цьому блозі ми спробуємо коротко і на простих прикладах висвітлити такі актуальні ситуації, а також надати практичні рекомендації щодо самостійних перших кроків в бізнесі до підсилення інформаційної та кібербезпеки «тут і зараз».

Поінформований – значить, озброєний. Можливо, навіть впровадження таких простих і зовсім недорогих рекомендацій, які ви отримаєте з цієї статті, буде досить, щоб запобігти великим ризикам вашого бізнесу.

Почнемо з самого початку

Бізнес не любить витрачати кошти, не розуміючи «навіщо». Це факт, і це правильна позиція, яку ми як представники бізнесу також підтримуємо в усіх наших системах. І що зазвичай зменшують під час бізнес-турбулентності? Одна з таких статей витрат – IT. Бо для звичайного підприємця IT-рішення, особливо в нетехнологічному бізнесі, - це те, що не можна «потримати в руках», щось нематеріальне і незрозуміле, а отже «навіщо платити більше», якщо можна ці витрати «оптимізувати».

Але така ситуація триває лише до того моменту, коли раптом не трапляється щось, що ставить факт подальшого існування вашого підприємства на межу виживання, повної зупинки чи блокування його найбільш вразливих процесів і систем. Так починаються всі історії з кіберінцидентами в бізнесах наших клієнтів.

Які це можуть бути загрози, що стосуються абсолютно всіх бізнесів в Україні

Якщо ви власник чи керівник підприємства, великого, середнього, малого чи навіть ФОП, і відповідаєте за безперервність та ефективність його роботи, виділіть в своєму напруженому графіку 30-40 хвилин часу та спробуйте проаналізувати та спрогнозувати різні сценарії розвитку подій з огляду на те, наскільки загалом ваш бізнес пов’язаний з комп’ютерною технікою, мережею чи онлайн-рішеннями. Погодьтеся, важко сьогодні знайти бізнеси, що зовсім не користуються цими технологіями.

А отже, уявімо перший сценарій – до вашої робочої мережі залетів вірус-шифрувальник. Роботу всієї системи паралізовано, вірус вимагає гроші за розблокування, і ніхто з ваших співробітників не може працювати протягом дня-двох-трьох. Зупиняються відвантаження продукції, бо неможливо роздрукувати видаткові накладні. Нема нових замовлень, бо не працює CRM. Чи навіть ви зовсім не можете потрапити на свої робочі місця, бо перестала працювати система контролю доступу. Навіть цього буває досить, щоб в бізнесах почалася паніка, і ви покірно передаєте зловмиснику кошти, щоб врятувати ваше підприємство.

Або інший приклад і інший сценарій – ваша компанія бере участь в складному та високовартісному тендері, формує конкурентну перевагу та покладає багато сподівань на перемогу в цій тендерній процедурі. А ваші конкуренти заходять до вашої мережі, як до себе додому, і читають всі ваші розрахунки, пропозиції, домовленості з постачальниками. Легко собі уявити, що їх контрпропозиція в цьому тендері може стати вигідніша за вашу.

Третій сценарій – електронна пошта ваших співробітників. Чи входить вона до критичної ІТ-системи компаній? Як ваші працівники частіше всього взаємодіють з замовниками та постачальниками? Як обмінюються документам? Телефон, факс? Може виявитись, що без електронної пошти ваш бізнес буде «поставлено на паузу», бо просто перестане працювати декілька важливих бізнес-процесів.

Звичайно, іноді трапляються ситуації, коли при кіберінциденті в маленькому чи мікро-бізнесі зовсім нічого загрозливого не відбувається, але це скоріше виняток, ніж правило. І навіть у цьому випадку варто пам’ятати про такі загрози, адже світ швидко змінюється, ваш бізнес може миттєво вирости, чи ви перейдете в іншу нішу, де знання та досвід управління кіберзагрозами стане вже критичним.

Які бізнеси не страждають від кіберзлочинців

Найменшу загрозу несанкціоновані дії третіх осіб з вашими ІТ-системами становлять простим бізнесіам. Наприклад, якщо хтось працює в таксі і його смартфон буде заблоковано кіберзловмисниками, то він просто втратить певну кількість замовлень з Uber, Uklon чи ін. Деякий час та гроші також будуть витрачені на переустановлення ПЗ телефону, налаштування роботи систем тощо, але це не стане критичним для існування такого бізнесу та отримання доходу в цілому.

Чи навіть можна уявити бізнес, пов’язаний з торгівлею на ринку чи наданням послуг вчителем-репетитором для своїх учнів-школярів чи студентів. Тут, звичайно, загрози мінімальні. Хоча з іншого боку, навіть втрата контакту зі своїми клієнтами в таких бізнесах може бути неприємна та небажана.

Тобто в сучасному світі майже неможливо уявити ситуації, а тим паче бізнеси, що зовсім невразливі до зловмисних дій в кіберпросторі.

Автоматизовані атаки на ваші системи

Ця категорія загроз існує майже постійно та для будь-яких підприємств чи навіть фізичних осіб. Можливо, це не так помітно, тому що компанії і люди не знають, що таке може бути.

Я можу навести приклад навіть нашої групи компаній, де працює багато людей, багато комп’ютерів, сайтів, розгорнуті засоби захисту, якісне програмне забезпечення і т.і. Півтори роки тому ми встановили додаткову систему аналітики. І навіть я був вражений, наскільки багато відбувається автоматизованих спроб отримати доступ до наших систем. Чисельні спроби встановити плагіни, що нададуть доступ на наш веб-сервер з подальшим його використанням із злочинними намірами. І використання сайту в якості бот-ферми – це ще досить «невинні» забавки. А є й більш серйозні кейси. В одного з наших клієнтів, наприклад, кіберзлочинці використовували веб-ресурси як майданчик для роздачі «інформаційного сміття», дуже сумнівного, можна навіть сказати, порнографічного характеру за змістом. Довелось витратити деякий час на очищення та приведення ресурсу до ладу.

Тож, якщо обраховувати реально, кожну годину ваші ресурси витримують десятки (а іноді навіть сотні) автоматизованих атак - від спроби запровадити якийсь керуючий модуль до вашого сайту до зламу дистанційного доступу до ваших хмарних серверів. Це непомітно, але постійно є.

Чи потрібно це захищати? Так, потрібно. Тому що, якщо цього не робити, ви навіть не ціллю будете, а мимоволі, в автоматизованому потоці вас захоплять і всередині вашої мережі вже далі будуть робити інші зловмисні дії.

«Найдорожчі фаєрволи» і чому вони не працюють окремо від фахівців

До нас звертається і інша категорія бізнесменів, компаній. Які кажуть «та ні, ви що, в нас все нормально, ми купили найдорожчий фаєрвол, антивірус і всі інші системи безпеки, тепер в нас все має бути добре і нам нема про що нервувати».

На жаль, це трохи не так, тому що кібербезпека – це безперервний процес, ним потрібно займатися весь час, і він комплексний. Нема ніякої чарівної пігулки, чогось такого, що придбав, встановив – і тепер назавжди в безпеці. Можливо, від якоїсь одної загрози це вас убезпечить, але все одно, цими системами потрібно займатися постійно, відслідковувати їх актуальність, займатися оновленням програмного забезпечення, зонами застосування.

Бо, якщо ви встановили фаєрвол-систему для захисту внутрішнього периметру, то ви почуваєте себе в безпеці. Начебто ззовні доступ до вашої мережі отримати неможливо. Але є людський фактор та інші способи кібератаки. Наприклад, приходить е-мейл вашому співробітнику на кшталт «Ви виграли айфон – перейдіть по посиланню, щоб отримати подарунок». Співробітник на емоціях клікає - і вже зловмисне програмне забезпечення завантажилося вам всередину мережі. Ваші співробітники не реагують на неочікувані виграші? А лист з назвою «акт звірки» відкриють?

І фаєрвол тут ні до чого. Фаєрвол навіть не побачить такі листи, це просто інший спосіб атаки. В вас не було ніякого антивірусу, не було програми, що таку пошту фільтрує, і ваш співробітник, який клікнув на таке посилання, завантажив вам, наприклад, вірус-шифрувальник всередину мережі. І таких сценаріїв  безліч.

Категорії ризиків з огляду на кібербезпеку компаній

Стає зрозумілим, що кібербезпека – це не виключно технічна річ. Вона не вирішується тільки обладнанням чи програмним забезпеченням.

І ось у звичайного бізнесу виникає питання: «Так що ж мені робити, що купувати і як розбиратися з усім цим?»

Для початку складаємо вашу карту ризиків – які в вас є інформаційні активи і як саме вони впливають на бізнес (сильно, помірно, слабко). А далі на їх основі формуємо саму карту. Є досить багато категорій ризиків, в цьому матеріалі ми наведемо тільки дві найпоширеніші з них.

Перше. Ризики, пов’язані з діями людей, як внутрішніх зловмисників, так і зовнішніх.

Наприклад, в державному секторі часто стикаються із ситуацією, коли системного адміністратора вимушені наймати на невисоку і зовсім неринкову зарплатню. Він незрозуміло на кого насправді працює, звідки прийшов і ким «спонсорується». А тут отримує доступ до критичної інфраструктури чи податкової інформації, чи до військових реєстрів, митниці. В комерційному секторі теж бувають такі історії. Ваші конкуренти можуть влаштувати вам на роботу свого співробітника, який буде «агентом» вже всередині вашої мережі і передавати інформацію конкуренту. Звісно є ІТ-системи, які допомагають боротися з подібними ризиками. Але для початку потрібно зрозуміти, що подібні ризики є.

Часто є й просто людський фактор - звичайні помилки. Наприклад, співробітник заповнює платіжне доручення і помиляється в реквізитах, тобто ваші кошти йдуть не на того контрагента. Це може бути зловмисна дія, а може і звичайна помилка.

Цим також займається кібербезпека, точніше, в цьому випадку це вже інформаційна безпека. І ми в своїй практиці на ці питання також відповідаємо.

А є й зовсім дикі випадки, коли фізично приходять і забирають всі ваші сервери. В цій ситуації як ви можете захиститися? Якщо для вас це некритично, то добре, а якщо так паралізується бізнес – що ви будете робити?

Друге. Технологічні ризики, коли зловмисник атакує, шле вам зловмисне ПЗ тощо.

Це зрозуміла історія, і про неї ми детально розповіли вище. 

Тобто, склавши таку карту ризиків і розуміючи, які ризики для вас критичні, ви вже розумієте, який захист вам потрібен, і під ризики вже можете підбирати рішення. Наступний крок – пошук спеціалістів чи компанії, яка забезпечить вам цю систему захисту. Пам’ятайте, що просто купити дорогу систему без спеціалістів, які можуть її запровадити та підтримувати в належному стані, - це те, що ніколи не працює. А крім того, якщо в вас є спеціалісті, які розуміють, що потрібно робити, то зазвичай і витрати на захист менші.

Отже, це основний спектр питань, який ми регулярно вирішуємо з бізнесами на їх запити, і вже саме розуміння проблематики та такі прості кроки, що ми рекомендували зробити в цьому матеріалі, вже дозволять вам підняти питання кібербезпеки в вашому бізнесі на радикально інший рівень.

Будьте в безпеці!