Кибербезопасность в цифровую эпоху: как не потерять деньги и репутацию

Прослушать новость

Первые хакерские атаки были известны еще в конце XX века. Так, в 1983 году Мурат Уртембаев взломал АСУ ТП [1]  «АвтоВаз», из-за чего производство остановилось на три дня. Но вплоть до конца 90-х годов это были единичные случаи. На сегодняшний момент ситуация кардинально поменялась. Мы живем в век цифровых технологий, когда на предприятиях и заводах автоматизированные системы полностью контролируют процессы производства, огромная часть бизнеса ведется через интернет, а многие люди уже не представляют жизни без смартфона. Будущее наступает стремительно, темпы развития технологий нарастают с каждым годом. Но тут есть обратная сторона: чем больше информационных систем становится частью нашей жизни, и чем сложнее эти системы, тем больше они уязвимы.

Основные векторы атак

Достаточно вспомнить 2017 год, чтобы осознать, насколько изменился масштаб кибератак. Атака вируса-шифровальщика WannaCry вызвала сбой более чем 200 000 устройств в более чем 200 странах по всему миру. Тем временем официальное обновление для протокола SMB 1.0 [2], закрывающее уязвимость, которую использовало вредоносное ПО (программное обеспечение — Прим. Ред.), было доступно на момент атаки уже месяц. Два месяца спустя жертвами вируса-шифровальщика NotPetya стали более 80 компаний в России и Украине, хотя многие из них учли в свой работе урок Wannacry. 24 октября 2017 года ряд российских СМИ, а также несколько украинских транспортных компаний подверглись атаке очередного вредоноса-шифровальщика — BadRabbit.

Ущерб от таких кибератак колоссален. В частности, согласно мнению экспертов компании KnowBe4, ущерб от только от атаки WannaCry составил более $1 млрд. И это только одна атака, которая стала известна на весь мир. А сколько атак проходит незамеченными? Кстати, некоторые эксперты считали, что атака WannaCry, несмотря на всю свою разрушительность, принесла и немало пользы: благодаря ей почти все обратили внимание на уязвимость, которая содержалась на множестве ЭВМ, и устранили ее.

Также не стоит забывать и о финансовом секторе. По данным отчета Group-IB, каждый месяц в России происходит успешное ограбление банка при помощи кибер-преступлений. Средний ущерб от одного ограбления составляет приблизительно $2 млн. Ниже представлена таблица, наглядно показывающая уровень хищений денежных средств в России (источник — отчет Group-IB).

Таким образом, количество кибератак увеличивается, как среди банков и крупных госкорпораций, так и в сфере среднего и малого бизнеса. Реальность такова, что развитие информационных технологий ведет к появлению новых возможностей, и это касается в той же мере инструментов и программ, которыми пользуются злоумышленники. Порог вхождения в среду хакера-новичка снижается. Появляется все больше инструментов для внедрения и управления вредоносным ПО, которые активно распространяются в «даркнете» [3]. Часто достаточно просто скачать инструмент, потратить час на чтение руководства и можно «приступать к работе».

Эффективные хакерские атаки и их последствия

Специалисты тульской ИТ-компании «КРЕДО-С» несколько раз принимали участие в расследовании инцидентов, связанных с совершением киберпреступления. Векторы атак злоумышленников не отличались оригинальностью, но от этого не становились менее действенными. Фишинг [4], целевой фишинг, проникновение во внутреннюю сеть организации через Wi-Fi — все это дает результат, особенно при отсутствии знаний в области информационной безопасности у персонала. В частности, в одной компании, где была осуществлена успешная кража денег, специалисты «КРЕДО-С» сразу же нашли несколько уязвимостей, используя которые, можно было осуществить готовую атаку. В организации была сеть Wi-Fi, которая вела непосредственно в локальную сеть, на Wi-Fi-роутере был включен WPS [5], дробление сети на отдельные сегменты отсутствовало. По факту, подключившись к Wi-Fi, потенциальный атакующий мог сразу получить доступ к серверам организации. На нескольких рабочих станциях были установлены старые и не обновленные операционные системы, уязвимые к стандартным эксплоитам [6]. Также в компании были и другие проблемы. Успешная атака произошла через «социальную инженерию»: один из сотрудников попался на уловку злоумышленников и прошел на фишинговый сайт, где заполнил учетные данные в предоставленную форму доступа. Ущерб организации составил порядка
1 млн рублей плюс репутационные потери.

Другим примером может послужить еще одна исследованная специалистами «КРЕДО-С» атака, осуществленная также с использованием социальной инженерии. На электронную почту объекта атаки пришло письмо, якобы от «Сбербанка», в котором находилась ссылка. Ссылка вела на зараженный веб-сайт, откуда скачивался вирус-шифровальщик. Попадая на рабочую станцию, вирус начинал распространяться внутри локальной сети, зашифровывая документы как на локальной рабочей станции, так и в сетевых хранилищах.

Подобных примеров множество. В сегодняшних реалиях  достаточно одного клика по ссылке, присланной злоумышленником, и последствия могут быть самые фатальные: существенные финансовые, репутационные потери, остановка работы, потеря важных документов. Не стоит также забывать о том, что, проникнув в сеть, злоумышленники с большой долей вероятности оставят себе так называемый «бэкдор» (черный ход), чтобы впоследствии иметь возможность подключиться к сети снова.

Как защититься?

Современные угрозы диктуют весьма жесткие условия существования организации: простой установкой антивируса уже не обойтись. Новейшее вредоносное ПО обычно сходу не детектируется антивирусом – нужно какое-то время, чтобы его внесли в сигнатуры [7], а еще нужно время, чтобы антивирус успел обновиться. И иногда этот (небольшой) промежуток времени оказывается критичным. Именно в этот момент сотрудник может кликнуть на ссылку или захотеть посмотреть фотографию, присланную по почте. В итоге, компания начинает длинный путь по восстановлению сегмента своей сети и расследованию инцидента информационной безопасности.

                    

Подымов Алексей, специалит по информационной безопасности

Специалисты «КРЕДО-С» утверждают, что современными компаниями практикуется комплексный подход к информационной безопасности, использующий совокупность политик безопасности и средств защиты на уровне приложений, локальных компьютеров, сети, периметра и физической безопасности. На локальных компьютерах ставятся средства антивирусной защиты и защиты от несанкционированного доступа; сеть делится на отдельные сегменты, все внешние сервисы выносятся отдельно в так называемую «демилитаризованную» зону (DMZ)[8]; на внешнем периметре устанавливается межсетевой экран, средство обнаружения/предотвращения вторжений. Также в организации должны быть введены политики, регламентирующие информационную безопасность, среди пользователей должен проводиться обязательный инструктаж. В качестве дополнительной меры организация может проводить тестирование на проникновение, которое позволяет взглянуть на информационные ресурсы компании глазами злоумышленника, и выявить наиболее очевидные пути для атаки. Также ИТ-служба и служба информационной безопасности должны постоянно совершенствовать свои компетенции и использовать методики адаптивной безопасности, чтобы успевать за изменениями как внутренней среды, так и внешней.

Согласно прогнозу Group-IB, фокус атак основных хакерских групп может сместиться в сторону аппаратных уязвимостей, а это значит, что под прицел попадают не только серверы и рабочие станции, но и АСУ ТП. Уязвимости микропроцессоров и встроенного в аппаратную часть ПО могут открыть совершенно новые возможности для атакующих. Закрыть данные уязвимости с помощью программных обновлений представляется крайне сложной задачей, что ставит обнаружение атак на подобные уязвимости на одно из самых приоритетных мест. Очевидно, что атаки на АСУ ТП могут привести к куда более неприятным последствиям, чем просто потеря данных, пусть и очень важных. К таким последствиям можно отнести отключения электричества («блэкаут»), техногенные и экологические катастрофы.

Киберпреступления — это оружие XXI века, и применяют его не только злоумышленники, которых интересует финансовая выгода. Существуют проправительственные хакерские группировки, обладающие огромным потенциалом и возможностями. В их распоряжении обычно находятся знания об уязвимостях, которые могут быть неизвестны ни исследователям, ни разработчикам (так называемые уязвимости нулевого дня). Целями таких групп, в первую очередь, могут стать системы, функционирующие на ключевых предприятиях страны, и нарушение работы которых может привести к существенным последствиям как для экономики страны, так и для ее граждан.

Государство, в свою очередь, осознает это и старается защитить объекты своей критической информационной инфраструктуры (КИИ). Об этом говорит недавно принятый Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Согласно закону, критическими считаются системы, функционирующие в здравоохранении, науке, транспорте, связи, энергетике, финансовой сфере, ТЭК, ОПК, металлургической и химической промышленности и др. Согласно закону, владельцами этих систем должны быть проведены мероприятия по защите данных объектов от кибератак. Также все объекты КИИ должны встраиваться в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Несоблюдение требований закона №187-ФЗ может в некоторых случаях повлечь за собой даже уголовную ответственность.

Системы защиты объектов КИИ должны будут осуществлять постоянный мониторинг атак и в кратчайшие сроки передавать эти сведения в ГосСОПКА. При этом надо понимать, что полностью автоматизированной системы обнаружения и предотвращения вторжений, не дающей сбоев и имеющей низкий процент ложных срабатываний, на данный момент не существует. Большой процент подобной работы составляет ручной труд команды специалистов, которые производят анализ полученных от системы защиты данных, при этом принятие окончательного решения, считать определенный набор пакетов данных атакой или нет, зависит от них.

За информационными технологиями будущее, и не признавать это невозможно. Четвертая промышленная революция[9]  диктует свои правила: чем дальше, тем больше труда будет автоматизироваться с помощью различных информационных систем, в том числе с применением искусственного интеллекта. Все больше «умных» устройств будет входить в жизнь обычного человека. Но не все пока осознали это. К сожалению, многие люди, среди них и руководители предприятий, очень часто предпочитают просто закрывать глаза на эти проблемы. Но от того, что проблемы не признаются, угрозы быть реальностью не перестанут. И в данной ситуации  закрывать глаза мы просто не имеем права. 

 

 

5 простых советов, которые помогут повысить кибербезопасность вашего бизнеса

 

    1. Информируйте сотрудников

Не все ваши сотрудники могут быть грамотными в вопросах кибербезопасности. Поэтому первый и главный совет — информируйте сотрудников о кибербезопасности до того, как вы столкнетесь с какими-либо нарушениями. Рассказывать об этом необходимо абсолютно всем сотрудникам, независимо от их должности. Проблемы чаще всего приходят оттуда, где вы их меньше всего ждали.

Вариантов тут много:

 проведите семинар с приглашенными специалистами;

 просто поговорите с сотрудниками  о кибербезопасности лично, если у вас их немного;

 проверьте знания сотрудников в этой области при помощи тестов;

 установите правила использования устройств и политику безопасности в вашей организации. Распечатайте их на плакате, повесьте в каждом кабинете или сделайте e-mail-рассылку.

 

  1. Не используйте пиратское ПО

Не только потому, что это противозаконно, но зачастую оно может содержать различные типы вредоносных программ. Сэкономив на лицензиях, вы можете потерять гораздо больше.

 

  1. Регулярно обновляйте ПО

Регулярное обновление программного обеспечения — одна из самых полезных вещей, которую вы можете сделать для безопасности компьютера. В первую очередь это касается антивирусов. Поставщики программного обеспечения выпускают обновления для устранения рисков безопасности в своих существующих продуктах, которые могут быть подвержены хакерам в любое время. Как правило, обновленная версия продукта содержит исправления уязвимостей. Помимо обновления программного обеспечения всегда выбирайте качественного и надежного поставщика для продуктов безопасности.

 

  1. Контролируйте физический доступ к системам и сетевым компонентам

Не разрешайте посторонним или несанкционированным лицам использовать вашу систему. В случае сотрудничества с техническим специалистом из другой фирмы предоставьте ему общий ПК или контролируйте процесс выполнения задач. В мерах предосторожности следует заблокировать свой компьютер и настаивайте на том, чтобы ваш персонал сделал то же самое. Кроме того, вы должны следить за персональными устройствами сотрудников. Особенно это касается USB-накопителей. Если у ваших сотрудников есть необходимость в использовании внешних накопителей, закупите собственные и регулярно их проверяйте.

 

  1. Не надейтесь, что это не про вас

Ошибкой многих предпринимателей является абсолютная уверенность в том, что их бизнес неинтересен хакерам. Компании именно с таким пренебрежением к вопросам кибербезопасности являются для хакеров самыми привлекательными целями.

Кроме того, небольшая организация может быть выбрана в качестве трамплина для атаки ее партнерской компании с использованием слабых звеньев в цепочке поставок товаров или услуг.

 

 

[1] Автоматизированная система управления технологическим процессом (АСУ ТП) — группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.

 

[2]  Server Message Block (SMB) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.

 

[3] «Даркнет» — скрытая сеть, соединения которой устанавливаются только между доверенными пирами, иногда именующимися как «друзья», с использованием нестандартных протоколов и портов.

 

[4] Фишинг —  вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям.

 

[5] WPS — стандарт полуавтоматического создания беспроводной сети Wi-Fi. Целью протокола WPS является упрощение процесса настройки беспроводной сети. WPS с пин-кодом уязвим к атаке «брутфорс».

 

[6] Экспло́ит— компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения компьютерных атак.

 

[7] Сигнатура атаки (вируса) — характерные признаки компьютерного вируса, используемые для их обнаружения.

 

[8] DMZ — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.

 

[9] Четвертая промышленная революция — прогнозируемое событие, массовое внедрение киберфизических систем в производство и обслуживание человеческих потребностей, включая быт, труд и досуг. Изменения охватят самые разные стороны жизни: рынок труда, жизненную среду, политические системы, технологический уклад, человеческую идентичность.