В последнее время вышло немало публикаций о тех проблемах, с которыми столкнулся российский бизнес из-за пандемии коронавируса. Проблема информационной безопасности обсуждается в этом контексте не так активно. Но в любые сложные для общества периоды, мошенники и злоумышленники всегда активизируют свою деятельность. И последствия этой деятельности для бизнеса могут быть катастрофическими.
Когда российский бизнес перевел сотрудников на удаленку, далеко не все фирмы имели в распоряжении заранее приобретенные ноутбуки, должным образом подготовленные к работе и обеспеченные необходимой защитой. Быстро решить эту задачу «с нуля» смогла лишь малая часть предприятий. В итоге сотрудникам пришлось пользоваться личными компьютерами. Проконтролировать порядок использования такой техники в домашних условиях гораздо сложнее. Установлен ли антивирус? Какие программы используются? Не происходит ли скачивание вредоносных файлов вместе с другим контентом в торрентах?
Если компьютер сотрудника через VPN подключен к внутренней сети организации, он легко может стать удобной точкой для входа во внутреннюю сеть компании, и в системе безопасности открывается дыра, т.к. далеко не все пользователи знают как правильно защитить свой домашний компьютер. И многие злоумышленники активно этим пользуются. И это проблема – номер один!
Вторая же проблема заключается в том, что возросло общее количество сетевых атак, и последствия от них стали ощутимее. Скорость реакции служб технической поддержки на удаленке сильно упала, специалисты работают рассредоточено. При этом у обычных сотрудников уровень грамотности в сфере ИБ остается низким. Известно, что в ходе подавляющего большинства атак на юридические лица, злоумышленники активно применяют различные инструменты социальной инженерии и фишинговую рассылку. Но проконтролировать удаленно работающего сотрудника и своевременно помочь ему гораздо сложнее. Всё это дает хакерам большие возможности для маневра. В такие периоды страдает не только корпоративный сектор, данные банковских карт и пароли крадутся у многих пользователей.
Ну и, пожалуй, еще один важный момент. Восстановление упавших сервисов и информационных систем в нынешних условиях может занять гораздо больше времени. Репутационные и финансовые риски компаний сильно увеличиваются.
Что необходимо делать для обеспечения информационной безопасности компании?
Я дам всего пять советов. Реализация каждого из них сделает вашу компанию более защищенной.
Повышайте компьютерную грамотность. Самый простой способ сделать это в текущих условиях – массовая почтовая рассылка для всех сотрудников фирмы. Объясните правила обеспечения безопасности домашнего компьютера, расскажите о проблеме фишинга. Текст должен содержать конкретные и простые примеры. В противном случае коллеги подумают, что это очередная мера, направленная лишь на удовлетворение амбиций безопасников.
Организуйте «фишинг» для своих сотрудников. Проверьте знания своих коллег на практике
.Организуйте учебную фишинговую рассылку. Это позволит понять, насколько четко сотрудники следуют инструкциям. Пусть лучше ваши коллеги допустят ошибку на тестовой атаке, чем попадутся потом на удочку настоящих мошенников.
Тестируйте инфраструктуру. Закажите у независимой специализированной фирмы тестирование на проникновение (пентест). Вы поймете, какие дыры есть в вашей безопасности. Особенно важно это делать в такие периоды повышенной уязвимости, как сейчас, ведь удаленный доступ дает много дополнительных возможностей мошенникам и недоброжелателям.
Разумно подходите к тратам на информационную безопасность. Каждый заказчик должен понимать, что безопасность в компании должна соответствовать тем потерям, которые возможны в случае компрометации данных. Иногда фактические затраты на ИБ значительно превышают возможные потери, и такой подход нельзя назвать рациональным. При этом очень часто компании считают, что можно «обложиться» железом, хорошими и дорогостоящими решениями, но при этом не уделяют внимания развитию компетенций сотрудников. Пентест плюс методы социальной инженерии – это относительно недорогой способ непредвзято оценить, какие угрозы для вас наиболее опасны, и разработать адекватную стратегию ИБ.
Проведите инвентаризацию. Правду ли говорят ваши «айтишники»? Все ли системы должным образом обновляются и поддерживаются? Многие сервисы, которыми раньше пользовалась компания или государственная структура, нигде не зарегистрированы, об их существовании уже никто не помнит. Именно через такие «забытые» сервисы легче всего осуществить проникновение.
Для некоторых отраслей требования к информационной безопасности определяются регулятором (это уже лучше, чем ничего). Но большинство компаний задумываются об ИБ, только когда происходит нештатная ситуация. Топ-менеджеры слабо представляют себе возможности хакеров, полагая, что те могут лишь помешать работоспособности корпоративного сайта. Однако доступ может быть получен и к банк-клиенту, и к бухгалтерии, и к другим критически важным ресурсам.
Увы, многие специалисты по безопасности в нашей стране де-факто разбираются лишь в руководящих документах. Это скорее юристы, которые умеют ставить галочки в нужных местах (да, эта компетенция тоже необходима!), но не IT-специалисты, способные сделать что-то своими руками.
Конечно, инфраструктур без дыр не существует. Трезвая и взрослая оценка рисков в области безопасности – первый и главный шаг в построении любой системы защиты. После него гораздо проще принять решение, какие средства вам стоит вкладывать в свою безопасность, и на что надо обратить самое пристальное внимание.