В спецпроекте «Кибергигиена» 5 сфер и Национальная Ассоциация Кибербезопасности продолжают освещать тему интернет-угроз.
В первом материале мы рассказывали, что каждый должен знать о своих персональных данных. Сегодня на реальных историях компаний показываем, зачем нужна кибербезопасность и что получается, если относиться к киберугрозам халатно.
Наш спикер — Назарий Курочко. Он основатель группы компаний GIGAGROUP, в которую входит национальный телеком-оператор, коммерческий дата-центр, облачный оператор, а также агентство по кибербезопасности. Уже 16 лет Назарий работает в нише телекоммуникаций: выстраивает и развивает IT-инфраструктуры любой сложности.
Недавно GIGAGROUP вступила в Национальную Ассоциацию по Кибербезопасности. Ее цель – объединить международных экспертов, профессионалов и технологии для создания безопасного киберпространства в Украине и мире.
0,5% ВВП Украины – такой ущерб нанес украинскому бизнесу вирус Petya, самая масштабная кибератака за последние несколько лет.
После такой «прививки» компании стали осознаннее относится к безопасности. Бизнес начал понимать, что выгоднее вложить деньги в превентивные меры, чем потом потратить тысячи на штрафы и выкупы вымогателям.
Кто в поле зрения хакеров
На Всемирном экономическом форуме в январе зарубежные эксперты рассказали о рисках, с которыми бизнес может столкнуться в этом году. Угроза стать жертвой кибератаки заняла высокую позицию – наравне с военными действиями или природными катастрофами.
Прогноз подтвердился. С началом пандемии многие компании, в том числе и украинские, перешли на удаленную работу. После этого исследователи так называемого «черного» рынка обнаружили рост интереса к доступам в корпоративную сеть. В первом квартале 2020 года хакеры разместили на 69% больше предложений о продаже таких данных, чем в предыдущие месяцы.
В первую очередь под угрозой находятся компании, у которых есть критическая инфраструктура – то есть система, повреждение которой повлияет на большую часть населения. К таким компаниям относятся, операторы связи, медицинские учреждения, водные ресурсы, энергетическая отрасль.
В декабре 2015 года из-за атаки зловредной программы BlackEnergy 3 на энергосистемы Украины 230 тысяч людей оставались без света около шести часов.
Кроме госсектора, критическая инфраструктура может быть и у частного бизнеса. Часто, это банки и финтех-компании, которые отвечают за сохранность денег пользователей. В Украине насчитывается около 10 тысяч компаний с критической инфраструктурой.
Но кибербезопасность важна для всех. Бизнес может пострадать как от атаки по наводке конкурентов, так и просто от хакеров, которые крадут информацию и продают ее в даркнете.
История 1. Вирус-шифровальщик заблокировал работу бизнеса
Что произошло?
Один из наших клиентов – крупная международная фармацевтическая компания. Там работает почти 5 тысяч сотрудников. В 2017 году бизнес пострадал от вируса Petya: он проник в глобальную инфраструктуру компании после того, как в украинском представительстве обновили программу M.E.Doc.
Вирус быстро распространился по корпоративной сети и зашифровал информацию так, что все хранящиеся на компьютерах файлы стали недоступными. За расшифровку хакеры требовали выкуп в биткоинах.
Компания простаивала около часа. За это время системные администраторы успели восстановить данные из резервных копий. Восстанавливали не все серверы, а наиболее критические – на которых развернуты программы для производства, доставки и выгрузки продукции.
Можно сказать, что компания обошлась легким испугом. Для сравнения: у других пострадавших на восстановление ушло по несколько дней, а некоторые бизнесы и вовсе не смогли «подняться».
Как защититься?
Ключевое решение: разработать план непрерывности бизнеса и соблюдать стандарты кибербезопасности.
Бизнес среагировал на кибератаку достаточно быстро, потому что у них был подготовлен так называемый план непрерывности. Это перечень действий, как быстро и максимально безболезненно вернуться к работе в случае форс-мажора. Он включает, к примеру, предписания по подготовке резервных копий, а также список приоритетов: что восстанавливать в первую очередь, в каком объеме и так далее.
Резервные копии мы рекомендуем делать в «облаке», то есть на виртуальных серверах в дата-центре. Это самый надежный вариант, поскольку там соблюдают SLA – соглашение об уровне сервиса и гарантируют бесперебойность и круглосуточный доступ к данным. Стоимость аренды «облачного» сервера – от 1 000 грн за 1 Терабайт в месяц.
Фармкомпания пострадала, потому что пренебрегала самым базовым правилом кибербезопасности: перед тем, как разворачивать обновление какой-либо программы на всю сеть, нужно его протестировать на отдельном компьютере. Об этой мере сказано во всех стандартах по информационной безопасности.
Кроме этого, нужно сегментировать сеть – разделить ее на несколько отдельных модулей и жестко контролировать обмен данными между ними. Тогда, например, заразились бы только компьютеры финансового отдела, но вирус не повредил бы узлы с программами по управлению производственными процессами.
Также мы посоветовали клиенту установить эвристические антивирусы, которые реагируют на необычное поведение сети, например, на аномальный трафик. Это стоит от $10 в месяц за один компьютер. Такая мера предосторожности минимизирует риски проникновения зараженных программ.
Помочь бизнесу составить планы непрерывности и разработать меры по информационной безопасности может внешний подрядчик – компания, которая специализируется на кибербезопасности. Ее услуги стоят от $2-3 тысячи. Другой вариант – нанять штатного сотрудника. Зарплата такого специалиста – от $1500 в месяц.
История 2. Конкуренты могли читать чаты и подписывать документы
Что произошло?
В международной компании по добыче нефти и газа заметили утечку информации через CRM-систему. Конкуренты получили доступ к секретным данным бизнеса вроде контрактов с клиентами.
Нас пригласили, чтобы мы поверили CRM-систему и нашли уязвимости, которые позволяют проникать в корпоративную сеть. Провели имитацию кибератаки и действительно получили возможность читать документы и секретные чаты, а также подписывать документы от имени сотрудников.
Как защититься?
Ключевое решение: проводить тестирования на проникновение
Компании следовало проверить CRM-систему в самом начале, когда ее только внедряли.
Мы предупреждаем клиентов: каждый раз после изменений в инфраструктуре, таких как внедрение новых программ или переход на удаленный доступ – нужно тестировать систему на стойкость к киберугрозам. Любые изменения могут повлечь уязвимости – как случайные (ошибка системного администратора), так и преднамеренные (происки конкурентов).
Тестирование на проникновение лучше доверить специалистам. Это стоит $2000-3000 К слову, его стоит проводить раз в полгода-год, даже если у компании не было изменений в инфраструктуре: киберпреступники постоянно совершенствуют свои инструменты, разрабатывают новые вирусы и типы атак.
История 3. Не обучали сотрудников – хакеры узнали о бизнес-планах
Что произошло?
Однажды мы работали с крупным телеком-оператором, который столкнулся с фишингом. Это попытка получить конфиденциальную информацию, например, пароли, с помощью электронных писем. Злоумышленник выдает себя за того, кому можно доверять, к примеру, банк, налоговую или интернет-магазин – то есть сайты, для работы с которыми нужны данные «кибержертвы».
В письмах обычно давят на эмоции: предлагают разные «пряники» (награду, скидку) или, наоборот, угрожают, вынуждая ответить быстро. Цель преступников – заставить человека перейти по ссылке, которая ведет на зловредный сайт, или открыть вложенный файл с вирусом.
Один из сотрудников телеком-оператора открыл зараженный файл во вложении. В результате хакеры получили доступ к конфиденциальным данным о конкурентных преимуществах компании и ноу-хау, которые бизнес планировал внедрять.
Эту информацию преступники выложили на продажу в даркнете. В последнее время стоимость таких данных на черном рынке возросла: от €10 за маленькую базу до €10 тысяч за большую.
Как защититься?
Ключевое решение: обучать сотрудников основам кибербезопасности
Чтобы защитить компанию от фишинговых атак, важно обучить команду кибергигене. Например, что нужно всегда проверять URL-адрес, по которому просят перейти, на наличие незначительных ошибок в написании (g00gle или gooqle вместо google). А получив неожиданное подозрительное сообщение, стоит связаться с отправителем, если вы его знаете, каким-либо альтернативным способом и уточнить, он ли его послал.
Мы советуем проводить семинары для сотрудников регулярно – минимум 2-3 раза в год. Для этого нужно обратиться к специалистам по социальной инженерии: они расскажут о распространенных уловках хакеров и научат, как не попасться на крючок. Это стоит $1000-5000.
Теорию желательно закрепить на практике: можно рассылать сотрудникам фишинговые ссылки, подбросить зловредные флешки, сымитировать фишинг. Последнее – это фишинг по телефону, когда преступник представляется, например, менеджером интернет-провайдера и просит назвать пароль для доступа в корпоративную сеть. Такая проверка покажет, готова ли команда к реальным атакам.
История 4. Из-за доступа к базам данных потеряли $200 тысяч
Что произошло?
К нам обратилась международная группа компаний в сфере FMCG. Клиент жаловался на утечку коммерческих данных и вмешательство в работу систем. Из-за этого у бизнеса возник простой в производстве около 2-3 дней – компания недополучила около $200 тысяч прибыли.
Мы провели проверку безопасности, включая тестирование на проникновения (внешнее, внутреннее, wi-fi) и социальную инженерию. Нам удалось получить доступ к базам данных через интернет, а также к корпоративному домену и сети. Мы взломали 80-90% всех паролей, причем 70% – в первые 15 минут.
Оказалось, компания не позаботилась о разделении логического доступа к системам.
Сотрудникам должна быть доступна только та информация, которая им нужна для непосредственной работы. Например, если менеджер обзванивает клиентов, он может видеть их имена и телефоны – но не данные платежных карт. Если такого разграничения нет, хакеру достаточно взломать одну-две учетные записи – и он получит доступ ко всей инфраструктуре.
Как защититься?
Ключевое решение: проводить комплексный аудит безопасности и по его результатам внедрять необходимые решения по киберзащите бизнеса
Мы порекомендовали клиенту внедрить комплексную парольную политику. Например, короткие пароли из шести цифр можно взломать за полчаса с помощью специальных программ. Также и простые 8-символьные пароли, вроде «qwerty123».
Лучше использовать более сложные пароли из 12 символов, которые состоят из букв разного регистра, цифр и спецсимволов. Их можно сохранять в специальных менеджерах паролей.
Следующий шаг – многофакторная аутентификация для входа в различные системы, когда, кроме пароля, нужно ввести еще одноразовый код из специального приложения на смартфоне или использовать дополнительное устройство – токен. Такой подход позволяет защитить систему, даже если злоумышленник каким-то образом узнал пароль сотрудника.
Раньше для многофакторной аутентификации использовали код из SMS или биометрику (например, отпечаток пальца). Но сейчас это не считается достаточно надежным – слишком легко скомпрометировать.
После того, как FMCG-компания внедрила все меры безопасности, мы провели повторный аудит. На этот раз взломали не более 5% паролей – это в пределах нормы.
Комплексный аудит безопасности стоит от $5 тыс.
История 5. DDoS-атака привела к потере сотен тысяч гривен в час
Что произошло?
Среди наших клиентов был интернет-магазин, который столкнулся с DDoS-атаками. Это форма кибератаки, когда хакеры направляют на сайт жертвы очень большое количество запросов или «мусорный» трафик. Из-за этого «забивается» интернет-канал, и посетители не могут зайти на ресурс.
Из-за DDoS-атаки работа сайта магазина остановилась на 8 часов. Соответственно, прекратились продажи – бизнес недополучал сотни тысяч гривен каждый час.
У компании была резервная копия сайта на сервере в другом дата-центре, его и восстановили на время атаки основной площадки. Но это не спасло ситуацию: этот канал передачи данных пропускал всего 100 Мбит – при клиентском трафике 2-3 Гбит.
Как защититься?
Ключевое решение: иметь запасной канал связи и внедрять решения по защите от DDoS-атак
Альтернативный канал связи в резервном дата-центре должен выдерживать привычный для бизнеса объем трафика.
Если говорить о решениях по защите от DDoS, то их можно купить у своего телеком-оператора. Это стоит от $100 в месяц — цена зависит от размера входящего трафика. Можно найти решение, которое начинает действовать, когда фиксирует повышенную активность трафика. Это поможет сэкономить.
Опыт показывает, что больше всего DDoS-атак происходит по праздникам. Злоумышленники подстраиваются под время, когда у сайта много посетителей – тогда и выгодно его «положить». Поэтому в пиковые периоды нужно быть особенно на чеку.
Тема кибербезопасности сегодня касается каждого: предпринимателя, родителя, детей и чиновников. В связи с повышенным интересом к этому направлению, при поддержке Национальной Ассоциации Кибербезопасности, мы запустили серию публикаций, будем раскрывать важные темы о киберугрозах, рассказывать об азах цифровой гигиены и учить противостоять мошенникам.
Мы будем говорить простым языком о сложных вещах и рассказывать, как защитить себя и своих близких о действиях нечистых на руку людей.
Следите за публикациями нашего спецпроекта.
Присоединяйтесь к команде «белых» хакеров, чтобы противостоять «черным»!
