Недопустимые события в инфобезопасности: что это и как избежать

Утечка клиентских данных, шифрование серверов или атака на инфраструктуру — это не просто неприятности, а недопустимые события, которые способны уничтожить бизнес. Но самое страшное, что многие руководители знакомятся с этим термином постфактум, когда инцидент уже случился, а последствия разрушительны.

Эксперт Staffcop Даниил Бориславский расскажет, что такое недопустимые события и как их избежать.

Содержание:

• Что такое недопустимое событие в информационной безопасности
• Почему все говорят о недопустимых событиях, но мало кто их предотвращает
• Как оценить риск наступления недопустимых событий в своей организации
• Как предотвратить недопустимые события: план действий

Что такое недопустимое событие в информационной безопасности

Обычный инцидент — это сбой, который создает временные неудобства. Недопустимое событие — это событие, которое серьезно нарушает работу организации или блокирует достижение её важных целей. Чаще всего такие события возникают из-за кибератак или других серьезных инцидентов в IT-инфраструктуре.

Рассмотрим пять распространенных недопустимых события для разных компаний.

Утечка клиентской базы

Когда персональные данные клиентов попадают в открытый доступ, это наносит не только финансовый, но и репутационный ущерб. Доверие теряется мгновенно, восстановить его крайне сложно, а след останется навсегда.

Пример. Хакеры выложили в сеть данные клиентов банка, включая паспорта, телефоны и остатки по счетам. На следующий день об этом написали СМИ. Еще через день в банк пришел регулятор. Люди начали массово переводить деньги в другие банки. Через неделю банк потерял треть клиентов и рискует лишиться лицензии.

Утечка данных — это не просто инцидент, а катастрофа для бизнеса.

Шифрование данных компании

Современные вымогатели сначала копируют данные, а потом шифруют их. У жертвы два варианта: платить выкуп или потерять все.

Пример. Сотрудники частной клиники приходят утром в офис, а все компьютеры заблокированы. На экране сообщение: «Мы зашифровали ваши данные и украли копию. Переведите биткоины на этот кошелек, иначе потеряете все, а ваши данные попадут в интернет».

Нет данных — нет работы. Нет резервных копий — нет бизнеса.

Компрометация через подрядчиков

Подрядчики с доступом к системам компании могут стать точкой входа для хакеров. Даже если внутренняя сеть защищена как крепость, угроза остается.

Пример. Компьютер бухгалтера-аутсорсера, работающего с 1С, может быть взломан, и через него злоумышленники попадут в корпоративную сеть.

Бесполезно строить крепость, если у кого-то есть ключ от черного хода.

DDoS-атака в критический момент

Киберпреступники часто выбирают для атак самые уязвимые моменты бизнеса — периоды максимальной нагрузки и высокой активности клиентов.

Пример. Сайт интернет-магазина подвергся DDoS-атаке во время Черной пятницы — самого прибыльного дня в году. Клиенты не смогли оформить заказы и ушли к конкурентам, причем некоторые из них остались с ними надолго.

Потери включают не только выручку за день, но и клиентов, которые могли бы покупать годами.

Внутренний саботаж

Уволенный системный администратор или обиженный программист могут нанести больше вреда, чем любой внешний хакер.

Пример. Админ десять лет отвечал за серверы. Его уволили, но забыли сменить пароли. Ночью он удалил все базы данных и бэкапы.

Контроль доступа и своевременный отзыв прав — не просто формальность, а необходимость.

Почему все говорят о недопустимых событиях, но мало кто их предотвращает

В небольших компаниях безопасность часто воспринимают как необязательную формальность. «У нас маленькая фирма, кому мы нужны?» — типичное заблуждение, которое дорого обходится.

Например, веб-студия из 15 человек потеряла все клиентские проекты из-за программы-шифровальщика. Резервных копий не было. Компания обанкротилась через три месяца, не сдав заказы вовремя и не справившись с волной претензий от клиентов.

Другой случай: бухгалтерская фирма использовала одинаковые пароли для всех сервисов. Злоумышленники получили доступ к данным клиентов и финансовой информации. Компании пришлось заплатить штрафы, которые считались от годового оборота.

Почему так происходит? Редко из-за сложности технологий. Чаще — из-за людей:

• Руководители недооценивают вероятность атаки. Часто владельцы малого бизнеса считают, что их компания не представляет интерес для хакеров, а директора оценивают риски на основе прошлого опыта: «Раньше не взламывали — значит, и дальше не будут».

• Сотрудники ищут удобство, а не безопасность. Офисные работники используют множество сервисов, требующих аутентификации. Придумывать и запоминать сложные пароли для каждого — трудоемко. Поэтому люди часто повторно используют одни и те же пароли и регистрируются на сторонних сайтах с корпоративной почтой. Безопасность требует усилий, а риски кажутся абстрактными.

• Бизнес не видит возврата инвестиций в безопасность. Внедрение даже базовых мер защиты требует значительных затрат. При этом эффективность этих трат сложно измерить в конкретных цифрах. Бухгалтерия относит их к расходам, а не к инвестициям. В результате на защиту часто выделяют минимум средств.

Из-за этих трех факторов компании действуют реактивно, а не проактивно — начинают заботиться о защите только после инцидента, когда ущерб уже нанесен.

Как оценить риск наступления недопустимых событий в своей организации

Начните с тройки «люди-процессы-технологии». Эта триада — не просто красивая формула, а фундамент безопасности любой организации.

Люди: главная угроза и главная защита

Спросите себя: кто имеет доступ к важным данным? Как вы контролируете этот доступ? Что происходит, когда сотрудник увольняется? Представьте, что этот увольняющийся сотрудник ушел к конкуренту. Будете ли вы так же беспечны при проверке сохранившихся доступов?

Что проверить:

• Права доступа у всех сотрудников. Действует ли принцип минимально необходимых привилегий? Или у секретаря есть доступ к финансовым отчетам, потому что «так исторически сложилось»?

• Процедура увольнения. Существует ли чек-лист по отключению учетных записей при увольнении? Не случится ли так, что уволенный системный администратор через два месяца удаленно сотрет базу данных с заказами?

• Обучение. Знают ли сотрудники, как выглядит фишинговое письмо? Если нет — не удивляйтесь, когда бухгалтер переведет деньги мошенникам, получив поддельное письмо от «генерального директора».

Процессы: регламенты, которые работают

Существуют ли в вашей компании регламенты на случай инцидентов? Знают ли сотрудники, куда сообщать о подозрительных письмах? Проводятся ли резервное копирование и проверка возможности восстановления?

На что обратить внимание:

• Инцидент-менеджмент. Есть ли четкий алгоритм действий при происшествиях? Знает ли каждый сотрудник, куда сообщать об угрозах?

• Тренировки. Проводите ли вы учения по реагированию на инциденты? Мы рекомендуем проводить имитацию взлома раз в квартал — и каждый раз вы будете находить слабые места.

• Резервное копирование. Соблюдаете ли правило «3-2-1»? Три копии данных, на двух разных носителях, одна из которых хранится удаленно. И проверяете ли вы их на восстановление?

Технологии: инструменты, а не панацея

Используете ли вы двухфакторную аутентификацию? Обновляется ли ваше ПО? Защищены ли важные данные?

Технологии — фундамент безопасности, но помните: купить дорогой замок и не закрывать дверь — бесполезно. Одна компания потратила миллионы на систему защиты от утечек, но сотрудники просто фотографировали секретную информацию на телефоны.

Что нужно проверить:

• Двухфакторная аутентификация. Внедрена ли она для критичных систем? Если нет, сделайте это в ближайшее время.

• Обновления. Установлены ли критические патчи безопасности? Как часто? Случай Equifax: утекли данные 143 миллионов человек из-за необновленного компонента.

• Шифрование данных. Защищены ноутбуки сотрудников паролями и шифрованием дисков? Один потерянный в такси ноутбук с бухгалтерией может стоить вам репутации.

• Мониторинг. Отслеживаете ли вы аномалии в сети и в работе сотрудников? Или узнаете о проблеме, только когда на экранах появится требование выкупа?

Как понять, нужен ли аудит безопасности

Аудит — это диагностика, а не лечение. Проводите его, когда у вас есть бюджет и команда для исправления проблем, вы понимаете, что будете делать с результатами, а руководство готово к неприятным открытиям.

Идеальной безопасности не существует. Ваша задача — сделать атаку на вас настолько сложной, чтобы злоумышленник пошел искать цель попроще.

Заказать аудит

Как предотвратить недопустимые события: план действий

Вот что может сделать любая компания прямо сейчас:

1. Внедрите менеджер паролей и двухфакторную аутентификацию. Это устранит большинство проблем с доступом. Одинаковые пароли для разных сервисов — как один ключ от всех дверей в здании.

   Настройте политику сложности паролей: минимум 12 символов, с цифрами и спецсимволами. Обязательно включите двухфакторную аутентификацию для всех сервисов, особенно для доступа к финансам и важным данным.

2. Настройте автоматическое резервное копирование критичных данных. Резервные копии должны храниться отдельно от основных систем и регулярно проверяться.

   Следуйте правилу 3-2-1: три копии данных, на двух разных типах носителей, одна копия в другом месте. Проверяйте работоспособность резервных копий хотя бы раз в квартал — многие компании делают бэкапы, но не умеют восстанавливаться с них.

3. Проведите базовый инструктаж по безопасности для всех сотрудников.

   Научите их распознавать фишинговые письма и звонки, объясните, почему нельзя подключать личные флешки к рабочим компьютерам.

   Регулярно показывайте примеры актуальных фишинговых атак. Введите правило «проверяй дважды»: если письмо требует срочных действий с деньгами или паролями — перезвоните отправителю по известному номеру. Объясните сотрудникам, что большинство успешных атак начинаются с человеческой ошибки.

4. Регулярно обновляйте программное обеспечение. Большинство взломов происходит через уже известные и исправленные уязвимости.

   Настройте автоматическое обновление там, где это возможно. Создайте график обновлений для критичных систем. Откажитесь от программ, которые больше не поддерживаются разработчиками — это бомбы замедленного действия.

5. Подготовьте регламент на случай инцидента. Когда атака уже произошла, важно не паниковать, а действовать по заранее утвержденному плану.

   Определите, кто отвечает за реагирование на инциденты. Составьте пошаговые инструкции: как изолировать зараженные системы, кого оповещать, как взаимодействовать с клиентами и партнерами. Храните контакты технических специалистов и юристов там, где их можно будет найти даже при взломе корпоративных систем.

Эти меры не требуют огромных бюджетов, но закрывают самые распространенные векторы атак. Информационная безопасность работает как прививка: лучше потратить ресурсы на профилактику, чем на лечение последствий.

Реклама. 16+. Рекламодатель АТОМ БЕЗОПАСНОСТЬ ООО, ИНН 5408298569, erid:2SDnjf2Ztza