Эксперты по кибербезопасности Киевстар и Microsoft поделились нехитрыми секретами, как защитить бизнес от угроз без колоссальных расходов
Во время пандемии бизнес был просто вынужден переводить процессы в онлайн, а сотрудников – на удаленную работу. В таких условиях кажется невозможным проконтролировать, насколько добросовестно сотрудники соблюдают установленные в компании правила кибербезопасности.
Теперь же гибкий или удаленный формат работы – часть культуры многих компаний, но в то же время – это и преимущества, и киберугрозы для бизнеса.
Большинство из вопросов кибербезопасности не решаются только потому, что бизнесу кажется, что это слишком сложно, дорого или неоправданно. Чтобы разобраться, так ли это, Киевстар вместе со стратегическим партнером Microsoft провел встречу в рамках первого Open Talk Club от Kyivstar Business Hub, приурочив его ко Всемирному дню безопасного интернета. В дискуссии эксперты компаний развеивали популярные мифы о кибербезопасности на примерах распространенных корпоративных угроз и отвечали на базовые вопросы кибергигиены, которые сегодня актуальны для бизнеса.
Liga.Tech приводит ключевые тезисы беседы.
Угроза 1. Малый и средний бизнес не представляет интереса для киберпреступников
Среди владельцев малого и среднего бизнеса (МСБ) бытует миф, что их бизнес не интересен киберпреступникам. Согласно исследованию Microsoft, так считают семь из 10 руководителей компаний.
Но они ошибаются. По словам Михаила Шмелева, директора по вопросам национальных технологических политик и стратегий региона CEE компании Microsoft, до 43% всех кибератак в мире нацелены именно на МСБ.
Рекомендация. Важно понимать, что угроза существует и она реальна. Размер бизнеса не имеет значения для преступников. И чтобы ваш бизнес продолжал работать и развиваться, важно быть начеку, знать об угрозах и быть к ним готовым – это необходимость сегодняшнего дня.
Угроза 2. Бизнес считает, что киберзащита – это сложно и дорого
По данным Microsoft, порядка 70% компаний, которые все же осознают свою уязвимость перед хакерами, все равно не занимаются кибербезопасностью, так как считают, что у них для этого мало знаний и ресурсов. Кроме того, они уверены, что киберзащита – это дорого. Так ли это?
На самом деле, до 98% всех кибератак используют человеческий фактор и рассчитаны на действия неподготовленного пользователя, говорит Шмелев со ссылкой на данные Microsoft. Они начинаются с фишинга – это вид кибератаки, где пользователю отправляется электронное письмо, которое выглядит реалистично и безопасно, но содержит вредоносные ссылки или вложения.
Например, ему приходит письмо с уведомлением о штрафе за автомобильное нарушение ПДД. Эти письма рассылаются массово, и они выглядят абсолютно реалистично. Поэтому человек, у которого есть авто, может такому поверить. Он захочет узнать, о каком штрафе идет речь – перейдет по ссылке. И как только сделает это, сразу попадет на фишинговую страницу, где ему могут предложить авторизоваться и ввести личные данные, или же открыть какой-нибудь файл, который запустит на компьютер шпионское программное обеспечение.
Именно так начинается кибератака. Так можно украсть учетные записи, конфиденциальную информацию, зашифровать устройства и т.д..
Основная опасность подобных кибератак для бизнеса заключается в том, что злоумышленники получают учетные записи пользователей и дальше могут входить в систему от лица реальных сотрудников компании, используя возможные "пробелы" в области базовой киберзащиты.
Рекомендация. Этот метод кибератак успешен, прежде всего, из-за халатности пользователей. Чтобы ему противостоять и предупредить значительную часть угроз не нужно тратить большие деньги на дорогих специалистов по кибербезопасности.
Достаточно сделать всего четыре шага:
1. Обучить сотрудников распознавать фишинговые письма:
- проверять адрес отправителя и следить за тем, чтобы домен отправителя соответствовал домену компании, от которой пришло письмо, а имя отправителя было написано без ошибок;
- при малейших подозрениях – удалять письмо и информировать IT-департамент;
- проверять ссылки в письме, не переходя по ним, а наводя на них указатель мыши.
2. Применять двухфакторную авторизацию
Такой уровень защиты предусматривает более чем один шаг, необходимый для входа в систему. То есть каждый раз нужно ввести основной пароль, а затем еще и одноразовый, который приходит в виде SMS или Push-уведомления. Тогда без ведома пользователя никто не сможет воспользоваться его учетной записью. Поэтому убедитесь, что у вашей организации по умолчанию требуется двухфакторная аутентификация.
3. Правильно создавать и вести учетные записи
Использовать сложные пароли и обновлять их. Не ставить примитивные и слабозащищенные пароли, которые продолжают быть популярными среди пользователей. Например, те, где в конце есть числа: ivanov1994, football2018. Или клавиатурные последовательности символов: "йцукен" или qwerty, "123456. И совсем забыть известные цифровые комбинации: "112", "0911", "777".
4. Создать план действий на случай кибератаки
Он должен включать в себя превентивные меры, средства защиты учетных записей и конкретные шаги, которые нужно предпринять, если атака все-таки случилась: куда обратиться за помощью для изоляции зараженного устройства, откуда восстановить резервные копии данных, какие шаги сделать, чтобы вернуться к нормальной работе. Его должен знать каждый сотрудник в компании.
Угроза 3. Бизнесу сложно проконтролировать, какими устройствами для работы пользуется сотрудник вне офиса
Когда сотрудники компании работают удаленно, риски для бизнеса возрастают, так как компании сложно контролировать, как работники пользуются корпоративными ресурсами. Кто-то работает с личного ноутбука и подключается к сети с домашнего Wi-Fi, а кто-то пользуется личным мобильным телефоном для чтения почты.
Рекомендация: Определить цели и угрозы для защиты систем, разработать решения.
Есть два основных типа угроз: сотрудники, которые изначально ставят цель украсть данные и передать их третьим лицам, и те, кто относится к кибербезопасности недостаточно серьезно. Например, не блокирует устройство, устанавливает на него сомнительные приложения, разрешает пользоваться другим лицам, например, ребенку или супругу.
Для борьбы с такими угрозами Петр Вавулин, лидер направления облачных продуктов и сервисов Киевстар, советует компаниям применять несколько подходов:
- Блокировать корпоративные приложения от действий других приложений, например, запрещать копирование данных между ними.
- Создать политики доступа к корпоративным ресурсам компании: почте, корпоративным мессенджерам, хранилищу и т.д..
- Настроить удаленную поддержку, конфигурирование профилей безопасности устройства. Это можно сделать с помощью продвинутых антивирусов (EDR – endpoint detection and response), специализированных решений по защите устройств (MDM-mobile device management) и защите облачных приложений (CASB-cloud access security broker), использующих поведенческий анализ для предотвращения возможной утечки, как со стороны инсайдеров, так и из-за случайности.
Такой же подход Петр Вавулин рекомендует применять и к мобильному телефону сотрудника, если он получает с него доступ к корпоративным ресурсам. Для этого можно использовать, например, Mobile Device Management и Mobile Application Management. "В комплексе это может быть базовым параметром безопасности для сотрудников, работающих удаленно", – говорит Вавулин.
По его словам, большую часть угроз можно устранить, соблюдая принцип Парето: когда 20% усилий дают 80% результата. "На сегодня в этой области уже есть довольно зрелые и несложные в развертывании и эксплуатации решения, так как работа над ними велась еще до пандемии", – говорит Вавулин.
Угроза 4. Компания перекладывает ответственность за безопасность на одного человека – IT-специалиста
Иногда руководители компаний думают, что нести ответственность за безопасность систем фирмы должен штатный IT-специалист. Это тоже заблуждение, ведь в таком деле ответственны все.
"Злоумышленники не мыслят шаблонно. Они ищут новые возможности, слабые места в компании, которые не закрыты политикой безопасности. И таким "слабым местом" может стать любой невнимательный сотрудник", – объясняет директор по развитию новых направлений бизнеса Киевстар Илья Польшаков.
Рекомендация: Любой человек – от CEO до нового сотрудника – должен быть обучен политикам безопасности компании. Нельзя полагаться на кого-то одного. Даже если руководитель департамента кибербезопасности считает, что политики прописаны правильно, надо понимать, что они должны быть правильно реализованы, а правила этой политики своевременно выполняются всеми сотрудниками на всех уровнях организации. Только тогда все будет работать эффективно.
Илья Польшаков утверждает, что для успешной защиты от кибератак, независимо от размеров компании, в ней важно предусмотреть несколько ролей:
- CEO – главный фронтмен темы о важности кибергигиены и кибербезопасности для компании. Он говорит, насколько это важно, какие данные критические и почему.
- CSO (Chief Security Officer), киберофицер – специалист, который анализирует угрозы и на основании составленной модели разрабатывает политики, ставит задачи для IT-специалистов по выбору средств защиты. CSO, в том числе мониторит и выявляет слабые места в системе защиты от киберугроз, а в случае таковой точно знает алгоритм действий для предотвращения кибератаки.
- IT-специалисты. Они не занимаются составлением модели угроз, их задача – реализовать защиту с помощью технических средств. Например, следить за тем, чтобы сотрудники не устанавливали ПО, которое не предусмотрено корпоративными правилами, не использовали внешние карты памяти или цифровые носители.
Угроза 5. Не заниматься кибербезопасностью, потому что нанять CISO (Chief Information Security Officer, киберофицер) – это слишком дорого
Бытует мнение, что компании из малого и среднего сегмента не могут себе позволить нанять такого сотрудника.
Рекомендация. МСБ не обязательно нанимать киберофицера. В Microsoft считают, что кибербезопасность можно поручить провайдеру облачных сервисов.
Переводя процессы в онлайн, бизнес зачастую выбирает облачную инфраструктуру. Для этого организация обращается к профессиональному облачному провайдеру, который и обеспечивает полный спектр услуг – от процесса миграции в облако до защиты от киберугроз.
Так, в продукты Microsoft Office 365 уже встроены средства для реализации базовых сценариев кибербезопасности. Заказчик, пользуясь инструментами Office 365, по умолчанию разделяет ответственность за киберзащиту с поставщиком услуг. Ответственность за техническую часть киберзащиты лежит на поставщике услуги, а реализация модели пользования или формулирование политик пользования корпоративными ресурсами – на самой компании.
Вывод
Если отставить в сторону страхи, мифы и надежду на "авось пронесет", кибербезопасность – это сегодня один из ключевых приоритетов для любой компании. Если, конечно, она дорожит своими данными и не хочет вдруг приостановить работу из-за действий хакеров или мошенников. Притом, если с толком подойти к вопросу и регулярно заботиться о кибергигиене, то это не будет стоить бизнесу больших затрат. Но главное – нужно заботиться о том, чтобы ваши сотрудники – от руководителя и до самого нижнего звена – были в курсе того, что от их личных действий зависит очень и очень многое. Как в случае открытия неизвестных ссылок или установки незнакомых программ. Осведомлен – значит вооружен. И киберграмотность – залог спокойствия и безопасной работы вашего бизнеса.