Постоянный адрес статьи:
https://pbwm.ru/articles/tsifrovaya-krepost
Дата публикации
30.06.2017
Рубрики:
Индустрия
,
Экспертиза
,
Мнения
,
Колонки
,
Консультационные услуги
Напечатать страницу
Директор по работе с частными клиентами Group-IB
Индустрии управления благосостоянием каждая кибератака обходится в среднем в 3,8 млн долларов, и ущерб растет год от года. Но бывают случаи, когда информация стоит дороже денег. Вспомните «Панамский скандал» – утечку документов панамской юрфирмы Mossack Fonseca, которая затронула сотни самых влиятельных людей планеты. Поэтому Group-IB рекомендует хайнетам и их консультантам в первую очередь защитить от киберпреступников три стратегические цели: деньги, информацию и… личное пространство.
Первое, что необходимо сделать, – создать в компании собственный отдел информационной безопасности. Ваш системный администратор, черпающий знания о киберпреступности из сериала «Мистер робот», или безопасники с кобурой под мышкой не спасут вас от хакеров. Если кибератака уже произошла, почти треть хайнетов, согласно результатам наших опросов, не обращаются в свою службу безопасности или к своим управляющим. Да, эти люди часто входят в ближний круг, порой им открывают многие личные и деловые секреты, но их не рассматривают в качестве советников по кибербезопасности.
Вам нужен киберконсильери – эксперт по информационной безопасности, которому вы доверяете информационную безопасность своего бизнеса и личного пространства. Это может быть эксперт-консультант или авторитетная security-компания. Он может работать в штате или на аутсорсе. Важно, что киберконсильери должен знать, что угрожает именно вам и как от этих угроз защититься. А если инцидент уже произошел, как «потушить пожар», минимизировать убытки и сохранить цифровые доказательства для расследования.
Проведите тщательную инвентаризацию своей IT-инфраструктуры. «Бумажная безопасность» – многостраничные корпоративные регламенты и соглашения – часто оборачивается крайней беззащитностью перед реальными угрозами. Сайт или мобильное приложение, созданные на коленке, – это распахнутые настежь ворота вашей бизнес-цитадели. Через них рано или поздно прилетит вредоносная программа. Наймите пентестеров (специалистов по проникновениям, тестирующих безопасность компьютерных систем и сетей), чтобы они проверили вашу инфраструктуру на предмет уязвимости.
Особое внимание стоит обратить на:
защищенность веб-ресурсов: почти при каждом нашем аудите мы встречаем у клиента уязвимости из списка OWASP топ-10 – перечня самых частотных уязвимостей в веб-ресурсах, а 86% веб-ресурсов, требующих идентификации, содержат как минимум одну критическую уязвимость;
сетевую инфраструктуру компании: публичный Wi-Fi с доступом в корпоративные сегменты, облако, в котором хранится доступная для сотрудников информация; незащищенные резервные копии;
защиту коммерческой тайны, персональных данных: как предотвратить утечки – копирование или кражу важной информации из компании;
персональные ноутбуки и служебные смартфоны сотрудников. Проверьте, насколько хорошо они защищены от взлома в случае кражи или заражения. Важно поддерживать ПО в актуальном состоянии, иметь антивирус, а пользователи должны соблюдать правила цифровой гигиены.
Угрозы приходят, откуда их не ждешь. Не так давно одна из столичных клиник пластической хирургии стала объектом атаки хакеров – они наблюдали за персоналом и посетителями через восемь подключенных к интернету электронных камер (IP-камер), дистанционный взлом которых технически примитивен. Кроме шантажа, еще одна цель подобных взломов – это шпионаж и разведка инфраструктуры компании, которая попадает в поле зрения камеры.
Человеческий фактор остается самым слабым звеном в защите. Здесь не бывает мелочей. Сотрудник, который пользуется Wi-Fi в публичных сетях, – потенциальная жертва. Одна из преступных групп, специализировавшаяся на взломе важных персон, перехватывала трафик в кафе неподалеку от Администрации Президента РФ – любимом месте для ланча местных чиновников. Секретарь высокопоставленного сотрудника Министерства обороны РФ использовала для пересылки конфиденциальной, а порой и «совершенно секретной» информации личную почту. После взлома почтовых ящиков эти данные попадали в руки хакеров.
Если хакеры взломают почту сотрудников, они получат не только доступ к переписке, контактам или банковским выпискам, которые приходят на почту, но и пароли от разных сервисов, привязанных к почтовому ящику. Facebook, Twitter, Skype позволяют сохранять забытый пароль благодаря отправке пароля по электронной почте.
Взломанная почта открывает доступ к облаку Google Drive, Яндекс.Диску, облаку Mail.ru. Это значит, что злоумышленники могут посмотреть историю сообщений, контакты, календари, заметки, фотографии и историю местоположения. Последствия могут иметь чудовищные масштабы.
Чтобы избежать подобных неприятностей, пригласите специалистов по информационной безопасности провести в компании мастер-классы. Пусть они расскажут, как происходит заражение компьютера через почтовую рассылку или почему так важно использовать двухфакторную аутентификацию. Это азы цифровой гигиены, но без их понимания невозможно противостоять преступникам.
У отдельных собственников и топ-менеджеров есть определенные убеждения (а порой и «верования») в отношении информационной безопасности, к сожалению, далекие от реальности. К примеру, многие придерживаются правила «никаких телефонов в комнате для переговоров», при этом пользуются небезопасными системами для коммуникации. Мы часто наблюдаем, как решение вывести переписку из одного известного и распространенного мессенджера принимается прямо в ходе такого мастер-класса.
Если компания хорошо защищена, преступники попробуют зайти через ваших партнеров: компании-контрагенты, аудиторов, юристов. Мошенники часто взламывают почту партнеров и присылают поддельный договор и счет на оплату с реквизитами. Недавно в Литве задержали мошенника, которому удалось таким образом похитить у двух американских IT-компаний 100 млн долларов. Он создал фиктивную фирму-клон азиатского производителя компьютерного оборудования. От имени представителя этой компании он, подделав электронные письма, бланки, связался с американскими клиентами этой компании и убедил заключить с ним контракты и перевести на счета его фирмы 100 млн долларов.
Воруют не только деньги, но и информацию. Например, взламывают почту юриста, чтобы получить доступ к конфиденциальной информации; или адвоката, чтобы быть в курсе ситуации по судебному разбирательству. Кибератаки в последнее время стали стандартным способом ведения конкурентной борьбы.
Проверкой контрагентов, партнеров занимаются специализированные детективные агентства. Но с точки зрения информационной безопасности важно сделать упор на проверку безопасности IT-инфраструктуры и цифровых следов – действительно ли счет или запрос, отправленный от имени вашего партнера, юридической фирмы, имеет к ней отношение.
Если же сенситивная информация выходит за ваш контур безопасности, не стесняйтесь задавать своим контрагентам или консультантам вопрос о том, какое внимание они уделяют вопросам ее сохранности. А в случае взаимоотношений по особо важным вопросам привлеките независимого IT-аудитора. Вы же проводите due diligence перед крупной сделкой, не так ли?
Среди клиентов Group-IB есть весьма состоятельные и влиятельные люди. Их бизнес, информация и деньги защищены армией специалистов, но они все равно становятся жертвой хакеров. Угроза приходит, откуда меньше всего ждешь, – через родных и близких.
Взлом соцсетей, iСloud жены (а еще хуже – любовницы) грозит утечкой в паблик личной переписки, интимных фотографий, информации о покупке загородной недвижимости, предметов роскоши, частного самолета или яхты. Хакеры могут вас шантажировать, продать данные врагам и конкурентам или передать в СМИ, которые будут только рады опубликовать «горячее» журналистское расследование об очередной жертве хакеров. Кроме родных и близких, жертвой киберпреступников могут стать личные помощники (с доступом к переписке и документам), архитекторы и строители (с информацией о заказчике строительства загородной резиденции), врачи (с медицинской картой), водители и гувернеры (с планом отпуска семьи). Вот почему на личном уровне необходимо провести весь комплекс мер по информационной безопасности: подготовку IT-инфраструктуры, образовательные меры, кадровый аудит.
Недооценка угроз может привести к потере бизнеса, состояний или репутационному ущербу. Group-IB рекомендует профессионалам в области управления благосостоянием наращивать компетенции или привлекать экспертов в области кибербезопасности. Не экономьте на превентивных мерах: профилактика всегда обходится дешевле лечения.
Источник: SPEAR'S Russia #5(68)