Кибербезопасность компании ─ защищаем свой бизнес

Сотни тысяч компьютеров по всему миру подверглись заражению программой-шифровальщиком WannaCry 12 мая 2017 года. В России пострадали компьютеры МВД, РЖД, крупного бизнеса, сильный удар пришелся на малый и средний бизнес. Общий ущерб от этой кибератаки составил порядка 1 миллиарда долларов. Чуть больше, чем через месяц – 27 июня – произошла новая атака шифровальщика Petya, многочисленными жертвами которой также стали небольшие компании, например, лаборатории «Инвитро» на несколько дней приостановили работу. В конце октября 2017 года произошла еще одна атака вируса BadRabbit.

Вредоносная деятельность этих программ стала показательной и изменила отношение многих владельцев бизнеса к вопросам кибербезопасности – некоторые компании слишком дорого заплатили за беспечность в этом вопросе.

По данным ежегодного опроса «Лаборатории Касперского», все организации в России в течение года хотя бы раз сталкиваются с киберугрозами, а финансовый ущерб для компании малого и среднего бизнеса лишь от одного киберинцидента достигает 4,3 миллиона рублей.

Приведем несколько примеров киберугроз, с которыми сталкивались российские компании в последнее время, и расскажем, как выстроить кибербезопасность компании.

1. Ransomware – программы-вымогатели и шифровальщики

Вирусы-шифровальщики проникают в компьютер либо через «дыры» в установленном ПО, либо через действия (чаще всего ненамеренные) сотрудника, который на нем работает. Заразив компьютер, вирус зашифровывает файлы пользователя с помощью сложного алгоритма, расшифровать который без специального ключа почти невозможно. Чаще всего данные отбираются по расширению. Шифруются самые популярные форматы: .jpg, .jpeg, .doc/docx, .xls/xlsx, .pdf и так далее. Затем на экран выводится сообщение от хакера, где описано, что произошло и сколько будет стоить расшифровка.

Обычно сумма выставляется в биткойнах – это анонимная цифровая валюта, и ее сложнее отследить, злоумышленники даже могут предоставить инструкцию, как купить нужное количество биткойнов. После оплаты они обещают выслать ключ для возврата файлов – но никаких гарантий, что они это сделают, нет. Так, в случае с WannaCry, оказалось, что механизм расшифровки файлов был реализован с ошибкой, а значит, оплата выкупа не помогла бы вернуть данные.

В некоторых случаях хакеры предлагают расшифровать несколько файлов в качестве доказательства того, что у них есть рабочий ключ, и они действительно могут вернуть все данные. Но даже в этом случае никто не может гарантировать, что они отдадут ключ после оплаты, а не потребуют еще денег. Поэтому все эксперты по безопасности рекомендуют не платить выкуп.

Чем так опасны шифровальщики и как они влияют на кибербезопасность компании: представьте, что они зашифровали компьютер вашего бухгалтера накануне сдачи отчетов. Что, кстати, и случилось при атаке Petr – Верховная Рада Украины (основной удар вируса был нанесен именно по Украине) даже внесла изменения в Налоговый Кодекс, чтобы дать возможность пострадавшим компаниям отчитаться без штрафов. Многие компании приостановили работу на несколько дней из-за кибератак и понесли финансовые потери.

Есть и другие типы программ-вымогателей, которые создают помехи в работе компьютера либо блокируют некоторые его функции. Существуют вирусы, которые выводят на экран выдуманное сообщение – например о том, что пользователь уличен в просмотре порнографии – и предлагают оплатить «штраф», чтобы вернуть компьютер в рабочее состояние. Такие сообщения-вымогатели часто появляются в браузере. Эти программы рассчитаны на внезапность и испуг неопытных пользователей. Часто злоумышленники грозятся удалить все файлы с компьютера, если срочно им не заплатить. Однако на деле, чтобы справиться с блокировщиком, бывает достаточно простой перезагрузки компьютера, а в отдельных сложных случаях помогут IT-специалисты.

Как защищаться

Есть волшебное слово – бекапы! Это единственный по-настоящему действенный способ вернуть все файлы (или почти все) в случае успешной атаки шифровальщика.

Необходимо регулярно делать полные резервные копии всех важных для вас файлов, тем более сейчас существует множество программ и предложений по облегчению и автоматизации этого процесса (такие опции зачастую есть и в антивирусном ПО). Резервную копию можно делать и хранить разными способами, а лучше всего сочетать пару-тройку из них:

• записывать копию на специальную магнитную ленту (стример);
• использовать копирование в облако;
• делать копирование на отключаемый внешний жесткий диск;
• создавать копию на другом компьютере/сервере внутри локальной сети;
• записывать данные на FTP-сервер.

Еще одна действенная мера для обеспечения кибербезопасности компании: регулярное и своевременное обновление ПО. Иногда заражение компьютера происходит не из-за действий пользователя, а из-за ошибок, допущенных при написании базового ПО – в операционной системе, браузере и так далее. Так было в случае WannaCry: червь проникал на компьютеры, на которых оставалась открытой ошибка в Windows. Microsoft выпустил обновление, которое исправляло эту ошибку, за несколько месяцев до атаки. Тем не менее были заражены сотни тысяч компьютеров – а значит, их пользователи и администраторы не поставили то самое обновление.

Это распространенная проблема – всех раздражает необходимость закрыть все приложения и перезагрузить компьютер для установки важных обновлений, поэтому пользователи раз за разом нажимают кнопку «отложить» и «не сейчас».

Но именно на это и рассчитывают хакеры, строя свои атаки на уже известных уязвимостях. Поэтому рекомендуем посоветоваться с вашим системным администратором и настроить обновления на компьютерах организации по более строгому принципу, чтобы сотрудники не могли «откладывать» их бесконечно.

Еще один совет, который должен стоять во главе всей статьи: проявляйте бдительность, включайте голову и ведите себя осмотрительно при работе в интернете. Если вам в мессенджере пишет приятель, с которым вы не общались десяток лет, с фразой «Эй, дружище, смотри какие твои фотки я нашел» и кидает архив – стоит как минимум проверить этот файл антивирусом, а лучше удалить его не глядя и сообщить приятелю о возможном взломе его аккаунта.

Любой файл, который вы скачиваете, нужно рассматривать как возможно вредоносный и проверять перед тем, как его открыть.

Не забывайте про антивирусы. Современные защитные системы уровня Internet Security уже давно превратились в сложные комбайны, которые помогут выстроить многоуровневую кибербезопасность компании. Беда в том, что многие предприятия малого бизнеса не готовы платить за специализированные решения и используют бесплатные программы либо пытаются обходиться разграничением прав доступа в сети. При использовании бесплатного ПО стоит задаться простым вопросом: почему оно бесплатное, на что живут его разработчики? Бесплатный сыр, как известно, в мышеловке. Антивирус – это система, которой вы даете доступ ко всем вашим данным, а данные сегодня – это новая нефть, их можно очень выгодно продавать. Поэтому лучше покупать платные защитные решения от известных производителей: «Лаборатории Касперского», Symantec, Eset – где в пользовательском соглашении описано, как и для чего могут использоваться ваши данные.

Помимо базовой защиты от вирусов и вредоносного ПО антивирусы могут помочь со следующими задачами:

• создавать резервные копии и управлять ими;
• проверять все файлы, которые попадают в вашу локальную сеть, включая тестирование подозрительных программ в специальной безопасной среде;
• управлять вашими паролями, чтобы не приходилось держать в уме множество сложных комбинаций;
• обеспечивать безопасное соединение при проведении финансовых операций;
• управлять безопасностью на всех компьютерах вашей компании.

В случае, если все же заражение шифровальщиком уже произошло, и резервной копии не было, либо она также пострадала, можно попробовать вернуть файлы через бесплатные утилиты и сервисы, которые есть на сайтах антивирусных компаний.

Существует международный проект NoMoreRansom, который поддерживают Европол, правительства и силовые ведомства многих государств, а также крупнейшие антивирусные компании. На сайте проекта публикуются утилиты и пути расшифровки файлов. Однако ключей ко многим распространенным шифровальщикам до сих пор нет, поэтому лучше все же использовать методы превентивной защиты.

2. Финансовые троянцы, фишинг и социальная инженерия

Самый простой способ получить доступ к любым данным или информационным системам – это… человек. Человеческий фактор – один из главных вопросов индустрии киберзащиты. И именно на людей нацелены киберпреступники. Поэтому два метода атаки – фишинг и социальная инженерия – тесно связаны и в большинстве случаев используются вместе, чтобы нарушить кибербезопасность компании.

Читайте также: Защита от утечек данных в бизнесе: как предотвратить и как бороться

Фишинг – это выуживание любой информации, которая может оказаться полезной для мошенника, у человека. Например, с помощью приложения для онлайн-знакомств Tinder хакеры пытались выведать секретные данные о новом истребителе F-35B у служащих британских ВВС (именно туда на вооружение поступали эти самолеты). Более приземленный пример: вам нужно срочно перебросить деньги с одного счета на другой, а вы в этот момент едете на встречу в метро. Вы подключаетесь к WiFi, заходите в банковское приложение и перекидываете средства. Но, подключаясь к бесплатной сети, вы немного промахнулись и выбрали не настоящую сеть метро, а похожую по названию. И в результате вы подключились к мошеннику, который замаскировал созданную им сеть под официальную и раздавал через нее интернет. А заодно с помощью специальных программ «прослушивал» весь ваш трафик и теперь заполучил ваш логин от банковского приложения и еще много интересных для него данных. Разновидностей такого рода мошенничества миллионы.

В своей охоте злоумышленники используют приемы социальной инженерии, психологии и конечно человеческую слабость. Спектр применения этих методов очень широкий – от подделки и перепродажи билетов на концерты (фото которых вместе со штрихкодом вы разместили в своем аккаунте) до выманивания базы данных клиентов или секретных чертежей под видом флирта на сайте знакомств. В цифровой среде фишеры охотятся за логинами и паролями от аккаунтов соцсетей, за доступом к вашей личной почте, за контролем над мобильными устройствами и за доступом в корпоративные сети. Но, конечно, самыми «вкусными» для них являются финансовые данные.

С конца 2018 года и до сих пор в России два банковских троянца: Buhtrap и RTM, продолжают активно заражать пользователей. За 2018 год RTM атаковал около 150 000 компьютеров, Buhtrap – около 3 500. Их цель – кража денег со счетов компаний малого и среднего бизнеса, причем в основном атаки направлены на бухгалтеров небольших региональных компаний.

Троянец RTM распространяется с помощью фишинговых рассылок. На почту бухгалтеров приходят письма, которые маскируются под привычную для бухгалтерии переписку с темами наподобие «Акт сверки», «Просьба оплатить дебиторскую задолженность», «Закрывающие документы» и тому подобное. Такие письма в потоке рутинной переписки открывают автоматически, а пройдя по ссылке в письме или открыв вложение, бухгалтеры подвергают компьютер заражению, и в конечном итоге он оказывается под контролем преступника.

Распространение троянца Buhtrap чуть менее типично: им регулярно заражают сайты популярных новостных СМИ и профессиональных бухгалтерских изданий. Если бухгалтер заходит на эти сайты через браузер Internet Explorer старых версий, то происходит инфицирование уже его компьютера и нарушается кибербезопасность компании.

Получив доступ к компьютеру бухгалтерии, злоумышленники похищают деньги со счетов компании. За один раз они снимают сумму не более 1 млн рублей. Обычно они делают это двумя способами: либо подменяют реквизиты в платежке, либо совершают новую операцию вручную, с помощью удаленного доступа к компьютеру.

Как защищаться

В целом хорошей практикой можно считать усиленную защиту компьютеров финансовых отделов и бухгалтерии. На компьютерах нужно регулярно устанавливать последние обновления (не оставляя возможности их откладывать), использовать антивирусы (лучше с модулем поведенческого детектирования) и по возможности запрещать установку и запуск программ для удаленной работы и администрирования. Доступ к компьютерам, через которые осуществляются платежи, лучше организовать через двухфакторную авторизацию: в дополнение к паролю на вход в Windows использовать, например, токен (специальную флешку-ключ, которую носит с собой пользователь и которая подтверждает, что к системе подключился именно он).

Также важно контролировать сложность паролей. Человек по сути своей ленив, и никому не хочется придумывать пароль вида «GHf@ghkВt4-3g56fHfGh6FFuf», запоминать его и потом еще и каждый раз вводить. Большинство пользователей не утруждают себя изобретением и запоминанием сложных паролей и используют даты рождения или пароли типа 123456 или qwerty. На компьютерах можно прописать требования к новым паролям, что решит вопрос с их простотой. А чтобы не запоминать сложные комбинации, можно использовать специальные программы – менеджеры паролей. Часто они есть в антивирусных решениях, обеспечивающих кибербезопасность компании. Правда, все равно придется придумать один сложный пароль – для самого менеджера паролей. Но проще запомнить один, чем десяток.

Сложные пароли и многофакторная авторизация не решат всех вопросов. Киберпреступники получают свое благодаря пробелам в знаниях в области информационной безопасности у сотрудников и беспечности, тому самому человеческому фактору. Здесь единственный эффективный способ борьбы – это обучение. Если при словах «инструктаж по информационной безопасности» вас автоматически клонит в сон, то можете взбодриться: сейчас на рынке тренингов существуют очень увлекательные курсы, на которых в доступной и даже игровой форме сотрудникам привьют навыки безопасной работы.

Еще один нюанс – аудит информационной безопасности сайта и защита своих веб-ресурсов. Как в случае с Buhtrap, злоумышленники могут использовать ваши же ресурсы для распространения вредоносного кода и заражения ваших клиентов и партнеров. Особенно если ваш бизнес сильно завязан на сайт (интернет-магазин, СМИ). Поэтому хорошей практикой станет заказ аудита веб-ресурсов у специалистов по информационной безопасности. По итогам аудита они дадут рекомендации о том, как усилить защиту.

Также остаются актуальными общие рекомендации по безопасности: для важных данных (в том числе финансовых и управленческих отчетов) не забываем делать резервные копии. А надежная антивирусная защита должна распространяться на все устройства в компании, не только на компьютеры, но и на мобильные девайсы тоже.

3. Утечки данных

Мы недавно уже рассказывали о такой угрозе, как утечки данных. В октябре 2019 года стало известно, что на черный рынок в интернете попала база с подробными данными о 60 млн клиентах Сбербанка. В базе находилась персональная информация (включая данные паспортов), номера телефонов, карт и договоров. Утечка произошла из самого банка. А Сбербанк, как и вся банковская отрасль в целом, озабочен защитой от подобных случаев не в пример сильнее многих других компаний.

За последние годы становится известно об утечках данных то в одном, то в другом сервисе. Специалисты компании InfoWatch рассказали, что только за прошлый год в сеть утекло более 14 млрд конфиденциальных записей. И чаще всего причиной этого становится человеческий фактор. По данным «Лаборатории Касперского», 52% компаний по всему миру называют именно сотрудников наибольшей угрозой для сохранности корпоративных данных.

Если для большого бизнеса утечка влечет большие проблемы, то для маленьких компаний она может обернуться и вовсе катастрофой. Причем наивность и незнание сотрудников могут оказаться страшнее злонамеренного вредителя.

Как защищаться

Проведите аудит корпоративных данных, определите, какую именно информацию необходимо защищать (например, базы клиентов, персональные данные сотрудников и клиентов, всю финансовую информацию).

Разграничьте доступ к информации внутри корпоративной сети: маркетологу не нужно видеть полную базу клиентов, а продавцу – зарплатные ведомости. Подписывайте с сотрудниками, которые будут иметь дело с важной информацией, NDA (соглашение о неразглашении).

Используйте специальные решения для защиты от утечек данных – DLP, сложные пароли, шифрование на ноутбуках и мобильных телефонах, которые ваши сотрудники используют для работы.

Эти меры необходимо применять наравне с классической защитой: антивирусами, резервными копиями важных данных и, конечно, регулярным обучением кибербезопасности для персонала.

4. Вредоносный спам и мошеннические рассылки

Современные спам-рассылки не ограничиваются наивными письмами от нигерийских принцев. Вредоносный спам идет рука об руку с нарушающим кибербезопасность компании фишингом. В прошлом году «Лаборатория Касперского» отметила увеличение так называемых скам-рассылок: писем и рекламных сообщений в соцсетях, где сообщается о поступлении денег на счет пользователя, выигрыше в лотерею или конкурсе от имени знаменитости. Для получения денег мошенники предлагают оплатить небольшую комиссию за перевод – но, конечно же, никаких средств жертва не получит, а деньги уйдут к злоумышленникам.

А в начале этого года уже набрало обороты мошенничество с предложением билетов на популярный фестиваль Burning man – официальные продажи билетов еще не начались, но спамеров это не смущает, и они продают подделки за тысячи долларов. Современные спамеры хорошо отслеживают популярные информационные поводы и оперативно запускают рассылки под них. Во время Чемпионата Мира по футболу вам будут продавать билеты на матчи и сувениры, во время Олимпийских игр – туры в страну проведения, во время эпидемии – защитные маски для лица и медицинские услуги.

«Фишинг – популярный у киберпреступников инструмент, провести фишинговую кампанию достаточно просто, и в то же время она приносит быструю и большую прибыль. Чтобы не пострадать от этого вида киберугроз, «Лаборатория Касперского» рекомендует совершать покупки только на официальных сайтах (обращайте внимание на адрес и написание сайта, также можно удостовериться, что сайт зарегистрирован на существующую организацию с помощью сервисов whois). Полезной привычкой является также наличие отдельной банковской карты для онлайн-покупок, деньги на которой не хранятся, а перечисляются конкретными суммами под каждую покупку. И, конечно, не забывайте использовать надежное защитное решение с функциями защиты от фишинга и обеспечения безопасных платежей».

– Татьяна Сидорина, старший контент-аналитик «Лаборатории Касперского».

Но если такие рассылки чреваты, в основном, личными финансовыми потерями сотрудников и мусором в почте, то мошеннические рассылки под видом писем от банков, госкомпаний или налоговой уже могут угрожать информационной безопасности всей компании. Так в последнее время участились случаи спама под видом официальных уведомлений. В этих отлично разработанных подделках содержится вредоносное ПО (троянец RTM так и распространялся).

Как защищаться

Во-первых, использовать автоматическую фильтрацию в почте, спам-фильтры – и подкрутить в них настройки на более строгие. Во-вторых, научить сотрудников определять поддельные письма и не доверять даже официальным сообщениям от незнакомых людей.

Если у вашего бухгалтера есть сомнения по поводу подлинности такого письма, пусть он не стесняется, как советуют злоумышленники, позвонить в банк по указанным на официальном сайте банка телефонам и все проверить. И обязательно используйте на компьютерах финансово ответственных сотрудников хорошие платные антивирусы (уровня Internet Security) с обновленными базами. А для того, чтобы максимально усилить кибербезопасность компании, копии всех таблиц и отчетов с коммерчески важными данными должны храниться в нескольких местах под строгой защитой (например, в зашифрованном виде).

5. Целевые атаки

Целевые (или таргетированные) атаки – это комплекс мер и программного обеспечения, разработанного для заражения конкретной компании или человека. Если провести медицинскую аналогию, то это вирус, созданный кем-то специально под вашу ДНК и заражающий вас индивидуально. Проведение такой атаки и создание инструментов для нее часто стоит миллионы рублей. Создаются они, как правило, при корпоративном шпионаже среди корпораций. Поэтому часто небольшие компании считают, что им нечего опасаться таких атак – кому нужно тратить миллионы, чтобы заразить маленький интернет-магазин в российской глубинке. И это справедливо, но есть одно исключение – если вы работаете с крупными корпорациями или госзаказчиками – вы можете быть первой целью, способом проникновения в более защищенную сеть вашего партнера по бизнесу.

Именно так развивалась известная кибератака Stuxnet: для проникновения на хорошо защищенную и изолированную от интернета иранскую станцию по обогащению урана сначала был заражен компьютер инженера, который обслуживал оборудование на этой станции. И он уже на своей флешке, сам того не подозревая, пронес вирус в защищенный периметр и дал тому доступ к нужному оборудованию.

Как защищаться

К сожалению, если вы не транснациональная корпорация, то никак. Но можно, по крайней мере, следовать базовым правилам безопасного поведения в сети и грамотно выстроить общую кибербезопасность компании. Если вы работаете с заказчиками из крупного бизнеса и госсектора, и они требуют соблюдения своих политик безопасности (например, не подключать к их компьютерам ваши флешки) – постарайтесь соблюдать эти политики, даже если иногда это доставляет неудобство.

Кибербезопасность компании – основа стабильной работы

Самыми частыми причинами заражений и утечек данных по-прежнему являются люди, и вряд ли в ближайшие годы это изменится. Поэтому в защите своей компании в первую очередь нужно делать акцент на регулярном обучении всех сотрудников.

С текущим уровнем киберугроз невозможно полностью защитить свой бизнес от инцидентов. Перед вами стоит задача скорее минимизировать ущерб. При грамотной организации работы и защиты с большинством самых распространенных угроз будет легко справиться.

В любом случае, не стоит надеяться на русский авось или рассчитывать, что ваш бизнес не интересен хакерам – они найдут чем поживиться в любой компании. При этом даже довольно дешевые и не сильно трудозатратные превентивные меры защиты могут заметно обезопасить вашу компанию. Главное – не пренебрегать ими.