«Добро пожаловать в систему»: как хакеры крадут данные у компаний через личные устройства сотрудников и чем это опасно

Топ-менеджеры часто забывают о том, что сейчас почти у всех бизнес-процессов есть «виртуальные двойники» в цифровом мире. В их числе:

• контроль доступа в офисах;

• хранение персональных данных клиентов и сотрудников;

• ведение клиентских баз и отчетности;

• обеспечение логистических цепочек;

• отслеживание остатков ресурсов.

Компрометация цифровой копии компании ведет к реальным убыткам. Например, слабые пароли из шести символов ИИ взламывает мгновенно (данные Home Security Heroes), а 65% распространенных комбинаций подбираются быстрее чем за час.

Слабые места

Частые ошибки, которые бизнес допускает, выстраивая цифровые процессы:

• «слабые» пароли;

• системные уязвимости;

• открытые сетевые порты (виртуальные точки соединения на компьютере или сервере, благодаря которым различные программы идентифицируют и принимают данные в сети. — Прим. ред.);

• устаревшие операционные системы и программное обеспечение;

• отсутствие процесса обучения сотрудников;

• нерегулярный мониторинг безопасности.

Кроме того, не у всех компаний, особенно в сегменте МСП, есть сформированные ИБ-отделы. А сотрудники часто выполняют свои задачи удаленно на личных ноутбуках, получая доступ к виртуальным рабочим местам.

Что именно защищать

Чтобы снизить риски, бизнесу сначала нужно понять, какие IT-активы требуют защиты. Для этого проводят инвентаризацию инфраструктуры. В небольших компаниях этим занимается IT-специалист с помощью специализированных сервисов (есть как бесплатные, так и платные решения). Самое важное — иметь такой процесс в принципе.

Менее удобный, но тоже рабочий вариант — расписание, в рамках которого сотрудник, ответственный за кибербезопасность:

• «вручную» доступными способами собирает информацию о структуре, за которую отвечает;

• понимает, какой софт на ней стоит и как с ним работать;

• вовремя устанавливает обновления и системно планирует эти работы в своем расписании.

Такой проверенный подход к защите предполагает:

• анализ сетевых соединений;

• блокировку портов;

• проверку всех точек входа извне (шлюзов, роутеров, веб-приложений и доменов компании);

• введение двухфакторной аутентификации там, где это возможно;

• внедрение парольной политики.

«Точки входа» для хакеров

В небольшой компании, занимающейся обслуживанием вентиляционных систем, все сотрудники получали доступ к корпоративным ресурсам через Wi-Fi.

Логист Анна хранила логины и пароли для входа в программы «1С» в папке на рабочем столе и, уходя на обед, всегда оставляла ноутбук незаблокированным. Ведь она трудилась во внутреннем отделе, выполнявшем административные функции, и вокруг не было посторонних.

Злоумышленник, находясь неподалеку от бизнес-центра компании, методом перебора обнаружил сеть Wi-Fi со стандартными учетными данными: логин — admin, пароль — 12345678. Он без труда взломал локальную сеть компании, нашел ноутбук Анны и использовал ее учетные записи для входа во внутренние системы.

Закрепившись в инфраструктуре, злоумышленник максимизировал выгоду от взлома:

• получил доступ к почтовым учетным записям всех сотрудников, включая руководителей;

• полностью скопировал базу с контактами клиентов;

• создал вредоносные файлы;

• замаскировал вирусные программы под уведомления о плановом обслуживании вентиляционного оборудования;

• разослал письма с фейковыми уведомлениями клиентам от лица сотрудников.

Исчерпав потенциал атаки, хакер нанес финальный удар — зашифровал все устройства и потребовал выкуп. Ущерб был колоссальным:

• компания полностью утратила клиентскую базу, в которой была информация о заявках и запланированных работах, что привело к срыву сроков по контрактам и репутационным потерям;

• работа по восстановлению бизнес-процессов заняла 3 месяца — за это время около половины клиентов воспользовались услугами конкурентов;

• неустойки превысили 10% от годовой выручки из-за длительных простоев ;

• руководству пришлось сократить часть сотрудников, чтобы спасти бизнес.

Сложные схемы

По нашим данным, в первой половине 2025 года 80% атак на компании были целевыми. Фирма может стать начальным звеном в атаке на цепочку поставок. Это сложные кампании, которые готовятся с использованием данных и учетных записей доверенных поставщиков, клиентов или партнеров.

С этим столкнулась одна из федеральных ретейл-сетей. Что произошло:

• злоумышленники взломали разработчика ПО, который поддерживал терминалы сбора данных в распределительных центрах, и встроили малозаметный модуль в официальное обновление;

• вредоносный компонент маскировался под легитимные библиотеки и активировался только при определенных сценариях, что позволило ему пройти мимо стандартных средств защиты (антивируса или инструментов сетевой защиты);

• после установки обновления атакующие получили доступ к серверу управления остатками и незаметно модифицировали данные о товарах и заказах, создавая хаотичные перебои в поставках;

• когда операционный хаос стал заметен, злоумышленники потребовали выкуп, угрожая шифрованием ключевых систем;

• после отказа хакеры вывели из строя центральный сервер планирования, фактически остановив нормальные поставки на несколько дней.

Компания понесла многомиллионные потери из-за сбоев в логистике, упущенной выручки и восстановления данных, а инцидент показал критичность «слепых зон» даже у самых доверенных технологических партнеров, а также продемонстрировал, что не всегда стандартные методы защиты могут обнаружить специально подготовленную атаку, состоящую из многих, на первый взгляд, не связанных друг с другом шагов.

Инструменты защиты

Избежать подобных сценариев могут помочь только инструменты поведенческого анализа:

1. SIEM (англ. security information and event management  — система выявления инцидентов в реальном времени. — Прим. ред.). Она работает следующим образом:

• собирает логи (хронологические записи наиболее значимой информации о работе системы) и события со всех устройств в сети;

• анализирует эти данные в реальном времени;

• сопоставляет события из разных источников;

• выявляет аномалии и потенциальные угрозы;

• оповещает специалистов о подозрительной активности.

2. EDR (англ. endpoint detection and response — cистема обнаружения и реагирования на инциденты на конечных устройствах. — Прим. ред.). Такие решения обнаруживают потенциально вредоносные действия и связывают их в цепочки событий ИБ, которые могут привести к киберинцидентам. Эффект достигается за счет комбинации сигнатурного анализа и мониторинга атак нулевого дня. В первом случае используется база известных инструментов и техник злоумышленников, во втором — выявляются новые угрозы.