Виноват не хакер: 4 мифа о кибербезопасности, которые ставят бизнес под удар

На самом деле угроза может исходить от подрядчиков, партнеров, бывших сотрудников и даже их родственников. Любой, кто имеет легальный доступ к вашим системам, — потенциальный инсайдер. И часто внешних игроков проверяют меньше, чем внутренних.

Например, в одном из холдингов злоумышленники через близких людей топ-менеджера получили пароль и логин его личной почты. Через взломанную почту вышли на облачный диск. А там, как оказалось, хранились не только личные материалы, но и важные проектные документы компании, содержащие коммерческую тайну. Результат — требование выкупа в биткоинах.

Еще один типичный сценарий — бывший сотрудник, чья учетка осталась активной после ухода из компании, или субподрядчик с NDA, который может получить доступ ко всем проектным данным и отдать их конкуренту.

Но еще хуже, когда человека вовлекают в схему извне. В даркнете регулярно ищут «людей изнутри» за вознаграждение. Чаще всего — сотрудников банков или сотовых операторов. Их доступ к базам данных очень ценится на черном рынке. А стоимость такой информации может быть разной: например, услуга «мобильный пробив» иногда обходится всего в 3,5 тыс. руб.

Под прицелом у мошенников и вакансии сотрудников. Так, одна компания, выходя на рынок, столкнулась с монополистом. Чтобы получить конкурентное преимущество, они нашли резюме руководителя отдела конкурента, предложили ему вдвое большую зарплату, лучшую должность и склонили к передаче данных. Сначала просто «подзаработать», затем дали зараженную флешку, а когда та не сработала — попросили скопировать файлы вручную. В итоге монополист заподозрил неладное, и передачу данных пресекли уже при личной встрече в кафе. Руководитель отдела, конечно же, был уволен.

Угрозы становятся все изощреннее, а бизнес часто безоружен просто потому, что не считает их серьезными. Инсайдер — это не только «свой», но и любой, кто получил доступ к вашим секретам. Чтобы компаниям обезопасить себя, важно контролировать не только технические уязвимости, но и человеческий фактор. Злоумышленники всегда ищут слабые места, поэтому важно следить за теми, кто ищет работу — какие данные у них есть в доступе, проверять, какие данные копируют сотрудники, а также мониторить активность в облачных сервисах.

На самом деле, в 50% случаев виновата банальная неосторожность. Слабые пароли, клик по фишинговой ссылке, файлы на личном облачном диске — иногда киберинциденты начинаются с мелочей. И дело не в злонамеренности, а в низкой цифровой грамотности. Люди просто не понимают, что делают что-то рискованное.

В нашей практике был случай, когда один из клиентов столкнулся с шантажом: злоумышленник заявил, что взломал системы компании, а в подтверждение прислал скриншоты внутренних договоров. Он требовал выкуп в размере $30 тыс., угрожая публикацией данных. Чтобы выиграть время и оценить реальность угрозы, служба ИБ начала переговоры с мошенником. Переписка продолжалась почти четыре дня, при чем мошенник периодически давил, угрожая опубликовать данные, если ему не заплатят в течение часа.

В ходе расследования выяснилась любопытная деталь — никакого взлома на самом деле не было. Данные попали в сеть из-за незащищенного FTP-сервера, который временно оказался открытым. Так как боты поисковика автоматически проиндексировали все файлы, информация стала доступной прямо из браузера. Далее мошеннику не составило труда найти эту уязвимость через специальные запросы.

В другой компании при обновлении сайта подрядчик случайно убрал ограничения безопасности, в результате чего сервер оказался незащищенным, и база данных клиентов, включая номера карт, осталась в открытом доступе. Уязвимость обнаружили только через полтора месяца. Интересно, что человека, который нашел утечку и сообщил о ней, привлекли к уголовной ответственности, хотя он не шантажировал компанию, а пытался помочь.

А в одной из медорганизаций открытая уязвимость в 1С позволяла без авторизации получать доступ к диагнозам, рецептам и всей истории пациентов. Просто потому, что никто не настроил ограничения. Утечка была обнаружена специалистами по ИБ в ходе плановой проверки. Администрация клиники оперативно заблокировала систему, однако если бы уязвимость нашли злоумышленники, могла бы произойти масштабная утечка медицинской тайны.

Хуже, когда вся информация еще и попадает к «звонарям» — мошенникам, которые потом шантажируют клиентов, или к тем, кто запускает масштабные фишинговые атаки. В таком случае пострадаете и вы, и ваш бренд, и ваш кошелек (штрафы за утечки данных для компаний могут достигать 15 млн руб. или 3% оборота).

На самом деле, самые «безобидные» сотрудники и есть главная уязвимость. Бухгалтер, кадровик, маркетолог, у которых «нет доступа к критичным данным», — идеальные мишени для злоумышленников.

В одной из госкомпаний мошенники скомпрометировали почту инженера по техническому обслуживанию и оснащению подразделений. Неизвестно, был ли это целенаправленный взлом или случайная утечка, но факт остается фактом: злоумышленники получили доступ к переписке.

Проанализировав историю сообщений, преступники выяснили, что инженер часто взаимодействует с локальным администратором, который обладает максимальными привилегиями. Они изучили стиль их общения и от имени сотрудника написали что-то вроде: «Дружище, нам нужно развернуть кое-что новое для тестов, выручай».

Дальше злоумышленники установили майнинговое ПО и вежливо отписались: «Спасибо, доступ можно закрывать», удалив переписку. Майнер был запрограммирован на «спящий режим» — он активировался только через два месяца. Когда серверы внезапно начали грузиться на 80% (вместо обычных 20%), администраторы забили тревогу.

Инцидент устранили, но последствия могли быть куда более серьезные. Поэтому мониторинг нужен не выборочно, а системно. Любой вход в систему, любое атипичное поведение должно вызывать внимание ИБ-отдела.

Даже самый продвинутый софт не защитит, если вы не прописали регламенты, не обучили персонал и не синхронизировали ИБ с HR.

А еще часто компании переплачивают за «премиальные» решения, которые на деле оказываются бесполезны. Компании ждут защиты, а при первом же инциденте слышат: «По договору мы вам ничего не должны».

Наш заказчик столкнулся с аналогичной ситуацией, когда после серьезного инцидента безопасности подрядчик заявил: «Мы оказываем услуги согласно условиям соглашения, а ваш случай формально не подпадает под эти параметры». При этом именно эта компания получала деньги за свою экспертизу и должна была нести ответственность за работу своих продуктов.

Выбирая решение, нужно задать себе три вопроса.

• Решает ли продукт ваши задачи здесь и сейчас?

• Соответствует ли цена реальной пользе?

• Готов ли вендор отвечать за свои слова при инциденте?