Разобраться

Как стартапу избежать утечек и защититься от кибератак

Как стартапу избежать утечек и защититься от кибератак
Фото: Unsplash

Еще лет пять назад стартапы могли сосредоточиться на маркетинге, юзабилити и финансах, совершенно не отвлекаясь на риски кибератак. Сегодня об опасности взлома необходимо помнить всегда, а также постоянно заботиться о сохранности своих данных и данных клиентов. Вот что при этом важно учесть.

Чем опасна утечка данных

Главные задачи стартапа — выпустить на рынок MVP, как можно быстрее нарастить клиентскую базу, увеличить операционную прибыль и выйти на самоокупаемость. Обычно на этих этапах мало кто уделяет должное внимание кибербезопасности. Но даже один из нижеприведенных рисков может полностью остановить работу проекта или отложить его развитие на долгое время.

  • Утечка персональных данных клиентов. Потерять накопленную с большим трудом базу контактов и позволить конкурентам ее использовать — критично для развития молодого бизнеса. Злоумышленники могут отправлять вашим клиентам SMS, электронные письма и голосовой спам с аналогичными предложениями, например о скидках. Возможен еще более драматичный вариант — конкуренты получают доступ к внутренним CRM-системам и перехватывают уже полученные вашей компанией заказы. Утечка данных для стартапа означает падение таких показателей, как пожизненная ценность клиента, среднее время между заказами, количество лояльных клиентов.
  • Кража исходного кода, ноу-хау и чувствительных данных. Интеллектуальная собственность компании — ценный актив, за которым нужно внимательно следить. К примеру, по данным Bank Security, из-за неправильной конфигурации инфраструктуры закрытый исходный код около 50 компаний стал общедоступным. Среди них — Microsoft, Lenovo, Adobe, Motorola, Nintendo.
  • Сбой в обслуживании, частичная или полная остановка сервиса. Хакеры могут заблокировать работу компании на некоторое время. Во многих сервисах остановка работы даже на полчаса критична — например, когда речь идет о доставке еды, такси или интернет-магазине. С каждой минутой убытки компании растут в геометрической прогрессии, а часть пользователей навсегда уходят и прекращают пользоваться сервисом.
  • Гигантские штрафы за потерю персональных данных. В России действует Закон о защите персональных данных. В Евросоюзе, где правила General Data Protection Regulation (GDPR) более жесткие, предусмотрены многомиллионные штрафы, пропорциональные обороту денежных средств нарушителя. Стартапам международного уровня, у которых есть клиенты из ЕС, следует знать и учитывать эти правила.

Репутационные издержки, моментальное падение всех показателей, финансовые потери, отток пользователей к конкурентам, атаки на клиентов — последствия этих инцидентов в большинстве случаев критичны для любого стартапа. Ситуацию могут усугубить штрафы и санкции со стороны регулирующих органов, судебные иски и прочие неприятности.

Три причины проблем

Утечка данных может произойти по разным причинам. Рассмотрим три основных.

Причина № 1

Уязвимости в IT-инфраструктуре

Злоумышленники часто эксплуатируют различные уязвимости в системах организации. Так они могут получить доступ к чувствительным и конфиденциальным данным.

В 2021 году чаще всего встречаются уязвимости, связанные с недостаточным контролем доступа, инъекциями и некорректной настройкой параметров безопасности. Например, в апреле этого года индийский финтех-стартап Bizongo подвергся взлому хакеров, вследствие чего утекли 2,5 млн файлов клиентов. А все из-за того, что стартап неправильно настроил веб-сервисы Amazon.

Также одна из причин утечек — общедоступные и неправильно сконфигурированные базы данных. Это происходит, когда IT-администраторы забывают корректно выставить разрешения к облачному хранилищу, оставляя доступ публичным. Обнаружить хранилище можно методом перебора: специальный скрипт подставляет в качестве имени все возможные варианты слов, связанных с компанией. Таким образом доступ к данным может получить любой желающий.

Причина № 2

Отсутствие контроля инфраструктуры

Высокая скорость разработки не всегда является преимуществом, когда речь идет о безопасности данных. Сегодня все используют гибкие подходы, стремятся выпускать релизы быстрее конкурентов, ставя на первое место показатель (TTM) Time To Market — время доставки апдейтов для конечных пользователей. При этом мало кто уделяет пристальное внимание вопросам безопасности — ведь это усложняет и тормозит процесс.

Непроверенные обновления во время разработки продукта создают новое пространство для уязвимостей. Их нельзя обнаружить с помощью стандартных средств защиты. Решение — внедрение процессов безопасной разработки (Secure SDLC). Это усложняет процесс, но позволяет выявить и устранить большинство уязвимостей в коде приложений еще до релиза очередного апдейта. Поэтапный мониторинг кода и тестирование на всех ранних этапах жизненного цикла поможет избежать серьезных проблем.

Другая лазейка для злоумышленников — устаревшее ПО. Иногда разработчики и системные администраторы просто игнорируют необходимость обновления системы. Выходят все более совершенные версии, а в старом ПО остаются уязвимости.

На всех компьютерах вашей компании должны быть установлены антивирусы, DLP-системы и специализированное ПО, которое блокирует передачу конфиденциальной информации. Также с его помощью можно наблюдать за ежедневной работой сотрудников, найти слабые места и предотвратить утечки.

Еще одна частая причина неприятностей — отсутствие мониторинга состояния инфраструктуры. Когда специалисты по кибербезопасности имитируют действия злоумышленников, бизнес узнает о своих слабых местах и возможных способах компрометации, а затем устраняет уязвимости. Регулярное тестирование на проникновение и анализ защищенности инфраструктуры позволяют проверить, насколько эффективно организованы методы защиты.

Причина № 3

Человеческий фактор

Ваши сотрудники, которые недостаточно осведомлены о правилах информационной безопасности, могут стать мишенью для мошенников. Фишинговые письма — популярный метод получения учетных данных и проникновения во внутреннюю сеть. Например, сотруднику приходит письмо с информацией о премии. Он открывает вложенный файл, после чего специальный программный алгоритм выполняет команды на компьютере и открывает злоумышленнику удаленный доступ.

Кто-то из сотрудников может по неосторожности загрузить данные в общедоступное хранилище данных. А кого-то просто могут подкупить и попросить вывести нужную информацию из организации или запустить вредоносное ПО.

Чек-лист по работе с сотрудниками

Помимо технических особенностей, есть базовые правила информационной безопасности, которые нужно соблюдать каждому сотруднику.

  • Всегда используйте сложные пароли, состоящие из верхнего и нижнего регистра, цифр и спецсимволов.
  • Создавайте разные пароли на разных сервисах.
  • Не забывайте включать двухфакторную аутентификацию.
  • Не переходите по подозрительным ссылкам в письмах, SMS и мессенджерах.
  • Внимательно смотрите на адрес отправителя и адрес сайта. Чаще всего фишинговый домен незначительно отличается от легитимного.
  • Блокируйте компьютер и мобильный телефон, когда покидаете рабочее место.

Правила гигиены для защиты от кибератак

Обеспечение информационной безопасности — непрерывный процесс. Современные реалии превратили его в гонку на опережение. Если стартап не хочет быть взломанным, то должен первым узнавать свои слабые места и устранять их до того, как произойдет взлом.

Также важно соблюдать следующие правилы гигиены, которые позволят защититься от кибератак.

  • Используйте базовые средства защиты информации: антивирусы, межсетевые экраны, системы предотвращения вторжений и их регулярные обновления.
  • Используйте анти-DDoS решения. Они помогают распределять поступающий на сайт трафик и не перегружать сервер. Эти решения также смогут эффективно отразить возникшую DDoS-атаку.
  • Применяйте резервное копирование данных и облачное хранилище для особо важных файлов. Нужно понимать, что сервер всегда могут взломать и удалить всю информацию. Резервное копирование актуально для любого бизнеса.
  • Защищайте канал передачи данных, например, с помощью SSL-сертификатов. Если отправлять данные на сервер в открытом виде, существует риск их перехвата злоумышленниками.
  • Выстройте процесс безопасной разработки. Это поможет устранить большую часть уязвимостей еще до релиза новой версии продукта.
  • Внедрите процесс управления уязвимостями. Это позволит вам увидеть инфраструктуру глазами хакеров и действовать проактивно, не оставляя им возможностей для развития атак.
  • Проводите анализ исходного кода. Разработчики могут создать уязвимость намеренно (когда речь идет о внутреннем нарушителе) или случайно (если качество кода не слишком высоко). Важно обнаружить проблему раньше злоумышленников.
  • Анализируйте защищенность IT-инфраструктуры и мобильных приложений. Ваша задача — имитация хакерских атак на организацию и поиск всевозможных уязвимостей, способных привести к взлому.