Текст: Денис Прохорчик

Фото: EDUARD MUZHEVSKYI / SCIENCE PHOTO LIBRARY

Сообщения о дерзких взломах и безупречно спланированных кибератаках уже давно перестали кого-либо удивлять. Но кажется, будто целью хакеров обычно становятся огромные корпорации или счета миллиардеров. На деле это не всегда так, и ошибочная уверенность в том, что малый и средний бизнес не интересен злоумышленникам, может обернуться для владельца компании ощутимым ущербом. В том, для чего взломщики атакуют небольшие фирмы и как от этого защититься, разобрался директор направления по развитию бизнеса облачных продуктов компании-разработчика ПО для результативной кибербезопасности Positive Technologies Денис Прохорчик.

Небольшие компании до сих пор убеждены, что находятся вне зоны интереса киберпреступников, и отодвигают вопросы информационной безопасности в дальний угол. Однако, по данным Positive Technologies, из 1,5 тыс. проанализированных представителей малого и среднего бизнеса (МСП) только 30% используют системы класса web application firewall WAF — решение для защиты извне своего веб-приложения, проще говоря, сайта. И это неудивительно — в инфополе крайне мало сообщений о том, что хакеры взламывают ресурсы небольших предприятий. Поэтому зачастую владелец небольшого бизнеса узнает о том, что киберугрозы в его сегменте — реальность, только когда сам стал жертвой злоумышленника.

Как действуют киберпреступники

Хакеры атакуют всех. В 2023 году на малый бизнес пришлись 43% атак, на средний — 38%, на крупные компании — только 19%. В течение последнего года от действий злоумышленников пострадали: магазины обуви, сервис по продаже билетов, гипермаркеты и магазины одежды, издательства и книжные магазины. Эти случаи стали широко известны во многом за счет сильного бренда жертвы, можно только догадываться, сколько строк данных малоизвестных компаний продавались в даркнете и какие суммы выплатили предприниматели, чтобы вернуть доступ к своим файлам и восстановить работу бизнеса.

Чаще всего «точкой входа» хакера становятся веб-приложения компании. Именно они оказались исходным вектором атаки в 63% случаев за последние три года. Эту тенденцию подтверждают и результаты тестов на проникновение, которые проводили наши специалисты во время проектов по анализу защищенности в 2022 году: в 86% атак можно было бы войти во внутреннюю сеть компании, используя уязвимости, найденные в ее веб-ресурсах.

Как правило, малый и средний бизнес завязан как раз на работе веб-приложения — чем больше трафик, тем больше клиентов. Компании сами заинтересованы в том, чтобы стать максимально заметными в интернете, привлекая для этого маркетинг, используя баннерную рекламу, seo-продвижение.

Используя специальные маркетинговые ресурсы и базы данных, злоумышленники способны выделить топ 5 тыс. сайтов по посещаемости в рунете, отсечь первые 2 тыс. (вероятно, это будут приложения крупных компаний, которые давно позаботились о своей безопасности в вебе) и проанализировать все оставшиеся.

Для этого хакеры запускают автоматические скрипты, которые проверяют, каким уязвимостям подвержены ресурсы, и уже через несколько часов получают подробные данные. Все приложения, которые попадают в отчет как слабо защищенные, автоматически переходят из объекта исследования в статус потенциальной жертвы.

Последствия для бизнеса

И вот киберпреступник успешно начал атаку на ваше веб-приложение. Что произойдет дальше? Последствия условно можно поделить на три типа — моментальные, среднесрочные и имиджевые.

• Моментальные. Если хакер остается только на уровне веб-ресурса, то один из сценариев развития событий — некорректная работа приложения или вовсе его «заморозка». В практике Positive Technologies был случай, когда на сайте интернет-магазина была заблокирована функция перемещения товаров в корзину, при этом злоумышленник самостоятельно оформлял онлайн- заказы на несуществующие адреса.
  
  Восстановление функционала и контроля на веб-ресурсе заняло около пяти часов, за это время убыток от простоя и обработки фейковых покупок составил более 70% средней дневной выручки. Ущерб мог быть и больше, если бы атака пришлась на «черную пятницу» или другой акционный период. Любопытно, что подобное мог совершить начинающий киберпреступник: нередко молодые хакеры используют слабо защищенные ресурсы малого и среднего бизнеса для практики. То, что для одной стороны — «тренировка» и поднятие рейтинга в комьюнити, для другой — серьезные финансовые потери.
  
  Злоумышленник может пойти и дальше — вглубь ИТ-инфраструктуры. Здесь возникает новая угроза — шифрование файлов либо даже всей системы. Киберпреступник закодирует важные базы данных и документы, тем самым парализует значимые бизнес-процессы компании. А чтобы получить ключ для дешифрования, потребуется заплатить выкуп. Стоимость ключа может быть разной и формируется индивидуально в зависимости от оборота компании, объема и значения украденных данных. В 2023 году количество атак с целью получения выкупа выросло на 160%, а средняя цена за дешифровку данных составила 53 млн руб. Для сегмента небольших компаний, по моим оценкам, средняя сумма примерно в 10 раз меньше.

• Среднесрочные. Еще одно частое последствие атак хакеров — кража данных. Государство прорабатывает возможность ужесточения ответственности за утечку персональных данных: в январе 2024 года уже прошел первое чтение законопроект об увеличении размера штрафа юрлиц. Поправки предполагают, в частности, что если утечка коснется от 1 тыс. до 10 тыс. субъектов, то штраф для составит от 3 до 5 млн руб.; от 10 тыс. до 100 тыс. субъектов — от 5 до 10 млн рублей; более 100 тыс. — от 10 до 15 млн руб.
  
  Помимо штрафов, сам факт слива базы клиентов способен помешать развитию бизнеса. В моменте предприниматель даже не заметит, что данные его клиентов или партнеров, в том числе юрлиц, были украдены. Но через некоторое время обнаружит снижение активности клиентской базы, когда с ней уже поработают конкуренты.

• Имиджевые. Взломав веб-приложение, хакер способен опубликовать на нем собственное сообщение, как правило, главную страницу подменяют вызывающим баннером и текстом. Для клиентов дефейс ресурса — это яркий сигнал о том, что его владелец уделяет мало внимания информационной безопасности. Если речь идет, например, об интернет-магазине сегмента middle-up и выше, частной клинике, детском образовательном ресурсе и новостном портале, то удар по имиджу компании может быть существенным. Мало кто захочет доверять свое время, данные о здоровье или, например, досуг ребенка тем, кто не заботится о безопасности собственных ресурсов.

Как защитить свою компанию

Чтобы обезопасить свое веб-приложение, не обязательно привлекать дополнительный бюджет и нанимать новых сотрудников. Вот три рекомендации, которые не потребуют существенных затрат и специальных знаний.