Кибербезопасность, 05 окт 2021, 16:00

Снижаем цифровые риски: семь мер для руководителя организации

Читать в полной версии
Фото: Unsplash
Почему кибербезопасность становится личной заботой бизнесменов, какие есть ключевые угрозы для предприятий и что делать руководителям, которые хотят защитить себя и свою организацию?

Об эксперте: Рустэм Хайретдинов, директор по росту BI.ZONE, компании по стратегическому управлению цифровыми рисками.

Владельцы компаний и высший менеджмент — заветная цель для киберпреступников, ведь такие жертвы дают доступ к чувствительной информации, не говоря уже о счетах организации. Результаты опроса, проведенного MobileIron, это подтверждают: 84% сотрудников на руководящих должностях (C-level), по их же признанию, чуть не стали жертвами кибератаки в последний год.

Зачем руководителям высшего звена беспокоиться о кибербезопасности

Даже единичный инцидент может привести к серьезным финансовым и репутационным потерям. Авторы отчета Accenture Third Annual State of Cyber Resilience выяснили, что для организации со стандартным уровнем кибербезопасности (КБ) средний ущерб от атаки составляет $380 тыс. Более того, в рамках опроса, проведенного компанией McAfee, 92% респондентов заявили о нематериальных потерях от киберинцидентов. Среди негативных эффектов чаще всего упоминали потери в производительности и вынужденный простой (до 18 часов) — в среднем он обходится бизнесу в $6 млн. Впрочем, паузы могут и затягиваться: например, разработчик ИТ-решений Kaseya, ставший жертвой атаки шифровальщика REvil, получил программу для восстановления файлов только через 19 дней.

Порой CEO достаточно открыть одну ссылку, чтобы уничтожить компанию. Так, в сентябре 2020 года один из основателей австралийского хедж-фонда Levitas Capital принял приглашение в Zoom-конференцию. Ссылка оказалась вредоносной: злоумышленники проникли в корпоративную сеть и попытались вывести на свои счета около $8 млн. И хотя большую часть средств удалось спасти, компания закрылась, потому что один из ключевых партнеров Levitas Capital отказался инвестировать в скомпрометированный бизнес.

В контексте цифровой трансформации защита данных и непрерывность процессов становится стратегической задачей. В то же время у 83% компаний нет конкретных планов по восстановлению бизнеса на случай чрезвычайной ситуации. На этом фоне именно руководители должны брать на себя инициативу в вопросах цифровой безопасности и повышать киберустойчивость организации. Однако для этого сначала нужно заняться собственной киберграмотностью.

Какие цифровые риски грозят компаниям в 2021 году

Взлом IoT-устройств

Нас окружают «умные» гаджеты — от смарт-колонок до светофоров, позволяющих автобусам быстрее передвигаться по городу. По данным Microsoft, еще в 2020 году доля компаний, внедривших хотя бы одно IoT-устройство, составляла 83%.

Для бизнеса подключение офисных устройств вроде лампочек и кондиционеров к интернету вещей значит больше потенциально уязвимых точек, которые будут атаковать злоумышленники. При этом компрометация даже одной из них сулит непредсказуемые последствия для всей корпоративной инфраструктуры. Например, взломав смарт-камеру на периметре организации, преступники могут получить доступ к кодам от помещений или узнать режим работы отдела безопасности.

Атака на «умный» город: как прошли киберучения по защите инфраструктуры
Индустрия 4.0 

Стоит помнить, что злоумышленники будут целенаправленно атаковать личные устройства владельцев и руководителей компаний. При этом надежность потребительской IoT-техники вызывает вопросы, учитывая, что взламывают даже кардиостимуляторы.

Мошенничество с данными

Аналитики Всемирного экономического форума считают, что кража информации — один из десяти самых вероятных глобальных рисков. В 2020 году они обнаружили на теневых форумах свыше 15 млрд украденных записей с учетными данными. Среди прочего, там нашлись логины и пароли бухгалтеров и системных администраторов. В этом контексте распространение технологий цифровой личности, использующих паспортные, биометрические и поведенческие данные для идентификации пользователей, создает дополнительные угрозы для предприятий.

Излюбленные методы мошенников — фишинг и социальная инженерия. Первые лица компаний особенно уязвимы для подобных атак и традиционно становятся главной мишенью преступников. В отчете The State of Email Security Report, подготовленном Mimecast, 40% респондентов, ответственных за развитие ИТ-направления в своих компаниях, заявили, что их исполнительные директоры — слабые звенья в киберзащите организации. Опрошенных можно понять: по данным Help Net Security, 76% высших руководителей просили делать для себя исключения в политиках безопасности мобильных устройств.

Что такое фишинг: как не стать жертвой хакеров
Индустрия 4.0 

Использование новых технологий в атаках

Киберпреступники не боятся экспериментировать. В 2019 году злоумышленники украли у энергетической компании €220 тыс. с помощью дипфейк-технологии. Преступники синтезировали речь исполнительного директора материнской немецкой компании и убедили руководителя британского филиала перевести деньги на их банковский счет. Страховая компания покрыла убытки, но ее представители признались, что впервые встретили подобный случай.

Игнорирование безопасности в стратегии трансформации компании

Важно помнить, что помимо внешних угроз существуют и внутренние. Аналитики Gartner предсказывают, что в 2021 году траты на кибербезопасность и управление рисками во всем мире могут превысить $150 млрд. Несмотря на это, многие компании игнорируют эти аспекты, когда разрабатывают стратегию цифровой трансформации. Согласно результатам опроса Ponemon, 82% компаний пострадали из-за утечек данных, связанных с некорректным построением этого процесса. Ошибки, допущенные на начальных этапах, могут в будущем привести к существенным расходам, таким как штрафы со стороны регуляторов, необходимость перестраивать системы и процессы или менять готовый продукт.

Как минимизировать цифровые риски за семь шагов

Защита бизнеса — сложная, но важная работа, во многом зависящая от личной инициативы со стороны руководителя организации и высшего менеджмента, а также их собственной киберграмотности. Впрочем, соблюдение несложных правил упрощает эту задачу.

Используйте оригинальные пароли для каждого сервиса

Если у вас один пароль для почты, соцсетей, рабочих аккаунтов и других учетных записей, достаточно одной утечки, чтобы злоумышленники взломали все. Установите менеджер паролей с функцией их создания, к примеру, 1Password. Не храните ключевые комбинации на листочках или в записных книжках. Масштабируйте эту практику на всю компанию: поручите сотрудникам ИТ-службы следить за регулярностью обновления паролей среди работников. Хорошим тоном считается смена ключевых комбинаций раз в три месяца.

Передавайте данные только по защищенным каналам

Даже надежный пароль могут перехватить злоумышленники. Это в особенности применимо к публичным беспроводным сетям в аэропортах, кафе или бизнес-центрах. Используйте VPN-соединение, когда работаете с деловыми документами, общаетесь с партнерами или авторизуетесь в личных аккаунтах. То же самое можно развернуть в рамках компании: обязуйте сотрудников подключаться к серверам организации по защищенным каналам, чтобы избежать утечек данных. Однако помните, что сведения, которые вы передаете через VPN-соединение, может просмотреть провайдер, поэтому пользуйтесь услугами доверенных компаний.

Учитесь и учите киберграмотности

Освойте основы кибергигиены, чтобы не стать жертвой преступников. Инвестируйте в повышение киберграмотности, в частности, в тренинги по противодействию фишингу и охране чувствительных данных. Привлеките к этому процессу не только высшее руководство, но и сотрудников на всех уровнях: никто не знает, где именно будут атаковать злоумышленники. Подобные меры окупаются: по нашим данным, регулярные тренинги повышают устойчивость сотрудников к фишингу в девять раз.

Готовьте руководства на любые случаи

Разработайте с сотрудниками сценарии поведения для ситуаций, связанных с повышенным риском, таких как срочные переводы крупных сумм и предоставление важных документов. Придумайте секретные слова для подтверждения подобных операций — мы помним, что преступники осваивают дипфейк-технологии, так что стандартного звонка с повтором указаний уже недостаточно. Отрабатывайте эти сценарии с коллегами и старайтесь следовать им сами.

Дипфейки: что это за технология и почему она опасна
Индустрия 4.0 

Устанавливайте обновления

Этот совет относится ко всем устройствам и программам, которыми вы пользуетесь. В новых релизах разработчики зачастую закрывают уязвимости. Чем новее ПО в вашем компьютере, смартфоне, часах и даже автомобиле, тем ниже риск, что вы станете жертвой кибератаки. Представьте, сколько уязвимых точек в компании, которая насчитывает даже 20 компьютеров — и это не считая серверов, роутеров и другой техники. Обновление ПО в компании — лучшая профилактика взломов.

Не храните рабочие документы на личных устройствах

Посмотреть квартальные отчеты в дороге на ноутбуке — в целом здравая мысль, до тех пор пока это корпоративный компьютер. Если загружаете рабочие данные на личный планшет или смартфон, не забывайте их удалять, иначе в случае кражи ворам достанется не только новенький гаджет, но и ваши коммерческие тайны. Для надежности установите пароль или разблокировку по биометрическим данным на всех устройствах. Еще есть способ усложнить злоумышленникам доступ к почтовому ящику на корпоративном уровне — попросите ИТ-департамент разрешить вход в рабочие email-аккаунты только тем, кто подключен через VPN-туннель. В условиях пандемии разделять офис и дом стало намного сложнее, но вы можете перевести бизнес-процессы в облачные сервисы: они защищены чуть лучше, чем персональные устройства сотрудников.

Проектируйте системы с оглядкой на безопасность

Любые ИТ-проекты — от настройки почтового сервера до цифровой трансформации, должны опираться на принцип security by design. Он заключается в том, что безопасность должна быть неотъемлемой частью системы и встраиваться во все ее компоненты. Соблюдение этого принципа требует четко выстроенных процессов и участия компетентных специалистов. Лучше обратиться к сторонним подрядчикам: их осведомленность о киберугрозах будет выше, чем у среднестатистического отдела КБ, а конечная стоимость услуг — ниже. При этом вы не перегрузите штатных сотрудников дополнительной работой. На рынке достаточно компаний, специализирующихся на подобных задачах, — они учтут особенности вашей ИТ-инфраструктуры и помогут построить цифровой бастион, чтобы дать отпор даже продвинутым атакам.

Кибербезопасность Управление проектами IT
Главное