Об эксперте: Рустэм Хайретдинов, директор по росту BI.ZONE, компании по стратегическому управлению цифровыми рисками.
Владельцы компаний и высший менеджмент — заветная цель для киберпреступников, ведь такие жертвы дают доступ к чувствительной информации, не говоря уже о счетах организации. Результаты опроса, проведенного MobileIron, это подтверждают: 84% сотрудников на руководящих должностях (C-level), по их же признанию, чуть не стали жертвами кибератаки в последний год.
Зачем руководителям высшего звена беспокоиться о кибербезопасности
Даже единичный инцидент может привести к серьезным финансовым и репутационным потерям. Авторы отчета Accenture Third Annual State of Cyber Resilience выяснили, что для организации со стандартным уровнем кибербезопасности (КБ) средний ущерб от атаки составляет $380 тыс. Более того, в рамках опроса, проведенного компанией McAfee, 92% респондентов заявили о нематериальных потерях от киберинцидентов. Среди негативных эффектов чаще всего упоминали потери в производительности и вынужденный простой (до 18 часов) — в среднем он обходится бизнесу в $6 млн. Впрочем, паузы могут и затягиваться: например, разработчик ИТ-решений Kaseya, ставший жертвой атаки шифровальщика REvil, получил программу для восстановления файлов только через 19 дней.
Порой CEO достаточно открыть одну ссылку, чтобы уничтожить компанию. Так, в сентябре 2020 года один из основателей австралийского хедж-фонда Levitas Capital принял приглашение в Zoom-конференцию. Ссылка оказалась вредоносной: злоумышленники проникли в корпоративную сеть и попытались вывести на свои счета около $8 млн. И хотя большую часть средств удалось спасти, компания закрылась, потому что один из ключевых партнеров Levitas Capital отказался инвестировать в скомпрометированный бизнес.
В контексте цифровой трансформации защита данных и непрерывность процессов становится стратегической задачей. В то же время у 83% компаний нет конкретных планов по восстановлению бизнеса на случай чрезвычайной ситуации. На этом фоне именно руководители должны брать на себя инициативу в вопросах цифровой безопасности и повышать киберустойчивость организации. Однако для этого сначала нужно заняться собственной киберграмотностью.
Какие цифровые риски грозят компаниям в 2021 году
Взлом IoT-устройств
Нас окружают «умные» гаджеты — от смарт-колонок до светофоров, позволяющих автобусам быстрее передвигаться по городу. По данным Microsoft, еще в 2020 году доля компаний, внедривших хотя бы одно IoT-устройство, составляла 83%.
Для бизнеса подключение офисных устройств вроде лампочек и кондиционеров к интернету вещей значит больше потенциально уязвимых точек, которые будут атаковать злоумышленники. При этом компрометация даже одной из них сулит непредсказуемые последствия для всей корпоративной инфраструктуры. Например, взломав смарт-камеру на периметре организации, преступники могут получить доступ к кодам от помещений или узнать режим работы отдела безопасности.
Стоит помнить, что злоумышленники будут целенаправленно атаковать личные устройства владельцев и руководителей компаний. При этом надежность потребительской IoT-техники вызывает вопросы, учитывая, что взламывают даже кардиостимуляторы.
Мошенничество с данными
Аналитики Всемирного экономического форума считают, что кража информации — один из десяти самых вероятных глобальных рисков. В 2020 году они обнаружили на теневых форумах свыше 15 млрд украденных записей с учетными данными. Среди прочего, там нашлись логины и пароли бухгалтеров и системных администраторов. В этом контексте распространение технологий цифровой личности, использующих паспортные, биометрические и поведенческие данные для идентификации пользователей, создает дополнительные угрозы для предприятий.
Излюбленные методы мошенников — фишинг и социальная инженерия. Первые лица компаний особенно уязвимы для подобных атак и традиционно становятся главной мишенью преступников. В отчете The State of Email Security Report, подготовленном Mimecast, 40% респондентов, ответственных за развитие ИТ-направления в своих компаниях, заявили, что их исполнительные директоры — слабые звенья в киберзащите организации. Опрошенных можно понять: по данным Help Net Security, 76% высших руководителей просили делать для себя исключения в политиках безопасности мобильных устройств.
Использование новых технологий в атаках
Киберпреступники не боятся экспериментировать. В 2019 году злоумышленники украли у энергетической компании €220 тыс. с помощью дипфейк-технологии. Преступники синтезировали речь исполнительного директора материнской немецкой компании и убедили руководителя британского филиала перевести деньги на их банковский счет. Страховая компания покрыла убытки, но ее представители признались, что впервые встретили подобный случай.
Игнорирование безопасности в стратегии трансформации компании
Важно помнить, что помимо внешних угроз существуют и внутренние. Аналитики Gartner предсказывают, что в 2021 году траты на кибербезопасность и управление рисками во всем мире могут превысить $150 млрд. Несмотря на это, многие компании игнорируют эти аспекты, когда разрабатывают стратегию цифровой трансформации. Согласно результатам опроса Ponemon, 82% компаний пострадали из-за утечек данных, связанных с некорректным построением этого процесса. Ошибки, допущенные на начальных этапах, могут в будущем привести к существенным расходам, таким как штрафы со стороны регуляторов, необходимость перестраивать системы и процессы или менять готовый продукт.
Как минимизировать цифровые риски за семь шагов
Защита бизнеса — сложная, но важная работа, во многом зависящая от личной инициативы со стороны руководителя организации и высшего менеджмента, а также их собственной киберграмотности. Впрочем, соблюдение несложных правил упрощает эту задачу.
Используйте оригинальные пароли для каждого сервиса
Если у вас один пароль для почты, соцсетей, рабочих аккаунтов и других учетных записей, достаточно одной утечки, чтобы злоумышленники взломали все. Установите менеджер паролей с функцией их создания, к примеру, 1Password. Не храните ключевые комбинации на листочках или в записных книжках. Масштабируйте эту практику на всю компанию: поручите сотрудникам ИТ-службы следить за регулярностью обновления паролей среди работников. Хорошим тоном считается смена ключевых комбинаций раз в три месяца.
Передавайте данные только по защищенным каналам
Даже надежный пароль могут перехватить злоумышленники. Это в особенности применимо к публичным беспроводным сетям в аэропортах, кафе или бизнес-центрах. Используйте VPN-соединение, когда работаете с деловыми документами, общаетесь с партнерами или авторизуетесь в личных аккаунтах. То же самое можно развернуть в рамках компании: обязуйте сотрудников подключаться к серверам организации по защищенным каналам, чтобы избежать утечек данных. Однако помните, что сведения, которые вы передаете через VPN-соединение, может просмотреть провайдер, поэтому пользуйтесь услугами доверенных компаний.
Учитесь и учите киберграмотности
Освойте основы кибергигиены, чтобы не стать жертвой преступников. Инвестируйте в повышение киберграмотности, в частности, в тренинги по противодействию фишингу и охране чувствительных данных. Привлеките к этому процессу не только высшее руководство, но и сотрудников на всех уровнях: никто не знает, где именно будут атаковать злоумышленники. Подобные меры окупаются: по нашим данным, регулярные тренинги повышают устойчивость сотрудников к фишингу в девять раз.
Готовьте руководства на любые случаи
Разработайте с сотрудниками сценарии поведения для ситуаций, связанных с повышенным риском, таких как срочные переводы крупных сумм и предоставление важных документов. Придумайте секретные слова для подтверждения подобных операций — мы помним, что преступники осваивают дипфейк-технологии, так что стандартного звонка с повтором указаний уже недостаточно. Отрабатывайте эти сценарии с коллегами и старайтесь следовать им сами.
Устанавливайте обновления
Этот совет относится ко всем устройствам и программам, которыми вы пользуетесь. В новых релизах разработчики зачастую закрывают уязвимости. Чем новее ПО в вашем компьютере, смартфоне, часах и даже автомобиле, тем ниже риск, что вы станете жертвой кибератаки. Представьте, сколько уязвимых точек в компании, которая насчитывает даже 20 компьютеров — и это не считая серверов, роутеров и другой техники. Обновление ПО в компании — лучшая профилактика взломов.
Не храните рабочие документы на личных устройствах
Посмотреть квартальные отчеты в дороге на ноутбуке — в целом здравая мысль, до тех пор пока это корпоративный компьютер. Если загружаете рабочие данные на личный планшет или смартфон, не забывайте их удалять, иначе в случае кражи ворам достанется не только новенький гаджет, но и ваши коммерческие тайны. Для надежности установите пароль или разблокировку по биометрическим данным на всех устройствах. Еще есть способ усложнить злоумышленникам доступ к почтовому ящику на корпоративном уровне — попросите ИТ-департамент разрешить вход в рабочие email-аккаунты только тем, кто подключен через VPN-туннель. В условиях пандемии разделять офис и дом стало намного сложнее, но вы можете перевести бизнес-процессы в облачные сервисы: они защищены чуть лучше, чем персональные устройства сотрудников.
Проектируйте системы с оглядкой на безопасность
Любые ИТ-проекты — от настройки почтового сервера до цифровой трансформации, должны опираться на принцип security by design. Он заключается в том, что безопасность должна быть неотъемлемой частью системы и встраиваться во все ее компоненты. Соблюдение этого принципа требует четко выстроенных процессов и участия компетентных специалистов. Лучше обратиться к сторонним подрядчикам: их осведомленность о киберугрозах будет выше, чем у среднестатистического отдела КБ, а конечная стоимость услуг — ниже. При этом вы не перегрузите штатных сотрудников дополнительной работой. На рынке достаточно компаний, специализирующихся на подобных задачах, — они учтут особенности вашей ИТ-инфраструктуры и помогут построить цифровой бастион, чтобы дать отпор даже продвинутым атакам.