Иван Пискунов: 
«В одной компании злоумышленники подключились к ноутбуку казначея через уязвимость в ОС и, пока тот обедал, они вывели крупную сумму и скрылись»

Как защититься от угроз при отсутствии бюджета и специалистов по информационной безопасности? Насколько повышает риски переход на облачные сервисы и аутсорс-платформы? Почему халатность сотрудников страшнее хакерских атак?
На вопросы «СА» отвечает эксперт в области кибербезопасности, преподаватель кафедры «Информационные технологии» МПУ, создатель курса для НЦТ, автор книги «Kubernetes security. Guide for beginners from zero to hero» и Telegram-канала по кибербезопасности white2hack.

– Насколько сейчас уязвимы перед хакерами небольшие российские компании?

– Проблема кибербезопасности актуальна для любых компаний, независимо от масштабов бизнеса. Потому что все они используют информационные технологии: серверы, сети, сервисы для хранения и передачи данных. Вся юридически и финансово значимая информация хранится в цифровом виде – а значит, всегда находится под угрозой нарушения целостности и конфиденциальности, проще говоря – утечек и взломов.

Особенно эта проблема обострилось в связи с тем, на мировом рынке нарастает противостояние со странами Запада, а российские организации, в первую очередь, ресурсы госучреждений и компаний с госучастием – подвергаются регулярным хакерским атакам. Поэтому, начиная с прошлого года и в ближайшие несколько лет, я уверен, российские компании будут под очень жестким давлением. Это потребует защитной реакции, выстраивания отечественной инфраструктуры информационной безопасности.

– Каковы главные уязвимости для тех, кто работает в офисе и на «удаленке», особенно в разных странах?

– Действительно, с приходом пандемии многие компании, не только в сфере ИТ, начали работать в удаленном формате. Сейчас эта тенденция сохраняется. Кроме того, айтишники и цифровые кочевники становятся все более распространенным явлением, а с ними и дистанционный формат.

Главные проблемы остаются прежними: неправомерный доступ, утечки данных, когда сотрудник отправляет их себе на личную почту и открывает с другого устройства. Но теперь к этому добавились еще и риски, связанные с удаленной работой.

В первую очередь – это незащищенные каналы связи: многие сотрудники подключаются к корпоративным сервисам в публичных местах, где беспроводные сети легко уязвимы, а иногда и вовсе развернуты злоумышленниками. В таком случае необходимо использовать VPN, чтобы информация передавалась в зашифрованном виде, и ее было сложнее перехватить. Это поможет защититься от спуфинга – когда данные воруют через подставные сервисы – и сниффинга – когда трафик перехватывают через специальные программы – и фишинга: когда пользователя перенаправляют на сайты, которые собирают платежные и персональные данные.

Под угрозой не только интернет-трафик, но и обновления ОС и ПО: устаревшие программы или скачанные нелегально, например, пакет Microsoft Office представляют серьезную угрозу. Через них хакеры могут использовать логины и пароли, чтобы подключиться к корпоративной сети и получить доступ к конфиденциальным данным.

Если сеть хорошо защищена, настроено резервное копирование, установлены надежные пароли и антивирусы, то риски сводятся к минимуму. Я рекомендую своевременно обновлять антивирусное ПО и пользоваться специальными программами, которые позволяют генерировать, обновлять и хранить уникальные сложные пароли для каждого приложения.

Также необходимо ограничить число пользователей, у которых есть доступ к рабочим и личным устройствам. Если вы работаете удаленно, то обязательно используйте отдельные ноутбуки для работы и личных целей.

Наконец, полезно использовать сервисы для нативного шифрования данных: например, BitLocker для Microsoft Windows. С их помощью данные шифруются криптографически еще на этапе первого входа в систему, и, если компьютер украдут, злоумышленники не смогут получить к нему доступ.

– Насколько повышает риски переход на облачные сервисы и аутсорс-платформы? Каких сфер это касается в первую очередь?

– Практика перехода на внешние сервисы, в том числе облачные, очень полезна для многих компаний, особенно небольших. Это удобно, позволяет сэкономить ресурсы и гибко настроить все под свои нужды. Но есть и обратная сторона: риски утечек данных тоже возрастают.

В случае с облачными сервисами самая частая ошибка – это неправильная настройка модификаций, разграничений доступа и учетных записей, а также отсутствие резервного копирования. Если облачный сервер упадет или пострадает физически, это приведет к потере данных, и восстановить их будет невозможно. Чтобы такого не произошло, нужно использовать все возможности для защиты ИБ, которые предоставляет ваш провайдер. То же касается и аутсорс-платформ.

Я бы советовал обращаться к лидерам рынка, которые специализируются на решениях с высокой степенью защиты, располагают необходимым оборудованием и штатом квалифицированных сотрудников по ИБ. Нужно еще на этапе договора обсудить все возможные меры для защиты ваших данных и прописать их. Если опций недостаточно, стоит подумать над выбором в пользу другой компании.

Также стоит сразу подписать договор о неразглашении: если дойдет до утечки и судебного разбирательства, это поможет доказать, что вы со своей стороны сделали все для сохранения коммерческой тайны.

Эти меры, в первую очередь, касаются всех компаний, которые работают с платежными и персональными данными: интернет-магазинов, служб доставки, онлайн-кинотеатров, банков, платежных систем. Но сейчас практически любой бизнес работает с онлайн-данными, поэтому и меры универсальные.

– Как вы рекомендуете защищать свой бизнес небольшим компаниям, у которых нет бюджетов на собственный ИБ-отдел или на передачу услуг, связанных с кибербезопасностью, на аутсорс?

– Я бы рекомендовал иметь в штате хотя бы одного специалиста по ИБ, пусть и не с самым богатым опытом. Еще один вариант – ИБ-сервисы по подписке, где вам за фиксированную плату раз в месяц будут выполнять определенные работы. Но такой вариант более рискованный: из-за взлома вы можете потерять гораздо больше, чем сэкономили.

Также стоит пользоваться средствами для защиты данных, которые есть практически в любом лицензионном ПО, включая Windows или 1С: например, распределенный доступ, генерация сложных паролей или хранение данных в зашифрованном виде. Все это уже есть «из коробки», нужно только грамотно настроить и использовать.

Если этого недостаточно, можно воспользоваться бесплатными сервисами и open source-решениями, которые есть на GitHub и в других источниках. Это могут быть файерволы, системы резервного копирования, облачные брокеры, менеджеры паролей.

– Что Вы посоветует системным администраторам, работающим в небольших компаниях: как им поддерживать безопасность сети?

– Во-первых, нужно разделять системное администрирование и информационную безопасность: за это в компании должны отвечать разные люди. Если это по каким-то причинам невозможно, изучите все меры безопасности в рамках системных решений, включая ОС и CRM. Речь идет о настройке доступов и прав пользователей, ротации паролей, аудировании событий.

Во-вторых, не забывайте следить за обновлениями всего ПО и использовать только лицензированные версии. Я регулярно вижу сообщения об уязвимостях даже в продуктах Microsoft, Oracle или Cisco. Если их вовремя не устранять, все ваши данные могут оказаться в руках у третьих лиц.

И, в-третьих, необходимо следить за ресурсами, где публикуют тренды и кейсы, связанные с ИБ, чтобы «быть в теме».

– Вы можете привести случаи, когда злоумышленники получили доступ к данным компании из-за слабых мер защиты и какой ущерб это повлекло?

– Таких случаев огромное количество, достаточно открыть любой отчет или статистику за последние годы.

Когда-то я сам проводил криминологические экспертизы, чтобы восстановить картину взлома и указать на уязвимости. Установить главного заказчика не всегда получалось, зато понять, каким путем действовали злоумышленники гораздо проще.

Самые частые причины – безответственное отношение сотрудников к мерам ИБ: они используют слабые пароли или вообще обходятся без них, удаляют или отключают сервисы защиты данных, оставляют в общем доступе криптографические ключи на токенах или USB-носителях. В результате мошенники могут завладеть электронной подписью, которую используют вместо обычной для любых внутренних документов, включая бухгалтерские.

Среди самых громких историй я бы назвал взлом Банка Бангладеш, который привел к ущербу около 60 млрд долларов. Это произошло как раз из-за халатности сотрудников, из-за отсутствия должных мер защиты и устаревшего ПО. Когда утечку обнаружили, похитителям удалось вывести средства на зарубежные счета и исчезнуть.

Вот случай из моей личной практики: в компании злоумышленники подключились к ноутбуку казначея через уязвимость в ОС и, пока тот обедал, они воспользовались электронной подписью, вывели крупную сумму денег и скрылись. Пропажу обнаружили только спустя пару дней, но отменить транзакцию уже было невозможно.

Причем от подобных взломов страдают и крупнейшие корпорации, такие, как Amazon, Microsoft, «Аэрофлот» или ВТБ. Последствия могут быть самыми плачевными: не только финансовые, но и репутационные потери, а то и вовсе отзыв лицензии и приостановка деятельности.

– Каковы, на Ваш взгляд, главные тренды в области ИБ сегодня?

– Для нас главный тренд – это увеличение хакерских атак на российскую ИТ-инфраструктуру из недружественных стран. С ним связан также тренд на импортозамещение продуктов ушедших компаний и сервисов: оборудования, ПО, дата-центров, хранилищ данных, сетей передачи.

Глобальный тренд – усиление роли искусственного интеллекта, который уже позволяет автоматизировать, а в ближайшем времени и вовсе отказаться от части сотрудников для выполнения многих рабочих процессов.

Строить прогнозы на долгую перспективу сложно, потому что в сфере ИТ глобальные изменения происходят молниеносно. Поэтому ограничусь 2023 годом. Я считаю, что роль ИБ для всего бизнеса будет расти, а с ней – число специалистов, оборудования и сервисов, объем бюджетов на эти задачи. Вместо западных аналогов мы практически полностью перейдем на российское ПО, особенно в госструктурах и компаниях с госучастием.

Ключевые слова: информационная безопасность, киберугрозы, ИИ, меры защиты

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи