Закрыть [x]

Перейти на мобильную версию

Киберугрозы и человеческий фактор: сколько стоит ошибка?

23.08.2017

По оценкам разных экспертов, за год рынок киберстрахования растет на 25-50%, при этом многие считают его одним из наиболее перспективных на ближайшие десять лет.

Робин Гуды виртуального пространства, хакеры, ломающие систему ради вызова обществу, остались в далеком прошлом. Сегодня киберпреступники сохранили маску на лице, но стали организованными и меркантильными. Хакерство больше не «подвиг» – это заработок. И для того, чтобы получить побольше денег, они атакуют мобильные телефоны, банкоматы, внедряют следящие программы и распространяют вредоносное ПО, нанося ущерб реальным людям и компаниям.

Издревле, излюбленным способом ведения «тихой войны» считалась разведка, именно поэтому сейчас один из основных общемировых трендов превентивной защиты в цифровом мире – разведка киберугроз. Эксперты по всей планете стремятся как можно раньше узнавать о новых видах хакерских атак, чтобы упреждать их действия.

Второй способ защититься – мыслить как преступник, поэтому эксперты из области кибербезопасности стремятся моделировать поведение и действия злоумышленников. Для этого существуют отдельные группы квалифицированных специалистов, которые с упорством хакеров атакуют системы защиты компаний. Безусловным плюсом в данной ситуации является тот факт, что эти «хакеры» играют на стороне атакуемой компании, которая после нападения не подсчитывает убытки, а «латает» уязвимые места в защите и становится более устойчива к реальным атакам.

В связи с увеличением количества киберпреступлений, приводящих к значительным убыткам, все больше компаний стали серьезнее относиться к информационной безопасности. Многие понимают, что антивируса уже недостаточно, поэтому выбирают комплексные и специализированные решения, которые, по заявлениям производителей, могут защитить от всех известных видов атак. Несмотря на высокие технологии, основным «бэкдором» для хакеров остается человеческий фактор – внедряя новинки, IT-специалисты забывают о базовой безопасности: о своевременном обновлении систем, сегментации сети, ограничении прав в системах и, что важно, обучении пользователей. Зачастую, именно беспечность сотрудников «компаний-жертв» и пренебрежение основами ИБ позволяют хакерам проводить успешные атаки.

Стоит помнить, что преступления с приставкой «кибер» совершают реальные люди в реальном мире, поэтому пострадать могут все: и жители крупнейших мегаполисов, и те, кто живет в глухой деревеньке в горах с единственным фонарем на село. Единственное отличие от «обычного» криминала – это выбор оружия: вместо пистолетов и гранатометов, преступники пользуются информационными технологиями, от которых мы уже попросту не можем отказаться. Шантаж, мошенничество, подлог, обман и угрозы работают не только в реальном, но и в виртуальном мире, поэтому самым слабым звеном в киберобороне был и остается человек.

Попросите IT-сотрудника, отвечающего за безопасность, описать идеальную ситуацию для обеспечения информационной защиты корпорации. С вероятностью в 99% он скажет, что в этой «схеме» нет людей и все системы выключены. Очевидно, так быть не может, поэтому стоит научиться чуть лучше контролировать сотрудников и внутренние процессы.

Недавно разразился очередной скандал с утечкой персональных данных. Отличился Пенсионный фонд РФ, сотрудники которого умудрились сделать массовую рассылку с информацией о 17 752 людях по внешним источникам (СНИЛС, адрес регистрации и места работы, дата рождения). И даже не по электронной почте, а при помощи сервиса электронного документооборота со всеми необходимыми защищенными каналами связи и с использованием современных средств криптозащиты. Тот случай, когда человек снова «победил» технологию.

Какой бы крепостью не казалась IT-инфраструктура компании, все равно зачастую остаются лазейки, через которые важные данные могут «утечь» и оказаться не в тех руках. «Человеческий фактор» может нанести ущерб корпорации и без помощи хакеров, особенно если для коммуникаций внутри компании выбраны неверные инструменты или сотрудники недостаточно внимательны.

Многие используют популярные сервисы такие, как WhatsApp, Viber или Telegram, которые изначально создавались для частных пользователей и по ряду параметров не предназначены для бизнеса. Для надежной обороны от киберугроз и защиты внутренней информации стоит использовать безопасные мессенджеры, надежные, функциональные и контролируемые.

На российском рынке корпоративных мессенджеров представлены продукты как зарубежных IT-поставщиков, так и российские разработки, которые не только с легкостью конкурируют с иностранными аналогами, но и учитывают специфику отечественного рынка. Например, защищенная корпоративная платформа СИБРУС – это российское решение, которое разворачивается прямо на инфраструктуре предприятия – на сервере или дата-центре. В отличие от массовых сервисов, находящихся под контролем провайдера, СИБРУС является полностью независимым решением, которое гарантирует создание безопасного информационного пространства и контролируется исключительно заказчиком.

Бизнес-мессенджеры, «заточенные» под корпоративный формат, обладают специальными возможностями, которые помогают уберечь внутреннюю информацию в любой ситуации. У них есть не только обширный набор инструментов для бизнес-коммуникаций, но и целый комплекс механизмов защиты. Помимо стойкого шифрования и обеспечения безопасности информации при передаче по сети, хранении на устройствах, а также на самом сервере, у корпоративного мессенджера есть экстренные механизмы защиты, которые позволяют дистанционно закрывать подключения, блокировать пользователей и удалять данные с устройств для моментальной защиты. Поэтому в случае, если смартфон потеряется или его украдут, важные данные все равно останутся в безопасности.

Какими бы семимильными шагами ни развивались технологии, киберпреступность будет всегда опережать кибербезопасность, и с этим фактором надо просто смириться. Вопрос остается только в том, насколько – на шаг или сотню шагов? Вот тут уже все зависит от защищающейся стороны. Не зря в последнее время набирают популярность направления киберстрахования и кибераудита.

По оценкам разных экспертов, за год рынок киберстрахования растет на 25-50%, при этом многие считают его одним из наиболее перспективных на ближайшие десять лет. По мнению консалтинговой компании PwC, доходы рынка киберстрахования к 2020 г. будут составлять $7,5 млрд.

Кибераудит востребован уже сейчас и является достаточно дорогостоящим процессом. На текущий момент средняя цена проведения проверки системы на предмет «утечки» составляет порядка 400 тыс. руб. за ПК и 250 тыс. руб. за мобильное устройство сотрудника. В случае, если кто-то из сотрудников компании со штатом в 100 человек «сольет» информацию, «стрельба по воробьям» может обойтись компании в 65 млн руб., и это без учета ущерба от потери данных.

Чтобы не тратить значительные средства на разбор последствий, минимизировать риски в отношении киберугроз и сохранности информационных данных, стоит следовать нескольким простым правилам: следить за мировыми трендами в области киберзащиты, пользоваться не только безопасным, но и подходящим под нужды бизнеса ПО, соблюдать основные правила информационной безопасности, включая своевременное обновление систем, сегментацию сети, настройки прав доступа и всегда помнить про «человеческий фактор».

Источник: «Первоисточник»


Комментарии