Русский военный корабль, иди нах*й.
Пожертвувати на армію
×
Упс!
Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Правила цифрової безпеки від Security/Risk Manager компанії Levi9 Сергія Розуменка. Частина перша

Сергій Розуменко
Сергій Розуменко
15 лютого 2022 9 хвилин читання

Компанії переводять комунікацію у цифрові канали та частіше зберігають дані у хмарних сервісах. Це зручно та спрощує обмін корпоративними документами. Але є і зворотний бік: про хакерські атаки, фішинг і випадки масового зараження компаній шкідливими програмами ми дізнаємося дедалі частіше. Так, через небезпечне поводження з даними чутлива інформація потрапляє на перші шпальти медіа, а бізнес зазнає мільйонних збитків. 

Security/Risk Manager компанії Levi9 Сергій Розуменко написав для SPEKA великий гайд із цифрової безпеки в новій реальності. У першій частині статті він пропонує розібратися, з якими найпоширенішими кіберзагрозами стикаються компанії та як убезпечити робочу мережу від злому. 

Курс на цифровізацію

Згідно зі звітом «Майбутнє професій 2020», опублікованому Всесвітнім економічним форумом, 84% роботодавців в Україні налаштовані якнайшвидше оцифрувати робочі процеси. Наприклад, у хмарних сервісах вже зберігаються основні документи компаній: фінансова звітність, конфіденційні розробки та угоди з клієнтами. У найближчі кілька років багато українських компаній планують перейти на дистанційний режим і перевести 44% фахівців на такий формат співпраці. Це означає, що до важливих даних буде віддалений доступ, а це підвищує ризик злому.

Лише за 2020 рік 34% жителів України віком 18-70 років ставали об'єктом хоча б одного з видів шахрайства в інтернеті. При цьому кількість злочинних організацій, які чинять кримінальні правопорушення з використанням високих інформаційних технологій, за 2020 рік збільшилася на 36% (дані Національної поліції України). Трапляються й масштабні атаки. Наприклад, у 2017-му в Україні сталося зараження вірусом Petya. Він вразив енергетичні компанії, банки, аеропорт «Бориспіль» та аеропорт Харкова, Чорнобильську АЕС, урядові сайти, київський метрополітен тощо. За всю історію атак хакерів Petya був наймасштабнішим вторгненням. За даними експертів Міжнародного валютного фонду, економічні втрати від зараження вірусом Petya становили приблизно $850 млн.

І якщо про цивільні атаки ми чуємо від знайомих, то про кібернапади на компанії та бізнес дізнаємося з новин. Сплановані атаки на підприємства, особливо малого та середнього бізнесу, стають дедалі частішими, більш цілеспрямованими та складними. Згідно з дослідженням Accenture Cost of Cybercrime Study, 43% кібератак націлені на малий бізнес, але лише 14% його представників готові захищатися. Такі атаки не лише порушують нормальну роботу, а й можуть завдати шкоди важливим ІТ-активам та інфраструктурі, відновлення яких неможливе без бюджету та ресурсів.

Вразливості та як з ними боротися

Шахраї полюють за даними користувачів за допомогою фішингових схем. Наприклад, надсилають на пошту електронного листа, який веде на сторонній сервіс, або здійснюють телефонний дзвінок. Електронною поштою доставляється 92% програм, які містять вірус, а кожне друге шкідливе програмне забезпечення спрямоване на зараження мобільних телефонів. Сценарії полювання за інформацією різні, але результат один — шахраї можуть отримати дані вашої банківської картки, адресу, телефон та інші особисті дані. При цьому людина сама дає доступ до інформації.

Часто до витоку інформації або зараження системи призводить цифрова безграмотність фахівців і легковажний обмін інформацією. Щоб не наражати особисті та корпоративні дані на небезпеку поширення чи зараження, потрібно знати основні принципи цифрової безпеки в інтернеті.

Білі сили компанії

Для підприємств базовий рівень захисту — технічний. За збереження даних та захист від злому серверів відповідає security-команда. Вони роблять систему безпечнішою та менш чутливою до атаки вірусами. Щоб знати про нові вразливості та про те, як їх ліквідувати, фахівці постійно стежать за трендами ринку, шукають рішення та способи, щоб підвищувати рівень захисту.

Найкраще виявити та усунути вразливості корпоративної системи можна в роботі. Для цього компанії повинні використовувати технічні та нетехнічні засоби та регулярно проводити penetration-тести. У Levi9 є окрема команда білих хакерів, яка «живе» у внутрішній мережі компанії. Також ми додатково залучаємо професійних хакерів, які атакують наші пристрої та намагаються зламати захист ззовні й отримати конфіденційні дані у спеціалістів. Такі методи допомагають переконатися у захищеності корпоративної мережі та підтримувати високий рівень безпеки.

Сертифікація за європейськими стандартами та шифрування даних

Для компанії, яка працює з персональними даними, планує чи вже вийшла на європейський ринок, необхідно діяти згідно з регламентом GDPR. Щоб відповідати цим нормам, є стандарти у різних системах сертифікацій. Одна з найпопулярніших — ISO/IEC. Наприклад, базовий ISO 27001 (Information Security Management System) або з акцентом на захист персональних даних — ISO 27001 та ISO 27701. Компаніям важливо сертифікуватися, адже це дозволяє зростати технічно та етично щодо захисту: удосконалюються процеси та підходи до роботи з урахуванням правил безпеки. 

За стандартом інформаційної безпеки дані потрібно відповідним чином захищати. Для цього їх необхідно шифрувати як під час зберігання, так і передання. Комп'ютер можна розібрати, витягнути жорсткий диск і вставити в інший, щоб завантажити дані. Тому потрібно шифрувати інформацію не лише в теці користувача, а й весь диск комп'ютера.

Якісний user access management

Компаніям важливо проводити сегрегацію наданих доступів, тобто застосовувати правило низького доступу (англ. least access privilege). Наприклад, якщо розробнику не потрібний доступ до фінансової документації, він не зможе бачити ці дані, поки релевантний менеджер не підтвердить запит. При цьому мережу теж потрібно розділити: у кожного відділу свій сегмент, щоб комп'ютери не були пов'язані. Також можна логічно розвести мережу  вдома, наприклад, на основну та гостьову. Тоді гість, якщо його телефон буде заражений вірусом, не зможе передати його на ваші пристрої через Wi-Fi.

Корпоративна політика управління доступами має бути складною, максимально автоматизованою та базуватися на принципі ролей. Це означає, що у компанії відповідно до посади визначають ролі, за якими надають рівні доступу до ресурсів. Якщо посада змінюється, то налаштування доступів має розширюватися або обмежуватися. За звільненні співробітника доступ скасовується або видаляється автоматично. Аудит та ресертифікацію доступів потрібно проводити регулярно. 

Важливо навчати фахівців і робити цей процес цікавим

Технічні засоби — це основа безпеки компанії. Однак отримати конфіденційну інформацію можна по-різному — від атаки хакера до внутрішнього витоку даних.

Більшість проблем можна вирішити, якщо проводити у компанії навчання та розповідати про базові принципи роботи з інформацією в інтернеті. Саме для цього компанії проводять тренінги з інформаційної безпеки. Вони мають бути цікавими, щоб фахівці хотіли навчатися та не забули почуте за дві години.

Наприклад, ми у Levi9 проводимо кілька етапів тренінгів. Під час онбордингу фахівець проходить перший і обов'язковий курс з інформаційної безпеки та GDPR. У межах всесвітнього місяця інформаційної безпеки, що проходить у жовтні, ми започаткували  Secure9 — власний захід з безпеки, на який запросили внутрішніх та зовнішніх експертів. Тут ми проводимо презентації, конкурси та змагання, де IT-фахівці компанії та клієнтів в ігровій формі навчаються використовувати здобуті знання.

Спробувати зробити своїми руками — найефективніше навчання. Тому теорію та практику ми не розділяємо. Фахівці закріплюють знання на реальних завданнях, наприклад, під час тестів чи навчальних атак.

Щоб навчити фахівців розрізняти фішингові схеми, ми за допомогою білих хакерів періодично влаштовуємо експрес-тестування після презентацій і навчальну тривогу — проводимо фішинг- та вішинг-атаки. Наприклад, телефонуємо з незнайомих номерів, надсилаємо посилання на пошту або просимо вставити незнайому флешку у комп'ютер. Нам надходить повідомлення, який користувач купився на трюк  і заразив комп'ютер нашим вірусом.

Інвестиції в людей виправдають себе у будь-якому разі: коли ви навчаєте команду певним технологічним тонкощам і допомагаєте підсилити комунікативні навички чи коли розповідаєте про базові правила роботи з інформацією та пропонуєте інструменти, які допоможуть спеціалістам на практиці запобігти хакерській атаці. 

Коментарі
Інші матеріали

«Майбутнє належить урядам, які працюють як ІТ-стартапи»: як проходить International Diia Summit Brave Ukraine у Давосі

Наталія Миронова 6 годин тому

123456, password та qwerty: багато власників та керівників бізнесу обирають надпрості паролі

Наталія Миронова 19 травня 2022 17:01

Евакуація до Румунії. Історії трьох спеціалісток Levi9

Юлія Даниленко 12 травня 2022 13:39

Кіберполіція попереджає про фішингові сайти-клони МВС

Тетяна Новак 11 травня 2022 13:17

Група Anonymous взяла на себе відповідальність за кібератаку на Rutube. Сервіс, імовірно, зник назавжди

Наталія Миронова 11 травня 2022 13:15