RU

Думаєте, малий бізнес не цікавий хакерам, а кіберзахист – це дорого? Руйнуємо міфи

24.02.2021, 11:00
Думаєте, малий бізнес не цікавий хакерам, а кіберзахист – це дорого? Руйнуємо міфи - Фото
Ілюстративне фото - depositphotos.com

Експерти з кібербезпеки Київстар і Microsoft поділилися нехитрими секретами, як захистити бізнес від загроз без колосальних витрат

Під час пандемії бізнес був просто змушений переводити процеси в онлайн, а співробітників – на віддалену роботу. В таких умовах здається неможливим проконтролювати, наскільки сумлінно співробітники дотримуються встановлених в компанії правил кібербезпеки. 

Тепер же гнучкий або віддалений формат роботи – частина культури багатьох компаній, але в той же час – це і переваги, і кіберзагрози для бізнесу. 

Більшість питань кібербезпеки не вирішуються тільки тому, що бізнесу здається, що це занадто складно, дорого або невиправдано. Щоб розібратися, чи так це, Київстар разом зі стратегічним партнером Microsoft провів зустріч в рамках першого Open Talk Club від Kyivstar Business Hub, приурочивши його до Всесвітнього дня безпечного інтернету. У дискусії експерти компаній розвіювали популярні міфи про кібербезпеку на прикладах поширених корпоративних загроз і відповідали на базові питання кібергігіени, які сьогодні актуальні для бізнесу.

Liga.Tech приводить ключові тези бесіди. 

Загроза 1. Малий і середній бізнес не представляє інтересу для кіберзлочинців 

Серед власників малого та середнього бізнесу (МСБ) побутує міф, що їх бізнес не цікавий кіберзлочинцям. Згідно з дослідженням Microsoft, так вважають сім із 10 керівників підприємств. 

Але вони помиляються. За словами Михайла Шмельова, директора з питань національних технологічних політик і стратегій регіону CEE компанії Microsoft, до 43% всіх кібератак у світі націлені саме на МСБ.

Рекомендація. Важливо розуміти, що загроза існує і вона реальна. Розмір бізнесу не має значення для злочинців. І щоб ваш бізнес продовжував працювати і розвиватися, важливо бути напоготові, знати про загрози і бути до них готовим – це необхідність сьогоднішнього дня. 

Загроза 2. Бізнес вважає, що кіберзахист – це складно і дорого

За даними Microsoft, близько 70% компаній, які все ж усвідомлюють свою вразливість перед хакерами, все одно не займаються кібербезпекою, так як вважають, що у них для цього мало знань і ресурсів. Крім того, вони впевнені, що кіберзахист – це дорого. Чи так це?

Насправді, до 98% всіх кібератак використовують людський фактор і розраховані на дії непідготовленого користувача, каже Шмельов з посиланням на дані Microsoft. Вони починаються з фішингу – це вид кібератаки, де користувачеві відправляється електронний лист, який виглядає реалістично і безпечно, але містить шкідливі посилання або вкладення. 

Наприклад, йому приходить лист з повідомленням про штраф за автомобільне порушення ПДР. Ці листи розсилаються масово, і вони виглядають абсолютно реалістично. Тому людина, у якої є авто, може в таке повірити. Вона захоче дізнатися, про який штраф йдеться – перейде по посиланню. І як тільки зробить це, відразу потрапить на фішингову сторінку, де їй можуть запропонувати авторизуватися і ввести особисті дані, або ж відкрити який-небудь файл, який запустить на комп'ютер шпигунське програмне забезпечення.

Саме так починається кібератака. Так можна вкрасти облікові записи, конфіденційну інформацію, зашифрувати пристрої і т.д.

Основна небезпека подібних кібератак для бізнесу полягає в тому, що зловмисники отримують облікові записи користувачів і далі можуть входити в систему від імені реальних співробітників компанії, використовуючи можливі "прогалини" в області базового кіберзахисту. 

Рекомендація. Цей метод кібератак успішний, перш за все, через недбалість користувачів. Щоб йому протистояти і попередити значну частину загроз не потрібно витрачати великі гроші на дорогих фахівців з кібербезпеки.

Досить зробити всього чотири кроки: 

1. Навчити співробітників розпізнавати фішингові листи:

  • перевіряти адресу відправника і стежити за тим, щоб домен відправника відповідав домену компанії, від якої надійшов лист, а ім'я відправника було написано без помилок;

  • при найменших підозрах – видаляти лист і інформувати IT-департамент;

  • перевіряти посилання в листі, не переходячи по ним, а наводячи на них курсор миші.

2. Застосовувати двофакторну авторизацію

Такий рівень захисту передбачає більш ніж один крок, необхідний для входу в систему. Тобто кожен раз потрібно ввести основний пароль, а потім ще й одноразовий, який приходить у вигляді SMS або Push-повідомлення. Тоді без відома користувача ніхто не зможе скористатися його обліковим записом. Тому переконайтеся, що у вашій організації за замовчуванням вимагається двофакторна аутентифікація. 

3. Правильно створювати і вести облікові записи

Використовувати складні паролі і оновлювати їх. Чи не ставити примітивні і слабозахищені паролі, які продовжують бути популярними серед користувачів. Наприклад, ті, де в кінці є числа: ivanov1994, football2018. Або клавіатурні послідовності символів: "йцукен" або qwerty, "123456". І зовсім забути відомі цифрові комбінації:" 112 "," 0911 "," 777 ". 

4. Створити план дій на випадок кібератаки

Він повинен включати в себе превентивні заходи, засоби захисту облікових записів і конкретні кроки, які потрібно зробити, якщо атака все-таки трапилася: куди звернутися за допомогою для ізоляції зараженого пристрою, звідки відновити резервні копії даних, які кроки зробити, щоб повернутися до нормальної роботи. Його повинен знати кожен співробітник у компанії.

Загроза 3. Бізнесу складно проконтролювати, якими пристроями для роботи користується співробітник поза офісом 

Коли співробітники компанії працюють віддалено, ризики для бізнесу зростають, так як компанії складно контролювати, як працівники користуються корпоративними ресурсами. Хтось працює з особистого ноутбука і підключається до мережі з домашнього Wi-Fi, а хтось користується особистим мобільним телефоном для читання пошти.

Рекомендація: Визначити цілі і загрози для захисту систем, розробити рішення.

Є два основних типи загроз: співробітники, які самі мають на меті вкрасти дані і передати їх третім особам, і ті, хто відноситься до кібербезпеки недостатньо серйозно. Наприклад, не блокує пристрій, встановлює на нього сумнівні додатки, дозволяє користуватися іншим особам, наприклад, дитині або комусь з подружжя. 

Для боротьби з такими погрозами Петро Вавулін, лідер напрямку хмарних продуктів і сервісів Київстар, радить компаніям застосовувати кілька підходів:

  • Блокувати корпоративні додатки від дій інших додатків, наприклад, забороняти копіювання даних між ними.

  • Створити політики доступу до корпоративних ресурсів компанії: пошти, корпоративних мессенджерів, сховища і т.д.

  • Налаштувати віддалену підтримку, конфігурацію профілів безпеки пристрою. Це можна зробити за допомогою просунутих антивірусів (EDR – endpoint detection and response), спеціалізованих рішень щодо захисту пристроїв (MDM-mobile device management) і захисту хмарних додатків (CASB-cloud access security broker), що використовують поведінковий аналіз для запобігання можливого витоку, як з боку інсайдерів, так і через випадковість.

Такий же підхід Петро Вавулін рекомендує застосовувати і до мобільного телефону співробітника, якщо він отримує з нього доступ до корпоративних ресурсів. Для цього можна використовувати, наприклад, Mobile Device Management і Mobile Application Management. "У комплексі це може бути базовим параметром безпеки для співробітників, що працюють віддалено", – говорить Вавулін.

За його словами, більшу частину загроз можна усунути, дотримуючись принципу Парето: коли 20% зусиль дають 80% результату. "На сьогодні в цій галузі вже є досить зрілі і нескладні в розгортанні і експлуатації рішення, так як робота над ними велася ще до пандемії", – говорить Вавулін. 

Загроза 4. Компанія перекладає відповідальність за безпеку на одну людину – IT-фахівця

Іноді керівники компаній думають, що нести відповідальність за безпеку систем фірми повинен штатний IT-фахівець. Це теж помилка, адже в такій справі відповідальні всі.

"Зловмисники не мислять шаблонно. Вони шукають нові можливості, слабкі місця в компанії, які не закриті політикою безпеки. І таким "слабким місцем" може стати будь-який неуважний співробітник", – пояснює директор з розвитку нових напрямків бізнесу Київстар Ілля Польшаков.

Рекомендація: Будь-яка людина – від CEO до нового співробітника – повинна бути навчена політикам безпеки компанії. Не можна покладатися на когось одного. Навіть якщо керівник департаменту кібербезпеки вважає, що політики прописані правильно, треба розуміти, що вони повинні бути правильно реалізовані, а правила цієї політики своєчасно виконуються всіма співробітниками на всіх рівнях організації. Тільки тоді все буде працювати ефективно. 

Ілля Польшаков стверджує, що для успішного захисту від кібератак, незалежно від розмірів компанії, в ній важливо передбачити кілька ролей:

  • CEO – головний фронтмен теми про важливість кібергігіени і кібербезпеки для компанії. Він каже, наскільки це важливо, які дані критичні і чому. 

  • CSO (Chief Security Officer), кіберофіцер – фахівець, який аналізує загрози і на підставі складеної моделі розробляє політики, ставить завдання для IT-фахівців з вибору засобів захисту. CSO, в тому числі моніторить і виявляє слабкі місця в системі захисту від кіберзагроз, а в разі такої точно знає алгоритм дій для запобігання кібератаки. 

  • IT-фахівці. Вони не займаються складанням моделі загроз, їх завдання – реалізувати захист за допомогою технічних засобів. Наприклад, стежити за тим, щоб співробітники не встановлювали ПО, яке не передбачено корпоративними правилами, не використали зовнішні карти пам'яті або цифрові носії. 

Загроза 5. Не займатися кібербезпекою, тому що найняти CISO (Chief Information Security Officer, кіберофіцера) – це занадто дорого

Існує думка, що компанії з малого і середнього сегмента не можуть собі дозволити найняти такого співробітника. 

Рекомендація. МСБ не обов'язково наймати кіберофіцера. У Microsoft вважають, що кібербезпеку можна доручити провайдеру хмарних сервісів.

Перекладаючи процеси в онлайн, бізнес найчастіше обирає хмарну інфраструктуру. Для цього організація звертається до професійного хмарного провайдера, який і забезпечує повний спектр послуг – від процесу міграції в хмару до захисту від кіберзагроз. 

Так, в продукти Microsoft Office 365 вже вбудовані засоби для реалізації базових сценаріїв кібербезпеки. Замовник, користуючись інструментами Office 365, за замовчуванням розділяє відповідальність за кіберзахист з постачальником послуг. Відповідальність за технічну частину кіберзахисту лежить на постачальнику послуги, а реалізація моделі користування або формулювання політик користування корпоративними ресурсами – на самій компанії. 

Висновок 

Якщо відставити убік страхи, міфи і надію на "авось пронесе", кібербезпека – це сьогодні один з ключових пріоритетів для будь-якої компанії. Якщо, звичайно, вона дорожить своїми даними і не хоче раптом призупинити роботу через дії хакерів або шахраїв. Притому, якщо з толком підійти до питання і регулярно піклуватися про кібергігіену, то це не буде коштувати бізнесу великих витрат. Але головне – треба дбати про те, щоб ваші співробітники – від керівника і до самого нижньої ланки – були в курсі того, що від їх особистих дій залежить дуже і дуже багато. Як у випадку відкриття невідомих посилань або установки незнайомих програм. Обізнаний – значить озброєний. І кіберграмотность – запорука спокою та безпечної роботи вашого бізнесу. 

 



Якщо Ви помітили орфографічну помилку, виділіть її мишкою і натисніть Ctrl+Enter.

Коментарі

Останні новини