Чеклист кібербезпеки: 6 заходів для захисту вашої компанії


За результатами досліджень, 68% керівників компаній в усьому світі вважають, що ризики, пов’язані з кібербезпекою компанії, зростають. Менше половини (47%) з усіх опитаних заявили, що їхні компанії «дещо готові» («somewhat ready») до кібератак, але побоюються, що є частини бізнесу, які не зможуть повноцінно протистояти кібератакам. 4% керівників же заявили, що не готові до атаки взагалі. Останній показник може бути незначущим, але екстрапольовано це означає, що до атак не готова кожна 25-а компанія світу.

Джєркло: ain.ua

Ситуація, коли всі усвідомлюють загрозу, але лише одиниці готові повноцінно їй протистояти, не може не хвилювати та не насторожувати — адже серед таких компаній можуть бути ваші партнери або постачальники послуг, і атака на них може потенційно призвести і до атаки на інфраструктуру вашої компанії.

Існує хибний стереотип, що хакерів насамперед цікавлять великі компанії. Насправді майже половина всіх кібератак спрямована на малий та середній бізнес, втрати якого можуть бути масштабними, адже зазвичай їхні сайти незахищені від зломів та витоків даних.

Як і у більшості великих міжнародних організацій, у lifecell працює підрозділ інформаційної безпеки, який, зокрема, надає послуги компаніям з діагностики ресурсів та виявляє незахищені місця. За результатами проведеного аудиту фахівці з інформаційної безпеки компанії надають рекомендації щодо виправлення недоліків, а також інструкцію з налаштування комплексної системи захисту — програмного забезпечення та обладнання, що захищає від хакерських атак та витоку даних. Фахівці з кібербезпеки компанії lifecell Анатолій Покоса та Євген Белай розповіли AIN.UA про musthave-заходи для забезпечення належного рівня кіберзахисту компанії.

Анатолій Покоса
керівник департаменту
інформаційної безпеки та розвитку ІТ-інфраструктури lifecell
Євген Белай
керівник відділу
інформаційної безпеки lifecell

ТОЖ ЯКИЙ ПЛАН ДІЙ?

1. ПРОВЕСТИ ЗАГАЛЬНИЙ АУДИТ ІСНУЮЧИХ ЗАГРОЗ

Спочатку компанія, яка піклується про власну кібербезпеку, має пройти комплексний аудит можливих загроз.

Для цього фахівці компанії lifecell збирають і аналізують інформацію про наступне:

  • які компоненти системи розміщені в мережі та яким чином;
  • хто зі співробітників та третіх осіб має до них доступ;
  • як відбувається авторизація та організовано трафік;
  • чи реалізовано рольову модель доступу до ресурсів;
  • які засоби захисту вже використовуються компанією.
Це дозволяє розробити «дорожню карту» для попередження або мінімізації наступних загроз.
1. Загроза цілісності:
той, хто має доступ до даних, може їх змінити або пошкодити. Наприклад, змінити дані у фінансовому звіті.
2. Загроза конфіденційності:
сторонні особи можуть отримати та використати закриту інформацію компанії.
3. Загроза доступності:
шахраї можуть віддалено заблокувати доступ користувача до файлів і вимагати гроші за відновлення доступу до даних, або ж у систему може проникнути вірус, що шифрує файли та унеможливлює користування ними.
Для забезпечення надійного захисту даних потрібно перевіряти всі компоненти системи. У деяких випадках можливий точковий підхід, коли перевіряються лише окремі елементи, за умови впевненості у високому ступені захисту всіх інших елементів.
Послуга «Кібербезпека» від lifecell — це комплекс заходів, спрямованих на:
  • захист систем, мереж та програмних застосунків від цифрових атак;
  • запобігання несанкціонованим витокам інформації;
  • забезпечення відповідності міжнародним стандартам інформаційної безпеки.
Якщо ви шукаєте способи покращити захист вашого сайту, підозрюєте витік конфіденційних даних своєї компанії або не впевнені в антивірусній системі — це привід проконсультуватися з професіоналами та дізнатися, як подбати про цифрову безпеку вашої компанії. Спеціалісти lifecell проведуть аудит і запропонують комплекс заходів для забезпечення вашої кібербезпеки, або ж окремі дії, що дозволять запобігти потенційним загрозам.
2. ПРОВЕСТИ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ
Уявіть: можливо, саме зараз хтось перевіряє ваш сайт на стійкість до кібератак. А як дізнатись, чи здатен він протистояти спробі злому?
Наступний крок після загального аудиту — перевірити, чи можна зламати сайт вашої компанії та отримати несанкціонований доступ до даних на сайті. Фахівці компанії lifecell використовують два методи тестування на проникнення:1. BLACK BOXМетод, який передбачає відсутність жодної інформації про сайт у тестувальників. Спеціалісти детально аналізують вразливості сайту та надають детальні рекомендації щодо їх усунення.                 
2. WHITE BOX
Замовник надає всі доступи та інформацію про ресурс, на якому проводиться тестування. Знання внутрішньої архітектури дозволяє спеціалісту, який застосовує цей метод, глибше проаналізувати вразливості сайту.
Для проведення цього етапу перевірки потрібно розуміти, що саме роблять зловмисники, щоби зламати сайт. Спочатку хакери запускають автоматизовані інструменти, які сканують ресурси, визначаючи вразливі місця, потім аналізують отримані звіти і вирішують, чи їм це цікаво. Коли хакер «іде на справу», він більш-менш впевнений у тому, що саме йому вдасться, маючи результати роботи автоматичних систем сканування. Тестування на проникнення дозволяє детально вивчити ризики та запобігти проникненню на ранньому етапі.
3. CФОРМУВАТИ У ПЕРСОНАЛУ БАЗОВІ НАВИЧКИ КІБЕРБЕЗПЕКИ

Як ви вважаєте, чи зверне увагу ваш співробітник на перенаправлення на сайт https://is.gd/s2miuH у файлі з партнерським звітом, отриманому електронною поштою, чи просто відкриє цей файл? А як щодо необхідності ввести логін і пароль, щоб відновити свій Google аккаунт, на сайті з добре знайомим дизайном, але доменом google.mail.com?

Це різновиди фішингових атак. У 2020 році Google зафіксував рекордну кількість фішингових вебсайтів — близько двох мільйонів. У порівнянні з 2019 роком цей показник збільшився на 25% і продовжує зростати, оскільки ресурси для фішингу постійно вдосконалюються.


Достатньо звертати увагу на базові речі, як-от правильність адреси сайту та електронної пошти відправника, щоб не стати жертвою соціальної інженерії. Саме так називається метод психологічної маніпуляції людьми задля отримання доступу до інформації. Зловмисники намагаються не зламати систему, а вплинути на людину — користувача, який має доступ до певної інформації.


Навіть звичайна флешка, випадково знайдена на офісному столі, може бути засобом шахрайських дій зловмисників. Якщо співробітник знайде її та вставить у корпоративний комп’ютер, є ризик проникнення вірусу з неї до системи. Всім відомі приклади класичного фішингу: людина отримує електронне повідомлення з посиланням, яке веде на сайт шахраїв, де жертву запитують про облікові дані (логін та пароль) до певного ресурсу.

Основна задача працівників будь-якої компанії — навчитися розпізнавати такі атаки за їхніми прямими ознаками: бачите повідомлення з помилками і недолугим перекладом, без особистого звернення до вас і з запитом про конфіденційні дані (логін та пароль)? Це, швидше за все, фішингова атака. До того ж шахраї часто використовують ефект терміновості та обмежують час на введення особистих даних, аби людина не встигла осмислити суть звернення.
4. НАЛАШТУВАТИ ЗАХИСТ ВІД СКЛАДНИХ ЗАГРОЗ ТА ІННОВАЦІЙНИХ ВІРУСІВ

Вірус «Petya», який кілька років тому завдав значної шкоди бізнесу в багатьох країнах, є прикладом масштабної атаки «нульового дня». Він шифрував усі дані на жорсткому диску — так користувачі втрачали всю інформацію, збережену на комп’ютері. В Україні від атаки постраждали державні установи та великі корпорації, а адміністрація президента США назвала цей вірус наймасштабнішою хакерською атакою.

Для захисту від таких кібератак існує спеціалізоване програмне забезпечення, яке «бачить» аномалію в системі, визначає, що ця активність шкідлива, і блокує її. Як зазначили експерти lifecell, у зловмисників, які використовують подібні віруси, може бути дві мети: вимагати гроші за розблокування файлів та\або унеможливити роботу бізнесу чи установи. Це кібервійна, спрямована на зупинку роботи компанії чи цілої галузі.

На початку 2021 року стався сплеск кібератак на державні органи України — понад 76 000 різних видів атак за тиждень. Система захищеного доступу державних органів до інтернету виявила понад 5 мільйонів підозрілих подій, з яких майже 40% були спрямовані на викрадення інформації.


Більшість вірусів уже потрапила до баз даних антивірусних програм, але існують «загрози нульового дня». «Загрозами нульового дня називають віруси, які ще ніде широко не використовувалися або ж з’явилися нещодавно. Саме тому вони небезпечні, тому що найпоширеніші програми для антивірусного захисту не можуть протистояти їм.


5. ЗАХИСТИТИСЯ ВІД ВИТОКУ ДАНИХ

Чи мають ваші співробітники доступ до конфіденційних даних?

Авжеж, бо вони працюють з маркетинговими планами, фінансовою звітністю, бюджетами або зарплатами. Щоби запобігти витоку корпоративної інформації, встановлюють системи запобігання витоку даних (DLP, Data Loss Prevention).


Завдяки DLP-системі можна обмежувати та контролювати усі канали витоку інформації, включно зі скачуванням даних на флешку, завантаженням на файлообмінник або копіюванням в електронне повідомлення. Навіть враховується те, що у деяких онлайн-іграх є чати, куди можна вставити блок текстових даних. Повідомлення про спроби вивести інформацію через будь-який канал надходять до відповідних співробітників для аналізу та реагування. Так компанія мінімізує ризики витоку конфіденційних даних.


6. ЗАБЕЗПЕЧИТИ ВІДПОВІДНІСТЬ МІЖНАРОДНИМ СТАНДАРТАМ

Компанії, які працюють з міжнародними платіжними системами Mastercard та Visa, мають відповідати PCI DSS — міжнародному стандарту, обов’язковому для фінансових організацій, які оперують картковими даними.

Наприклад, якщо інтернет-магазин приймає оплату банківськими картками, він повинен відповідати цьому стандарту, зокрема, виділити окремий мережевий сегмент, встановити контроль мережевої активності, налаштувати збір логів та забезпечити їх цілісність.


Налаштовуючи систему відповідно до стандарту, фахівці насамперед перевіряють безпеку даних: чи не використовуються в системі паролі, задані виробником за замовчуванням, чи зашифровані дані про власників банківських карток і чи коректним є це шифрування, а також вдосконалюють ключові компоненти системи, які мають відповідати галузевим стандартам.


Платіжні системи вимагають, щоби сертифікат відповідності стандарту мали не лише компанії-партнери, які до них підключаються, а й їхні субпартнери. Це гарантує достатній рівень захисту для всіх. За недотримання стандарту платіжна система може штрафувати або навіть відключати таких партнерів від мережі.

Це лише частина заходів для забезпечення безпеки даних, решта залежить від бізнес-задач компанії та її можливостей. Але попереджений — значить озброєний, і в інтересах компаній не вирішувати проблеми після хакерських атак, а зіграти на випередження та унеможливити їх. Сучасний світ переповнений загрозами, але від багатьох із них можна захиститися, тому зверніться до експертів, які можуть надати вам фахову та професійну допомогу.