• ТМТ

Преступление века. Что делать, если вы стали жертвой кибератаки

Дмитрий Самарцев

Дмитрий Самарцев

директор BI.ZONE
  • 7 мин
  • 1 397

8 трлн долларов может составить сумма глобального ущерба от кибератак к 2024 году, по прогнозу Всемирного экономического форума. Крупный бизнес находится под наибольшей угрозой, ведь именно у него есть деньги и цифровые активы, которые злоумышленники могут перепродать в даркнете. Но помнить о защите необходимо компаниям любого размера.

В случае с прямой кражей финансовых средств жертвами, конечно, чаще всего становятся банки. Надо сказать, что их защита с каждым годом становится всё лучше, — безопасность финансовых организаций сегодня на голову выше многих компаний из других отраслей. Это связано с тем, что банки понимают, что они всегда будут под угрозой: чуть отвлечешься — и тебя сразу взломают. Многие финансовые организации отражают тысячи атак ежедневно! От того, насколько они смогут с ними справиться, напрямую зависит их финансовая стабильность и доверие клиентов.

Когда же речь идёт о получении несанкционированного доступа к другим активам, например различным конфиденциальным данным, под угрозой оказываются любые компании с недостаточной защитой. Переход многих компаний на удалённую работу усугубил ситуацию — многие организации оказались не готовы к этому технически и с точки зрения безопасности. В конце марта мы заметили, что число подключений общедоступных сервисов для удалённой работы среди наших клиентов выросло на 23%, — это очень опасно. Неаккуратное использование таких программ может привести к утечкам данных и многомиллиардным убыткам.

Вообще, утечки данных — одна из самых серьёзных угроз сегодня. В последнее время мы всё чаще видим в СМИ новости о том, что очередная база данных утекла в сеть: на волне коронавируса киберпреступники активизировались и пользуются ослабленным «кибериммунитетом» компаний. С начала 2020 года количество утечек уже выросло на 273% по сравнению с аналогичным периодом в 2019 году. От подобных инцидентов страдает репутация компаний, снижается лояльность пользователей, это также грозит штрафами от регуляторов. Учитывая, что в среднем стоимость одного такого инцидента для крупной компании в прошлом году составила 3,92 млн долларов, можно представить масштаб общих потерь для экономики — он огромен.

Ещё один популярный тип атак сегодня задействует программы-шифровальщики. Вредоносная программа шифрует данные на компьютере, парализуя работу, и требует деньги за расшифровку. Особенно уязвимы к таким атакам организации, которым критически важна непрерывность процесса: медицинские учреждения, промышленность, транспорт, банки и другие. По сравнению с первым кварталом 2019 года число таких атак выросло на 100% — и это только те случаи, о которых мы знаем.

Если говорить об общем ущербе от кибератак, то его достаточно сложно посчитать точно. По оценкам Сбербанка, в прошлом году суммарный ущерб российской экономики от кибератак составил 2,5 трлн рублей, в этом году можно ожидать роста до 3,5 трлн рублей. Однако эти прогнозы основаны на данных об известных инцидентах, а компании до сих пор предпочитают их обычно скрывать. Также в некоторых случаях ущерб от атаки невозможно сразу оценить полностью, особенно когда речь идёт о крупных предприятиях. Остановка деятельности промышленного предприятия из-за инцидента может повлечь различные убытки из-за простоя в работе, ремонта пострадавшего оборудования, компенсации экологического ущерба окружающей среде, падения акций компании и т. д. Если же считать репутационные потери, то общие цифры могут взлететь ещё в десятки раз.

Как предотвратить кибератаку

В первую очередь, оценить масштаб угроз и риски для вашей компании и найти баланс. Расходы на безопасность не должны быть слишком высокими или слишком низкими — они должны быть адекватными обстановке.

Для крупных предприятий, конечно, лучше иметь собственный полноценный департамент кибербезопасности: со специалистами по мониторингу и реагированию, экспертами в построении внутренних систем и процессов кибербезопасности, командой тестировщиков безопасности и многих других.

Средним предприятиям и даже некоторым крупным подойдёт модель «безопасность как услуга», когда процессы кибербезопасности частично или полностью отдаются на аутсорсинг профильным компаниям. Например, в BI.ZONE мы предоставляем более 20 сервисов по такой модели и можем полностью закрыть функции департамента кибербезопасности с помощью Security Operations Centre (SOC), где нашими клиентами 24/7 занимаются команды экспертов.

Для управления всеми процессами кибербезопасности, интеграции их в общую деятельность бизнеса и отслеживания эффективности принятых мер лучше всего проработать комплексную стратегию обеспечения киберустойчивости компании. Причём составляться и согласовываться она должна на самом высоком уровне — топ-менеджмент обязательно должен держать руку на пульсе.

Ещё один важный момент — все эти процессы необходимо постоянно тестировать и обновлять. Проводить внутренние учения и постоянно обучать специалистов. Хороший способ поддерживать высокий уровень компетенции команды — это участвовать в различных тренингах, например в Cyber Polygon, который в этом году пройдёт 8 июля. В рамках мероприятия параллельно идут два трека: учения для команд технических экспертов и онлайн-трансляция для бизнес-руководителей, в ходе которой можно ознакомиться с лучшими практиками в отрасли.

Порядок действий при киберинциденте

Если случилась серьёзная кибератака, реагирование должно быть не только на техническом уровне, но и на уровне топ-менеджмента. Некоторые действия в рамках реагирования могут влиять на ключевые бизнес-процессы и иметь значительные последствия. Возвращаясь к примеру с промышленностью, руководство компании должно будет принять множество решений: останавливать ли оборудование, прекращать ли производство и отгрузки, подключать ли PR-службу для взаимодействия с общественностью и многие другие. Если инцидентом будут заниматься только технические специалисты, такие решения могут быть приняты несвоевременно, и это повлечёт за собой рост убытков.

Если говорить об инциденте с технической точки зрения, то реагирование нужно провести в несколько этапов.

Изолировать заражённую систему и остановить распространение вредоносного ПО.

Проанализировать вредоносную программу и понять, как она работает.

Нейтрализовать угрозу одновременно на всех заражённых компонентах, чтобы злоумышленники не успели принять контрмеры.

Сделать выводы после инцидента и понять, почему он произошёл и как его избежать в будущем.

Частая ошибка, которую могут совершать специалисты, — стараться как можно быстрее прервать атаку, чтобы минимизировать убытки. Отключить оборудование, стереть данные, отформатировать носитель. Однако цель обороняющейся стороны — не просто прервать атаку, а предотвратить её повторение в будущем. А для этого необходимо сохранить информацию о том, как именно произошёл инцидент. Чтобы не потерять данные для расследования, лучше воздерживаться от резких и необратимых решений в процессе отражения кибератаки.

Как показывает практика, для расследования киберинцидентов стоит привлекать сторонних экспертов. Команды специалистов в средних и многих больших компаниях в основном занимаются мониторингом обстановки и реагированием на небольшие инциденты, решение которых укладывается в один рабочий день. Если штатные работники будут заниматься расследованием крупного и сложного инцидента, им придётся переключиться с ежедневных задач, что, в свою очередь, может снизить общей уровень защищённости до момента окончания расследования. Поэтому если крупный инцидент произошёл, лучше как можно быстрее подключать экспертов со стороны, это сэкономит массу времени и позволит оперативно закрыть уязвимость, не открывая злоумышленникам новых возможностей для атаки.

Читайте ещё