Программного обеспечения и технологий защиты информации становится больше с каждым годом. Кибератак, впрочем, тоже. Не меняется одно: самым слабым звеном в любой системе защиты от киберугроз был и остается человек.
Стремительная цифровизация затронула все сферы жизни человека, повлияв на государство в политическом, культурном, экономическом, финансовом и социальном смыслах. Преимуществ у цифровой экономики множество: от упрощения жизни конечного потребителя (например, простых покупок в интернете) до повышения конкурентоспособности бизнеса за счет его цифровизации. Но это рождает проблему: развитие технологий сделало экономику в целом, компании и жизнь обычных людей более уязвимыми для киберугроз.
Чем грозит кибератака для компании? Ущерб репутации, вынужденные сделки с преступниками, штрафы, в будущем, возможно, весьма внушительные, за утечки персональных данных или даже потеря важной информации и остановка бизнеса — если злоумышленник не пошел на сделку или же просто имел цель навредить, а не обогатиться.
При этом, как известно, большая катастрофа начинается с малого. Зачастую точка входа для — это фишинговое письмо, то есть e-mail или сообщение в мессенджер с вредоносной ссылкой. Ничего не подозревающий и недостаточно бдительный сотрудник переходит по ней, открывая лазейку для злоумышленника. Другой способ проникнуть за защитный барьер — социальная инженерия. Например, хакер крадет аккаунт работника компании в социальных сетях или создает фейковый и просит коллегу напомнить доступы к корпоративной CRM. Да иногда ему даже воровать ничего не нужно, достаточно позвонить и представиться сотрудником. Учитывая, что многие компании сегодня перешли на удаленный формат работы, при котором коллеги даже в рамках одного подразделения вполне могут ни разу не видеться в жизни, реализация такого сценария становится еще проще.
Каналы коммуникации часто выступают самой уязвимой частью всей IT-инфраструктуры компании. Сотруднику удобно пользоваться мессенджером как единым окном: переписываться с друзьями, читать новости, получать уведомления от сервисов доставки, общаться по рабочим вопросам. Отдельные мессенджеры производят впечатление защищенной экосистемы — и тем проще злоумышленнику завладеть доверием пользователя. Именно поэтому в последнее время так участились случаи мошенничества, когда родителям пишет мнимый директор школы, а работнику — его якобы начальник. Мессенджеры и социальные сети как канал выхода на жертву все популярнее.
Данные утекают и теряются во всем мире
Проблема носит глобальный характер. Согласно Egress, в рамках которого были опрошены 500 руководителей IT-отделов и 3000 сотрудников британских и американских компаний, с утечками относительно недавно сталкивались 94% организаций. В 84% случаев основной их причиной стали ошибки сотрудников. А эксперты IBM, проанализировав в том же 2021 году статистику по 130 странам, и вовсе к выводу, что человеческий фактор повлиял на утечку информации в 95% ситуаций. В России статистика похожая: сотрудники в 70% случаев оказывались в том, что персональные данные клиентов попали в руки злоумышленников.По Verizon, три четверти всех кибератак были успешными из-за ошибок, неграмотности пользователей и применения хакерами методов социальной инженерии. Эксперты Positive Technologies , что социальная инженерия используется почти в каждой атаке на физлиц. Однако ее все чаще — в 37% случаев — применяют и при попытке украсть данные у компаний.
Помимо утечки и кражи, данные могут еще и теряться по вине сотрудников. Если выйдет из строя сервер интернет-магазина, хранящий записи о миллионе пользователей, это нанесет бизнесу непоправимый ущерб. Можно было бы считать этот пример надуманным (кто же в 2024 году не делает бэкапы?), но статистика говорит об обратном: в России только 34% компаний регулярно резервное копирование данных. При этом сотрудники системно удаляют значимые рабочие файлы без возможности восстановления. Существует и другой сценарий: ситуация, когда неправильный бэкап приводит к потере данных. Это происходит тогда, когда резервные копии все же делаются, вот только неправильно. Из-за отсутствия знаний многие сотрудники часто путают простое копирование файлов с бэкапом и поэтому после того, как сбой случился, не могут выполнить полноценное восстановление всей важной информации.
Данные бизнеса в опасности, несмотря на стены фаерволов, потому что непросвещенный или просто беспечный сотрудник сам откроет ворота злоумышленнику. Именно поэтому сегодня так важны вложения в образование, цифровую гигиену и формирование новых пользовательских привычек: аккуратного обращения с паролями, недоверия к незнакомым ссылкам, создания регулярных бэкапов ценных данных.
Культура кибербезопасности
Любая культура закладывается в обществе годами. С одной стороны, это вертикальный процесс, направленный сверху вниз: государство проводит системную работу с населением, крупный бизнес выступает проводником знания. Таким образом, корпорации и правительство занимаются просвещением в широком смысле, пока последняя бабушка и первоклассник не уяснят, что хранить пароль от почты на стикере, приклеенном к монитору, — это небезопасно.Также с темой кибербезопасности пересекается такая метрика, как индекс цифровой грамотности населения. Аналитический центр НАФИ каждый год, начиная с 2018-го, цифровые компетенции россиян и оценивает их по шкале от 0 до 100. Динамика тут в целом не прослеживается: общий индекс цифровой грамотности, который планомерно рос с 2018 до 2022 года, в 2023-м приостановился на уровне 71 п. п. Однако внутри этого показателя есть еще и подиндексы, один из которых — «Цифровая безопасность»: он показывает, насколько хорошо россияне умеют распознавать угрозы в интернете, а также бороться с ними и предотвращать их. И данные по этому подиндексу неутешительные: если еще в 2020-м он был на втором месте из пяти и свидетельствовал о высоком уровне владения навыками, то сейчас откатился на предпоследнее, 4-е место. Эта компетенция растет медленнее прочих — таких как информационная и коммуникационная грамотность, а также навыки решения проблем в цифровой среде. Уровень знаний людей по кибербезопасности по-прежнему делает их легкой мишенью для злоумышленников. Работа с цифровой грамотностью в целом также должна быть приоритетом государства.
С другой стороны, киберпросвет — это процесс, идущий снизу вверх, работа на местах. Например, когда компания делает обязательной частью онбординга (onboarding — «введение в должность», действия компании по адаптации нового сотрудника) курс по ИБ или когда она отправляет сотрудников на тематические тренинги и конференции.
Более продвинутый уровень обучения — это переход от пассивного потребления информации к активному. Компания эмулирует кибератаку внутри себя, например сотрудники отдела защиты данных рассылают якобы фишинговые письма своим же коллегам. После этого проводится публичный разбор полетов: кто попался на удочку, в чем были типовые ошибки. Так, в декабре 2020 года хостинговая компания GoDaddy.com решила провести тест среди своих сотрудников, по электронной почте сообщения 500 контактам с предложением праздничного бонуса в размере $650. Вот только это было не благодарственное письмо в знак признательности за хорошую работу, а фишинговый тест. Те, кто перешел по ссылке, вместо вознаграждения получили доступ к дополнительному тренингу по кибербезопасности.
С таким же успехом компания может имитировать блокировку системы, удаление данных — процесс похож на отработку действий при учебной тревоге. Статистика говорит о том, что российский бизнес сегодня увеличивает расходы на . Частные и государственные организации в 2023 году потратили на 20% больше средств по сравнению с предыдущим годом на то, чтобы опробовать на практике разные системы защиты и проверить навыки своих ИБ-специалистов. Расходы на каждого такого сотрудника превысили 1 млн рублей — это показывает, насколько это приоритетная статья расходов.
Главная задача бизнеса — осознать и донести до сотрудников понимание, что безопасность организации обеспечивает не только ПО, но и люди. Привить чувство общей ответственности за сохранность данных. Именно поэтому бизнесу нужно вкладываться не только в обучение кадров, но и в образовательные программы — от школьной скамьи до университетов.
Еще одна роль государства в этом процессе — регуляторная. Ужесточая размер штрафов за несоблюдение закона о защите персональных данных, оно влияет на бизнес, вынуждая тем самым его действовать. Когда штраф за утечку многомиллионной базы составлял 100 000 рублей без какой-либо привязки к обороту, у бизнеса просто отсутствовал стимул всерьез заниматься защитой пользовательских данных. С принятием новых законов ответственность за это может в десятках и даже сотнях миллионов рублей.
Чек-лист по кибербезопасности
Из всего вышесказанного становится понятно, что культура защиты данных важна как для общества, так и для бизнеса, причем любого размера. Возможно, для субъектов МСП она даже приоритетнее: у компаний такого масштаба часто нет выделенного бюджета для внедрения сложных систем безопасности и проведения дорогостоящих киберучений. Выход — вкладываться в культуру работы с информацией до того, как это станет проблемой.На что стоит обратить внимание:
- Разработана ли у вас политика конфиденциальности и подготовлены ли локальные акты по вопросам обработки персональных данных? Как знакомят с ними новых сотрудников?
- Есть ли ответственные за обработку и защиту информации?
- Есть ли перечень лиц, которым необходим допуск к персональным данным для выполнения их работы?
- Как обеспечивается безопасность помещений, в которых ведется обработка информации?
- Зарегистрирована ли организация в Реестре операторов персональных данных?
- Есть ли у сотрудников персональные учетные записи?
- Блокируются ли учетные записи уволенных работников? Как быстро?
- Какую антивирусную защиту вы используете? Как часто обновляются базы?
- Как часто обновляются операционные системы и ПО?
- Проводите ли вы резервное копирование? Каким именно образом?
- Как часто создаются резервные копии данных?
- Кто в вашей компании ответственный за резервное копирование и хранение информации?
- Как происходит поиск и устранение уязвимостей?
- Применяются ли решения, защищающие от утечек информации класса DLP?
- Опубликована ли на сайте политика обработки персональной информации?
- Собирается ли согласие на обработку персональных данных в форме обратной связи?
