почему-российский-бизнес-не-боится-преступности

Чур меня: почему российский бизнес не боится киберпреступности


Потери мировой экономики от хакерских атак растут с каждым годом. Российские компании не так «избалованы» вниманием киберпреступников, как их европейские и американские коллеги. Но это лишь вопрос времени. Рассказываем, на что обратить внимание, чтобы не попасть в печальную статистику пострадавших от взломов и потери данных.

 

Информационная безопасность бизнеса: чем запомнился 2016 год

Некоторые владельцы бизнеса все еще наивно полагают, что киберпреступность в основном сосредоточена в финансовом секторе. Это не так. Сегодня никто не застрахован от потери данных или взлома ИТ-инфраструктуры: ни крупный банк, ни пиццерия.

Мировые-потери-от-кибератак

По оценкам компании Grand Thorton, совокупный ущерб компаний от кибератак в 2016 году составил 280 млрд. долларов (0,4% от мирового ВВП). Негативными следствиями таких атак являются: потеря репутации (29%), время, затраченное на управление бизнес-процессами (26%), потеря клиентов (16,4 %), устранение последствий взломов (12%), снижение конкурентоспособности (3,6%). Все это неизбежно приводит к падению доходов предприятия.

Аналитики Grand Thorton убеждены, что наиболее уязвимы для мошенников компании Европейского союза и США. Предприятия в большинстве случаев не понимают, какие участки инфраструктуры слабее других, и манкируют единой стратегией цифровой защиты.

распределение-числа-кибератак-по-регионам

Отечественному бизнесу не стоит расслабляться. Россия крепко держится в сотне рейтинга стран по частоте кибератак. В феврале страна поднялась по этому показателю на 20 позиций: с 83 на 63 место. В России только банковский сектор лишился из-за хакеров 2 млрд. рублей за неполный 2016 год.

Опрос «Лаборатории Касперского» установил, что 42% отечественных компаний хотя бы раз в течение прошлого года теряли важную информацию по причине взломов своей системы. Треть предприятий признались, что сталкивалась с подобной проблемой неоднократно.

Кибепреступность сегодня является организованным и хорошо оснащенным бизнесом, который постоянно развивается. Злоумышленники не только осваивают новые территории, разрабатывают конкретные бизнес-схемы с таргетированием своих жертв, но и активно наращивают интенсивность нападений. Но лишь единицы компаний среднего и малого бизнеса имеют полноценную стратегию защиты цифровых данных. Нередко организации не видят реальных уязвимостей своей инфраструктуры.

С другой стороны, кибербезопасность — тоже отдельный бизнес с оборотами в миллиарды долларов. Аналитики компании IDK полагают, что в 2017 году траты на защиту данных в мире достигнут 81,7 млрд. долларов (на 8,2% больше, чем в прошлом году), а к 2020-му объем рынка будет превышать 100 млрд. долларов.

Аналитикам и специалистам по безопасности выгодно несколько преувеличивать риски. Для того чтобы правильно их оценивать, тратить деньги на ИБ предприятия рационально, нужно обладать всей полнотой информации, быть в курсе актуальных тенденций в этом вопросе.

 

К чему готовиться в 2017 году в сфере информационной безопасности

Прогнозов относительно того, как изменится общий ландшафт информационной безопасности, огромное количество. Мы постарались отобрать из них то, что может пригодиться отечественным компаниям и специалистам.

Тренды нынешнего года представил в своем обзоре журнал eWeek’s, опросив 17 экспертов в сфере информационной безопасности. Вот некоторые из них:

  • Число кибератак на компании малого и среднего бизнеса по всему миру увеличится в разы.
  • Хакеры чаще будут использовать гибридные атаки, применяя вредоносное ПО комплексного воздействия (вирус не просто будет проникать в систему, но и защищаться от обнаружения, мешать восстановлению).
  • Для информационной защиты будут активнее использоваться контейнерные технологии.
  • Ключевым фактором ИБ компаний наряду с профилактикой угроз станет скорость восстановления системы после атаки.
  • Ведущие организации интегрируют практику обеспечения кибербезопасности в корпоративную культуру.
  • Страхование от кибератак станет органичной частью бюджета предприятия.

На последний тренд стоит обратить внимание. В России страхование от киберугроз пока не популярно. В США, например, соответствующий рынок существует больше десяти лет (компании Allianz, Lloyd’s, AIG, Chubb), и к настоящему времени треть американских предприятий уже приобрела такие страховки. У нас подобный продукт пытается продвигать на рынок дочерняя фирма Сбербанка: сумма страхового покрытия будет составлять до 50 млн. евро.

факторы-риска-от-кибератак

Эксперты Positive Technologies указывают еще на несколько важных моментов в кибербезопаности, проявивших себя в 2016 году:

  • Утечка данных не лучше потери денег, поскольку информация успешно используется преступниками в коммерческих целях.
  • На практике преобладают целевые кибератаки (62%), направленные на корпоративные активы.
  • Преступники переключаются с финансовых организаций на весь бизнес, применяя целевой фишинг (как правило, это обычное деловое письмо с просьбой перечислить деньги), с которым труднее бороться, потому что здесь никакой атаки на инфраструктуру не происходит.
  • Выросло число атак на крупные организации с требованиями выкупа за прекращение действий вредоносных программ на систему. В прошлые годы такие программы (ransomware) использовались для нападений на устройства частных лиц. Сейчас в оборот активно берется корпоративный сектор.

Первое, на что указывают российские специалисты, это усложнение самой структуры кибербезопасности: ряд мер, предпринятых отечественными государственными учреждениями и коммерческими фирмами в 2016 году (внедрение Доктрины информационной безопасности, Федеральный закон о персональных данных 242-ФЗ, разработка Государственной системы мониторинга кибератак), привел к тому, что ландшафт индустрии информационной безопасности оказался перенасыщен неработающими моделями и правовыми актами, которые декларируют некие данности (например, необходимость комплексного подхода к решению проблем в сфере ИБ), но практически не предлагают конкретных методов и апробированного ПО для их реализации.

В 2016 году цифровые вымогатели значительно приросли числом: в итоговом бюллетене «Лаборатории Касперского» отмечается, что за отчетный период появилось 62 новых семейства соответствующих программ типа троян, а количество ранее не известных модификаций этих вредителей выросло в 11 раз. Рост количества сопровождается и ростом качества: поколение next умеет менять тактику действия при встрече с финансовым программным обеспечением, они пишутся на скриптовых языках, находят дополнительные пути заражения, и если в начале года каждые две минуты атаковалась одна компания, то к третьему кварталу периодичность атаки составляла 40 секунд.

Еще одним источником угрозы стал «интернет вещей» (IoT). По данным The Statistics Portal, к настоящему времени в мире 30 миллиардов подключенных к сети девайсов, и к 2020 году этот показатель увеличится еще на 30 миллиардов. В одной из прошлых статей мы писали, что бизнес все активнее стал использовать IoT, мобильные устройства в своей работе.

 

Как правильно организовать информационную безопасность компании

Большинство инструкций специалистов по ИБ навязывают бизнесу риск-ориентированный подход и уверяют в пользе комплексной стратегии защиты данных. Данный подход лежит в основе всех международных систем менеджмента информационной безопасности (ISO 27001, ГОСТ Р27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework). Он позволяет выбирать наиболее действенные и соответствующие потребностям конкретной организации средства защиты, правильно интерпретировать требования к безопасности, принимать обоснованные решения, оценивать их экономическую эффективность. Считается, что предприятия, не использующие систему оценки рисков ИБ, тратят лишние средства, часто безрезультатно.

Стратегия и оценка рисков — это хорошо. Но на ее разработку нужны время и деньги, отдельная строка в бюджете. Ни того, ни другого, как правило, у среднего или малого предприятия нет. Все перечисленные выше угрозы актуальны в настоящий момент.

Главная беда отечественного бизнеса в том, что он неверно определяет наиболее уязвимые места в своей защите. Большинство организаций боятся лишиться физических носителей с важными данными, но основными причинами финансовых и репутационных потерь являются вредоносное ПО и целевой фишинг.

Защиту от первой угрозы стоит доверить специалистам по информационной безопасности. Причем, справляться своими силами получится до первого серьезного взлома. Как правило, своих профессионалов в штате и ресурсов у компаний МСБ нет. Для оценки безопасности физической инфраструктуры нужны методологически проработанные подходы. Обновления системы, по разным оценкам, оставляют до трети уязвимостей.

Целевой фишинг вообще остается вне поля зрения подразделений, отвечающих на предприятии за информационную безопасность. Вредоносного кода как такого нет, есть письмо или сообщение, умело маскирующееся под легальное, поэтому бороться с ним крайне сложно. Получив такое письмо, работник производит действия (например, бухгалтер оплачивает счет), наносящие ущерб компании.

По-хорошему, нужно проводить обучение сотрудников, на что опять же требуется время. Можно вполне ограничиться внутренним контролем и должностными инструкциями, а слишком «инициативных» людей, не способных уточнять и перепроверять информацию попросту увольнять. Еще раз озвучим тезис одного и наших прошлых материалов: основной инструмент, который используют киберпреступники — человеческая глупость

Контроль сотрудников актуален еще и потому, что к 2018 году одна четвертая корпоративной информации будет передаваться с мобильных устройств напрямую в облако, где злоумышленникам получить доступ к ней проще.

В общем случае принципы организации ИБ в компании выглядят следующим образом:

  • проведение политики персональной ответственности на предприятии;
  • исключение возможности неавторизованного доступа к системе;
  • регулярная проверка средств защиты ИБ;
  • сведение к минимуму наличия важной информации на персональных компьютерах сотрудников;
  • антивирусная и сетевая защита;
  • обучение сотрудников.

Информационной безопасности и защите корпоративных данных нужно регулярно уделять время и повышенное внимание. Риски от кибератак возрастают. К сожалению, это общемировая тенденция. Для того чтобы не попасть в печальную статистику 2017 года, попробуйте отнестись к этим вопросам максимально серьезно.

 

Материал оказался полезным? Поделитесь с друзьями: