зачем обновляться

Почему большие компании игнорируют регулярные обновления ПО и чем это грозит

Вкладывать деньги в дорогие системы кибербезопасности не имеет смысла, когда в компании не прокачены элементарные, условно бесплатные способы защиты. Любое ПО имеет скрытые уязвимости. Если не проводить регулярные обновления софта, никакой супер продвинутый антивирус от взлома не спасет.

По прогнозам экспертов GBH Insights, мировой рынок кибербезопасности в 2018 году перешагнет отметку в 90 миллиардов долларов, что на 19% больше, чем в прошлом. Компании по всему миру тратят на защиту своих данных и корпоративных сетей все больше денег, и это неудивительно: по статистике, сегодня каждая утечка обходится бизнесу в среднем в 3,63 миллиона долларов.

Российские компании расходуют на нужды информационной безопасности от 5% до 17% своих ИТ-бюджетов. Согласно опросу Positive Technologies, больше всех тратят крупные банки и госучреждения – до 800 млн. рублей в год, финансовые организации – до 300 млн., промышленные предприятия и транспортные компании – до 50 млн.

Практика показывает, что вся эта дорогая, вычурная многоуровневая система безопасности может оказаться бесполезной по одной банальной причине – нерегулярные обновления ПО. Компании теряют огромные деньги просто потому, что специалисты ИТ-отдела вовремя не скачали патчи, чтобы закрыть уязвимости.

 

Чему учит история с Equifax?

Все помнят прошлогодний случай с американским бюро кредитных историй Equifax. Компания сообщила о краже персональных данных, включая номера социального страхования, паспортные данные, 143 миллионов клиентов. Причем о проблемах в организации узнали еще в марте, официальное подтверждение появилось лишь в середине сентября.

Причина этого казуса оказалась проста: Equifax на протяжении двух месяцев продолжала использовать софт с выявленными уязвимостями, не удосужившись его обновить. То есть технически компания была способна, если не предотвратить угрозу, то купировать атаку в короткий срок. Помешали управленческие и организационные проблемы.

Equifax, как и большинство мировых компаний из топ-100 (примерно 65%), использовала для работы open-source платформу Apache Struts для поддержки части своих сайтов и сервисов.

Практически каждое крупное ПО несет в себе уязвимости, и это нужно принять как данность. Производители и внешние эксперты регулярно тестируют его на предмет всевозможных багов. Когда уязвимость обнаруживается, она устраняется, пользователи программы получают уведомление о необходимости провести апдейт до последней версии.

Для обычных юзеров достаточно нажать кнопку и принять обновление. Хотя даже в этом случае, как показывает статистика, регулярные обновления игнорируют 66% пользователей. Для бизнеса этот простой, казалось бы, процесс проходит еще более болезненно.

 

насколько-часто-вы-устанавливаете-обновления

Насколько часто вы устанавливаете обновления?

 

Почему мы игнорируем апдейт ПО?

Если бы история с Equifax была единичным случаем, проблему можно было бы списать на нерадивых сотрудников и забыть. О массовой эпидемии под названием «мне лень скачивать обновления» заговорили после масштабных атак вирусов-вымогателей WannaCry и Petya. В ходе этих атак были заражены сотни тысяч компьютеров в 150 странах, включая крупные корпорации. Например, пострадали логистический гигант FedEx, испанская телекоммуникационная компания, британское министерство здравоохранения.

Грандиозных потерь можно было бы избежать, если бы корпоративные и обычные пользователи следовали правилам элементарной цифровой гигиены. Уязвимость в системе безопасности операционной системы Windows, ставшая причиной атак обоих вирусов, была устранена Microsoft еще в марте 2017 года. В апреле группа хакеров из группировки Shadow Brokers опубликовала по ней подробный отчет.

В конце 2016 года было проведено совместное исследование университетов Эдинбурга и Индианы. Ученые опросили 307 человек в попытке выяснить их опыт обновления системных программ.

Почти половина опрошенных ощущает неудобства, когда требуется обновление софта: любое скачивание заставляет прерывать на время работу. Некоторые считают, что обновления могут привести к некорректной работе программ. Лишь 21% респондентов относятся к этой процедуре позитивно.

Когда машина или гаджет работают стабильно, а текущий функционал полностью устраивает пользователя, нет никакого желания что-то менять, тем более, тратить свое рабочее время на ожидание. Многие просто закрывают окно уведомления или отключают автоматическое обновление.

Иногда обновления действительно вызывают дополнительные проблемы в работе оборудования и приложений. За последние два года Apple, Google и Microsoft выпускали «провальные» обновления, которые принесли юзерам немало хлопот и, вероятно, снизили доверие к регулярным апдейтам.

За примерами далеко ходить не придется: апрельское обновление Windows 10, как выяснилось, может привести к сбоям в работе микрофона, мыши и браузеров на вашем ПК.

Несмотря на все это, обновление софта остается лучшим способом обеспечения информационной безопасности. Если ПО устарело, уязвимости в нем не исправлены, ни один самый крутой антивирус или гениальный пароль, система многоуровневой авторизации не помогут против хакеров.

 

Цифровая гигиена для кибербезопасности

Для компаний все обстоит еще сложнее. Во-первых, здесь тоже работают люди, которые могут игнорировать обновления по описанным выше причинам. Во-вторых, многие предприятия используют комплексные системы, ПО от разных вендоров для своей сети. Изменение одного из элементов может привести к сбою в работе других. Особенно тяжело, если компания эксплуатирует одно и то же оборудование и софт на протяжении многих лет, а апдейт их никогда не был регулярным.

Зачем нужна цифровая гигиена в компании? Представьте, что хирург отказывается мыть руки перед операцией, чтобы сэкономить время и силы, но подвергает пациента риску заражения.

Оптимальным вариантом для правильного управления ИТ-инфраструктурой можно назвать практику DevOps, подразумевающую непрерывное взаимодействие программистов и администраторов. Она позволяет максимально упростить регулярные операции по установке патчей и обновлений. Правила такого взаимодействия должны быть прописаны в корпоративных стандартах.

История Equifax говорит о том, что в компании, отдающей процесс разработки ПО в основном на аутсорсинг, просто не нашлось грамотного специалиста в офисе в период активной фазы атаки.

Более того, как выяснилось позднее, шеф службы кибербезопасности финансового гиганта, вообще не имела технического образования (она была выпускницей факультета изящных искусств)!

Цифровая гигиена подразумевает регулярную инвентаризацию своих активов в сфере IT. Необходимо выделить сотрудников, которые будут отвечать за установку обновлений и оперативное реагирование на нестандартные события. Если за техническую поддержку в компании отвечает сторонняя сервисная организация, все эти вещи должны быть прописаны в SLA.

Крупные производители, как правило, быстро реагируют на появление багов, делающих их софт и оборудование уязвимыми для хакеров, и выпускают соответствующие релизы. Постоянных мониторинг новостей по теме информационной безопасности позволит компании вовремя проводить апдейт и минимизировать риски.