Великі компанії в усьому світі після зіткнення із шахраями втрачають мільйони доларів. Акції виробника навігаційного обладнання Garmin після нещодавньої кібератаки одразу впали на 5%. Злам облікових записів у Twitter призвів до зниження котирувань на 3%, а холдинг Capital One за два тижні втратив майже 14%.
Фінансові збитки від кібератак можна вимірювати, але важко оцінити наслідки, пов'язані з репутаційними втратами. З-поміж негативних ефектів кібератак — розірвання контрактів, знецінення бренду та втрачена вигода через відтік клієнтів.
Такі проблеми виникають не одразу, а через 3 — 5 років і проявляються в процесі пошуку інвесторів, під час укладання договорів із партнерами, спроб налагодити зв'язки з регуляторами, які, до речі, чим далі, тим суворіше стежать за дотриманням вимог щодо безпеки.
На ставлення до компанії впливає не лише сам факт кібератаки, а й поведінка керівництва після неї. Замовчування або прагнення применшити ризики найчастіше призводять до погіршення репутації бренду.
Технології
В уяві звичайного користувача хакери отримують доступ до даних унаслідок складних технічних маніпуляцій: долають програмні периметри, обходять складні системи захисту, експлуатують приховані вразливості. Однак здебільшого ані висока кваліфікація, ані серйозні зусилля зловмисникам для цього не потрібні. Витік або інша успішна цифрова атака відбуваються через дії самих співробітників.
Для успішної атаки шахраям не потрібні технічні навички — достатньо володіти прийомами соціальної інженерії: знати методи маніпуляції, які змусять людину «афективно» реагувати. Достатньо знайти хоча б одного співробітника, який швидше за інших перейде за посиланням або відкриє файл у листі, у такий спосіб надаючи шахраєві доступ до системи. Розв'язати таку проблему технічними методами не завжди можливо, бо тут велику роль відіграє людський чинник.
У 2020 році 23% інцидентів, пов’язаних із кібербезпекою, сталися через помилки персоналу. Зловмисники часто послуговуються інтуїтивним бажанням користувачів швидко перейти за посиланням, яке, на перший погляд, виглядає безпечним. Однак багато порушень було спричинено діями навіть досвідчених фахівців, зокрема через підключення персональних пристроїв співробітників до корпоративних систем або неправильно налаштованих хмарних систем тощо.
Часи пандемії
Кіберзлочинці не могли не скористатися ситуацією з пандемією і збільшенням кількості співробітників, які отримують доступ до корпоративних даних, а також до ІТ-інфраструктури поза офісом. Кількість спроб таких атак у 2020 році збільшилася на 768%. Крім того, кіберзлочинці активно використовували зацікавленість темою COVID-19, поширюючи шкідливі програми для відстеження контактів хворих або розсилаючи підроблені листи від імені державних установ. Експерти вважають, що найближчим часом ситуація, на жаль, суттєво не зміниться, оскільки новий формат роботи вже став звичною моделлю функціонування організацій, коли частина співробітників залишається працювати віддалено.
У режимі роботи поза офісом люди пересилають робочі файли та перевіряють пошту в громадських місцях і закладах харчування або за кавою на заправці. До мережі в таких випадках усі підключаються через публічні канали зв'язку, які зовсім не відповідають критеріям корпоративної безпеки.
Запобігання
Одним із популярних методів перешкоджання атакам є підвищення обізнаності співробітників — іноді у вигляді презентацій зі слайдами, іноді як відео. Проблема в тому, що в будь-якому випадку працівник проходить тести, переглядає відео, іноді вивчає контент у теорії, яка насправді є відірваною від реальності.
За статистикою лише у 9% співробітників поведінка після проходження курсів змінилася в позитивний бік. Також не вдалося виявити кореляцію між якістю курсів, їхнім дизайном, рівнем гейміфікації та реальними діями співробітників під час імітованих атак.
Тому дуже важливо створити умови, за яких освоєння навичок стане регулярною фоновою практикою. Для цього часто застосовують імітовані атаки – періодичну розсилку імітації фішингових листів. Важливо, щоб до процесу навчання і тренувань із безпеки активно підключалися HR та інші підрозділи, які відповідають за навчання й корпоративну культуру.
Якщо в компанії є зовнішні користувачі – клієнти, атака на яких може представляти проблему для бізнесу та репутації, до процесу мають бути долучені й люди, що відповідають за PR і маркетинг, які можуть використовувати просвітницькі й освітні практики для клієнтів.
У період, коли багато хто й далі працює віддалено, важливо налагодити комунікацію всередині самої компанії. У співробітника будь-якого рангу має бути прямий доступ до колег із відділу кібербезпеки, які завжди допоможуть розібратися в небезпечній ситуації, перевірять сумнівний лист або дослідять підозрілий дзвінок.
З огляду на високу ймовірність, а скоріше неминучість кібератак на цифрову безпеку організаціям потрібно подбати про реагування не менше, ніж про запобігання. Мають бути передбачені шляхи швидкого відновлення в разі виникнення витоку даних або інциденту. Забезпечення стійкості до кіберзагроз містить захист даних, аварійне відновлення, забезпечення безперервної роботи бізнесу та засоби забезпечення стійкості інфраструктури.
Кількість кіберзлочинів у першому півріччі 2020 року зросла на 91,7%, а основним вектором атак стала соціальна інженерія. Щоб захистити свою організацію в нових умовах, недостатньо застосовувати нові засоби захисту й обмежуватися традиційним підвищенням обізнаності в питаннях інформаційної безпеки. Важливо відпрацьовувати методи та реакцію співробітників на нові загрози, виховувати критичність у ставленні до інформації, що надходить, і розробити сценарії реагування в медіаполі для різних ситуацій.
5 порад, які допоможуть інформаційній і цифровій безпеці вашого бізнесу:
1. Тренувати навички співробітників за допомогою атак раз на місяць або частіше.
2. Забезпечити комунікацію співробітників із відділом кібербезпеки, який допоможе розібратися в небезпечній ситуації.
3. Захист має включати надійні та різноманітні механізми й водночас передбачати шляхи швидкого відновлення.
4. Використання технологій Endpoint Detection and Response (EDR) для розширеного виявлення складних загроз.
5. Не замовчувати й не применшувати наслідки кібератак в інформаційному полі. Компаніям варто першими надавати інформацію медіа, щоб уникнути появи пліток і домислів.
Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора
