Директор по росту компании BI.Zone Рустем Хайретдинов рассказывает о роли топ-менеджмента в обеспечении кибербезопасности, основных видах ущерба от кибератак, сценариях проникновения и постановке целей для отдела информационной безопасности.
Подробности — в видео и конспекте выступления.
Открытый практический курс «Цифровая безопасность для бизнес-лидеров» доступен на сайте проекта «УниверситетЪ».
Никакого бизнеса без цифры уже нет. Проблема безопасности перестала быть проблемой айтишников и безопасников. Это проблема топ-менеджмента компании независимо от размера.
Если с компании есть что стрясти и ей дешевле заплатить, то, конечно, ее будут атаковать (путем шифрования систем.— “Ъ”). Хакеры проникли в какую-то цифровую систему, первое, что они ищут, они ищут деньги. Следующая попытка — это украсть данные. И вот если уже и данные украсть не удается, тогда это жест, такой, отчаяния — шифрование.
Иногда в компании могут сидеть даже противоборствующие группировки, одна залезла, другая тоже залезла, обнаружила вторую, стала как бы пытаться вычистить ее, потому что это ее полянка, мы этого клиента доим, пардон. И мы иногда видим такие войны преступников между собой, кто грабит поезд, как на Диком Западе было. Пардон, это наш поезд!
Фишинг — это способ заставить человека ввести свои данные, скомпрометировать свою учетную запись и так далее. И я уверен, что можно зафишить любого человека, если всерьез заниматься, рисовать его психологический портрет.
Задача злоумышленников — проломить брешь в компании. И чаще всего самое слабое звено — это человек в IT-безопасности.
Если говорить еще о каких-то способах нанести ущерб, это все зависит от бизнеса, дальше уже начинаются контекстные угрозы. Например, если говорить о сайтах государственных, то там достаточно серьезная угроза — это публикация на государственных сайтах каких-то сообщений, которые могут привести к чему-то: к падению курса валюты, к какой-то панике.
Сегодня один из векторов — это подача фейковой информации от имени взломанных источников. Надо беречь лояльные источники информации, сайты своей компании, где ты можешь свою позицию высказать.
В каждой компании — свои системы, свои данные. Если уж вломился в банк, надо воровать деньги. Регулятор очень много усилий приложил к тому, что сегодня банк в лоб сломать практически невозможно. И поэтому сегодня основной вектор атаки на банки — это клиенты банка. То есть проще затроянить телефон или представиться сотрудником службы безопасности, чем ломать банк.
Для компаний электронной коммерции возможен другой ущерб: денег там не украдешь, но можно, например, заказать с ворованного аккаунта товар.
Есть еще такая тема — возвраты. Человек купил что-то, ему это привезли, он говорит: я открыл коробку, а там вместо айфона кирпич, верните мне, пожалуйста, деньги. Ну и начинаются тяжбы. Это сотни миллионов рублей ежегодно вот таких вещей.
Два основных вектора — это фишинг и уязвимость, социальная инженерия и уязвимость.
На самом деле атакуют массово не всех подряд, а, например, всех, у кого там конкретно стоит конкретный софт с конкретной уязвимостью.
Целевую атаку на конкретную компанию может делать разве что преступная группировка с огромными ресурсами. А вот пробить уязвимости в конкретном софте — это достаточно просто.
Стратегия защиты в киберпространстве очень похожа на стратегию газели, бегущей от льва,— она должна бежать быстрее самой медленной газели.
Можно сделать абсолютную безопасность, но для этого надо отключить компьютер и положить его в сейф, тогда не будет работать бизнес.
Если ты выполняешь требования регулятора, регулятор уже позаботился о том, что, выполняя эти требования, ты построил себе базовый уровень защиты. А дальше уже исходят из того что, если вам обрабатывать секретные данные, это одни требования, персональные данные — другие требования, если ввели режим коммерческой тайны, там четвертые требования, пятые. На самом деле есть такое правило: не знаешь, как делать, поступай по закону.
Если говорить о подходе кибербезопасности к бизнесу, обычно бизнес подразумевает так: я плачу деньги, и я буду защищен. Но часто максимум, что могут сделать безопасники, это не предотвратить что-то, а минимизировать ущерб уже при имеющейся атаке, а потом провести расследование и выучить урок.
Нельзя просто что-то купить, какое-то средство защиты, которое вас всегда будет защищать. Его надо настраивать, адаптировать. И должны быть какие-то люди, не только инструменты, но и люди, которые с ними обращаются.
Работодатель должен обращать в первую очередь внимание на повышение цифровой грамотности, чтобы сотрудники не были той самой брешью, тем самым некачественным раствором, из-за которого вся эта стена, все эти кирпичики могут просто в какой-то момент осыпаться и оставить фирму абсолютно голой.
В принципе, конечно, людей надо не просто учить, курс прослушать — это хорошо, но людей надо тренировать. Я бы даже в хорошем смысле сказал — провоцировать.
Люди должны не просто знать, а у них это должно быть в крови, в навыках. Если не заставить человека что-то сделать несколько раз и, если он это сделает неправильно, не послать на дополнительную учебу — это не закрепится.
Цифровые навыки — это такие же навыки, как мытье рук. Это та же гигиена, только в киберпространстве.
Как вести себя, если пользуешься банковским приложением? По меньшей мере не отдавать разблокированный телефон в чужие руки даже сфотаться. Специально для этого есть режим «фотография в заблокированном режиме».
Безопасность считается антонимом удобства.
Уязвимость — это дыра, а эксплойт — это там к ней ключ, который позволяет в нее пройти.
Сегодня 80–90% кода — это не свой код. И поэтому, кстати, программистов заменят роботы быстрее чем… Искать чужой код и что-то из него собирать это сильно проще, чем программировать с нуля. Поэтому есть прямо такие способы атаки, уже достаточно давно. Поставили себе компании на сайт оперсорс-чатик и, грубо говоря, скомпрометировали себя.
Люди сами себе встроили чужой back door, то есть вот этот задний черный ход, просто не проверив, что это за софт, поэтому раз мы говорили о цементе, кирпич тоже надо проверять. Если мы строим стену.
В принципе проникновение в систему начинается гораздо раньше, чем сама атака, потому что к атаке надо подготовиться. Когда уже что-то ломится в дверь, это значит, в принципе, у вас был вариант, когда можно было собраться, приняться, рекрутировать дружину и уже встретить их во всеоружии, не допуская их до стены. Дать бой в чистом поле или на дальней дистанции забросать стрелами, не давать приблизиться к воротам.
Хороший пожар — это тот, который не произошел, мы его потушили до того момента, как он разгорелся.
Сегодня любая диверсия — внутренняя, потому что всегда у хакера есть вольный или невольный сообщник. Это человек, который плохо настроил, кривой софт выкатил, открыл ненужную ссылку. Железо не подводит, подводят люди, которые это железо тестируют.
