Взлом инфраструктуры и людей
Как одна уязвимость может стоить компании годовой прибыли и потери репутации
В эпоху киберугроз и цифровой трансформации стабильная и надежная связь перестала быть простоуслугой, перейдя в категорию стратегических активов и факторов бизнес-устойчивости. Как одна уязвимость может стоить компании годовой прибыли, представители крупного бизнеса обсудили в ходе конференции «КиберБез Рисков», которую организовал «Коммерсантъ Северо-Запад» совместно с компаниями «Комфортел» и «АльфаСтрахование». Мероприятие объединило специалистов по информационной безопасности (ИБ) энергетических и промышленных компаний, IT-сектора, профильных экспертов и практиков, которые занимаются вопросами устойчивости систем к киберугрозам, управлением киберрисками и их страхованием.
Конференция «КиберБез Рисков»
Фото: Данила Золкин
Конференция «КиберБез Рисков»
Фото: Данила Золкин
«Выживут только параноики»
Генеральный директор «Комфортел» Дмитрий Петров
Фото: Данила Золкин
Генеральный директор «Комфортел» Дмитрий Петров
Фото: Данила Золкин
Цитата из книги Эндрю Гроува, возглавлявшего компанию Intel в самые сложные моменты ее истории, стала сквозной темой панельной дискуссии конференции «КиберБез Рисков». Как заметил гендиректор компании «Комфортел» Дмитрий Петров, сегодня паранойя становится новой нормальностью.
«Жизнь нас не готовила к тому, к чему мы сейчас начинаем привыкать. Поэтому мне уже не так стыдно сознаваться в том, что я инфраструктурный параноик,— признался господин Петров.— Еще пару месяцев назад я был уверен, что отключение всех мобильных сетей сразу невозможно. Но я забыл, что есть административный ресурс. Я этот риск даже не учитывал. Реальность нас привела к тому, что так бывает».
Последние события, как заметил эксперт, меняют IT-ландшафт: риски подстегнули компании к поиску технических решений, как перестроить бизнес-процессы в условиях, например, выключения мобильного интернета. В свою очередь это подталкивает IT-департаменты пересматривать доктрины безопасности и инфраструктурной устойчивости.
Киберстрахование как новая реальность
Руководитель управления страхования финансовых рисков «АльфаСтрахование» Алина Малышева
Фото: Данила Золкин
Руководитель управления страхования финансовых рисков «АльфаСтрахование» Алина Малышева
Фото: Данила Золкин
Рост интенсивности атак стимулирует в России развитие рынка киберстрахования. Как рассказала руководитель управления страхования финансовых рисков компании «АльфаСтрахование» Алина Малышева, этот вид страховки может возместить финансовые потери, если они возникли из-за киберинцидента. При этом спикер подчеркнула, что киберстрахование нельзя рассматривать как альтернативу другим мерам информационной безопасности. «Киберстрахование встраивается в систему управления рисками компаний и является финансовой защитой от тех рисков, которые технические средства не смогли нивелировать,— пояснила госпожа Малышева.— Страховая компания покрывает остаточные риски, в данном случае — риски информационной безопасности. Если говорить о событиях, то они могут быть вызваны либо внешними атаками, либо внутренними техническими сбоями. Такие ситуации могут считаться застрахованными по договору». Таким образом, киберстрахование — это финансовая подушка для компаний: быстрая компенсация расходов на расследование, устранение инцидента и убытков от простоя. Сегодня IT — скелет любой компании, а его остановка может стоить миллионы.
Как отметила Алина Малышева, сейчас среди компаний особенно пользуется популярностью страхование перерывов в производстве, которые возникли из-за простоя информационных систем.
Поиск слабого звена
Начальник службы по обеспечению информационной безопасности ООО «Воздушные Ворота Северной Столицы» Сергей Савченко
Фото: Данила Золкин
Начальник службы по обеспечению информационной безопасности ООО «Воздушные Ворота Северной Столицы» Сергей Савченко
Фото: Данила Золкин
В сентябре прошлого года сайт аэропорта Пулково столкнулся с атакой со стороны хакеров. Как сообщила тогда пресс-служба воздушной гавани, из-за за киберинцидента работа сайта была ограничена, однако сам аэропорт действовал в штатном режиме. Как Пулково боролся с хакерской атакой, поделился подробностями начальник службы по обеспечению информационной безопасности ООО «Воздушные ворота Северной столицы» Сергей Савченко.
Как отметил спикер, сайт аэропорта находится на аутсорсинге в нескольких компаниях: одна отвечает за техническую поддержку сайта, другая — за техподдержку безопасности сайта.
«Мы считали, что полностью себя обезопасили и все у нас нормально. Что произошло? У нас произошел дефейс сайта (это вид хакерской атаки, при которой злоумышленники взламывают сайт и заменяют содержимое его страниц на собственные сообщения),— рассказал Сергей Савченко.— Наш сайт для нас как сайт-визитка, поэтому для нас самое главное — это репутационные риски. Переадресацию потом сделали для пассажиров, чтобы они сверялись с табло на "Яндексе". Естественно, что в первую очередь мы грешили на систему безопасности. Подключили вендора, их команду по расследованию. Оно шло около двух месяцев».
Как поведал господин Савченко, техподдержка безопасности сайта Пулково подключилась к проблеме в течение десяти минут, уже через два часа после взлома началось расследование инцидента. Все заинтересованные службы, включая акционеров, сотрудники «Воздушных ворот Северной столицы» оповестили в течение 15 минут.
«Техподдержка безопасности сайта подключилась очень быстро, они стали расследовать, что произошло на самом оборудовании, на системах, которые осуществляют безопасность сайта,— поделился спикер.— Но когда эта информация уже разошлась в СМИ, нам звонили все кому не лень: что случилось, почему вас взломали? На самом же деле ничего страшного для нас как для аэропорта не произошло. Поскольку сайт находится на аутсорсе, в нашу инфраструктуру никто не проник».
Команда по расследованию от вендора впоследствии выяснила, что хакеры попытались зайти со стороны безопасности сайта, но им это не удалось. Однако слабым звеном оказалась техническая поддержка сайта, чьи уязвимости через сессии VPN эксплуатировали злоумышленники.
Выводы, которые в Пулково сделали после этого инцидента,— это усиление контроля за выполнением требований по ИБ. Аэропорт усилил требования к подрядным организациям в плане выполнения требований по ИБ, описанных в договоре, а также сменил подрядную организацию по техподдержке сайта. Как посоветовал господин Савченко, надо подписывать с подрядными организациями соглашения по ИБ: это позволяет заказчику возлагать на подрядные организации ответственность за компрометацию их сети, а впоследствии — возникновения инцидентов ИБ по их вине.
Не вести переговоры со взломщиками
Главный специалист отдела кибербезопасности Службы информационной безопасности АО «ЛОЭСК» Адриан Шайер
Фото: Данила Золкин
Главный специалист отдела кибербезопасности Службы информационной безопасности АО «ЛОЭСК» Адриан Шайер
Фото: Данила Золкин
Главный специалист отдела кибербезопасности службы информационной безопасности АО «ЛОЭСК» Адриан Шайер поделился с коллегами профессиональным опытом и практическими кейсами, накопленными в ходе обеспечения кибербезопасности инфраструктуры АО «ЛОЭСК». Эксперт рассказал о рисках, которые влекут за собой кибератаки на корпоративную сеть. Зачастую целью злоумышленников является блокировка сервисов предприятия. И если взлому подвергается инженерная сеть компании, то сумма выкупа может достигать весьма значительных сумм. Однако эксперт посоветовал никак не взаимодействовать со злоумышленниками, поскольку за одним выкупом может последовать требование следующего. Дальнейшие контакты чреваты тем, что хакеры могут продвинуться дальше по инфраструктуре предприятия.
Основное внимание в своем выступлении господин Шайер уделил вопросам защиты автоматизированных систем управления технологическими процессами (АСУ ТП), промышленных контролеров и автоматизированных рабочих мест, которые являются фундаментом надежного функционирования энергообъектов.
«Современные угрозы требуют не просто установки средств защиты, а выстраивания целостной системы управления рисками. Атаки на контроллеры и смежные элементы АСУ ТП могут привести к критическим последствиям, поэтому мы уделяем этому направлению особое внимание»,— отметил Адриан Шайер.
Компания рассматривает информационную безопасность как один из ключевых факторов обеспечения надежности и устойчивости энергоснабжения потребителей Ленинградской области.
Человеческий фактор
Евангелист по информационной безопасности «ВкусВилл» Александр Маер
Фото: Данила Золкин
Евангелист по информационной безопасности «ВкусВилл» Александр Маер
Фото: Данила Золкин
О том, как один сотрудник может стать точкой для входа злоумышленника в бизнес, рассказал Александр Маер, евангелист по информационной безопасности компании «ВкусВилл». Как отметил эксперт, даже «рядовой аккаунт» — это мостик к деньгам, коллегам и внутренним системам компании. В 80% случаев атака начинается с письма или сообщения.
«Не нужно думать, что взламывают только руководителей компаний, бухгалтерию,— пояснил господин Маер.— Могут взломать даже какого-то рядового специалиста, и уже от него начнет распространяться внутри компании вирус. Сегодня ломают не инфраструктуру, сегодня ломают людей».
Среди атак, которые чаще всего доходят до сотрудников, эксперт назвал фишинговые письма «от IT/службы безопасности»», сообщения в стиле «вам пришел документ/счет/акт», сообщения в мессенджерах «от коллег», просьбы срочно перевести деньги или подтвердить доступ, ссылки на «голосование/конкурс/бонус», поддельные страницы входа (почта, VPN, сервисы).
Пользователь — это первая и последняя линия защиты. Через его взлом возможен выход на финансы, данные и внутренние системы компании. И тут не нужна «уязвимость» в системе, достаточно одной ошибки человека.
Почему классическая схема ИБ не работает? Если в компании предусмотрены штрафы и прочие наказания, инциденты замалчиваются кадрами, что дает кибератаке развиваться внутри компании. Эксперт советует направлять сотрудников на обучение и применять систему поощрения (клиентократия), когда сотрудник рассматривается не как слабое звено, а часть защиты.