редакции Выбор
Что с кибербезопасностью в МСП в России?

Мы опросили представителей бизнеса из разных сфер о том, уделяют ли они внимание кибербезопасности, увеличивают ли вложения и штат специализированного персонала и, самое главное, как они справляются с возможными взломами.
Компании видят проблему и по разному готовятся к решению задач безопасности.
Тема кибербезопасности действительно важна. В последние два года количество кибератак и крупных утечек информации увеличилось: в 2022 году было совершено более 50 000 атак, а в Минцифры регулярно обсуждают идею создания кибервойск. Есть также белые хакеры, которые зарабатывают себе на жизнь тем, что находят уязвимости компьютерных систем. Сегодня информация — это очень ценный ресурс.
С хакерскими атаками сталкиваются и крупные компании: банки, операторы связи, сети магазинов и маркетплейсы, названия которых я не буду называть из этических соображений.
Если говорить о маркетплейсах, один из популярных кейсов для атак — денежные операции. Важно понимать, что эти компании обрабатывают персональные данные, которые не являются и не должны быть общедоступными. Но именно поэтому они интересны хакерам — их можно продать.
По этой причине компании не спешат раскрывать, какими средствами они себя защищают. Эта информация может стать «ключом» для хакера: узнав, каким ПО компания пользуется, злоумышленник сужает число способов пробраться внутрь.
Наша компания постоянно работает над усилением безопасности. Сейчас мы изучаем и выбираем такое новое ПО, которое наиболее точно попадёт под наши запросы и требования. На рынке есть несколько крупных игроков, которые занимаются разработкой ПО: Positive Technologies, ИнфоТеКС, UserGate, Rezbez, Конфидент.
Главное — регулярно обсуждать проблему внутри команды, ведь именно подсвечивание проблемы стимулирует поиск решений. Неподготовленная команда во время атаки начинает паниковать, не знает, что делать, и тратит слишком много времени на устранение проблемы.
Угрозы
...В дигитализированном мире информация становится одним из самых ценных ресурсов. Личные данные и коммерческая информация- все эти активы привлекают внимание злоумышленников. Воровство данных может привести к финансовым убыткам, потере репутации или даже угрозе национальной безопасности.
Среди наиболее актуальных угроз в сфере кибербезопасности можно выделить:
— Фишинг — попытки получения личной информации под видом доверенной стороны.
— Ransomware — шифровальщики, блокирующие доступ к данным и требующие выкуп.
— DDoS-атаки — нападения, целью которых является нарушение доступности веб-ресурса...,
Помимо стандартных попыток взлома, существуют и активные методы социальной инженерии. Вот, что об этом рассказывает Евгения Бурова, директор по коммуникациям криптовалютной биржи Garantex:
В настоящий момент основной лазейкой для кибер-атак всех видов бизнеса является социальная инженерия. Пользователи сами передают в чужие руки доступ к своим аккаунтам, сотрудники «выполняют устное поручение начальства» или устанавливают вирусное ПО на свои рабочие машины. И если вопрос невнимательности сотрудников решается грамотными инструкциями, закрытыми серверами для обмена данными и отсутствием доступа на установку программ, то вопрос пользовательской грамотности — это то, что требует ежедневной работы подразделений, отвечающих за благополучие клиентов.
Мы, например, бесплатно учим в Академии Garantex правилам безопасности при работе с криптовалютами и онлайн-сервисами. Крупные маркетплейсы, такие как Авито, запускают рекламные кампании. Это не менее важная задача, чем пентесты, частные серверы и аудиты безопасности.
Используемые структуры систем предотвращения атак
- IPS (Система предотвращения вторжений);
- IDS (Система обнаружения вторжений);
- NGFW (NextGeneration FireWall);
- Антивирусные системы.
Малый и средний бизнес использует как коммерческие бренды систем кибербезопасности, так и open source решения.
В настоящий момент фокус смещен в сторону отечественного производителя — существующие обстоятельства не дают уверенности в иностранных вендорах, которые с легкостью отказываются от своих обязательств, как это было в 2022 году,
Против внешних угроз мы используем дополнительные фильтры, проверки, firewall, специализированное ПО, настройку чувствительных сенсоров на типы трафика. Для офиса и офисной инфраструктуры — мощный антивирус и культуру работы с внешними источникам информации. Внутренние угрозы во много раз сложнее и чувствительнее. Для себя мы отказались публиковать какую-либо даже частично конфедициальную информацию в больших чатах и внутренних группах, обязательно в рабочих чатах есть куратор, который контролирует информацию. Также разграничили доступ к prod серверам, разделили сферы «влияния» и постарались добиться той модели, когда один конкретный сотрудник просто не обладает всей необходимой информацией, чтобы нанести нам существенный вред. И конечно же нам пришлось вложиться в специализированное ПО, взять дополнительно сотрудников, кто бы имел необходимые компетенции в защите как от внешних, так и от внутренних угроз. Ценник на таких специалистов на hh ощутимо высокий,
Персонал
В основном компании не расширяют штата, доверяя контроль установленным и настроенным системам, хотя и количество задач и их сложность возросла.
Например, в ПГ «ВЕКПРОМ» комментируют так:
На данный момент достаточно сложно взломать систему или, я бы сказал, невозможно, т.к. технологии и алгоритмы, которые используются на данный момент очень надежны.
В большинстве случаев утечка информации или попадание злоумышленника в периметр сети происходит благодаря:
1. Ненадежным паролям (Несоответствие регламенту организации или технике ИБ)
2. Некачественно настроенной информационной системе
3. Социальной инженерии
Для устранения подобных проблем компании, используя внешних и штатных консультантов и исполнителей усиливают внутреннюю безопасность:
...процедура обработки заявок на доступы в arcsinus тоже происходит в соответствии со стандартом ISO. Во все корпоративные сервисы настроена двухфакторная аутентификация, соблюдаются высокие требования к паролям.
На уровне компании у нас, разумеется, настроен серьёзный корпоративный антивирус. Кроме того, во внутреннем контуре и на отдельных проектах по требованию заказчиков у нас внедрены системы обнаружения и предотвращения вторжений.
Согласно ISO 27001 у нас также внедрена процедура disaster recovery, включающая распределённую систему бэкапов, процедуры проверки и восстановления, план реагирования на чрезвычайные ситуации ИБ и работа по проверке готовности к ним,
Внешний контур
Однако при работе с клиентами и партнёрами, не включенными в защищённый сегмент компании возможны проблемы. Например:
К сожалению, на проектах мы сталкивались и с реальными проблемами, связанными с безопасностью. Например, сервер одного из наших заказчиков регулярно подвергается DDoS-атакам. Схема такая: злоумышленники отправляют множество фейковых запросов на регистрацию аккаунта в сервисе. Регистрация происходит через СМС. А они стоят денег. Заказчик впустую тратит большую часть выделенного на эти нужды бюджета. Мы научились это быстро фиксировать и защищаться.
В другой раз злодеи пытались встроить в наш код на Gitlab картинку с исполняемым файлом, который мог зашифровать кодовую базу. Весь код — и, разумеется, сам продукт клиента — превратился бы в кирпич. От этого спасают бдительные системные администраторы, корпоративный антивирус, регулярные бэкапы и работа во внутреннем контуре компании,
Взломы
Не смотря на то, что объём попыток взлома возрос, компании пока успешно отражают их.
Однажды мы подверглись атаке белого хакера, он нашёл уязвимость, и мы её закрыли. Не очень приятный опыт, но можно сказать, что благодаря ему мы оценили риски функционала и обратили ещё большее внимание на безопасность пользовательских данных. Теперь в штате есть хорошие специалисты, а ещё мы вложились в обучение сотрудников по направлению информационной и кибербезопасности. Мы также регулярно посещаем конференции, которые устраивают топовые компании-разработчики ПО,
С 2022 года количество ежеквартальных атак на веб-сайты компании возросло в два раза. Заметив эту тенденцию, мы внедрили соответствующие изменения в систему защиты, так что ухудшение внешних обстоятельств на работе сервисов никак не сказалось,
Проблемы со взломами бывают и у подрядчиков компаний, которые предоставляют сервисы и возможности cyber security.
2023 году мы столкнулись с мощными DDoS-атаками и SMS-спамом. Несмотря на частые пентесты, которые повышают защищенность компании, злоумышленникам удалось вывести наш сервис из строя. Атака была в выходной день. И реакция на нее с нашей стороны была дольше, чем обычно. Но за полтора часа нам удалось восстановить работу сервиса и минимизировать вероятность новых атак. Чтобы такого больше не произошло, мы взяли еще одного человека в техподдержку. Теперь мы можем чередовать сотрудников, которые будут на связи в выходные дни,
Подрядчики
С точки зрения компаний, которые предоставляют услуги информационной безопасности ситуация обстоит так:
Рынок информационной безопасности сегодня переживает активный рост. Неслучайно Фонд «Центр стратегических разработок» в своем недавнем исследовании прогнозирует едва ли не трехкратный рост отечественного рынка услуг в сфере кибербезопасности к 2027 году.
Далеко не все осознают, что мы живем в условиях кибервойны и необходимо действовать на опережение.
Если многие предприятия государственного сектора, медицинские учреждения, авиакомпании, организации финансового сектора, те же банки обязательно регулярно проводят у себя пентесты и аудиты безопасности, для них это одно из требований регулятора, то этого же нельзя сказать о немалой части российских компаний, в том же ритейле зачастую этому не уделяют должного внимания.
Общая тенденция такова, что все больше собственников компаний осознают необходимость вложений в информационную безопасность для того, чтобы обезопасить свои активы. Они все чаще интересуются состоянием дел в этой сфере, понимают, что своевременное проведение аудита безопасности, пентеста — это возможность взглянуть на реальное положение дел и заодно проверить своих специалистов ИТ/ИБ.
Это актуально для бизнеса любого масштаба. Компаниям с числом пользователей ПК свыше 60 рекомендуется задумываться об использовании SIEMa (это решение в области безопасности, которое обеспечивает сбор данных и анализ событий, расширяя возможности корпоративных систем защиты от угроз), регулярно проводить обучение персонала в сфере информбезопасности. Те же тренинги, которые позволяют сотрудникам овладеть навыками кибербезопасного поведения и применять их в работе, отличать фишинг от нефишинга. Подобный есть, к примеру, у «Лаборатории Касперского» или «Фишман».
Мы проводим для разных компаний более сотни пентестов в год, еще больше получаем запросов на аудиты по информационной безопасности. При проведении пентестов видим, что если присутствуют методы атаки по социальной инженерии, то в 99 % случаев причиной инцидента становилась невнимательность сотрудника, который случайно открыл фишинговое письмо или намеренно ввёл свои учётные данные на подготовленном портале и тем самым спровоцировал заражение внутри компании,
Мы — ИТ-компания Proscom — создаем цифровые продукты для бизнеса и государства. И разумеется, мы обеспечиваем информационную безопасность инфраструктуры всей компании. Это необходимый минимум, который должны выполнять все, и мы — не исключение.
Компании-разработчики обязаны создать безопасную среду разработки в организации и соблюсти требования безопасной разработки ПО. Для этого мы адаптируем зарубежные методики и учитываем требования Российского законодательства (например, ГОСТ 56939-2016).
Для безопасности инфраструктуры достаточно применять open source решения. Но бывает, что мы сталкиваемся с требованием заказчиков использовать импортозамещающие средства защиты.
Из коммерческих импортонезависимых продуктов мы протестировали Solar appScreener, Positive Technologies Application Inspector, статический анализатор Svace. И остановились на последнем.
За 2023 год штат отдела по ИБ вырос — к нам пришли два сотрудника: архитектор по ИБ и Application Security специалист. Архитектор участвует в проработке внешних проектов, а AppSec в направлении улучшения процессов безопасной разработки.
Развитие технологий и ужесточение законодательства подталкивают нас и увеличивать штат ИБ-специалистов, и повышать осведомленность сотрудников компании в области ИБ. Мы проводим ежемесячные лекции о цифровой гигиене и базовых принципах безопасности.
Будущее
С каждым месяцем острота проблемы защиты информационной и интеллектуальной собственности компаний растёт. Тут сразу на ум приходит много фраз из серии «народная мудрость»: «сначала вирус, потом антивирус» и «пока петух не клюнет». Есть компании, которые уже серьёзно столкнулись с кражей информации, а есть те, кто продолжает надеяться на случайное везение. Но это только вопрос времени, когда злоумышленники попробуют украсть или повредить информацию...
... Мое мнение, что уровень угрозы с каждым месяцем будет продолжать расти. Всё больше и больше компаний переходят на электронный документооборот, используют облачные продукты в своей работе, увеличивается штат удаленных сотрудников, что вынуждает иметь не всегда устойчивые к взлому VPN-сервера. А нанимать квалифицированных специалистов по кибербезопасности забывают или откладывают на потом, «надеясь на авось». И именно этим и пользуются злоумышленники,
На данный момент киберпреступность продолжает активно развиваться, и мы делаем все возможное, чтобы адаптироваться к изменяющимся условиям и предотвратить возможные риски. Благодаря нашим усилиям, наша компания обеспечивает не только высокий уровень защиты, но и создает условия для дальнейшего инновационного роста, не опасаясь угроз в киберпространстве.
Заключая, хочется отметить, что в современном мире кибербезопасность — это не просто модный тренд, а необходимость. И наша компания делает все возможное, чтобы гарантировать безопасность своим клиентам и партнерам,