Как вашей компании защититься от хакеров и похищения данных: 7 шагов, от простых к сложным

Зачем нужна кибербезопасность компании, как ее обеспечить и какой бюджет стоит закладывать на защиту от уязвимостей, в колонке для MC.today рассказывает Владимир Литвин, директор по информационной безопасности в компании GigaSafe.

Друзья, мы написали книгу о бизнес-принципах Дмитрия Дубилета «Бизнес на здравом смысле». В ней много полезных советов и вдохновляющих идей от Дмитрия. Купить можно тут. Так вы зарядитесь новыми мыслями и поддержите нашу редакцию 🙂

1. Надежные пароли для сотрудников

Пароли из шести цифр считаются простыми, а взломать их можно за полчаса с помощью специальных программ – и у злоумышленника будет доступ к учетной записи сотрудника. Тогда как более сложные пароли из 12 символов, в числе которых буквы разного регистра, цифры и спецсимволы, более надежны.

Также, согласно американскому стандарту, лучше использовать не пароли, а парольные фразы. Например, фразу “I lived in Mexico for ten years” можно сократить так: “iliMf10yrs”, но более устойчивый к взлому пароль будет, если сделать комбинацию такой: “ilivedinMexixofor10yrs”.

Вы можете составить базовую политику безопасности для своего бизнеса, опираясь на примеры «Укрнафты»,  «Райффайзен Банк Аваля» или «ПриватБанка».

2. Многофакторная проверка личности

Сильный пароль не убережет от так называемого внутреннего проникновения, когда преступник внедряется в компанию под видом сотрудника. Рано или поздно он может подсмотреть, как коллега вводит пароль, и просто запомнить комбинацию.

Предотвратить такой сценарий поможет многофакторная аутентификация (МФА), когда кроме пароля нужно ввести еще одноразовый код из специального приложения на смартфоне или использовать дополнительное устройство – токен.

Проверка личности происходит при доступе не только к информационным ресурсам, но и к физическим (например, в серверную или в другие зоны безопасности).

Для внедрения МФА можно использовать штатные средства (например, Google Authenticator или Microsoft Authenticator), а можно и дополнительные устройства – токены.

Что еще может сделать каждый, так это защитить свой аккаунт в Facebook, особенно если вы ведете там деловое общение.

Настройте уведомления о входах в аккаунт с других устройств, что позволит вам своевременно обнаружить взлом: Settings -> Security and Login -> Get alerts about unrecognized logins.

Используйте двухфакторную аутентификацию: Settings -> Security and Login -> Use two-factor authentication.

Проверка устройств, с которых вы зашли в соцсеть: Settings -> Security and Login -> Where You’re Logged In. Если заметили не ваше устройство, то сразу нажимайте Logout и меняйте пароль.

3. Ограничения доступа к информации

В компании должна быть налажена система доступов, при которой сотрудникам будет открыта только та информация, которая им нужна для непосредственной работы.

Например, если менеджер просматривает количество обработанных заявок, он видит имена клиентов, но не видит данных по их платежным картам. Это помешает взлому: потенциальному преступнику придется украсть доступ не к одной, а к нескольким учетным записям.

То же самое касается и сотрудников банков: если человек выдает кредиты, он не может одобрять заявки, поскольку при взломе злоумышленник получит полный доступ и сможет легко завладеть деньгами. Необходимо, чтобы всегда работало правило «4 глаз/2 рук».

4. Шифрование

Еще один базовый метод защиты данных – шифрование. Зашифрованные данные можно безопасно передавать по сети, не переживая за их целостность или конфиденциальность.

Сейчас все методы шифрования основаны на криптографии, поэтому, даже если утечка информации произойдет, расшифровать сообщение злоумышленникам, скорее всего, не удастся.

В первую очередь шифровать необходимо мобильные устройства (ноутбуки, телефоны и т. д.). Шифровать можно внутренними средствами самих ОС.

Например, Андроид – Privacy -> Encryption & credentials, Windows 10 – Bitlocker.

Тогда при краже вашего мобильного устройства злоумышленнику будет весьма непросто расшифровать содержимое диска, а иногда даже невозможно в ближайшие 100 лет. Главное – не забыть мастер-пароль на расшифровку.

5. Защита при удаленной работе

Один из самых актуальных вопросов сейчас такой: как безопасно работать бизнесу на удаленке? Первоочередно рекомендую провести дополнительный тренинг по кибербезопасности для персонала и, возможно, повторить очевидные принципы безопасной работы, о которых так часто все забывают.

Один из таких принципов – настройка VPN, виртуальной частной сети. Чтобы настроить VPN правильно, нужно ознакомиться с базовыми требованиями по безопасности от вендоров, решения которых используются. Универсальной инструкции нет, так как решений на рынке очень много. Но ниже некоторые основные правила для настройки безопасного VPN:

1. Ограничить выполнение внешних программ.
2. Ограничить одновременное подключение клиентов.
3. Использовать более стойкое шифрование (например, aes – 256, sha – 256, modp – 2048).
4. Использовать современные протоколы обмена ключами (IKEv2).
5. Включить журналирование событий.

Если сотрудник работает с домашнего устройства, системный администратор должен позаботиться о том, чтобы и на этой технике была антивирусная программа нового поколения (например, CarbonBlack, Romad, CrowdStrike), а все рабочие программы были обновлены, так как зачастую именно уязвимостью старой версии программы могут воспользоваться злоумышленники.

Сотруднику нужно напомнить о настройке шифрования Wi-Fi, чтобы никто «с улицы» не мог получить передаваемую информацию. Используйте как минимум WPA2, в котором применяется надежный алгоритм шифрования AES. А лучше – WPA3, который предоставляет дополнительную защиту от атаки на пароли («грубая сила», bruteforcing), а также еще более защищенный алгоритм шифрования. Не лишним будет и поменять пароли входа в административную панель роутера, потому что пароль по умолчанию можно легко подобрать с помощью атаки «грубой силы».

Даже если вы работаете дома и полностью доверяете свои родным, рабочее устройство нужно блокировать всегда. Ведь за утечку конфиденциальной информации потом отвечать вам, а не коту, который прыгнул на клавиатуру и случайно отправил квартальные отчеты «не туда».

Кроме того, карантин пройдет, а полезная привычка останется. Даже если сотрудник переместится в коворкинг или кафе, данные компании уже никто не сможет подсмотреть «через плечо».

Также нужно ввести правило для сотрудников, что письма от неизвестных адресатов с вложенными файлами открывать нельзя, так как в них может содержаться вирус, который повредит всю систему.

Пусть сотрудники используют для решения рабочих вопросов только корпоративные ресурсы: почту, мессенджеры типа Slack или HipChat, «Битрикс24» и пр. В них намного меньше спама, а коллегам в случае чего не придется гадать, кто пишет под вашим именем. Ведь чтобы взломать корпоративное приложение, нужно как минимум намного больше времени.

6. Аудиты по безопасности

Нужно убедиться, что проработаны все потенциальные уязвимости. Если на предприятии нет штатного специалиста по безопасности (а это дорогой специалист со ставкой от $2000 в месяц), работу по обеспечению киберзащиты можно поручить внешним подрядчикам.

Стоит начать с базового аудита – исследовать внешнюю и внутреннюю инфраструктуру. Эта услуга стоит $2-3 тыс. По результатом такой проверки находятся уязвимости – иногда не самые очевидные. Например, системные администраторы одного из наших клиентов позаботились о защите портов на серверах, но забыли закрыть консоли управления приложениями, а также доступ к файловому хранилищу – вот потенциальные точки взлома.

После аудита компании получают подробные инструкции, какие решения по безопасности нужно внедрить. Как правило, речь идет о многофакторной аутентификации, кибергигиене, внедрении комплексов DLP (Data Loss Prevention, программно-аппаратные решения для предотвращения утечки данных – прим. ред.), КСЗИ и других.

В нашей практике был пример проведения комплексного аудита безопасности, который включал в себя тестирование на проникновения (внешнее, внутреннее, wi-fi) и социальную инженерию для международной группы компаний в сфере FMCG. Болью клиента была утечка данных и вмешательство в работу систем. Все это подтвердилось после аудита, мы получили данные с БД через интернет, а также доступ к корпоративному домену, сети и паролям.

Решением в данном случае была сегментация сети и внедрение комплексной парольной политики, настройка сетевого и серверного оборудования. Также иногда мы помогаем бизнесу сформировать свою команду специалистов по безопасности.

7. Имитации кибератак

Но и это еще не все. Единственный вариант, который позволит полностью убедиться в готовности компании выстоять против злоумышленников, – имитация реальной кибератаки. В ходе такого теста на проникновения мы как подрядчик пытаемся как взломать систему техническими средствами, так и украсть пароли у сотрудников. Если не получилось, значит защита действительно надежная. Стоимость таких имитаций – от $3 тыс.

Например, мы проводили тестирование на проникновение по методу «серого ящика» (grey box) для одной международной компании по добыче нефти и газа. Проблемой этого клиента была утечка корпоративной информации через CRM-систему и, как следствие, вмешательство в процессы управления.

В итоге после имитации кибератаки мы действительно получили возможность читать документы и секретные чаты, а также возможность подписания документов от имени сотрудников. Решением в данной ситуации было внедрение исправлений в CRM-систему, а также дополнительных средств защиты (PAM, EDR).

К слову, мы периодически проверяем и свои сервисы на устойчивость к кибератакам.

Невозможно обеспечить кибербезопасность один раз и навсегда. Киберпреступники постоянно совершенствуют свои инструменты, разрабатывают новые вирусы и типы атак. Поэтому мы рекомендуем клиентам проводить аудиты по безопасности и тесты на проникновение не реже четырех раз в год.