Карантин в России продлен до конца мая. Как компаниям обеспечить кибербезопасность во время тотальной удаленки, учитывая, что пандемия спровоцировала резкий рост хакерских атак? Павел Крещишин, СЕО корпоративной коммуникационной платформы Tada.team, даёт советы, которые пригодятся и во время карантина, и после него.
Переход на дистанционный режим работы для многих компаний, за исключением тех, кто уже оцифровал все бизнес-процессы, стал настоящим стрессом. Теперь к организационным сложностям добавились новые риски. С начала марта участились хакерские атаки. За первые две недели месяца их число выросло на порядок: с нескольких сотен до 5 000 в день. При этом 84% всех атак было спровоцировано фишинговыми сайтами, в названии которых так или иначе упомянуты слова, связанные с коронавирусом.
Выступая на международном конгрессе по кибербезопасности, бывший премьер-министр РФ Дмитрий Медведев заявил, что ущерб мировой экономики от кибератак в 2019 году достиг $2,5 трлн. Существует большая вероятность, что в этом году из-за резкого роста числа онлайн-процессов потери вырастут пропорционально. Наиболее уязвимым будет малый бизнес: только каждое седьмое предприятие оснащено специальными средствами для борьбы с киберугрозами. Но именно на мелкие компании направлено 43% всех атак, согласно исследованию Университета Мэриленда.
Это означает, что переход на удаленную работу должен сопровождаться тщательным подбором корпоративных онлайн-инструментов и прежде всего необходимо обратить внимание на защиту основных процессов и важной информации. Пандемия однажды закончится, но глобальный тренд в области дистанционных форматов останется и будет развиваться. По данным международного исследования Owl Labs, сегодня в мире уже 40% компаний практикуют удаленную занятость сотрудников. В ближайшую декаду большая часть бизнеса перейдет в формат гибридной работы. Соответственно, будет расти и число пользователей цифровых инструментов для бизнес-коммуникаций: по внутренним оценкам Tada.team, в долгосрочной перспективе он составит 15–20% CAGR. Что касается нынешнего периода, то сегодня мы наблюдаем более быстрые темпы. Так, в феврале и марте этого года прирост новых пользователей достиг 17% против обычных 10%.
Общая безопасность рабочего места и съемные носители
Сегодня существует множество вариантов защитить свой персональный компьютер или ноутбук: от встроенных решений операционной системы до облачных и десктоп-решений в рамках одной продуктовой линейки от всем известных, например, Kaspersky или Avast. Но, несмотря на всеобщую (казалось бы) осведомленность о необходимости антивируса, особенно если пользователь работает со съемными носителями, и по сей день передача вирусного ПО через флеш- и другие накопители — частое явление.
Исследование компании Honeywell говорит о том, что проверка 44% USB-накопителей выявляет файлы, угрожающие безопасности данных или системы. Как правило, они содержат вредоносные программы, которые, в свою очередь, постоянно видоизменяются не хуже вирусного РНК в живой природе. В год появляется около 90 новых malware (вредоносное ПО — «Хайтек»). Самые распространенные из них — трояны, программы-шпионы и шифровальщики, заражение которыми может привести к потере персональных и платежных данных.
Чтобы избежать распространения вирусного контента, каждому работодателю нужно озаботиться наличием у сотрудников ПО, способного остановить атаку и перенос вредоносного кода. Антивирусы должны быть активированы и настроены на автоматическую проверку и обновления. Сотрудники должны пройти инструктаж по работе со съемными носителями и обеспечению безопасности собственного рабочего места. Особое внимание нужно обратить на культуру правильной навигации с рабочего устройства, в частности отказ от серфинга по доменам, в которых фигурирует corona или covid (с начала года зарегистрировано больше 50 тыс. таких страниц, большинство из которых могут быть фишинговыми).
Деловая переписка и почта
Email — ещё один распространенный способ передачи вредоносного ПО. Но опасность электронных писем кроется не только в вирусах, но и в социальной инженерии. Злоумышленники, применяя «почтовые маски», могут выдавать себя за кого угодно — например, партнёра или коллегу. Сейчас хакеры рассылают фишинговые email-сообщения якобы от правительства на тему денежных выплат или новых случаев заражения. А в прошлом году мошенник, представившись в email-переписке управляющим директором компании, заставил сотрудника Nikkei America перевести на сторонний счет $29 млн.
Любой компании для обеспечения безопасности электронных писем лучше иметь либо собственный защищенный почтовый сервер, который администрируют профессиональные специалисты, либо воспользоваться услугами корпоративных онлайн-сервисов.
Ведение особо важной документации можно перевести в электронные системы документооборота, которые, кроме защиты информации, позволят стандартизировать все процессы согласования этапов договоров и иных видов соглашений, а также упростят и ускорят время на их подписание.
Хранение, передача данных и публичные облака
Нередко компаниям приходится сталкиваться с необходимостью обмена большим объемом данных. Передача по почте становится непрактичной.
В таком случае возникает потребность в облачном хранилище. Но использование простых публичных облаков будет не лучшим вариантом для корпоративного сектора. Встроенные в такие продукты средства защиты могут оказаться недостаточными для задач бизнеса. Здесь нужно иметь в виду, что благодаря принятию закона в США, открывающего американским спецслужбам прямой доступ к пользовательским данным популярных интернет-сервисов, вся информация на Google Drive, iCloud и OneDrive, Dropbox становится не такой уж конфиденциальной.
Кроме того, что корпоративные облачные хранилища обеспечивают повышенный уровень защиты информации, они имеют значительный экономический эффект — снижение затрат на ИТ-инфраструктуру (причем как на ее организацию, так и на обслуживание), возможность не тратить ресурсы на создание большой ИТ-службы, возможность сделать бизнес более мобильным, что важно в условиях постоянно повышающейся конкуренции. Лучше всего прибегать к решениям, которые позволяют перенести систему генерации ключей на инфраструктуру клиента. Но даже здесь нужно быть предельно осторожными, иначе есть риск повторить историю крупной утечки данных из Capital One из-за неверных настроек облачной инфраструктуры сотрудником компании.
Общение и мессенджеры
В дистанционном режиме важно продумать организацию качественного и безопасного общения между участниками рабочего процесса. Стандартные мессенджеры вроде Telegram и WhatsApp не подходят хотя бы по той причине, что не могут обеспечить даже организации онлайн-совещаний, не говоря уже о безопасной передаче данных между собой. Например, ранее была выявлена уязвимость WhatsApp, которая позволяла взломать мессенджер через видеозвонок. А в период пандемии, согласно докладу западных спецслужб, хакеры в основном сфокусировались на поиске уязвимости в Zoom. Из-за этого Google даже запретил своим сотрудникам использовать это приложение.
На рынке сегодня есть большой выбор профессиональных корпоративных мессенджеров, например, Microsoft Teams и Slack, которые позволяют эффективно общаться в формате сообщений, аудио- и видеозвонков, конференций. Сегодня рынок B2B-продуктов движется в сторону консолидации продуктов и комплексных услуг. Так, приложение Tada.team содержит в себе сразу несколько сущностей: корпоративный мессенджер, таск-трекер и платформу для управления командой.
Вопросы безопасности в корпоративных мессенджерах проработаны более тщательно, чем в «бытовых» средствах коммуникации, потому что в первом случае речь идет об обмене информацией с конкретной материальной ценностью. Нужно убедиться, что продукт использует длину ключа шифрования не менее 128 бит, защищенные протоколы (самописные или стандартные вроде TLS 1.3.), технологию end-to-end шифрования. Крупным организациям лучше выбирать сервисы с возможностью установки во внутренний контур компании (на сервер), что позволяет самостоятельно и в полной мере контролировать все данные. Ответственные разработчики, как правило, привлекают внешние команды для тестирования на устойчивость системы к взломам, так называемые пентесты.
При выборе конкретных решений советуем следовать примеру Антона Морева, ИТ-директора Wormsoft: «Когда я сталкиваюсь с новым коммуникационным продуктом, то первым делом изучаю его историю и постоянных пользователей. Если это веб-приложение, смотрю сетевую активность в панели разработчика браузера. Однажды с помощью такой проверки мы выявили уязвимость одного иностранного продукта для командной работы. Проверяя панель, мы заметили, что каждое отправленное сообщение дублируется на сторонний ресурс. Как оказалось, в скрипт инициализации frontend-приложения (на стороне разработчика) влезли злоумышленники. Мы переслали скрин создателям продукта, и они быстро устранили эту проблему».
Как подготовить сотрудников
Если в компании до сих пор не было корпоративного регламента по кибербезопасности и работе с данными, сейчас самое время этим заняться. Переход к защищённым бизнес-процессам происходит поэтапно. С чего начать?
- Определить процессы, которые нуждаются в автоматизации и защите. Желательно разбить эту работу на два этапа. На первом выделить самые «горящие» процессы, без которых бизнес не может функционировать, а «стратегическую цифровизацию» оставить на второй этап. Это позволит сократить затраты в моменте.
- Выбрать релевантные решения под нужды компании. Нужно мыслить не только мерками нынешнего кризиса и планировать на долгую перспективу. Онлайн-сервисы существенно упрощают работу компании и сокращают материальные затраты на ИТ-инфраструктуру, поэтому логично продолжать пользоваться приложениями и после возвращения в офисы.
- Выработать внутренний регламент безопасности. Он должен содержать описание всех процессов и имеющихся решений, а также четкие рекомендации по обеспечению безопасности со стороны сотрудников.
- Провести обучение персонала. Несмотря на то, что в настоящее время цифровые сервисы стали обыденностью и применяются во всех сферах экономики, до сих пор существуют пользователи, далекие от понятия «компьютерная грамотность». Как правило, именно эта категория становится легкой добычей для хакеров и «профессионалов» социальной инженерии. Лучшее обучение — это практика: компания, например, может попросить сисадминов имитировать внешнюю атаку или действия злоумышленников, а после устроить подробный разбор полетов.
- Составьте пользовательское соглашение с каждым сотрудником. Даже при самом максимальном уровне безопасности нельзя исключать осознанной утечки данных со стороны пользователей. Важно, чтобы каждый сотрудник осознавал серьезность правовых последствий передачи корпоративной информации третьим лицам как для компании, так и себя лично.
Процесс перехода на удаленную работу сопряжен с организационными сложностями, но при правильном подходе позволит сохранить прежний уровень эффективности и безопасности. В некоторых случаях оцифровка процессов и вывод их за физическое пространство офиса может привести к большей гибкости и мобильности бизнеса, особенно если речь идет о выездных видах сервиса.
Читайте также:
— Ученые выяснили, куда пропала Луна в 1110 году. Ее закрыло облако пепла
— Анализ древних минералов показал высокий уровень кислорода на Земле 2 млрд лет назад