фото показано с forbes.ru

Утечки, промышленный шпионаж, информационные и DDos-атаки — к каким угрозам в сфере кибербезопасности бизнесу стоит отнестись особо серьезно? Если вас еще не взломали, это не ваша заслуга - у хакеров просто не дошли руки, предупреждают эксперты по информационной безопасности.

В кризис они ожидают всплеска экономических преступлений и обострения конкурентной борьбы с использованием DDoS-атак, слухов и провокаций. Попавшие под сокращение сотрудники постараются унести с собой побольше конфиденциальной информации. Увеличится количество кибератак с целью кражи денег или секретов. Впрочем, кризис - это не только проблемы, но и возможность еще раз пересмотреть свой взгляд на кибербезопасность. К каким угрозам бизнесу стоит отнестись особо серьезно, читайте в галерее Forbes.

В одной из столичных компаний лишились ценного проекта: уходя, сотрудник удалил на рабочем компьютере свою учетную запись в Dropbox - облачном сервисе, на котором хранились все его разработки. Так случается часто. 37% сотрудников российских компаний, опрошенных в 2014 году порталом НeadНunter. ru, копировали и уносили собственные наработки, 19% забирали уникальные методики и разработки, созданные в команде, 11% - базы клиентов и контакты партнеров, 6% - результаты труда коллег, 3% - конфиденциальные сведения о компании.

В кризис, когда в компаниях происходят массовые сокращения, количество утечек данных будет только расти, считает Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch. Он вспоминает 2008 год, когда аналитический центр InfoWatch зафиксировал рост утечек с 29% до 45% по сравнению с предыдущим годом. Основных причин воровства информации несколько, замечает Прозоров: это может быть «козырь» для трудоустройства на новом месте, «слив» информации конкурентам за вознаграждение или шантаж работодателя с целью получения бонусов при увольнении.

Одна из самых востребованных в Москве вакансий - менеджер по продажам со своей клиентской базой, замечает Олег Седов, редактор ассоциации по вопросам защиты информации BISA. Некоторых сотрудников переманивают только из-за того, что они приносят с собой какую-то ценную информацию от конкурентов, говорит эксперт.

Рецепт борьбы с утечками довольно прост и эффективен: минимизация прав доступа, регламентирование обработки и защиты конфиденциальной информации, реализация режима защиты коммерческой тайны, использование специализированных систем контроля и мониторинга пересылаемой и хранимой информации (DLP-системы).

Если сотрудников демотивировать и притеснять, никакая DLP не поможет - всегда найдутся хитрые способы украсть корпоративную информацию для обогащения или просто из мести, считает Илья Колошенко, генеральный директор швейцарской компании High-Tech Bridge. По его мнению, часто стоимость внедрения и поддержки DLP обходится дороже, чем поддержание комфортных условий работы в компании.

В России встречаются и особые правила игры. В одной из московских фирм, специализирующейся на установке пультовой охраны, система DLP не помогала: увольняясь, топ-менеджеры уносили с собой клиентские базы и документы. «Начальником службы безопасности у нас стал чемпион СССР по регби и его методы работы были в стиле 90-х - он любил поговорить по душам вне офиса. Это, вроде, сработало», - рассказывает сотрудник этой фирмы.

«Банки СКБ и УБРиР прекращают свою работу! У кого там имеются средства - снимайте немедля!» - написал один из пользователей сети «ВКонтакте» в сентябре 2014 года. Так началась информационная атака на уральские банки - СКБ-банк, Уральский банк реконструкции и развития (УБРиР), ВУЗ-банк и «Нейва». На острие атаки находились соцсети - именно там появились призывы снимать наличность и открывать расчетные счета в других банках.

Из онлайна паника перекинулась в офлайн: у банкоматов и банковских касс растянулись очереди. Уральское отделение Банка России даже вынуждено было выступить со специальным заявлением: распространяется ложная информация, лицензии отзывать не планируют. Представители пострадавших банков не исключили, что «лодку раскачивают» конкуренты: незадолго до этих событий ЦБ отозвал лицензию у ОАО «Банк24. ру» и за клиентскую базу организации - около 35 000 действующих расчетных счетов - развернулась ожесточенная борьба.

«Такие атаки заранее спланированы и хорошо подготовлены: слухи появляются, например, в пятницу вечером, когда службы безопасности разошлись по домам, а в субботу все уже стоят на ушах и развозят по банкоматам наличку на КамАЗах, чтобы сбить панику», - говорит Андрей Масалович, бывший подполковник ФАПСи, создатель информационно-аналитической системы Avalanche. По его словам, служба безопасности и маркетологи банка фиксируют уже развитие атаки, хотя существует возможность выявлять ее зарождение на стадии появления в соцсетях, на форумах, в СМИ и заранее ее нейтрализовывать. Иначе банк ждут большие неприятности - после аналогичной атаки в кризисный 2008-й банк «Северная казна» столкнулся с дефицитом ликвидности.

DDоS-атаки - отказ в обслуживании из-за перегрузки системы - сопровождали все значимые события 2014 года: Олимпиаду в Сочи, переворот в Киеве и войну на юго-востоке Украины, гибель малазийского «Боинга». Но в период кризиса из-за обострения конкурентной борьбы становится больше коммерческих заказов на DDoS, уверяют эксперты компании Qrator Labs. Согласно их отчету, в 2014 году число атак мощнее 10 Gbps выросло в 3 раза, с 47 до 155 (данные на 1ноября 2014 года), то есть такие атаки фиксируются в среднем через день. Атаки мощнее 100 Gbps происходят в среднем еженедельно, их число выросло в 11 раз, с 7 до 76 за год. Атакуют не только СМИ, но и крупные компании финансового сектора - платежные системы, банки, Forex и их аналоги, интернет-магазины.

Почему атаки становятся массовыми? «Инструменты, реализующие Volumetric-атаки (адресный инструмент против крупных целей), доступные раньше отдельным группам, вышли на массовый «хакерский рынок», - говорит Александр Лямин, руководитель Qrator Labs. Кроме того, услуги дешевеют - стоимость одной такой атаки снизилась до $10-50 в сутки за 1 ГБ полосу.

В конце года хакеры атаковали online-акцион, на котором выставляются госзаказы. «Некая компания "Ромашка" делает ставку, что выполнит заказ за 800 млн рублей, и в этот момент начинается DDoS-атака на торговую площадку, так что остальные участники торгов не могут сделать свою ставку, - и формально выигрывает "Ромашка". Торги идут три раза в неделю - каждую торговую сессию возникает DDoS-атака, - говорит Игорь Ляпунов, директор центра информационной безопасности компании “Инфорсистемы Джет”. - Инструменты для кибератак доступны - короткий 15-минутный DDoS стоит $300».

«Такого рода угрозы, точнее, готовность к их отражению, лучше всего характеризуют состояние службы информационной безопасности в организации», - считает Михаил Савельев, директор Учебного центра «Информзащита». Олег Седов, главный редактор BISA, замечает, что за вчерашними «озорниками», развлекавшимися атаками на сайты, теперь стоит преступное сообщество. В банках знают, что если идет DDoS-атака, то скорее всего кто-то отвлекает внимание и подчищает следы иной более серьезной преступной активности.

Случаев, когда организаторов DDоS-атаки доводят до суда, единицы. Одно из них - дело основателя Chronopay Павла Врублевского, которого вместе с двумя питерскими хакерами осудили за DDоS-атаку на процессинговую компанию Assist, обслуживавшую платежи клиентов «Аэрофлота».

Подаренная на Новый год беспроводная клавиатура может оказаться не милым презентом, а скрытым кибероружием, с помощью которого начинается целевая атака на компанию. Секрет в том, что передатчик в клавиатуре переделан на выдачу мощности сигнала не на штатные 10-15 метров, а на 300 метров. «В итоге, всего-то за 3000 рублей - цена такого девайса, - в информационную систему компании можно проникнуть из ближайшего к офису кафе», - говорит Михаил Савельев, директор учебного центра «Информзащита».

Основными мишенями целевых кибератак остаются государственный и финансовый сектор, а мотивом нападения - промышленный шпионаж или кража денег. «В ход идут все средства: и социальная инженерия, и откровенный шпионаж, и подкуп,шантаж сотрудников, - замечает Савельев. - Могут быть и установленные «жучки» и внедренное программное обеспечение, которое будет собирать важную для нас информацию или выполнять нужные действия». Например, случайно найденная возле офиса флешка с «отчетом» компании-конкурента установит на компьютер вирус, который будет собирать и отправлять хозяевам информацию из компьютера из внутренней системы жертвы.

В прошлом году госсекторе хакеров интересовали ФГУП «Главный центр спецсвязи», ФГУП «Строительное объединение управделами президента», департамент здравоохранения Москвы. Самой изощренной атаке подверглась администрация республики Башкортостан. Для попадания в корпоративную сеть и кражи финансовой информации использовался банковский троян - вредоносная программа была установлена на 5 компьютерах чиновников.

Даже самые высоко-профессиональные хакерские группировки, работающие на правительства или бизнес, сначала ищут легкие пути взлома, замечает гендиректор компании High-Tech Bridge Илья Колошенко. Сейчас «чумой» являются уязвимые веб-приложения и сайты - их безопасности практически никто не уделяет внимания, а их взлом приводит ко взлому внутренней сети компании. Все чаще хакеры атакуют не жертву на прямую, а одного из поставщиков ПО, клиентов или партнеров жертвы: они имеют доступ к необходимым данным, но при этом в десятки раз хуже защищены.

Противостоять атакам можно лишь путем «повышение осведомленности пользователей информационных систем», предупреждает Савельев: не кликать на подозрительные ссылки, не открывать сомнительные письма и сообщения, не оставлять без присмотра корпоративные компьютеры и по минимуму выдавать информацию о себе в социальных сетях. Не повредят для компаний и «боевые учения» - offensive security (агрессивная защита информации), - то есть поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак.

Вечером 24 июня 2014 года служащий одного из российских банков получил на корпоративную почту письмо за подписью службы поддержки Центробанка. В нем был вложенный файл и приписка, что в соответствии с федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» всем сотрудникам кредитных и финансовых организаций необходимо ознакомиться с вложенным документом. Никаких подозрений письмо, присланное с адреса «support@cbr. msk. ru», у получателя не вызвало, и сотрудник распаковал файл. Спустя несколько недель со счета банка была списана крупная сумма.

Это один из примеров того, как киберпреступники из группы Anunak заражали банковские компьютеры одноименным трояном и получали доступ к информации. Среднее время от попадания в сеть финансовой организации до вывода средств составляло 42 дня, говорится в отчете Group-IB, специализирующейся на предотвращении и расследовании компьютерных преступлений. В среднем группа Anunak выводила около $2 млн, всего за неполные два года преступникам удалось похитить около 1 млрд рублей - мишенью хакеров стали около 50 банков и пять платежных систем в России и на территории СНГ.

Всего же, согласно отчету Group-IB за 2014 год, в России было зафиксировано около 35 целенаправленных атак на банки. Кроме них, нападениям подверглись «Сколково-Нанотех» и «Тройка Венчур Кэпитал», в платежей системе «Киви» было похищено 80 млн рублей.

«Целевых атак на банки будет больше и они будут успешнее, история с Anunak показывает новый тренд - киберпреступники чаще будут нападать не на клиентов банков, а на сами финансово-кредитные учреждения», - замечает Илья Сачков, глава Group-IB. Кроме того, по его прогнозам, вырастет количество хищений в онлайн-банкинге на мобильных платформах.

Более 50% случаев корпоративных злоупотреблений и мошенничеств в России приходится на долю топ-менеджмента, говорится в отчете Association of Certified Fraud Examiner и PwC. Расхищается не менее 45% вложенных в бизнес-процессы активов, а 10% топ-мошенников входят в составы советов директоров своих компаний. В кризис аппетиты только растут: работодатели сокращают премии, бонусы, а порой и зарплаты, а банки индексируют выплаты по кредитам в соответствии с ростом курса валют.

На волне кризиса 2008 года сисадмин одной из столичных строительных компаний украл с ее счета 9 млн рублей. Выяснилось это быстро - в офис приехали детективы Group-IB и их руководитель Илья Сачков, случайно заглянув в один из ноутбуков, увидел письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги.

Кражи покрупнее редко совершаются в одиночку: топ-менеджеру требуются помощники-соучастники. Вскрывать такие синдикаты лучше удается «оперативными» методами, но информационная безопасность тут тоже может помочь. «Используя системы корреляции событий с разных систем - почты, СКУД, телефонии и т. п. , - мы можем выявлять устойчивые связи сотрудников, устойчивые цепочки событий (например, отгрузка товара одному из клиентов осуществляется только после созвона ряда менеджеров), видеть нелогичные связи между сотрудниками подразделений», - говорит Михаил Савельев, глава учебного центра «Информзащита».

Не стоит забывать и о внутреннем вредительстве, предупреждают эксперты компании Cisco. При увольнении некоторые сотрудники могут не только унести с собой ценную информацию, но и нанести ущерб работодателю: вывести из строя какие-либо элементы инфраструктуры или установить вредоносные закладки в программное обеспечение.

В кризис компании начинают экономить: ожидается урезание не только бюджетов на информационную безопасность, но и сокращение профильных специалистов. «Если в 2013-м и 2014 годах компании, входящие в неформальные списки очень защищенных, почти все были успешно атакованы и потеряли деньги, что говорить о 2015-м, когда новых решений компании не покупают, специалистов сократили, а потребность в деньгах у преступников и нечестных людей возросла?» - недоумевает Илья Сачков, глава Group-IB.

Даже в тяжелое кризисное время он советует сосредоточиться на обучении и сервисах, которые могут предсказать развитие какой-либо атаки. Проблемой, которая привела ко многим успешным хищениям в 2014 году, стало отсутствие у многих служб безопасности понимания, что делать, если заражение обнаружено. «Должны выстраиваться профессиональные процессы реагирования и локализации инцидента, но в большинстве организаций реагирование сводится к антивирусной зачистке. При этом в 86% хищений на компьютере стоит антивирусное ПО», - замечает глава Group-IB.

«Среди «безопасников» встречается порой феерическая неграмотность, - подтверждает Игорь Ляпунов, директор центра информационной безопасности компании "Инфосистемы Джет". - Для некоторых безопасность упирается лишь в выполнение нормативных требований, сертифицации средств защиты, а мира киберопасности для них как бы не существует: мы в телескоп смотрели, но инопланетян не видели».

Аналог Ноткоин - TapSwap Получай Бесплатные Монеты

Подробнее читайте на forbes.ru