close
МЕНЮ

Публікації

Ключові контакти
2 Квітня 2021

Сергій Погребной — «З початком пандемії COVID-19 вибухово зросла кількість кібератак»

Джерело: Бізнес

У 2020 р. кількість атак зросла більш ніж на 50%, а все тому, що більшість співробітників компаній не дотримувалися навіть загальних базових рекомендацій щодо забезпечення корпоративної кібербезпеки (часто навіть банальної кібергігієни). Зараз грамотно вибудуваний процес управління кібер-вразливостями став однією з пріоритетних потреб корпоративної безпеки, яким його раніше, на жаль, не вважали.

Компанії в терміновому порядку виводили локальні сервіси за периметр для можливості експлуатації в умовах віддаленої роботи, але не всі приділяли достатньо уваги надійності організованої системи, а багато хто просто не встиг забезпечити належний захист.

Нові хвилі пандемії підштовхнули бізнес до все більш глибокого і системного корпоративного використання домашніх мереж співробітників. Як правило, в домашніх мережах складно знайти системи виявлення вторгнень і інші захисні системи корпоративного рівня. У зв’язку з цим шахраї можуть надовго закріплюватися в домашніх мережах і занурюватись в усі організації, до яких мають доступ учасники домашньої мережі. Особливою увагою користуються мережі керівників і менеджерів критичних для компаній процесів – вартість їхніх даних з лишком окуплять і ризик злому, на відміну від даних рядових співробітників з обмеженими доступами. Вторгнення в корпоративні мережі через подібні вразливості може призвести не тільки до крадіжки конфіденційних даних, але і до вторгнення в комунікацію фінансово відповідальних осіб, що своєю чергою загрожує значними фінансовими збиткамиу не тільки компанії, яка піддалася незаконному вторгненню, але і її контрагентів.

Крім очевидної уваги до побудови системи контролю доступу до корпоративних мереж з дому, впровадження програм управління змінами даних і додатків, а також системного відстеження загроз в хмарах, на е-пошті і в призначених для користувача пристроях, ми наполягаємо на належній увазі до юридичної сторони подібних інцидентів. Кожен наш клієнт після проведення внутрішнього аудиту, отримує розгорнуту консультацію, що собою являють електронні докази, як і чим їх фіксувати, щоб потенційне розслідування злочину мало перспективу в руках як приватних компаній, так і правоохоронних органів.

Так як компанії різні (за активами, штатом, територіальним розосередженням, критичністю інфраструктури, рівнем захищеності і т.д.), набір заходів із захисту від загроз найкраще визначати в кожному конкретному випадку з залученням команди фахівців. Існує як мінімум кілька організаційних форм, в рамках яких такі заходи можна розробити і впровадити: провести аудит кібербезпеки і реалізувати рекомендації, отримані за його підсумками; виховати власну команду з кібербезпеки; підключитися до зовнішнього SOC – довіритися аутсорсинговому центру з кібербезпеки.

В узагальненому вигляді заходи щодо забезпечення безпеки можуть бути наступними:

  • ідентифікація та пріоритезація активів компанії з урахуванням їхнього поділу в залежності від вартості придбання або заміни активу, впливу недоступності на операційну діяльність; в залежності від наслідків нанесення шкоди активу; від тривалості заміни; впливу на репутацію в зв’язку з недоступністю активу;
  • визначення ключових ризиків в залежності від контексту бізнес-середовища і ситуації, в якій знаходиться компанія в поточний момент;
  • побудова системи кібербезпеки. Як мінімум, впровадження мережі сенсорів і підсистеми управління інцидентами; налаштування зовнішніх потоків даних про критичні події; розробка і впровадження політики безпеки, правил і процедур реагування на інциденти, актуалізації оновлень ПО, розподілу доступу та ін.; створення/модернізація системи резервування ресурсів і активів; забезпечення готовності до залучення зовнішньої команди кіберзахисту для реагування; налагодження взаємодії з правоохоронними органами, каналів взаємодії з медіа для нейтралізації репутаційних ризиків; забезпечення постійного навчання персоналу;
  • впровадження оцінки ступеня захищеності бізнесу, загроз і якості реагування на інциденти, орієнтовані в першу чергу на топ-менеджмент;
  • впровадження системи незалежного тестування персоналу, періодичного проведення тестів на проникнення і незалежних аудитів кібербезпеки.

Рівень ставлення українського бізнесу і держави до питань кібербезпеки добре проілюстрували події червня 2017 р. і наступного періоду. Тоді величезна кількість компаній були вражені вірусом і зазнали збитків різного ступеня тяжкості. Резонанс, удар по репутації і сумарні збитки були колосальні. Сьогодні, майже через чотири роки, в більшості випадків підходи до забезпечення кібербезпеки практично не змінилися.

Тільки за минулий рік було кілька успішних кібератак проти вітчизняних ІТ-компаній. Найбільш відомий випадок – злом великої української ІТ-компанії на початку вересня 2020 р. Один з небагатьох випадків, який став публічним, тоді як в більшості випадків ані факти, ані подробиці таких атак жертвами не розголошуються. І це одна з основних проблем: в Україні відсутні механізми і організації, які б забезпечували обмін інформацією про такі інциденти, їх аналіз і розробку рекомендацій щодо запобігання.

Цей приклад показує, що навіть великі ІТ-компанії, які серед іншого позиціонують себе як провайдерів послуг в сфері забезпечення кібербезпеки, не завжди можуть з 100% надійністю протистояти кібератакам. Лише деякі великі компанії не з ІТ-сектору виділяють ресурси на забезпечення кібербезпеки. І навіть вони в більшості випадків розглядають кібербезпеку як додаткову функцію ІТ-підрозділу, хоча це в корені неправильно.

На загальному тлі з позитивної сторони в цьому плані виділяються банківська сфера, а також енергетичні підприємства. Очевидна причина – високий рівень ризиків, а в частині банківської сфери ще і наявність якісної нормативної бази, заснованої на міжнародних стандартах.

На наш погляд, є дві основні причини, які формують таке легковажне ставлення до кібербезпеки.

Перша причина – це відсутність достатніх законодавчих та ринкових важелів, які б стимулювали бізнес розвивати механізми забезпечення кібербезпеки. На сьогодні чи не єдиним стимулом позитивних змін у цій сфері є бажання бізнесу вийти на іноземні ринки і, як наслідок, забезпечити відповідність своїх процесів управління ризиками сучасним вимогам міжнародних або національних стандартів зарубіжних партнерів (міжнародні стандарти ISO/IEK 27-ї серії, американські NIST FIPS 199,200 і SP86-ї серії і т.д.).

Національне законодавство і реальність державного управління в цій сфері знаходиться в зародковому стані і практично не стимулює інвестиції в кібербезпеку. Кілька років тривають безуспішні спроби створити національну систему забезпечення кібербезпеки об’єктів критичної інфраструктури (ОКІ). Але поки що вимоги до їх безпеки нормативно не визначені, відповідно, немає ніяких механізмів їхнього контролю і забезпечення. Заради справедливості варто відзначити, що в жовтні 2020 р. Кабмін визначив критерії віднесення об’єктів до ОКІ і методику їх категоризації, зробивши тим самим перший крок в цьому напрямку, але до результатів все ще дуже далеко. Міжнародні стандарти в цій сфері інкорпоровані в українське законодавство лише частково, і в рекомендаційної формі. Є певні успіхи НБУ в регулюванні питань кібербезпеки банківської сфери та ознаки спроб НКЦК при РНБО домогтися позитивних змін в цілому по державі. Але інші недержавні суб’єкти поки що помітні переважно в намаганні використати цю тему для протягування сумнівних законопроєктів, пов’язаних з блокуванням інтернет-ресурсів і т.п.

Друга причина – це відсутність комплексного підходу до безпеки як до системи управління ризиками. Кібербезпека є лише частиною інформаційної безпеки, але ні та, ні інша не буде ефективна у відриві від фізичної, фінансової, правової, кадрової безпеки. Конкретні методи і форми забезпечення безпеки бізнесу в цілому повинні формуватися виходячи зі специфічних для підприємства ризиків і мати комплексний характер. Найкраща електронна система не зможе забезпечити навіть мінімального рівня кібербезпеки, якщо у атакуючих буде фізичний доступ до серверів і інфраструктури, персонал і менеджмент не поінформовані про ризики, загрози та методи протидії атакам, а тому не бере участі в процесах щодо забезпечення безпеки, відсутні ефективні механізми та процедури реагування на інциденти, не налагоджене резервування і відновлення пошкоджених даних, не оцінені юридичні аспекти наслідків і т.д.

Ефективне управління ризиками та реагування на кризові ситуації, в тому числі кібератаки, має на увазі необхідність залучення значної кількості різнопланових фахівців, утримання яких в штаті компанії «в мирний час», як правило, фінансово не виправдане. Ми вирішуємо цю проблему через створення комплексного сервісу по забезпеченню безпеки бізнесу, в рамках якого експерти компаній – учасників проєкту готові надати весь спектр послуг з комплексного забезпечення безпеки, виходячи зі специфічних ризиків і загроз конкретного бізнесу.

Поділитися:

Далі Публікації
Показати більше