Нещодавня кібератака на українські державні вебсайти налякала багатьох власників бізнесу не тільки в Україні, але й за кордоном. Руйнівне зловмисне програмне забезпечення, замасковане під програму-вимагач, було виявлене у системах, що належать десяткам українських державних установ і організацій, які тісно співпрацюють з українським урядом. Ці агенції та організації забезпечують критичні функції виконавчої влади або реагування на надзвичайні ситуації, і включають ІТ-компанію, яка керує вебсайтами для клієнтів із державного та приватного секторів. Поки команда реагування на надзвичайні ситуації опрацьовує терабайти зібраної інформації, проводить розслідування та намагається з’ясувати, хто стояв за цим нападом і які наступні кроки можуть зробити противники, для українських компаній настає час замислитися – що потрібно робити, щоб захиститися від подібних нападів? Чи достатній рівень захисту компаній, щоб протистояти іншим кібератакам, а у разі зовнішнього втручання вичистити ІТ- інфраструктуру від зловмисників у найкоротший час та відновити операційні процеси?
«Поверхня» зовнішніх атак швидко зростає через три поширені фактори: зростає кількість ІТ- з’єднань із третіми сторонами – партнерами, постачальниками, сервісними організаціями – саме цей шлях використали зловмисники, щоб атакувати українські сайти. Також збільшується різноманітність технічних пристроїв та зростає популярність використання загальнодоступної хмарної інфраструктури. Дві третини організацій визнають, що вони зазнали принаймні однієї кібератаки, яка почалася з використання невідомого, некерованого або погано керованого ресурсу, доступного через інтернет.
Програми управління вразливостями ІТ-інфраструктури є постійним викликом для фахівців з безпеки серед яких необхідність реагувати на великий обсяг відкритих вразливостей, слабкий рівень автоматизації процесу виявлення вразливостей, визначення пріоритетів та зменшення їх наслідків , використання різних інструментів управління вразливостями. Незважаючи на роки спроб, багато організацій досі не розуміють, як налагодити процес управління вразливостями. Наприклад, IT-компанії, що надають послуги з кібербезпеки, наполегливо рекомендують всім організаціям для початку негайно провести ретельну діагностику рівня своєї інформаційної безпеки та впровадити необхідні захисні механізми.
Почніть з кібергігієни
Незважаючи на те, що кібербезпека є складною та багатогранною, міжнародні навчальні центри (SANS, ISC2, ISACA та інші), державні та галузеві регулятори (GDPR, PCI DSS тощо) та передові практикирекомендують починати з гігієни кібербезпеки та управління її станом. Експерти погоджуються, що надійна кібербезпека починається з основ, таких як розуміння всіх розгорнутих ІТ-активів, встановлення безпечних конфігурацій у системах, моніторинг відхилень від цих безпечних конфігурацій, пріоритизація дій з усунення вразливостей на основі оцінки ризику та перевірка того, що всі елементи вашої інфраструктури безпеки та процеси працюють коректно.
Гігієна безпеки та управління її станом залишаються незрілими – більшість організацій використовують більше десяти інструментів управління інформаційною безпекою, що призводить до операційних витрат, невідповідності даних, жонглювання відповідальністю та людських помилок. Приблизно три з чотирьох організацій визнають, що електронні таблиці залишаються ключовим інструментом управління, що призводить до низки проблем з самого початку.
Управління інформаційними активами залежить від інструментів, процесів і спільної роботи між підрозділами організації. Неможливо керувати тим, що неможливо виміряти, тому управління активами і процесами безпеки залишається випадковим та ситуативним. Організації зазвичай використовують велику кількість розрізнених систем інвентаризації ІТ-активів, витрачають людські ресурси для створення єдиної таблиці з інвентаризації та вимушені повторювати ці вправи кожні кілька місяців. Це призводить до численних проблем через наявність суперечливих даних та необхідність встигати за змінами в інформаційних системах.
Нові умови роботи вимагають зміни корпоративних політик
COVID-19 вплинув на всі аспекти особистого та професійного життя, і призвів до змін у підходах до безпеки організацій. Зараз мільйони працівників отримують доступ до корпоративних мереж або хмарних ресурсів через домашній Wi-Fi, ІТ-спеціалісти усувають несправності критично важливих систем за допомогою віддаленого доступу, змінюються та диджиталізуються ланцюги постачання. Велика кількість співробітників залишаються вдома, спілкуючись із колегами за допомогою програмного забезпечення для телеконференцій та відеоконференцій, і атаки на ці служби залишаться проблемою. Атаки програм-вимагачів не мають ознак уповільнення. Відтепер організаціям доводиться мати справу зі своїми співробітниками, які виконують багато як робочих, так і особистих справ одночасно з кількох пристроїв у середовищі, яке може бути недостатньо захищеним.
Організаціям потрібно прийняти офіційні корпоративні політики та процедури, яких співробітники мають дотримуватися – так організаціям буде простіше боротися з типовими загрозами, як наприклад, спроби підключити сеанс, щоб підслуховувати розмови та переглядати презентації, які можуть містити конфіденційну інформацію. Я рекомендую організаціям виконувати такі нескладні дії, як перевірка та очищення списків запрошень, захист паролем відеоконференцій, розсилання паролів окремо від запрошення на зустріч, допуск учасників вручну модератором та блокування зустрічі після її початку.
Також організаціям треба зробити фокус на навчання та тренінги для всіх співробітників для запобігання фішинговим атакам, які найчастіше призводять до злому внутрішніх систем або конфіденційних даних.
Впровадження моделі безпеки з нульовою довірою забезпечить захист віддалених працівників, гібридні хмарні середовища та знизить ризики загрози програм-вимагачів. Побудова безпеки з принципом нульової довіри вимагає, щоб усі користувачі, як у мережі організації, так і за її межами, проходили автентифікацію, авторизацію та постійну перевірку конфігурації та стану безпеки, перш ніж отримати або зберегти доступ до програм і даних.
Чутливої зони для зловмисників: на що звертати увагу
Серед українських компаній використання цифрового підпису стає все популярнішим, але це відкриває шлях до так званих атак з компрометації ділової електронної пошти (КДЕП). ФБР визначає 5 основних типів шахрайства КДЕП:
- Шахрайство від імені генерального директора: зловмисники представляються генеральним директором або керівником компанії і зазвичай надсилають електронний лист особі у фінансовий відділ з проханням перевести кошти на рахунок, який контролює зловмисник.
- Компрометація облікового запису: обліковий запис електронної пошти співробітника зламано і використовується для запиту платежів постачальникам. Потім платежі надсилаються на шахрайські банківські рахунки, що належать зловмиснику. Схема фальшивих рахунків-фактур: за допомогою цієї тактики зловмисники зазвичай націлюють на іноземних постачальників. Шахрай діє так, ніби він є постачальником і вимагає переказу коштів на шахрайські рахунки.
- Вдавати з себе адвоката або державного службовця: зловмисник видає себе за адвоката або податкового інспектора. Співробітники нижчого рівня зазвичай стають мішенню через такі типи атак, коли не вистачає досвіду, щоб поставити під сумнів справжність запиту.
- Крадіжка даних: ці типи атак, як правило, спрямовані на співробітників відділу кадрів, щоб отримати особисту або конфіденційну інформацію про осіб у компанії, таких як генеральні директори та керівники. Ці дані потім можуть бути використані для майбутніх атак, таких як шахрайство, націлене на генеральних директорів або скоюється від їх імені.
Навчіть ваших співробітників шукати ознаки того, що електронний лист може бути несправжнім, або підробленим. Наприклад, якщо:
- Керівники високого рівня просять надати незвичайну інформацію: наприклад, податкову інформацію або персональні дані окремих співробітників. Для підлеглих природньо швидко відповісти на такий електронний лист, але варто зробити паузу і замислитися, чи має сенс такий запит. Найкраще співробітнику, якому надійшов такий лист, перепитати у свого керівника про доцільність такого запиту.
- Прохання не спілкуватися з іншими: електронні листи зловмисників часто містять прохання до одержувача зберігати конфіденційність запиту або спілкуватися з відправником лише електронною поштою.
- Запити, які обходять звичайні канали: більшість організацій мають системи обліку, за допомогою яких мають оброблятися рахунки та платежі, незалежно від того, наскільки терміновий запит. Коли ці канали обходяться електронною поштою безпосередньо від керівника з проханням, наприклад, провести терміновий банківський переказ якнайшвидше, співробітнику варто з підозрою віднестися до цього запиту.
- Стилістика тексту листа та незвичні формати дат: деякі листи приманюють бездоганною граматикою, проте людині притаманно робити помилки Також наявність нестандартних форматів дати (наприклад, місяць день рік) або така стилістика електронного листа, що вказує на можливе написання листа не носієм мови, є частими ознаками кібератак.
- Домени електронної пошти та адреси «Відповісти» не збігаються з адресами відправника: в електронних листах від зловмисників адреси відправників часто підроблюються таким чином, що їх важко відрізнити від справжніх, тому їх легко пропустити, наприклад companyMame.com замість companyname.com.
Ланцюг поставок організації – ще одна чутлива зона організації та потенційна мішень для зловмисників. Ланцюг поставок у компанії міцний лише настільки, наскільки міцна його найслабша ланка, і саме так хакери переслідують найбільш привабливі цілі. Я рекомендую організаціям звертати особливу увагу на третіх сторін, партнерів, підрядників, постачальників керованих послуг і постачальників хмарних послуг. Наполягайте на тому, щоб ці організації продемонстрували, що їхні методи безпеки є надійними, і постійно перевіряйте, чи ці організації дотримуються своєї політики безпеки.
Прості кроки управління інформаційною безпекою – з чого почати
Я рекомендую навіть невеликим компаніям взяти на озброєння ризик-орієнтований підхід та впровадити систему управління інформаційною безпекою (СУІБ), і особливо стартапам, які пружно зростають. Набагато легше побудувати процеси з самого початку розвитку організації, ніж терміново змінювати процеси, коли стався інцидент, а інтелектуальна власність була втрачена. Існує декілька стандартів (ISO27001, NIST, CSA, ISF, PCI та інші), які можна вивчити самостійно або залучити сторонніх консультантів для впровадження. Основні кроки, на яким слід приділити найбільшу увагу:
- Отримати підтримку керівництва для забезпечення достатньої кількості людей для роботи над проєктом, та визначення бюджету для впровадження необхідних змін.
- Далі, визначити сферу застосування. Для великих організацій, ймовірно, має сенс впровадити систему управління інформаційною безпекою (СУІБ) лише в деяких, найбільш критичних, частинах вашої організації, що значно знизить ризик проєкту.
- Проте, якщо у компанії менше 50 співробітників, ймовірно, буде легше включити всю компанію в сферу дії. Також потрібно створити політику інформаційної безпеки, визначити методологію оцінки ризиків, виконати оцінку ризиків та вирішити, як пом’якшити виявлені зони ризику.
- Наостаннє, потрібно вміти керувати СУІБ, контролювати безліч показників ефективності та запровадити принципи постійного покращення.
Існує думка, що стратегічне планування більше не є практичним або необхідним у сучасному технічному середовищі, коли цифровий світ швидко змінюється. Проте стратегія все ще залишається важливою частиною визначення чітких цілей компанії та способів їх досягнення. Чіткий і стислий стратегічний план безпеки дозволяє правлінню, керівництву та співробітникам бачити, що від них очікується, зосередити свої зусилля в правильному напрямку і знати, коли вони досягли своїх цілей. На жаль, у багатьох організаціях або відсутній стратегічний план інформаційної безпеки, або принаймні втратив актуальність. Стратегічний план інформаційної безпеки може направляти організацію на пом'якшення, передачу, прийняття або уникнення інформаційного ризику, пов'язаного з людьми, процесами та технологіями. Переваги для бізнесу від створення та дотримання ефективного стратегічного плану інформаційної безпеки є значними і можуть підвищити конкурентну спроможність. Це може включати дотримання галузевих стандартів, уникнення шкідливих інцидентів безпеки, підтримання репутації бізнесу та підтримку зобов’язань перед акціонерами, клієнтами, партнерами та постачальниками. План повинен містити перелік результатів і контрольних показників для ініціатив, включаючи призначення відповідальних осіб.
Інформаційна безпека – це подорож, а не пункт призначення. Виконання стратегічного плану безпеки є критичним фактором успіху для організацій, які дійсно хочуть максимізувати свою здатність керувати інформаційними ризиками. Інформаційна безпека має розглядатися як додаткова цінність до процесів стратегічного планування, зосереджуючись на тому, як стратегія може допомогти бізнесу досягти успіху.
Геннадій Резниченко, заступник директора практики з надання консультаційних послуг у сфері інформаційних технологій і кібербезпеки KPMG в Україні