«На многих предприятиях, чтобы зайти в компьютер главбуха, не надо обладать какими-то сверхспособностями. Можно поднять клавиатуру и увидеть пароль, написанный на бумажке», — рассказывает об уровне кибербезопасности в российских компаниях директор «Иксон Секьюрити» Даниил Бурчин. Бизнесмены лишь создают видимость безопасности для проверяющих органов, тем самым рискуют столкнуться с хакерами, которые заморозят работу и потребуют денежное вознаграждение, или нарваться на миллионные штрафы от государства. О том, как данные утекают из-за банального отсутствия цифровой гигиены, почему компании не хотят вкладываться в кибербез и как сотрудники «Иксон Секьюрити», взломавшие Instagram* и Microsoft, обеспечивают безопасность клиентов, — в материале.
Даниил Бурчин, директор компании «Иксон Секьюрити»: «У нас очень мало компаний, наверное, меньше десятой доли процента, которые действительно вкладываются в кибербез, потому что владеют какими-то инновациями и хотят их сберечь от злоумышленников»
Количество атак увеличивается, растут и штрафы за утечки данных
С каждым годом в сеть утекает все больше персональных данных россиян. Для сравнения: 300 млн записей попали в сеть за весь прошлый год, а 510 млн только за два первых месяца 2024-го, причем 500 из них утекли одномоментно. С началом СВО увеличилось количество киберугроз для бизнеса — российская информационная инфраструктура в прошлом году пережила около 200 тыс. кибератак.
При этом если крупные компании стабильно вкладываются в защиту, то средний и малый бизнес до сих пор не осознал всей важности информационной безопасности (ИБ). «Во многих компаниях выполняется минимально необходимый набор мер, только чтобы прикрыть свои тылы от регулятора и в большинстве случаев и то только „на бумаге“. У нас очень мало компаний, наверное, меньше десятой доли процента, которые действительно вкладываются в кибербез, потому что владеют какими-то инновациями и хотят их сберечь от злоумышленников», — отмечает Даниил Бурчин, директор компании «Иксон Секьюрити», занимающейся защитой информации.
Дело в том, что владельцы бизнеса не могут измерить выгоду от вложений в безопасность в деньгах, отмечает он. «Условно говоря, у начальника производства металлоконструкций есть выбор, куда вложить 25 миллионов. Купить станок, который позволит производить больше изделий и приносить дополнительную прибыль, или вложить в систему DLP (Data Loss Prevention — ПО, которое защищает организацию от утечек данных, — прим. ред.)? Конечно, он купит станок».
При этом компании не понимают, что уязвимости могут привести к финансовым потерям. «Я тысячу раз с этим сталкивался, говорят, мол, мы не готовы 25 миллионов вложить, наша база 1С не стоит таких денег. Но потом выясняется, что за последние 5 лет они в разработку 1С вложили 200 миллионов! То есть бизнес не понимает стоимость своих активов! Это большая проблема», — говорит Бурчин.
Но не только хакерские атаки вынуждают бизнес сосредоточиться на безопасности, но и реакция государства. Например, в виде оборотных штрафов за утечки данных. Законопроект уже принят в первом чтении. Если сейчас компании платят за утечки до 300 тысяч, то будут платить от 15 до 500 миллионов. «Регулятор пытается защитить персональные данные, потому что ими пользуются мошенники, совершаются спам-звонки и прочее. Но эта история подстегнет всех, потому что злоумышленники, понимая, что на бизнес будут накладываться такие штрафы, будут больше этим пользоваться и требовать из бизнеса деньги. Либо ты заплатишь государству, либо мошенникам, либо вложишься в свою безопасность», — считает эксперт.
«Все проводят семинары по технике безопасности на производстве. Но работодатель точно так же должен обучить своих сотрудников правильно работать с информацией»
Выкупы в биткоинах, онлайн-казино на месте сайта, слитые базы: чем рискует бизнес
Риски для бизнеса можно разделить на две большие группы:
- Киберугрозы. Хищение, шифрование данных, которое ведет к приостановке работы учетных систем и сайтов, выходу из строя оборудования, потере управления системами и прочим последствиям.
- Утечки данных.
«Преимущественно при взломах системы или сервера данные либо подменяются, либо похищаются, либо шифруются. Это приводит к тому, что они изменяются и используются для вымогательства денег или их просто публикуют», — рассказывает Бурчин.
Таких примеров масса, рассказывает эксперт. Например, у одной большой розничной сети взломали и зашифровали базу 1С вместе со всеми резервными копиями, они, по классике, хранились на одной физической машине и попросили за возврат несколько биткоинов. (1 биткоин стоит больше 5 млн рублей — прим. ред.). «Отследить и найти злоумышленников, когда это уже случилось, как правило, невозможно. Но, учитывая, что их базу восстановили, значит, они заплатили. Это большая сеть розничных магазинов, у них день простоя недешево обходится», — отмечает Бурчин.
Кроме этого, эксперт предсказывает новый вид вымогательства: «Допустим, у поставщика товаров на маркетплейсе украдут базу данных клиентов. Злоумышленник попросит выкуп, бизнесмен откажется. Хакер может разместить эти данные в сети, и лица, которые есть в этом списке, могут потребовать от контрагента денежную компенсацию. А если это поставят на поток? Это же белая схема. Юристы найдут остальных пострадавших и составят коллективный иск».
Или другой пример — на сайте компании в сфере ЖКХ хакеры открыли онлайн-казино. «Есть же еще и репутационные риски. У вас есть сайт, ежедневно им пользуется большая аудитория, и вдруг они заходят и видят какой-то ненормативный контент. В дальнейшем это тоже может сыграть в минус», — считает Бурчин.
Главные виновники утечек данных — сами сотрудники. Причем в 80% случаев это происходит неосознанно. «Все проводят семинары по технике безопасности на производстве. Но работодатель точно так же должен обучить своих сотрудников правильно работать с информацией. У нас на многих предприятиях, чтобы зайти в компьютер главбуха, не надо обладать какими-то сверхспособностями. Можно поднять клавиатуру и увидеть пароль, написанный на бумажке. А дальше, заполучив банковский токен, который директора зачастую передают в бухгалтерию, можно получить доступ к расчетным счетам».
«Когда ты понимаешь, что есть закон и за него действительно спрашивают, — это одна история. А когда есть еще и риск потерять бизнес из-за того, что ты где-то недостаточно вложил, то это совсем другое дело. Раньше можно было потерять бизнес из-за пожара, потопа или кризиса, а сейчас вроде все на месте, но доступа нет», — резюмирует Бурчин.
«Важно, чтобы владельцы компаний осознавали, что есть риски не просто нарушить закон, а лишиться своего бизнеса из-за того, что они недостаточно вложились в безопасность»
Как обеспечить безопасность?
Выстраивание информационной безопасности начинается с комплексного аудита. В его результатах отображаются уязвимости и риски, исходя из которых строится дальнейшая работа, рассказывают в «Иксон Секьюрити». «Есть правило Парето, когда 20% решений закрывает 80% проблем. Допустим, существует 100 уязвимостей, и если мы из них закроем только самые важные 20%, то мы закроем и остальные», — объясняет Бурчин.
Затем проводятся мероприятия, которые устраняют эти риски или снижают их до приемлемых значений. И это не только внедрение ПО, но и организационные меры — написание регламентов по работе с персональными данными, по обеспечению резервного копирования, по доступу к информации и т. д. В «Иксон Секьюрити» готовы провести весь комплекс мер, вплоть до поиска жучков и программных закладок.
После проверяют эффективность выполненных мер. Обеспечение ИБ — это постоянная, каждодневная работа. В компании должны быть собственные специалисты по кибербезопасности. Более того, руководитель по ИБ должен быть в иерархии бизнеса где-то между гендиректором и бенефициаром, считает директор «Иксон Секьюрити».
«Информационная безопасность не сводится к положению о коммерческой тайне или об обработке персональных данных где-то в столе. Нужен человек, который постоянно их актуализирует, и, если появился новый сотрудник, имеющий доступ к данным, а его нет в этих документах — все, они устарели. Многие еще делают их для галочки, не понимая, что информационная безопасность всегда завтра будет дороже, чем сегодня», — отмечает эксперт.
Хорошо работает и bug bounty (открытый конкурс по поиску уязвимостей в продукте — прим. ред.), но в России пока мало компаний, которые готовы платить вознаграждение за обнаружение уязвимостей, говорит Бурчин: «Это хорошая практика: сумма фиксирована, результат фиксирован. У нас, например, работает человек, который получал призовые фонды за взлом от Instagram* и Microsoft».
«Важно, чтобы владельцы компаний осознавали, что есть риски не просто нарушить закон, а лишиться своего бизнеса из-за того, что они недостаточно вложились в безопасность. Раньше можно было потерять бизнес из-за пожара, потопа или кризиса, а сейчас, в эпоху цифровизации, вроде все на месте, но доступа ни к чему нет», — резюмирует Бурчин.
* принадлежит Meta — запрещенной в России экстремистской организации