Що ви робите не так: 8 помилок кіберзахисту, яких припускається бізнес

3 жовтня 2022, 20:02
Читать новость на русском

Після початку повномасштабного вторгнення кількість кібератак в Україні зросла втричі. І їхніми жертвами стають не тільки урядові ресурси — бізнес також страждає. Підприємці, які не інвестують в кіберзахист, або роблять це неправильно, ризикують серйозними збитками і навіть втратою бізнесу.

Спеціально для 24 каналу CSE телекомунікаційної компанія ВОЛЗ Василь Хом'як підготував матеріал з найбільш поширеними помилками, яких допускаються власники бізнесів у важливих питаннях кібербезпеки.

Не пропустіть Як захистити дані на своєму смартфоні від кібератак та фішингу

Ігнорування проблеми

За даними Держспецзв’язку, кількість кібератак під час війни зросла втричі, а жертвами хакерів стають не тільки урядові сайти. Серед потенційних цілей росіян трапляються компанії з фінансового та енергетичного секторів і комерційні організації. Звичайні зловмисники теж не збавляють темпів. Вони розсилають фішингові листи та шкідливі програми, щоб отримати доступ до конфіденційної інформації. Пізніше за неї можуть просити викуп, продавати в даркнеті, або використовувати для більш "витончених" цільових атак.

Найбільша помилка серед українських компаній вважати, що кіберзахист потрібен не усім. Дехто просто сподівається, що загроза його омине. Є інша категорія клієнтів, які замовляючи послугу з доступу до мережі Інтернет, вважають, що оператор автоматично повинен захищати канал клієнта від кібератак. Проте варто пам’ятати, що оператор зв’язку може захистити канал клієнта лише від DDoS/DoS.


Захистіть свою інфраструктуру / Фото Unsplash

При цьому ефективними рішеннями з захисту від такого типу атак володіє лише декілька провайдерів на українському ринку, адже це потребує як дороговартісного обладнання, так і досвідченої технічної команди.

Тому якщо говорити про ефективний, комплексний та надійний захист від DDoS – він не може бути безкоштовним. Якщо ж говорити про інші види кібератак (фішинг, витік даних, шкідливе ПЗ, брутфорс та інше) – захист повинен здійснюватися безпосередньо на клієнтському рівні.

Легковажність в питаннях кібербезпеки часом має фатальні наслідки для бізнесу і може призвести як до серйозних фінансових збитків, так і до повної його втрати.

Відсутність інвестування у кіберзахист

За нашою інформацією, бізнес на 15% частіше зазнає кібератак з метою викрадення даних та клієнтських баз. Також доволі поширеним видом кібератак є DDoS. На жаль, не всі компанії готові виділяти окремий бюджет для кіберзахисту.

З такою проблемою зіштовхнувся нещодавно один із наших клієнтів, який замовив канал Інтернет пропускною здатністю 2 Гб/с, але вирішив, що захист від DDoS-атак йому не потрібен. У серпні 2022 року його сайт атакували двічі. У першому випадку атака досягала ≈70Гб/с. Ми були змушені задіяти стосовно IP-адреси клієнта механізм bgp blackhole, фактично заблокувавши доступ з усього світу. Приблизно через 2 години атака припинилася і сайт клієнта знову став доступним. Друга атака здійснювалася смугою ≈1.5Гб/с і тривала безперервно майже 3 доби!

Якби клієнт подбав про захист наперед, наприклад, на базі рішення від Arbor Sightline, дані атаки пройшли б непомітно для нього і без негативного впливу на роботу його сервісів.

З врахуванням, що йдеться про один з найбільших маркетплейсів України, масштаби фінансових збитків внаслідок такого переривання роботи сайту можуть бути доволі суттєвими.

Для багатьох бізнесів, як от інтернет-магазини, погана робота сайту означає збитки. Часто ці збитки перевищують інвестиції в кіберзахист. Тому в сучасному світі кіберзахист – це необхідна інвестиція для бізнесу.

Вкладатися в кіберзахист тільки один раз

Багато підприємців вважають, що придбавши ліцензований антивірус, вони повністю закривають проблему кібербезпеки. Відповідальність за цей напрямок як правило покладають на когось зі співробітників іншого профілю. На когось, хто нібито "розбирається в комп’ютерах". Часто активності компаній на цьому і закінчуються.

Однак кіберзахист – це тривалий комплексний процес, який вимагає постійного моніторингу, аналізу, модернізації. Краще, якщо цим питанням буде займається компетентний спеціаліст, який зможе налагодити відповідні процеси в компанії, швидко реагувати на проблеми, підтримувати інформаційні системи захищеними відповідно до викликів сьогодення та працювати на випередження щодо нових потенційних загроз.

Цікаво Три найкращі способи захистити інформацію на вашому комп'ютері

Позиція – якісний кіберзахист коштує дорого

Більшість хакерських атак можна попередити, дотримуючись базових правил "цифрової гігієни" та оплачуючи лише за мінімальні функції з захисту. Йдеться про базовий захист локальної мережі (використання Firewall, VPN, антивірусного ПЗ), SSL-сертифікатів, наявність швидкісного підключення до каналу Інтернет та інше. Вартість таких послуг на ринку може коливатися в межах 100 доларів на місяць.

Недовіра стороннім експертам

Не намагайтеся будувати процеси кіберзахисту виключно всередині компанії. Часто є сенс скористатися послугами спеціалізованих аутсорсингових компаній. Компанії з кіберзахисту роблять свою роботу якісно, багато з них надають гнучку підтримку, здійснюючи цілодобовий моніторинг захищеності інформаційних систем замовника. Крім того, працюючи з партнером, вам не доведеться переживати про його раптове звільнення. Змінювати керівника напрямку кіберзахисту завжди проблематично, адже потрібно передати наступній людині чимало конфіденційних та аналітичних даних. Процеси у різних спеціалістів можуть відрізнятися і при зміні керівника компанія може втратити важливі дані.

Зазвичай підприємці не довіряють аутсорсерам з кіберзахисту через страх "впускати" у свою компанію чужинців. Однак, щоб надійно захищати вашу інформацію експертам не обов’язково потрібен до неї доступ. До того ж ви завжди можете підписати угоду про нерозголошення даних, для власного спокою.

Не верифікований домен

Іноді після покупки домену, підприємці забувають про його верифікацію. Фактично вони не підтверджують, що сайт належить саме їм. Це дає можливість шахраям верифікувати домен замість вас і заволодіти вашим сайтом. Після цього ви втратите до нього доступ.

Ця проблема не є надто поширеною, але трапляється. Пройти верифікацію можна у вашого реєстратора доменних імен. Зазвичай вони залишають інструкцію, як це зробити.

Ігнорування закінчення дії SSL-сертифіката

SSL-сертифікат – це інструмент для захисту конфіденційної інформації користувачів в мережі Інтернет. Він дозволяє їм безпечно вводити пароль або номер банківської картки, не даючи можливості шахраям перехопити ці дані. Зазвичай дія такого сертифіката обмежена в часі (від 3-х місяців до 2-х років), після чого його потрібно оновити.

Якщо не використовується SSL-сертифікат, або ж його оновлюють невчасно, тоді дані браузера передаються на сервери в мережі Інтернет у відкритому вигляді. Відповідно компанія ризикує стати ціллю для шахраїв, які можуть отримати доступ до конфіденційних даних користувачів, які вводились у веббраузері. А це може потягнути собою багато проблем, включно із судовими позовами.

Використання стандартних паролів

Слабкі та однакові паролі до всіх облікових записів — досить проста, але поширена помилка. Попри постійні хакерські атаки, кількість яких останніми роками зростає, люди продовжують користуватися легкими паролями, що суттєво спрощує роботу зловмисників.

Наприклад, дослідження Google, яке проводили в 2019 році, показало, що:

  • 24% американців використовують такі варіанти слабких комбінацій, як abc123, Password, 123456, 111111, Qwerty та інші;
  • 59% користувачів використовують в паролі своє ім’я або дату народження;
  • 43% користувачів хоча б раз в житті ділилися своїм паролем з іншими особами;
  • 52% людей використовують один і той же пароль до декількох облікових записів.


Паролі потрібно підбирати відповідально / Фото Unsplash

Попри те, що з моменту даного дослідження пройшло 3 роки, ці тенденції зберігають свою актуальність і сьогодні.

Потрібно пам’ятати, що надійним вважається пароль із мінімум 8-ми символів, який містить великі та малі літери, цифри та спеціальні символи. Також хорошою практикою є регулярна зміна паролів (один раз на 2-3 місяці) та використання різних паролів до різних облікових записів.

Читайте на сайті Як захистити особисту інформацію на андроїд смартфоні від додатків, які її збирають

Підсумок

Інформація – це важливий та дороговартісний ресурс, який потребує захисту. Якісний кіберзахист в сучасному світі – це вже не забаганка окремих підприємців, а необхідність для кожного. В час війни актуальність питання зростає ще більше. Клієнт подасть на вас до суду, якщо ви будете необережними з його конфіденційними даними. У гіршому випадку, зловмисники просто пограбують вашу компанію, поставивши під сумнів можливість її подальшої діяльності.

Щодня зловмисники вигадують все нові й нові методи шахрайства. Ось чому в компанії мусить бути той, хто постійно тримає руку на пульсі та пильно стежить за дотриманням усіх стандартів кібербезпеки.