Что должен знать собственник об информационной безопасности компании

В 2024 г. на 44% выросло число атак шифровальщиков. Такие атаки могут быть направлены на предприятия с высоким уровнем автоматизации, чтобы повлиять на непрерывность их деятельности. Целью также может стать получение доступа к коммерческой тайне или иной чувствительной информации. Злоумышленники шифруют инфраструктуру и требуют выкуп за расшифровку — от 100 000 до 5 млн руб. для малого бизнеса и от 5 млн руб. для средних и крупных компаний.

В прошлом месяце такой атаке подвергся российский бренд одежды 12 Storeez — хакеры требовали выкуп в размере 20 млн руб. На днях еще одной жертвой киберпреступников стал холдинг Novabev Group. Хакерская атака парализовала работу более 2000 алкомаркетов «Винлаб». Каждый день простоя обходился сети в 200–300 млн руб. выручки без учета других убытков.

Привлекательными для злоумышленников могут быть и небольшие компании, особенно те, которые уделяют минимальное внимание информационной безопасности, иногда хакеры даже случайно вскрывают уязвимости в сети таких организаций в рамках своих исследований сетей других компаний или сети в целом.

Масштаб угрозы и степень тяжести последствий возможной кибератаки сегодня выносят вопросы информационной безопасности на уровень владельцев бизнеса. Акционер, конечно, не обязан разбираться во всех технических тонкостях, но должен понимать риски и уметь задать правильные вопросы своему IT-директору о том, как защищена его компания, а также иметь план действий на случай атаки.

Просто покупка средств защиты информации и их установка зачастую недостаточны, эти системы должны эксплуатироваться должным образом. Убедитесь, что в вашей компании есть человек, в чьи обязанности входит работа с ними. К примеру, работа с системой контроля утечки конфиденциальной информации требует постоянного анализа, тонкой настройки и квалифицированной эксплуатации.

Важным элементом системы защиты информации является система мониторинга событий информационной безопасности (SIEM). Именно она позволяет заметить аномальную активность пользователей сети, что сильно повышает шансы минимизировать ущерб от атаки. В нашей практике был случай, когда взломали контроллер домена, к которому подключено 1200 рабочих станций. Хакеры записали на него скрипт, который распространяет вирус-шифровальщик в момент загрузки компьютеров. Оставалось только одно движение, чтобы он распространил вирус на все рабочие станции, чтобы они «превратились в кирпичи», но администратор вовремя заметил атаку благодаря системе мониторинга.

Необходимо обеспечить надежное резервное копирование данных. Если все сделать правильно, восстановить работоспособность системы и быстро вернуться к нормальной работе после атаки будет значительно проще. Копии лучше хранить на отторгаемых типах носителей и в географически разнесенных локациях для защиты от физических повреждений или кражи.

К сожалению, серьезной уязвимостью всегда будут сотрудники и контрагенты. Социальная инженерия остается одним из самых эффективных и популярных методов атак, включая фишинг, поддельные письма, звонки, мессенджеры и даже дипфейки. Поэтому нельзя пренебрегать обучением сотрудников и собственников бизнеса основам кибербезопасности.

Следует установить строгие требования к стандартам кибербезопасности для поставщиков и партнеров. В 2022 г. произошла крупная кибератака на заводы Toyota, в результате которой производство на всех 14 заводах Toyota в Японии было полностью остановлено на один день, что привело к недовыпуску примерно 10 000–13 000 автомобилей и значительным финансовым потерям: убытки оценивались в сотни миллионов долларов. Причиной стала атака на компанию Kojima Industries Corp., которая является ключевым поставщиком подстаканников и USB-разъемов для автомобилей Toyota.

Если атака случилась и была успешной, компания приступает к реализации плана реагирования на инциденты — если он, конечно, есть. Если плана нет, следует убедиться, что IT-служба предприняла необходимые действия для минимизации ущерба — отключила непораженные сегменты сетей, предупредила сотрудников, чтобы они не перезагружали и не включали технику (это целесообразно в случаях, когда поражение производится в момент загрузки), рассмотрела возможность отключения критических ресурсов компании от интернета до принятия решения о следующих шагах по устранению последствий инцидента.

Следующим обязательным шагом должна стать консультация с юристами. Если компания работает с персональными данными, она обязана уведомить Роскомнадзор об утечке, а если речь о КИИ (критическая информационная инфраструктура) — поставить в известность Национальный координационный центр по компьютерным инцидентам. Если сетевая инфраструктура связана с другими организациями, их следует уведомить об атаке.

Случаи, когда крупные компании платят выкуп шифровальщикам, единичные. Вероятно, чаще так поступает средний и малый бизнес, если запрашиваемая сумма не превышает размер ущерба от потери данных и затрат, связанных с их восстановлением. Гарантии разблокировки мошенники, конечно, не дадут, зачастую у них в принципе нет ключей для расшифровки. Кроме того, компания, заплатившая выкуп однажды, становится привлекательной целью для будущих атак. Так что лучше потратить деньги на расследование причин произошедшего и минимизацию рисков в будущем.