Гібридна війна в розпалі, кібератак буде все більше. Що робити бізнесу, щоб захиститися
Пандемія та віддалений формат роботи надав кіберзлочинцям унікальні умови для проникнення у корпоративні мережі. Навіть добре захищені компанії опинились у небезпеці, адже суттєво зросла кількість вразливих місць, які хакери можуть використовувати для здійснення атак. Більш того, нова ескалація політично-військового конфлікту із зовнішнім агресором активно використовує кіберелемент у гібридній війні, адже вплив на кіберпростір – це дуже зручний інструмент із шаленим потенціалом з ексфільтрації чутливих даних і дестабілізації ситуації в країні.
Які фундаментальні зміни відбулися у сфері кібербезпеки за останні пару років і як протидіяти новим загрозам?
Безпрецедентний рівень загроз
Виклики, пов’язані з кібербезпекою, зростають щоденно. Організована кіберзлочинність – надзвичайно потужна "індустрія". Обсяг ринку Dark Web (ділянки інтернету, недоступні для звичайного пошуку) у 2019 році оцінювався у $2 трлн.
За даними дослідження Intelliagg 2016 року (поглинута FEYO у 2021-му), понад 70% "послуг", що пропонуються у Dark Web, покривають такі сфери як розробка шкідливого програмного забезпечення, хакінг, продаж персональних/карткових/чутливих даних та облікових записів для будь-яких онлайн сервісів, координація фроду (шахрайств) і комплексних кібератак. Увесь цей ринок оцінюється майже у $1,5 трлн.
Водночас кіберзахист має значно меншу капіталізацію, ніж сторона, що "атакує": ринок продуктів і послуг із кібербезпеки оцінюється в рази менше – всього близько $200 млрд за оцінками аналітичних агентств MarketWatch та Crunchbase.
Рівень виявлення присутності хакерів у мережах залишається на досить низькому рівні: злочинці в середньому можуть знаходитись у мережі організації більш ніж 200 днів до того, як їх викриють або ж вони здійснять фінальний акорд кібератаки, що вже зазвичай видимий для департаменту ІТ-безпеки компанії.
Можливість компанії протидіяти кіберзлочинцям нерідко визначається її розмірами. Чим менша організація, тим важче їй системно протистояти кіберзагрозам. Чому? Бо кібербезпека – це бізнес-процес, що вимагає системного виконання різноманітних процедур і дотримання політик, що, своєю чергою, може потребувати значних бюджетів для автоматизації.
Цим активно користувалися і користуються хакери, реалізуючи, наприклад, кібератаки через ланцюжок постачань. Мається на увазі, злам малої компанії з метою отримання доступу до комп’ютерної мережі великої, з якою вона співпрацює. Саме так у 2010 році була здійснена перша хрестоматійна атака на підприємства критичної інфраструктури у світі, коли за допомогою комп'ютерного хробака Stuxnet відбувся кібернапад на ядерні збагачувальні об'єкти Ірану.
Вважається, що саме Stuxnet значно уповільнив реалізацію ядерної програми країни. Крім того, цей вірус також завдав ушкодження інфраструктурі низки промислових підприємств у всьому світі.
На жаль, навіть потужні системні компанії не завжди здатні протидіяти загрозам. Яскравий приклад – атака NotPetya на українські підприємства у 2017 році. Тоді були зашифровані та знищені дані на 10% всіх персональних комп’ютерах в Україні, а деякі міжнародні компанії втратили катастрофічні суми – збитки лише одного логістичного оператора Maersk склали близько $300 млн.
Кібербезпека лише частково забезпечується ефективною побудовою внутрішніх інформаційних і технічних систем. Чимало залежить від того, наскільки вдало компанія працює над виявленням загроз і розробленням механізмів реагування на кіберінциденти. Наскільки ретельно організація дотримується системних вправ із виявлення загроз і тренувань із кібергігієни. Чи робиться це на регулярній основі, чи розбирається кожний інцидент без виключення. Системний підхід тут вкрай важливий.
Вихід на новий рівень
Коронавірус зламав звичний ритм життя і величезна кількість працівників була поспіхом переведена компаніями на віддалений режим роботи. Люди почали використовувати той сетап, що був під рукою: домашній інтернет і персональні цифрові пристрої для доступу до мереж підприємств, тоді як у більшості компаній комп’ютерні системи й мережі не проєктувалися з врахуванням тривалого доступу до них із-за меж офісу.
Посилився і без того величезний дефіцит кваліфікованих кіберфахівців, які через специфіку роботи можуть працювати на будь-яку організацію чи країну з будь-якої точки світу. Згідно з дослідженням компанії (ISC)², кількість не закритих вакансій у сегменті кібербезпеки у світі зросла до рекордних 2,72 млн. І це тоді, як для ефективного захисту критично важливих активів організацій, кількість працівників у кібербезпеці потрібно збільшити в середньому аж на 65%.
Нестача кваліфікованих кадрів і, як наслідок, процесів, а також нехтування принципами кібергігієни призводять до катастрофічних наслідків. Спостерігається значне зростання кількості кібератак, спрямованих на користувачів, які не дуже усвідомлюють, що кіберпростір не є сприятливим середовищем. За оцінками ISSP, до 80% кібератак починається саме з маніпулювання поведінкою користувачів.
Піддає жару у вогонь і відсутність постійних контактів між фахівцями, які працюють із дому, адже поза офісом колеги рідко діляться між собою інформацією, наприклад, щодо виявлених ними підозрілих електронних листів. Тому організації проводять базові курси з кібергігієни чи просувають навчальні ініціативи, але цього недостатньо. Потрібно надавати зворотний зв'язок і додатково пояснювати ризики.
Що далі?
Зараз, майже через два роки пандемії, з’являється відчуття, що всі ІТ-процеси та процеси ІТ-безпеки потроху приводяться до норми. Але це більше ілюзія нормальності. Пам’ятайте, хороша кібератака – це та, яку ніхто не бачить.
Неефективність базових контролів доступу, слабкість процедур виявлення інцидентів чи блокування загроз, погана комунікація всередині організацій нікуди не зникли. Навіть за наявності Microsoft Teams, Slack чи інших засобів корпоративного обміну даними, процес передання інформації в межах компанії – що дуже важливо для гарантування кібербезпеки підприємства – часто досі залишається порушеним. Більш того, контролі мереж, що вибудовувалися десятиліттями, зараз здебільшого не задіяно.
Що в цих умовах можна порадити бізнесу?
По-перше, проведіть черговий аудит із кібербезпеки. Так, ще один аудит, яких не буває замало. Проведіть його з фокусом на пошук уже потенційно скомпрометованих компонентів інфраструктури та слабкостей інфраструктури, які можна швидко і відносно легко (а отже й доступно) нівелювати, перетворивши такі зміни у "швидкі перемоги".
По-друге, розвивайте навички кібергігієни працівників. Створіть екосистему, в якій користувачам було б цікаво систематично здобувати базові навички кібергігієни, використовувати їх на практиці й співпрацювати з ІТ-безпекою.
По-третє, впроваджуйте новітні інструменти моніторингу й виявлення хакерів усередині корпоративних мереж із довгостроковим планом на побудову зрілого Security Operations Center (SOC). Системно займатися цими питаннями потрібно не лише великому, але й малому та середньому бізнесу.
Саме атаки на індивідуальних користувачів і ланцюжок постачань – це "головний біль" колективної безпеки в кіберпросторі України та світу. Вихід на якісно новий рівень кібербезпеки країни можливий лише через посилення захисту кожного окремого бізнесу, від малого локального підприємця до національного й міжнародного холдингу.