Думайте о [кибербезопасности] больше как о безопасности на дорогах и автомобилях. Автомобиль особо не изменился за последние 30 лет, но в него встроено много средств безопасности, и это не сексуально до тех пор, пока не спасет вам жизнь. У вас есть скрытые детали — подушки безопасности — и детали, которые напоминают вам о безопасности, например ремни безопасности… Часть из них касается хорошего поведения и хорошего отношения, часть — физической безопасности, чтобы напомнить вам о риске, и некоторые из них запечены, чтобы спасти вас.
– Сиан Джон, старший специалист по стратегии кибербезопасности в Symantec
Мы признаем это. Кибербезопасность — это не сексуально. Однако в сегодняшнюю цифровую эпоху кибербезопасность становится все более важной как для крупных корпораций, так и для небольших стартапов. Сегодня ставки выше, чем когда-либо, поскольку «каждая компания стала технологической компанией». Технологии стали больше, чем дополнением к деятельности компании, и во многих случаях активы, живущие в их сети, являются их основные операции. Это усугубляется тем фактом, что взломы становятся обычным явлением из-за роста использования мобильных устройств и Интернета вещей, а также растущей экосистемы киберпреступников.
В этой статье описываются типы киберпреступников, тактика киберпреступлений и сопутствующие факторы. Часть также включает материальные решения, которые компании могут использовать, чтобы защитить себя. Решения включают как технологические меры безопасности, так и человеческий фактор. Например, руководство должно признать кибербезопасность стратегической проблемой бизнеса, а не просто «ИТ-проблемой». Кроме того, некоторые из наиболее эффективных решений довольно просты, например обучение сотрудников или двухфакторная аутентификация для пользователей.
Проще говоря, киберпреступление — это преступление, имеющее какой-либо компьютерный или кибер-аспект. Он может формироваться в самых разных форматах и от отдельных лиц или групп с различными мотивирующими факторами. Киберугрозы — это принципиально асимметричные риски, поскольку небольшие группы людей могут причинить непропорционально большой ущерб.
Финансово мотивированные организованные преступные группы: Большинство этих групп находятся в Восточной Европе
Субъекты национального государства: Люди, прямо или косвенно работающие на свое правительство, чтобы украсть конфиденциальную информацию и подорвать возможности врагов. Как правило, это самые изощренные кибер-злоумышленники, 30% из которых происходят из Китая.
Группы активистов, или «хактивисты»: Обычно не воруют деньги. Они стремятся продвигать свою религию, политику или дело; повлиять на репутацию или повлиять на клиентов.
Инсайдеры: Это «разочарованные, шантажированные или даже чрезмерно полезные» сотрудники, работающие внутри компании. Однако они не могут преднамеренно заниматься киберпреступной деятельностью; некоторые могут просто взять список контактов или проектный документ, не осознавая вреда, который это может причинить.
Средний возраст киберпреступника — 35 лет, а 80% хакеров-преступников связаны с организованной преступностью. Короче говоря, люди выбирают это как профессию.
Киберпреступники используют как статические, так и динамические методы для совершения своих преступлений. Давайте углубимся.
DDoS-атака пытается нарушить работу сети. Злоумышленники отправляют большие объемы данных или трафика по сети до тех пор, пока она не перегрузится и не перестанет функционировать. Входящий трафик, переполняющий жертву, исходит из множества различных источников, потенциально сотни тысяч. Это делает невозможным остановить атаку, заблокировав один IP-адрес, и затрудняет различение законного трафика от трафика атаки.
Часто под видом запроса данных от доверенной третьей стороны фишинговые атаки отправляются по электронной почте и просят пользователей щелкнуть ссылку и ввести свои личные данные. Это часто включает в себя психологические манипуляции, призывы к безотлагательности или страху, обманом заставляя ничего не подозревающих людей передать конфиденциальную информацию.
Есть пара факторов, касающихся. Во-первых, фишинговые электронные письма стали изощренными и часто выглядят как законные запросы информации. Во-вторых, фишинговые технологии теперь лицензируются киберпреступникам, включая фишинговые услуги по запросу и готовые фишинговые наборы. Возможно, больше всего беспокоит тот факт, что сервисы даркнета позволили киберпреступникам усовершенствовать свои кампании и навыки. На самом деле, фишинговые электронные письма в шесть раз чаще нажимаются, чем обычные электронные письма потребительского маркетинга.
Вредоносное ПО, сокращение от «вредоносное программное обеспечение», предназначено для получения доступа к компьютеру или его повреждения. Вредоносное ПО — это общий термин для множества киберугроз, включая трояны, вирусы и черви. Он часто попадает в систему через вложения электронной почты, загрузку программного обеспечения или уязвимости операционной системы.
В то время как злонамеренные инсайдеры, которые сливают информацию WikiLeaks, получают всю прессу и славу, более распространенный сценарий заключается в том, что средний, но предприимчивый сотрудник или конечный пользователь тайно берет конфиденциальные данные, надеясь обналичить их где-нибудь в будущем (60% времени). . Иногда сотрудники становятся слишком любопытными и начинают что-то вынюхивать (17%). Личная информация и медицинские записи (71%) используются для финансовых преступлений, таких как кража личных данных или мошенничество с налоговыми декларациями, но иногда это просто для сплетен.
Эти атаки включают физическую имплантацию в актив, который считывает данные с магнитной полосы с платежной карты (например, банкоматы, бензоколонки, POS-терминалы). Провести такую атаку относительно быстро и легко, с потенциалом относительно высокой доходности — и поэтому это популярный тип действия (8%).
Три года назад Wall Street Journal оценил ущерб от киберпреступлений в США в 100 миллиардов долларов. По другим оценкам, эта цифра была в десять раз выше этой. В 2017 г. средняя стоимость утечки данных составляет 7,35 млн долл. США по сравнению с 5,85 долл. США в 2014 г. Затраты включают в себя все, от обнаружения, сдерживания и восстановления до нарушения работы бизнеса, потери доходов и повреждения оборудования. Помимо денежных проблем, кибервзлом также может разрушить нематериальные ценности, например репутацию компании или репутацию клиентов.
Интересно, что компании с самым высоким уровнем бизнес-инноваций часто проводят более дорогостоящие атаки. «Бизнес-инновация» может быть чем угодно:от приобретения или продажи до выхода на новый географический рынок. Было показано, что приобретение или продажа компании увеличивает стоимость киберпреступности на 20 %, а запуск нового важного приложения увеличивает стоимость на 18 %.
Для компаний, предоставляющих финансовые услуги, расходы после нарушения безопасности могут быть связаны с нарушением работы, потерей информации, потерей дохода и другими расходами.
К сожалению, правда заключается в том, что, хотя ни одна отрасль не застрахована, проблемы кибербезопасности особенно остро стоят в сфере финансовых услуг. Согласно отчету Verizon о расследовании утечек данных за 2017 год, 24% утечек затронули финансовые организации (ведущая отрасль), за которыми следуют здравоохранение и государственный сектор. Для сравнения, в 2012 году отрасль занимала третье место после оборонки, коммунального хозяйства и энергетики. Помимо частоты, затраты на финансирование компаний являются самыми высокими среди всех отраслей:в 2013 году они потеряли в среднем 16,5 млн долларов США.
В сфере финансовых услуг наиболее распространенным типом кибератак были DDoS-атаки. А из всех DDoS-атак больше всего пострадала финансовая отрасль.
В 2012 году шесть крупных американских банков (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo и PNC) стали жертвами волны компьютерных атак со стороны группы, претендующей на ближневосточные связи. Атаки привели к отключению Интернета и задержкам в онлайн-банкинге, что привело к разочарованию клиентов, которые не могли получить доступ к своим счетам или оплатить счета в Интернете.
Это были DDoS-атаки, когда хакеры перегружали веб-сайты банков вплоть до закрытия. В атаках также использовались ботнеты, сети зараженных компьютеров, которые выполняли приказы преступников. Иногда ботнеты называют «компьютерами-зомби», которые подчиняются командам «главного ботнета». К сожалению, их можно арендовать на черном рынке или сдать в аренду преступникам или правительствам.
Летом 2014 года в результате крупнейшего на сегодняшний день нарушения безопасности американского банка хакеры взломали имена, адреса, номера телефонов и адреса электронной почты около 83 миллионов учетных записей. По иронии судьбы, JPMorgan ежегодно тратит около 250 миллионов долларов на компьютерную безопасность. Взлом 2014 года не был результатом сложной схемы. Атака не использовала атаку нулевого дня, новую программную ошибку, которая продается на черном рынке за миллионы. Он также не использовал вредоносное ПО, которое хакеры из Северной Кореи применяли для своей кибератаки на Sony. Скорее, источник проблемы был основным:банк не использовал двухфакторную аутентификацию, которая является дополнительным уровнем безопасности, когда пользователи входят в систему для доступа к данным или приложению. Служба безопасности JPMorgan не удосужилась обновить один из своих сетевых серверов, установив схему с двойным паролем, — это все, что для этого потребовалось.
В феврале 2016 года было взломано Общество всемирных межбанковских финансовых телекоммуникаций (SWIFT), международный консорциум из более чем 11 000 банков, который облегчает трансграничные переводы. Бангладешский банк, пользователь сети SWIFT, был взломан на сумму 81 млн долларов. Лишь небольшая часть была возвращена до того, как Федеральный резервный банк Нью-Йорка заблокировал 30 других транзакций, по которым могли быть переведены дополнительные 850 млн долларов США.
Эти атаки показывают, что платежные сети заслуживают доверия ровно настолько, насколько их самое слабое звено. Многие в отрасли не были удивлены нападением. По словам Джастина Кларк-Солта, соучредителя Gotham Digital Science, компании, занимающейся кибербезопасностью, атаки использовали слабость системы:не все учреждения одинаково защищают доступ к SWIFT. В конце концов, «Злоумышленники часто нападают на людей, которых легче атаковать… Насколько нам известно, они были нацелены на более мелкие финансовые учреждения. Вероятно, это потому, что у них менее сложные элементы управления».
Хотя новости часто освещают атаки на крупнейшие корпорации (Target, Yahoo, Home Depot, Sony), небольшие компании не иммунный. Согласно отчету о кибербезопасности малого и среднего бизнеса за 2016 год, за последние 12 месяцев хакеры взломали половину всех малых предприятий в США.
С одной стороны, некоторые утверждают, что небольшие компании могут оказаться не в состоянии оправиться от кибератаки**. ** По словам Сиан Джона, старшего специалиста по стратегии кибербезопасности в Symantec, компании, столкнувшиеся с проблемой безопасности, испытывают «серьезный удар по репутации и финансам» для компаний в течение года, прежде чем вернуться к нормальной жизни. Она спросила:"Если вы небольшая компания, сможете ли вы пережить такое падение?"
С другой стороны, другие утверждают, что небольшие компании имеют преимущество:«Большая компания более уязвима, чем маленькая:у них есть большие пулы данных, и сотни людей должны иметь доступ… в больших масштабах, разобраться в бизнес-процессах и понять, где эти бизнес-процессы могут быть использованы, проще, чем в крупной организации», — заявил Ричард Хорн, партнер PricewaterhouseCoopers.
В настоящее время киберпреступники перенимают лучшие корпоративные практики, чтобы повысить эффективность своих атак. Некоторые из самых предприимчивых преступников продают или лицензируют хакерские инструменты менее опытным преступникам. Например, профессиональные преступники продают технологии нулевого дня преступникам на открытом рынке, где они быстро превращаются в товар. Банды также предлагают программы-вымогатели в качестве услуги, которая замораживает компьютерные файлы до тех пор, пока жертва не удовлетворит денежные требования, а затем берет процент за предоставление лицензии.
Теперь киберпреступникам доступна целая экосистема ресурсов. «Продвинутые преступные группы теперь повторяют наборы навыков злоумышленников на уровне государства. У них есть обширные ресурсы и высококвалифицированный технический персонал, который работает с такой эффективностью, что поддерживает нормальные рабочие часы и даже берет выходные и праздничные дни… мошенников», — сказал Кевин Хейли, директор Symantec.
Если третье лицо будет взломано, ваша компания рискует потерять бизнес-данные или компрометировать информацию о сотрудниках. Например, утечка данных Target в 2013 году, в результате которой были скомпрометированы 40 миллионов учетных записей клиентов, была результатом кражи сетевых учетных данных у стороннего поставщика систем отопления и кондиционирования воздуха. Исследование 2013 года показало, что 63 % расследований утечек данных в этом году были связаны со сторонними компонентами.
Из-за растущего числа онлайн-мишеней взлом стал проще, чем когда-либо. В потребительском банкинге резко возросло использование мобильных устройств и приложений. Согласно исследованию Bain &Company, проведенному в 2014 году, мобильный телефон является наиболее используемым банковским каналом в 13 из 22 стран и обеспечивает 30% всех взаимодействий в мире. Кроме того, потребители приняли мобильные платежные системы. Для банков, конкурирующих с финтех-стартапами, удобство клиентов останется важным. Им, возможно, придется взвесить потенциальные потери от мошенничества с потерями от более неудобного пользовательского опыта. Некоторые учреждения используют расширенную аутентификацию, чтобы противостоять этим дополнительным рискам безопасности, позволяя клиентам получать доступ к своим учетным записям с помощью распознавания голоса и лица.
Интернет вещей (IoT) посвящен идее, что широкий спектр устройств, включая бытовую технику, транспортные средства и здания, может быть взаимосвязан. Например, если ваш будильник звонит в 7:00 утра, он может автоматически уведомить вашу кофеварку, чтобы она начала варить кофе для вас. Интернет вещей вращается вокруг межмашинного взаимодействия; он мобильный, виртуальный и предлагает мгновенные соединения. Сегодня используется более миллиарда устройств IoT, а к 2020 году ожидается, что их число превысит 50 миллиардов. Проблема в том, что многим более дешевым интеллектуальным устройствам часто не хватает надлежащей инфраструктуры безопасности. Когда каждая технология сопряжена с высоким риском, риск увеличивается в геометрической прогрессии при объединении.
Несмотря на заголовки о кибербезопасности и связанных с ней угрозах, остается разрыв между осведомленностью компаний и их готовностью решать эту проблему. За последний год хакеры взломали половину всех малых предприятий США. В опросе Ponemon Institute 2013 года 75% респондентов указали, что у них нет официального плана реагирования на инциденты кибербезопасности. 66% респондентов не были уверены в способности своей организации восстановиться после атаки. Кроме того, опрос, проведенный в 2017 году компанией Manta, занимающейся кибербезопасностью, показал, что каждый третий малый бизнес не имеет инструментов для собственной защиты.
С тактической точки зрения компаниям, предоставляющим финансовые услуги, есть что улучшить в плане обнаружения атак и реагирования на них. В 2013 году 88% атак, инициированных против компаний FS, были успешными менее чем за сутки. Однако только 21 % из них обнаруживаются в течение дня, а в период после обнаружения только 40 % из них восстанавливаются в течение одного дня.
Не существует универсального решения для кибербезопасности. Однако в целом решения должны включать как сложные технологии, так и более «человеческие» компоненты, такие как обучение сотрудников и расстановка приоритетов в зале заседаний.
Аналитика в режиме реального времени — это мощный инструмент для предотвращения и сдерживания кибератак. Чем больше времени требуется для выявления взлома, тем дороже его последствия. Исследование, проведенное Ponemon Institute в 2013 году, показало, что ИТ-руководители считают, что менее 10 минут предварительного уведомления о нарушении безопасности достаточно для устранения угрозы. Уведомление о компрометации всего за 60 секунд позволяет сократить расходы на 40 %.
По словам Джеймса Хэтча, директора по киберуслугам в BAE Systems, «раннее обнаружение [кибератаки] является ключевым моментом… Это может быть разница между потерей 10% ваших [компьютеров] или 50%». К сожалению, в действительности компаниям требуется в среднем более семи месяцев, чтобы обнаружить вредоносную атаку.
Компании могут предпринять несколько небольших тактических шагов, чтобы защитить себя. К ним относятся:
Принятие многоуровневой стратегии защиты. Убедитесь, что он охватывает все ваше предприятие, все конечные точки, мобильные устройства, приложения и данные. По возможности используйте шифрование и двух- или трехфакторную аутентификацию для доступа к сети и данным.
Выполнение оценки стороннего поставщика или заключение соглашений об уровне обслуживания с третьими сторонами: Внедрите политику «наименьших привилегий» в отношении того, кто и к чему могут получить доступ другие. Сделайте привычкой проверять использование учетных данных третьими лицами. Вы даже можете пойти дальше, заключив соглашение об уровне обслуживания (SLA), которое по контракту обязывает третьи стороны соблюдать политику безопасности вашей компании. Ваше соглашение об уровне обслуживания должно давать вашей компании право проверять соблюдение требований третьей стороной.
Непрерывное резервное копирование данных. Это может помочь защититься от программ-вымогателей, которые замораживают компьютерные файлы до тех пор, пока жертва не выполнит свои финансовые требования. Резервное копирование данных может оказаться критически важным, если ваши компьютеры или серверы будут заблокированы, потому что вам не нужно будет платить за доступ к вашим данным.
Частое исправление. Программное исправление — это обновление кода в существующем программном обеспечении. Часто это временные исправления между полными выпусками программного обеспечения. Патч может исправлять программную ошибку, устранять новую уязвимость в системе безопасности, устранять проблемы со стабильностью программного обеспечения или устанавливать новые драйверы.
Добавление программных приложений в белый список. Белый список приложений не позволит компьютерам устанавливать неутвержденное программное обеспечение. Это позволяет администраторам иметь гораздо больший контроль.
Новая тенденция — страхование от хакеров или киберстрахование. Его объем варьируется в зависимости от провайдера, но обычно защищает от нарушений безопасности и потерь. Страховщики обычно ограничивают свои возможности от 5 до 100 миллионов долларов на одного клиента. По состоянию на октябрь 2016 года только 29% предприятий США приобрели киберстрахование. Тем не менее, общий рынок киберстрахования оценивается в 20 миллиардов долларов к 2025 году по сравнению с 3,25 миллиардами долларов сегодня. Страховщики настроены оптимистично, полагая, что премии утроятся в течение следующих нескольких лет.
Чтобы организация могла определить, сколько ей требуется киберстрахования, она должна измерить свой киберриск. Он должен понимать, как кибератака повлияет на их активы, и как расставить приоритеты.
Еще одна новая идея в отрасли — так называемая программа вознаграждения за обнаружение ошибок, когда организация платит посторонним («дружественным хакерам»), чтобы они уведомляли ее о недостатках безопасности. Компании, начиная от Google и Dropbox и заканчивая AT&T и LinkedIn, уже внедрили эту практику.
«ИТ-проблема» становится стратегической бизнес-проблемой. Многих генеральных и финансовых директоров взлом может разочаровать, потому что они не понимают врага. По словам Ричарда Андерсона, председателя Института управления рисками, «все еще есть много людей, сидящих верхом на крупных компаниях, которые по-прежнему считают это чем-то, о чем заботятся гики, а не бизнес-вопросом». Однако, как показывает статистика, это далеко не так.
В официальном документе Deloitte предлагается создать специальную группу по управлению киберугрозами и создать «культуру осведомленности о киберрисках». Также рекомендуется, чтобы организации назначали главного сотрудника по информационной безопасности (CISO). Например, ни в JPMorgan, ни в Target не было директоров по информационной безопасности, когда они были взломаны в 2014 и 2013 годах соответственно.
Назад к основам:обучение сотрудников. Утечки данных часто являются результатом психологических слабостей людей. Поэтому крайне важно информировать своих сотрудников о предупреждающих признаках нарушений безопасности, безопасных методах (будьте осторожны при открытии вложений электронной почты, где они просматривают) и о том, как реагировать на предполагаемое поглощение.
Растущее внимание к угрозам кибербезопасности часто возражают:«Что же тогда? Мы просто должны перестать внедрять инновации, опасаясь нападений?» Ответ:не совсем так. Однако компаниям может быть полезно рассматривать кибербезопасность как вопрос этики. То есть кибербезопасность должна быть вопросом не только технологии, но и морали. В конце концов, этично ли создавать и продавать технологии, которые делают потребителей уязвимыми? С учетом принципа «расти или умри» Кремниевой долины, а иногда и недальновидной культуры, это, вероятно, непопулярная позиция.
Тем не менее, есть прецеденты в других секторах. Например, Американская медицинская ассоциация и Американская ассоциация юристов требуют от профессионалов соблюдения соответствующих этических кодексов. Врачи должны принести клятву Гиппократа, один из старейших обязательных документов в истории, который обязывает врачей давать обет защищать своих пациентов. Точно так же юристы следуют Типовым правилам профессионального поведения, обещая защищать и уважать своих клиентов.
Всем нам следует помнить, что, хотя технологии приходят и уходят, правильное и неправильное никогда не меняется.
Что такое дополнительное страхование и стоит ли его покупать?
Что такое страхование на случай погребения и стоит ли его покупать?
Что такое страхование по инвалидности и стоит ли его покупать?
Что каждый предприниматель должен знать о вычетах на поездки и развлечения
Развенчание мифов о долгах:что должен знать каждый владелец малого бизнеса