Теперь 20 миллионов рублей в год — сумма, которую рискует потерять средняя российская компания из-за кибератак, заявили аналитики «Ростелеком-Солар». Главные опасности, которые ее поджидают, — фишинг, DDoS и даже клоны ChatGPT. Разбираемся, как бизнесу в эру информационной небезопасности предотвратить финансовый и репутационный ущерб.
В студии подкаста Kotelov digital finance Алексей Лукацкий — ведущий специалист по информационной безопасности (ИБ) в России и бизнес-консультант в Positive Technologies. Еще он ведет блог на площадке Security Lab, где пишет о самом главном в индустрии.
Кибератаки на российский бизнес: самые большие угрозы
В 2023 году хакеры не придумали ничего нового, а занимались улучшением старых эффективных методов. Актуальной угрозой для бизнеса остается фишинг, который используют в 90% случаев. Злоумышленники используют низкий уровень цифровой грамотности служащих компаний, чтобы проникнуть во внутренний контур, украсть деньги или нарушить безопасность данных.
Кроме того, хакеры вооружились искусственным интеллектом — для автоматизации и роста числа фишинговых кампаний. Например, с помощью FraudGPT — вредоносного клона GhatGPT — они создают фишинговые СМСки, web-страницы и письма.
Важно. «Ловля на живца» — метод, который практически вымер. Но некоторые киберпреступники все еще оставляют под офисами компаний зараженные флешки. Любопытный сотрудник вставляет такой носитель в компьютер и распространяет вирус по всей корпоративной сети.
Не за деньги, а за идею
С 2022 года кибератаки на российский бизнес стали совсем по-другому мотивироваться. Если раньше они гнались за финансовой наживой, то сегодня преследуют идеологические и социальные цели.
Политически мотивированные хактивисты настроены вызывать общественный резонанс и панику среди населения. И для этого они атакуют не только государственные учреждения и СМИ, но и обычные компании. На взломанных сайтах хакеры размещают политические лозунги, показывая, что российские спецслужбы не могут их контролировать.
Активность хактивистов в 2023 году не снижается. Согласно данным StormWall — российского разработчика DDoS-защиты международного уровня, только за июнь количество атак на энергетический сектор выросло на 83%, нефтяной — 64%, а финансовый — 32%.
Под угрозой остаются все компании, даже прежде «неинтересные» для хакеров. И все это требует от бизнеса переосмысления подхода к кибербезопасности.
Ответственность бизнеса за утечку данных
Уровень зрелости компаний в отношении ИБ разный: часть осознает необходимость адекватной защиты, другие продолжают считать киберугрозы несерьезными. Однако поправки в российском законодательстве стимулируют высшее руководство к вовлеченности.
Указ Президента РФ от 1 мая 2022 года четко определил меры по укреплению технологического суверенитета страны. Для соответствия этим требованиям компании в среднем тратят от 12 до 60 миллионов рублей.
Важно. Если утечка данных все же произойдет, бизнес понесет материальную ответственность. Часть 1 статьи 13.11 КоАП РФ предусматривает штраф до 500 тысяч рублей для юридических лиц. В будущем возможно применение оборотных штрафов в размере от одного до трех процентов.
Лучшая защита — это обучение
Человеческий фактор — самое слабое звено в системе кибербезопасности в организации. Для получения корпоративных данных хакеры нацеливаются на рядовых сотрудников, которые «ведутся» на фишинговые письма и переходят по зловредным ссылкам.
Это не говорит об их безответственности. Если он не умеет распознавать угрозу, то не может ее избежать. Вот почему приоритетной задачей руководства является повышение культуры кибербезопасности персонала.
Есть специальные программы для повышения уровня ИБ — Security Awareness.
Комплексное обучение проходит в несколько этапов:
- Изучение теоретической части в формате микро-тренингов. Сотрудники смотрят короткие ролики до трех минут, которые проигрывают реальную ситуацию киберугрозы. Новая информация поступает небольшими порциями, и это не отнимает много времени в течение рабочего дня.
- Тестовая атака. Служба безопасности компании самостоятельно, либо с привлечением профильных специалистов, симулирует действия злоумышленников. Например, отправляет сотрудникам фишинговую ссылку или вложение. Используя полученные знания, они должны отразить киберугрозу.
- Оценка эффективности. Сотрудники, которые попались на удочку, должны пройти тренинг еще раз. Если они продолжат ошибаться, руководство примет дисциплинарные меры в рамках трудового законодательства, например, лишит премии.
Узнать больше про IT-индустрию можно по ссылке на наши статьи и подкасты. Подписывайтесь на телеграмм-канал, чтобы быть в курсе самых горячих новостей.