«Вас хакнули», ч.2: про шляхи захисту від кібератак

КИЇВ — 14 серпня 2020 року. На початку минулої серії ми нагадали про важливість максимально серйозного підходу до питання самозахисту на інформаційному полі. Тоді Анна Кухар, членкиня Ради Комітету АПУ з питань телекомунікацій, інформаційних технологій та Інтернету, керівниця юридичного департаменту консорціуму Intecracy Group, ідеолог проєкту #IntecracyLawyers на реальних кейсах юридичного ринку продемонструвала: ризики, які несуть кіберзлочинці, є надсерйозними. Цього разу ми розповімо про нагальні нюанси, які потрібно враховувати при розробці стратегії кіберзахисту свого бізнесу. Серія друга — практична.

— Всю серйозність та складність питання ми обговорили в попередній статті. Впевнена, що після перерахованих кейсів ніхто не сумнівається: загроза цілком реальна. Кожна компанія чи навіть індивідуально практикуючий адвокат зобов’язані подбати про персональну кібербезпеку.

Для розробки стратегії щодо превентивних заходів слід спочатку розібратися, на що саме полюють хакери.

У випадку з кібератаками на юридичні компанії основною ціллю хакерів може бути:

— викрадення конфіденційної інформації про працівників, клієнтів, партнерів, бізнес-відносини між ними та компанією, яку згодом може бути використано для отримання несправедливої конкурентної переваги, розповсюджено або використано для вимагання викупу;

— паралізація інформаційних систем компанії: пошкодження інформації, перешкоджання доступу до серверів, блокування доступу до електронної пошти, розповсюдження вірусних програм тощо.

Інколи хакери діють виключно для заволодіння доступу через викрадення інформації про доступ до рахунків в банках та платіжних системах.

Отже, основне завдання хакера — зламати вашу систему та отримати інформацію. Головне завдання компанії — запобігти зламу, для чого потрібно розробити стратегії та превентивні заходи.

В ідеалі, юридична компанія повинна мати в штаті, крім адміна, ще й фахівця із кібербезпеки. Однак якщо ваш бізнес досить невеликий і такого спеціаліста немає або в ньому немає постійної потреби, налагодити інфраструктуру з кібербезпеки допоможуть спеціалізовані компанії, які проводять аудит інформаційних систем, зокрема, спеціалісти Intecracy Group. Вони допоможуть визначити рівень інформаційної та кібербезпеки компанії; провести аналіз діяльності щодо збору, обробки, зберігання, використання чутливої інформації; розробити відповідні політики та план заходів щодо мінімізації ризику.

Фахівці допоможуть побудувати відповідну систему менеджменту інформаційної безпеки (СМІБ). В разі вибору фахівця з кібербезпеки звертайте увагу на те, чи пройшов такий спеціаліст міжнародну сертифікацію ISO.

Тепер поговоримо про самозахист

Всього кілька правил допоможуть врятувати юридичну компанію від колапсу.

1. Обізнаний — озброєний.

Експерти з кібербезпеки завжди зазначають, що найрозповсюдженішою причиною успішної кібератаки на компанію є низький рівень обізнаності персоналу та керівництва про кібербезпеку. «Прості смертні» інколи навіть не здогадуються, скільки шкоди можуть принести клік на незнайоме посилання і введення чутливих даних, перехід на підозрілий сайт або завантаження програм, прохання про що розсилається на мейл. Небезпечним може бути навіть використання особистої пошти на робочому комп’ютері або робота на робочому комп’ютері з використанням загальнодоступного Wi-Fi в кафе. Найкраще, знову ж таки, скористатися послугами спеціаліста, який зможе проконсультувати та розповісти «хакерські секрети». Гарна традиція, яка практикується серед деяких юридичних компаній — проведення тренінгів з кібербезпеки для юристів та адвокатів. По завершенню тренінгів практикується опитування та тестування персоналу.

2. Правила гігієни в кіберпросторі.

Політики в компанії з інформаційної безпеки та найелементарніші правила роботи в кіберпросторі допоможуть юридичній компанії не тільки підсилити обізнаність персоналу (див. правило 1), але й виробити правильні звички в плані самозахисту від хакерського зламу. Такими політиками можуть бути передбачені правила зберігання та роботи з конфіденційною інформацією в мережі компанії, правила роботи з електронною поштою, правила шифрування даних, правила обговорення робочих питань з використанням месенджерів та телекомунікаційного зв’язку тощо.

Якщо ви обізнані та дотримуєтесь правил, вважайте, що ви вже на шляху до успіху в плані кібербезпеки.

3. Аудит інформаційних систем.

Тут вже точно не обійтись без фахівця, про якого писала раніше. Такий спеціаліст може контролювати дотримання постійного рівня кібербезпеки в компанії, оскільки хакерські атаки щоразу ускладняються і долають налагоджені рівні захисту. Наприклад, рідко хто контролює рівень складності паролів до робочої пошти або регулярність їх зміни. Або регулярне оновлення антивірусу чи побудову захищеного робочого середовища, де зберігається вся інформація щодо проєктів компанії.

Наприклад, у нашій компанії з початку 2019 року успішно впроваджена система централізованого збору та аналізу даних SIEM (Security information and event management) — система, яка збирає, аналізує і представляє інформацію з мережевих пристроїв, пристроїв безпеки, а також різних кінцевих точок. Також в цю систему входять додатки для управління ідентифікацією і доступом, інструменти управління уразливими та бази даних і додатків.

To be continued…

У вас є цікава ідея заходу?