Не надо экономить на цифровой безопасности


    Чуть ли не каждый день мы слышим о новых хакерских атаках и обнаруженных уязвимостях в популярных системах. А уж сколько всего сказано про то, что кибератаки оказали сильнейшее влияние на результаты выборов! Причём не только в России.

    Кажется очевидной необходимость принять меры для защиты наших устройств и учётных записей в интернете. Проблема в том, что пока мы не стали жертвой кибератаки или не столкнулись с последствиями нарушения безопасности, сществующие угрозы кажутся абстрактными. И ресурсы на модернизацию систем защиты выделяются по остаточному принципу.

    Проблема не в низкой квалификации пользователей. Наоборот, у людей есть знание и понимание необходимости защиты от угроз. Но приоритет у задач по обеспечению безопасности зачастую низкий. Cloud4Y примерит на себя костюм «Капитана очевидность» и в очередной раз напомнит о том, почему цифровая безопасность — это важно.

    Трояны-вымогатели Ransomware


    В начале 2017 года многие ИТ-издания назвали трояны-вымогатели одной из главных угроз кибербезопасности года, и этот прогноз оправдался. В мае 2017 массированная атака вымогателей поразила бесчисленное количество компаний и частных лиц, которым было предложено «пожертвовать» злоумышленникам огромные суммы в биткоинах, чтобы восстановить свои собственные данные.

    За пару лет эта разновидность зловредных программ из распространённой стала очень-очень распространённой. Такая разновидность кибератак беспокоит многих экспертов, поскольку она способна распространяться, словно лесной пожар. В результате атаки файлы блокируются до тех пор, пока не будет передан выкуп (в среднем $300), и даже после этого нет гарантий восстановления данных. Страх внезапно обеднеть на энную сумму или вообще потерять важную коммерческую информацию наверняка станет мощным стимулом не забывать о безопасности.

    Финансы становятся цифровыми


    По всей видимости, идея с переходом значительной части общества на криптовалюту отодвигается, по крайней мере на какое-то время. Но это не значит, что наши способы оплаты не становятся всё более цифровыми. Некоторые используют биткоины для транзакций. Другие переходят на Apple Pay или его аналоги. Следует также учитывать растущую популярность таких приложений, как SquareCash и Venmo.

    С помощью всех этих средств мы предоставляем разнообразнейшим программам доступ к нашим счетам, а сами программы установлены на нескольких наших устройствах. Большинство из этих приложений имеют различные сертификаты цифровой безопасности, и это ещё одна причина проявлять особую бдительность в отношении используемых программ, устройств и даже облачных провайдеров. Небрежность может привести к тому, что ваша финансовая информация и счета окажутся уязвимыми. Соблюдайте правило разделения гаджетов на личные и корпоративные, создайте систему защиты сотрудников и их рабочих станций при доступе к интернет-ресурсам, используйте другие системы защиты финансовой информации.

    Игры наполняются деньгами


    Работа с финансами всё чаще затрагивает игровую плоскость. Как много ваших знакомых повышает удовольствие от игры с помощью небольших транзакций? Как часто вы слышите истории о том, как ребёнок опустошил кошелёк родителя, купив кучу «нужных плюшек» в онлайн-игре? Как-то незаметно прошёл этап, когда мы просто покупали игры и играли в них. Теперь люди подключают эти игры к банковским картам и аккаунтам платёжных систем, чтобы иметь возможность быстро совершать внутриигровые покупки.

    В некоторых игровых сферах это уже давно стало нормой. Более того, на одном из сайтов, посвящённом обзору игр в казино на мобильных устройствах, прямо сказано, что использование их игр и приложений небезопасно, так как существует угроза хищения персональных и финансовых данных.

    В настоящее время такой отказ от ответственности ощущается не только на платформах казино, но и в играх в целом. Благодаря мобильным приложениям и консольным играм мы часто используем банковские счета. Это еще одна уязвимость, о которой мы почти не думаем. Важно убедиться, что устройства и программы, которые вы используете, максимально безопасны.

    Умные устройства «Smart» добавляют новые риски


    Это большая тема, которой можно посвятить целую статью. Появление интеллектуальных устройств, постоянно подключенных к облаку, может поставить под угрозу все виды данных. В одном из исследований, в котором рассматривались самые серьёзные угрозы кибербезопасности за год, указано, что подключенные к интернету автомобили и медицинские устройства являются двумя основными областями риска.

    Это должно дать вам некоторое представление об опасностях, связанных с использованием интеллектуальных технологий. Уже зафиксированы случаи, когда хакеры останавливали умные автомобили на дороге, да и идея неправомерного использования интеллектуальных медицинских устройств тоже способна напугать. Умные устройства — это круто, но их незащищённость является серьёзной проблемой, мешающей распространению подобных технологий.

    Ваша электронная цифровая подпись может попасть в чужие руки


    Многие компании используют электронную цифровую подпись для получения различных государственных услуг и ведения ЭДО. ЭП есть и у многих физических лиц. Кому-то она требуется для работы в качестве ИП, кому-то — для решения повседневных вопросов. Но и здесь кроется много скрытых рисков. Для использования электронной подписи зачастую необходимо задействовать дополнительное программное обеспечение, которое может внести угрозы безопасности, а от обладателя электронной подписи требуется особая осторожность и дисциплина при работе с подписью.

    Потеря физического носителя электронной подписи может привести к ощутимым финансовым потерям. Да даже если не терять — риски имеются. Поэтому критически важно соблюдать все меры предосторожности. Увы, но практика показывает, что банальные правила «не передавайте свою ЭП третьему лицу» и «не оставляйте ЭП вставленной в компьютер» почти не соблюдаются. Просто потому, что это неудобно.

    Помните, что специалист по ИБ несёт прямую ответственность за то, что происходит в компании. И он обязан убедиться, что в бизнес-процессы внедрены и используются самые надёжные и самые безопасные из доступных продуктов цифровых технологий. А если нет — приложить максимум усилий для повышения уровня цифровой безопасности. Если же ЭП принадлежит вам, то относитесь к ней так же, как к паспорту.

    Что ещё полезного можно почитать в блоге Cloud4Y

    vGPU — использовать нельзя игнорировать
    AI помогает изучать животных Африки
    4 способа сэкономить на бэкапах в облаке
    5 лучших дистрибутивов Kubernetes
    Лето почти закончилось. Не утекших данных почти не осталось

    Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.
    Cloud4Y
    #1 Корпоративный облачный провайдер

    Комментарии 2

      0
      ресурсы на модернизацию систем защиты выделяются по остаточному принципу.

      Абстрактная задача:
      Дано — парк МФУ величиной в 10 000 единиц, использующих SMBv1 при сканировании, без возможности обновления прошивки.
      Обновление парка устаревших МФУ выйдет компании минимум в 100 миллионов рублей за самые плохенькие аппараты.
      Через месяц могут спокойно объявить уязвимость в SMBv2, что затронет парк МФУ величиной в 50 000 единиц без возможности обновления прошивки с дальнейшими затратами в минимум 500 миллионов рублей.
      Вопрос: как согласовать затраты на устранение уязвимостей и прибыль компании, зарплаты сотрудникам, выплаты учредителям?

      Догадываюсь, что как только специалистам по безопасности придется взять на свой карман часть трат из-за безопасности, то сам подход к информационной безопасности кардинально изменится.
        0
        ДО даже если не по остаточному принципу выделять средства уровень и состояние безопасности будет зависеть от цены вопроса: если взять абстрактно модель угроз когда стоит задача просто защитится от случайных вирусов шифровальщиков и т.п и когда надо защитить сетевую подсистему от целенаправленных атак вроде перехвата управления и хищения данных для прохождения всевозможных сертификаций и аттестаций бюджета может и хватит а вот для реального обеспечения с постоянным мониторингом это все превращается в «гонку вооружений» двух противоборствующих сторон с переменным результатом

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое