Когда-нибудь ты станешь немощен и слаб —
Делай бэкап, давай делай бэкап,
На случай, если укусит радиоактивный краб —
Делай бэкап, давай делай бэкап!
НТР
Только не так!
31 марта весь айтишный мир готовится к 1 апреля. Нет, в компаниях не разрисовывают красным кетчупом пол, не обводят мелом контуры тел, не перетыкают мышки и даже уже не заклеивают лазеры. Всё в прошлом — ну почти. Все готовятся к ненормальному дню атак и таким образом отмечают день бэкапа. И можно каждый год (месяц, день) писать про резервное копирование на Хабре, развешивать плакаты о необходимости бэкапов и инфобеза, но под клавиатурой коллеги всегда найдётся листочек с хитрым паролем qwerty123, в браузере — куча незащищённых платёжных средств, а пароль на вход в CRM и вовсе будет пустым (логин, конечно, admin). Всё потому что компаниям, особенно в секторе малого и среднего бизнеса, затраты на безопасность кажутся роскошью, а не средством выживания. А зря. Как показали панельные беседы на ЦИПР-2021, для современных злоумышленников практически нет преград, они в своём развитии могут основательно опережать средства защиты информации и IT-инфраструктуры: им даже воздушный зазор не помеха. Так вы хоть бэкап-то сделайте, а?
Даём справку. День бэкапа — одна из популярных дат у айтишников по всему миру. Он был учреждён по решению пользователей Reddit и призван привлечь внимание бизнеса, IT-сектора и простых пользователей к вопросам защиты и гарантированного сохранения информации, рассказать о рисках потери данных в частном и коммерческом сегменте. Лучший способ отметить день бэкапа — создать резервные копии данных на ПК, проверить в соответствии с правилами, протестировать и надёжно сохранить. И только потом пицца и остальные радости жизни :)
Больше чем. До 2020 года проблемы в сфере информационной безопасности вызывали огромную, беспрецедентную тревогу специалистов по защите данных, но 2020, 2021 и 2022 степень опасности увеличилась в разы: риски атак, взломов, хищения данных и компрометации IT-инфраструктуры любой компании и любого пользователя возросли вместе с распространением удалённой работы, коронавирусных ограничений и социально-политической напряжённости на планете в целом. Информация и данные — ценные, дорогостоящие и порой невоспроизводимые ресурсы, воздействие на которые оказывает не меньшее (а то и большее) влияние, чем манипуляции с жизнеобеспечением, питанием и транспортом.
Не будем голословны — давайте обратимся к отчёту Positive Technologies за 2020 год. Согласно ему, количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Наиболее интересные отрасли, по мнению злоумышленников, — это государственные и медицинские учреждения, промышленные предприятия. Атак с использованием вредоносного ПО с каждым годом становится всё больше и больше. В 2020 году количество таких атак увеличилось на 54% относительно прошлогоднего показателя.
Если посмотреть на векторы атак, то объектами становятся компьютеры, серверы и сетевое оборудование — во всех сферах. Важным объектом атаки остаются люди, подверженные методам социальной инженерии, которые становятся всё изощрённее. Для сферы торговли и прочих компаний, среди которых немало субъектов малого и среднего бизнеса, также характерны атаки на веб-ресурсы. По-прежнему основными мотивами злоумышленников выступают финансовая выгода и получение данных, которые можно использовать, продавать или же запускать как базовый элемент нанесения репутационного урона.
Впечатляет? Но и это ещё не всё. Говоря о вопросах безопасности, нужно учитывать, что в большинстве компаний, особенно вне сферы информационных технологий и телекома, страдают рядом типичных симптомов:
Сочетание описанных рисков и факторов халатного отношения к безопасности приводят к обидным потерям данных как в крупных компаниях, так и в совершенно небольших, которые при наступлении неблагоприятного момента могут разориться раньше, чем успеют прислать письма с извинениями.
Что бы ни происходило, человеческий фактор среди рисков информационной безопасности компании перебить крайне сложно. И если раньше я бы рассказал что-то про нерасторопных бухгалтеров или продажников с паролями на мониторе, то сейчас кристаллизовались три основные ипостаси рисков.
Человек уязвим перед угрозами безопасности и чаще всего выступает основным объектом атаки, поскольку «пробить» можно даже самого подкованного пользователя. Социальная инженерия, сложные схемы взаимодействия и психологические приёмы открывают злоумышленникам самый широкий доступ к корпоративной и частной информации. Поэтому сотрудники в компании должны быть осведомлённым, обученным и всегда актуально информированным звеном.
Малый и средний бизнес парадоксально экономит на оборудовании и автоматизации, хотя это инструменты эффективности и продуктивности сотрудников плюс частичная гарантия безопасности. И снова возможны варианты.
Данные стоят дорого, даже если руководителю компании кажется, что они «завелись» бесплатно. И именно поэтому данные и коммерческая информация становятся объектом охоты — кто-то знает их реальную цену и ценность лучше. Поэтому стоит не ждать ситуации «жадность фраера сгубила», а позаботиться о своевременном обслуживании всей IT-инфраструктуры и подменного фонда, который должен быть строго обязательно даже в небольших компаниях. Такой подход при видимых инвестициях здорово оптимизирует затраты, бережёт нервы и обеспечивает бесперебойную работу компании.
Компания не может находиться в изоляции, поэтому она подвержена всей совокупности рисков: страновым, экономическим, природным. Как правило, это те риски, которые не поддаются прогнозированию, наступают внезапно и резко бьют по самым неподготовленным и незащищённым компаниям. Проблемы возникают как раз у тех, кто изначально допускал «дыры» в безопасности и не контролировал процессы управления информацией.
Согласно отчёту о потере данных в Европе, более 6% ПК ежегодно страдают от потери данных — так, в 2020 году произошло более 1,7 миллиона инцидентов. В отчёте определены шесть основных причин потери данных:
Вообще, форс-мажорам принято скорее удивляться: никогда не знаешь, где что сгорит, развалится, зальётся ливнями и т. д. Но именно от них хорошо спасают бэкапы. Нет ничего круче, чем спокойно спать, когда твои данные есть ещё где-то, кроме этого:
Что здесь происходит?
Если вы думаете, что обойдётся или пронесёт, то нет. Управлять рисками придётся — этим может заниматься сисадмин, хороший аутсорсер или руководитель компании при должных компетенциях.
Хотим отдельно обратить внимание, что всяческие bossware-системы (следилки) не имеют ничего общего с лучшими практиками обеспечения информационной безопасности. Это не что иное, как отличный способ демотивации и наращивания рисков наступления неблагоприятных событий, связанных с человеческим фактором.
Иногда, когда смотришь на организацию информационной и экономической безопасности, хочется посоветовать хотя бы приложить подорожник. По крайней мере, это будет признаком того, что в компании хотя бы догадались взглянуть на проблему. Друзья, мы живём в непростое время, когда наши данные дорого стоят и они всегда кому-то нужны — даже если вы просто ставите окна в Костроме или пилите симпатичную аркаду под Android. Сохранность данных — это безопасность бизнеса, сотрудников, всего заработанного капитала. Поверьте, труды по обеспечению информационной безопасности стоят результата.
И да, прямо сейчас сделайте/протестируйте/проверьте свои бэкапы. Мы точно знаем, насколько это важно.
Делай бэкап, давай делай бэкап,
На случай, если укусит радиоактивный краб —
Делай бэкап, давай делай бэкап!
НТР
Только не так!
31 марта весь айтишный мир готовится к 1 апреля. Нет, в компаниях не разрисовывают красным кетчупом пол, не обводят мелом контуры тел, не перетыкают мышки и даже уже не заклеивают лазеры. Всё в прошлом — ну почти. Все готовятся к ненормальному дню атак и таким образом отмечают день бэкапа. И можно каждый год (месяц, день) писать про резервное копирование на Хабре, развешивать плакаты о необходимости бэкапов и инфобеза, но под клавиатурой коллеги всегда найдётся листочек с хитрым паролем qwerty123, в браузере — куча незащищённых платёжных средств, а пароль на вход в CRM и вовсе будет пустым (логин, конечно, admin). Всё потому что компаниям, особенно в секторе малого и среднего бизнеса, затраты на безопасность кажутся роскошью, а не средством выживания. А зря. Как показали панельные беседы на ЦИПР-2021, для современных злоумышленников практически нет преград, они в своём развитии могут основательно опережать средства защиты информации и IT-инфраструктуры: им даже воздушный зазор не помеха. Так вы хоть бэкап-то сделайте, а?
Даём справку. День бэкапа — одна из популярных дат у айтишников по всему миру. Он был учреждён по решению пользователей Reddit и призван привлечь внимание бизнеса, IT-сектора и простых пользователей к вопросам защиты и гарантированного сохранения информации, рассказать о рисках потери данных в частном и коммерческом сегменте. Лучший способ отметить день бэкапа — создать резервные копии данных на ПК, проверить в соответствии с правилами, протестировать и надёжно сохранить. И только потом пицца и остальные радости жизни :)
А чё, а чё, всё плохо?
Больше чем. До 2020 года проблемы в сфере информационной безопасности вызывали огромную, беспрецедентную тревогу специалистов по защите данных, но 2020, 2021 и 2022 степень опасности увеличилась в разы: риски атак, взломов, хищения данных и компрометации IT-инфраструктуры любой компании и любого пользователя возросли вместе с распространением удалённой работы, коронавирусных ограничений и социально-политической напряжённости на планете в целом. Информация и данные — ценные, дорогостоящие и порой невоспроизводимые ресурсы, воздействие на которые оказывает не меньшее (а то и большее) влияние, чем манипуляции с жизнеобеспечением, питанием и транспортом.
Не будем голословны — давайте обратимся к отчёту Positive Technologies за 2020 год. Согласно ему, количество уникальных киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Наиболее интересные отрасли, по мнению злоумышленников, — это государственные и медицинские учреждения, промышленные предприятия. Атак с использованием вредоносного ПО с каждым годом становится всё больше и больше. В 2020 году количество таких атак увеличилось на 54% относительно прошлогоднего показателя.
Если посмотреть на векторы атак, то объектами становятся компьютеры, серверы и сетевое оборудование — во всех сферах. Важным объектом атаки остаются люди, подверженные методам социальной инженерии, которые становятся всё изощрённее. Для сферы торговли и прочих компаний, среди которых немало субъектов малого и среднего бизнеса, также характерны атаки на веб-ресурсы. По-прежнему основными мотивами злоумышленников выступают финансовая выгода и получение данных, которые можно использовать, продавать или же запускать как базовый элемент нанесения репутационного урона.
Впечатляет? Но и это ещё не всё. Говоря о вопросах безопасности, нужно учитывать, что в большинстве компаний, особенно вне сферы информационных технологий и телекома, страдают рядом типичных симптомов:
- не имеют службы безопасности и даже человека, ответственного за вопросы информационной безопасности в компании;
- отказываются от идеи найма системного администратора и пользуются услугами недорогих компаний-аутсорсеров или самозанятых одиночек (увы, при всём уважении, нередко это ребята уровня эникея);
- не замыкают контур информационной и экономической безопасности, а локально внедряют отдельные решения и латают дыры, обеспечивая лоскутную (никакую) защиту;
- не обучают сотрудников и недооценивают риски со стороны персонала;
- полагают, что вне контура компании удалённый сотрудник — самостоятельный, ответственный и организованный человек, заботящийся о кибербезопасности и защите данных;
- считают, что их «вшивая клиентская база» и «тупое ноу-хау» нафиг никому не нужны.
Сочетание описанных рисков и факторов халатного отношения к безопасности приводят к обидным потерям данных как в крупных компаниях, так и в совершенно небольших, которые при наступлении неблагоприятного момента могут разориться раньше, чем успеют прислать письма с извинениями.
Где риски зарыты?
▍ В людях
Что бы ни происходило, человеческий фактор среди рисков информационной безопасности компании перебить крайне сложно. И если раньше я бы рассказал что-то про нерасторопных бухгалтеров или продажников с паролями на мониторе, то сейчас кристаллизовались три основные ипостаси рисков.
- Сотрудники, которым пофиг на безопасность. Они не задумываются о сложности паролей, о политике использования личных устройств в офисе, их не волнует принесённый на работу пиратский софт, им нормально передавать информацию и документы в чатах и через личную почту. Как правило, это никакие не злоумышленники — обычные сотрудники, которых не потрудились обучить основам работы с информацией и коммерческой тайной. Эта часть команды (а то и вся команда) — серьёзная брешь в информационной и экономической безопасности. Ну а если уж они считают, что с компьютером на ты и могут наконфигурячить что-то в настройках корпоративных систем, то только бэкапы вас и спасут — актуальные, проверенные, по 2 копии на трёх разных серверах (в иных хранилищах).
- Удалённые сотрудники — в принципе, те же безалаберные ребята из первого пункта, только с поправкой на работу в незащищённых сетях и средах. Могут ненароком нанести удар по компании и утратить важные данные по неосторожности.
- Третья группа — опасный, умный и осторожный враг. Это сотрудники, которые могут целенаправленно «сливать» данные, передавать их конкурентам, продавать, компрометировать со злым умыслом. У них, как правило, есть план и помощники, поэтому они могут долгое время действовать незаметно.
Человек уязвим перед угрозами безопасности и чаще всего выступает основным объектом атаки, поскольку «пробить» можно даже самого подкованного пользователя. Социальная инженерия, сложные схемы взаимодействия и психологические приёмы открывают злоумышленникам самый широкий доступ к корпоративной и частной информации. Поэтому сотрудники в компании должны быть осведомлённым, обученным и всегда актуально информированным звеном.
▍ В жадности
Малый и средний бизнес парадоксально экономит на оборудовании и автоматизации, хотя это инструменты эффективности и продуктивности сотрудников плюс частичная гарантия безопасности. И снова возможны варианты.
- Если свой сервер, то утеря данных может произойти вместе с выходом из строя жёстких дисков и иного оборудования. При этом как показывает опыт, никого не смущают ни высокие температуры дисков, ни зависания, ни скрежет в системе. Работает и ладно, правда же?
- Если данные в облаке, компании не озабочены приобретением собственного надёжного VDS, а используют облачные порталы компаний-вендоров программного обеспечения. Потом начинаются сюрпризы: облачные сервисы взламывают, компании-разработчики меняют тарифы или, например, не отдают бэкапы и данные ввиду странового риска.
- Если купленный VDS, компания не заботится об администрировании хранилищ и сервера, а полагается на поставщика облачных технологий. Хоть это и довольно надёжная стратегия, лучше всё-таки не пускать контроль данных и мониторинг на самотёк.
Данные стоят дорого, даже если руководителю компании кажется, что они «завелись» бесплатно. И именно поэтому данные и коммерческая информация становятся объектом охоты — кто-то знает их реальную цену и ценность лучше. Поэтому стоит не ждать ситуации «жадность фраера сгубила», а позаботиться о своевременном обслуживании всей IT-инфраструктуры и подменного фонда, который должен быть строго обязательно даже в небольших компаниях. Такой подход при видимых инвестициях здорово оптимизирует затраты, бережёт нервы и обеспечивает бесперебойную работу компании.
▍ В форс-мажорах
Компания не может находиться в изоляции, поэтому она подвержена всей совокупности рисков: страновым, экономическим, природным. Как правило, это те риски, которые не поддаются прогнозированию, наступают внезапно и резко бьют по самым неподготовленным и незащищённым компаниям. Проблемы возникают как раз у тех, кто изначально допускал «дыры» в безопасности и не контролировал процессы управления информацией.
Согласно отчёту о потере данных в Европе, более 6% ПК ежегодно страдают от потери данных — так, в 2020 году произошло более 1,7 миллиона инцидентов. В отчёте определены шесть основных причин потери данных:
- Отказ оборудования, в том числе повреждение из-за скачка напряжения и отказа диска — 42%
- Человеческая ошибка, включая случайное удаление информации — 31%
- Повреждение файлов программного обеспечения, случайное и преднамеренное — 13%
- Вирусы — 7%
- Кража, особенно кража ноутбуков — 5%
- Потеря оборудования, включая наводнения, пожары, молнии, сбои в подаче электроэнергии и прочие форс-мажоры — 3%
Вообще, форс-мажорам принято скорее удивляться: никогда не знаешь, где что сгорит, развалится, зальётся ливнями и т. д. Но именно от них хорошо спасают бэкапы. Нет ничего круче, чем спокойно спать, когда твои данные есть ещё где-то, кроме этого:
Что здесь происходит?
Что делать?
Если вы думаете, что обойдётся или пронесёт, то нет. Управлять рисками придётся — этим может заниматься сисадмин, хороший аутсорсер или руководитель компании при должных компетенциях.
- Обучение сотрудников с постоянным обновлением информации. Можно создать специальный раздел в интранете или просто проводить обучение, главное — обязательно тестировать сотрудников и проверять, что знания усвоены и актуализированы. Чтобы не столкнуться с сопротивлением, можно использовать приёмы геймификации или любую другую мотивацию.
- Контроль доступа сотрудников. Все сотрудники, работающие с данными, коммерческой информацией и корпоративными информационными системами, должны чётко понимать, что такое конфиденциальность и какие последствия наступают в случае её несоблюдения. Компания должна не раздавать максимальные права всем подряд как знак великого доверия, а управлять доступами к разным типам данных, уметь защищать информацию в своей зоне ответственности от потери, повреждения и утраты.
Хотим отдельно обратить внимание, что всяческие bossware-системы (следилки) не имеют ничего общего с лучшими практиками обеспечения информационной безопасности. Это не что иное, как отличный способ демотивации и наращивания рисков наступления неблагоприятных событий, связанных с человеческим фактором.
- Анализ угроз. В компании должен быть человек, который способен обеспечить своевременный и качественный мониторинг, чтобы быстро сориентироваться и провести профилактику потенциальных угроз, в том числе связанных с фишингом и социальной инженерией.
- Разработка контура информационной безопасности — важная и часто дорогостоящая задача. Но лучше завершить её один раз и актуализировать отдельные компоненты, чем расплачиваться за каждый провал.
- Мониторинг оборудования и IT-инфраструктуры — обязательное условие благополучия компании. Если вы IT-компания, то какого фига вы ещё читаете эту статью, всё давно должно работать :) Если компания не относится к IT-сфере, необходимо нанять сотрудника, обратиться за помощью к надёжному крупному аутсорсеру, системному интегратору или даже вендору ваших корпоративных систем. Как правило, можно найти разумный вариант за разумные же деньги.
- Работа с надёжными, проверенными поставщиками IT-услуг, программного обеспечения и элементов IT-инфраструктуры. Не поленитесь провести минимальную проверку репутации и надёжности поставщиков, проведите несколько раундов презентаций и обсуждения перед покупкой, задайте самые неудобные вопросы. Порядочную компанию это не смутит.
- Развитие лояльности сотрудников и корпоративной культуры. Если компания способна выстроить адекватную корпоративную культуру, основанную на доверии, поддержке и принятии ошибок, рано или поздно сотрудники примут правила игры и будут более лояльными, а значит, менее опасными. Ещё раз обращаем внимание, что любой контроль сотрудников должен быть мягким, адекватным, точечным, а главное, сотрудники должны быть информированы о способах контроля и согласны с ними. Прозрачность отношений порождает ответную прозрачность, риски снижаются.
- Бэкапы. Бэкапы. Ещё раз бэкапы. (Аааааа, эээх, всё равно не сделаете).
Иногда, когда смотришь на организацию информационной и экономической безопасности, хочется посоветовать хотя бы приложить подорожник. По крайней мере, это будет признаком того, что в компании хотя бы догадались взглянуть на проблему. Друзья, мы живём в непростое время, когда наши данные дорого стоят и они всегда кому-то нужны — даже если вы просто ставите окна в Костроме или пилите симпатичную аркаду под Android. Сохранность данных — это безопасность бизнеса, сотрудников, всего заработанного капитала. Поверьте, труды по обеспечению информационной безопасности стоят результата.
И да, прямо сейчас сделайте/протестируйте/проверьте свои бэкапы. Мы точно знаем, насколько это важно.