Кибератака — бояться или готовиться

О том, насколько актуальным в наше время стал вопрос кибербезопасности, какие угрозы для бизнеса несет излишняя беспечность в этом вопросе и как правильно выстроить стратегию защиты от возможных атак – в статье Дарьи Сидоренко, координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko специально для сайта «Сегодня».
К большому сожалению, после 27 июня 2017 года (времени атаки RansoniWin32/Petya, или вируса Petya, как его знают в Украине) прошло уже больше года, а полноценного закона о регулировании вопроса кибербезопасности Верховная Рада Украины так и не приняла. Закон Украины «Об основных принципах обеспечения кибербезопасности Украины» (далее – Закон), который вступил в силу 9 мая 2018 года, носит больше декларативный характер. На самом деле, он не содержит никаких реальных требований к компаниям в налаживании системы кибербезопасности – ни технических требований к системе безопасности компании, ни рекомендаций относительно того, что делать в случае осуществления на вас атаки, ни о том, какие специалисты должны нести ответственность, кого из них надо привлекать к подготовке и тому подобное. Сегодня закон, который бы содержал такие требования, был бы невероятно актуальным и современным, несмотря на свежее законодательство Европейского Союза в аспекте защиты персональных данных, Канадский закон о цифровой приватности и другие законы, регулирующие вопросы информационной и кибербезопасности. Конечно, приняв Закон, правительство сделало шаг на пути к урегулированию вопроса кибербезопасности, но, по сравнению с требованиями к кибер- и информационной безопасности законодательств Европейского Союза, США и Канады, украинское законодательство отстает в этих вопросах минимум на 10 лет.
Каждый владелец бизнеса должен понимать, что налаживание системы кибербезопасности полностью зависит только от него самого и является вопросом сугубо добровольным. Но пренебрегать этим вопросом в 2018 году все-таки не стоит. Даже при достаточно слабом украинском законодательстве в этой сфере, если вы работаете с иностранными контрагентами, скорее всего, вопрос кибербезопасности появится очень скоро.
Так что вам следует знать и как лучше подготовиться? Я предлагаю 10 рекомендаций, которые нужно принять к сведению при создании своей системы безопасности. Хотя здесь и идет речь о компании, эти рекомендации касаются не только частного бизнеса, они актуальны также и для государственного сектора, который, наверное, находится в наибольшей зоне риска и является очень привлекательным для киберпреступников.
Таким образом, 10 советов, как обезопасить себя от кибератаки и что делать в случае, если она уже происходит или произошла.
1. Осознайте реальность и серьезность киберугроз
Просто примите тот факт, что за последние двадцать лет мир сильно изменился, и он уже не будет таким, как раньше. Технологии и новшества настолько сильно проникли в нашу жизнь, что без них некоторые из нас просто не представляют своей полноценной жизни, и все, чем мы пользуемся, так или иначе собирает о нас информацию (что не менее важно). Данные и информация являются ценным ресурсом 21 века, поскольку тот, кто владеет информацией, владеет миром. И в случае, если вы или ваша компания владеете какой-либо информацией, потенциально вы в зоне риска кибератак и можете быть атакованы хакерами или вирусной программой, сами того не подозревая. Поэтому информационная осведомленность и осознание – это сейчас невероятно важный фактор, а порой и требование во многих компаниях.
2. Создайте план!
На данный момент существует два плана, которые нужно разработать каждому предприятию, которое беспокоится о своей кибербезопасности. Первый – это План непрерывности бизнеса (англ. Business ContinuityPlanning, далее – BCP), а второй – План аварийного восстановления (англ. DisasterRecoveryPlan, далее – DRP) (далее вместе – План).
BCP – это комплексный стратегический ряд организационных мероприятий, направленных на снижение рисков прерывания бизнес-процессов и минимизации негативных последствий в случае сбоев ІТ инфраструктуры. Целью DRP является обеспечение того, чтобы вы и ваша команда понимали, как нужно реагировать на стихийное бедствие или другое происшествие, которые могут повлиять на информационные системы, и как минимизировать негативное влияние на деятельность предприятия.
Создание Плана, наверное, является важнейшим элементом, и поэтому стоит в списке вторым после фактора осведомленности. Создание Плана является критически важным, поскольку он является первым документом, к которому вы будете обращаться в случае атаки. План – это внутренний документ компании, который будет определять шаги и действия, которые необходимо совершить в случае кибератаки. Стоит помнить, что разработка плана – практически непрерывный и динамичный процесс, поскольку кибератаки постоянно меняются, и поэтому ваш План должен быть гибким и подстраиваться к изменениям и в будущем обеспечивать надежную защиту от новых угроз. План должен быть неотъемлемой частью риск-менеджмента и комплаенса вашей компании. 3. Определите правильных людей
Кибербезопасность вашей компании начинается с правильно подобранных людей, которые будут принимать непосредственное участие в разработке, внедрении и выполнении Плана. Если в вашей компании нет специалиста по информационной безопасности, то для того, чтобы составить План, желательно такого нанять, поскольку только качественно подобранный специалист сможет его подготовить в соответствии с особенностями именно вашей организации. Очень важно, чтобы все работники, которые будут задействованы в реализации Плана, знали о своих обязанностях, понимали каналы коммуникации, структуры отчетности и подотчетности, которые возникают в случае инцидента по кибербезопасности. В Плане должны быть четко определены внутренние контакты и внешние консультанты, которые внесены в список контактов в реализации Плана, чтобы не было путаницы, с кем нужно будет связаться для немедленного получения поддержки.
Вы должны понимать, что фактические участники команды будут варьироваться в зависимости от организации и характера инцидента. Обычно в команду будут привлечены такие специалисты вашей компании:

— представители юридического отдела и отдела комплаенса;
— представители PR и маркетингового отделов;
— HR специалисты;
— специалист по информационной безопасности
— и другие, в зависимости от специфики вашей организации.

Достаточно большой перечень привлеченных в команду уменьшает риск того, что важный фрагмент Плана во время инцидента будет пропущен, каждый будет знать свои обязанности и сферу ответственности, если возникнет инцидент. 4. Не бойтесь привлекать других
Для того, чтобы минимизировать риск возникновения атаки, необходимо провести тщательный анализ технической составляющей вашей безопасности, наняв для анализа или «белых» хакеров, или независимую организацию, которая специализируется на кибербезопасности. Их роль заключается в том, что они протестируют разные аспекты и уровни безопасности вашей компании, оценят риски, проведут тест на проникновение и другие тесты для того, чтобы определить, насколько ваша система готова противостоять атаке.
В случае, когда атака произошла, много проблем, связанных с кибербезопасностью и последствиями кибератаки, требуют специальных знаний, чтобы проанализировать, что произошло. Для этого нужно привлекать внешних специалистов, проводящих расследования в сфере информационной безопасности и ИТ в целом. Сейчас ее называют IT форензикс (от англ. Forensics – экспертиза).
IT форензикс может быть различным. Например, это могут быть такие разновидности экспертизы:

— аппаратно-компьютерная;
— программно-компьютерная;
— компьютерно-сетевая;
— информационно-компьютерная.

5. Учите ваш персонал
Как уже отмечалось, осведомленность вашего персонала – ваша сила. Компьютеры и сети, а также программное обеспечение, которое их запускает, с каждым годом становятся только лучше и более мощными. Правильно подобранная система, которую настроят для вас настоящие профессионалы, обеспечит вам надежную защиту даже против самых изощренных хакеров. Однако если есть желание, найдется и возможность. Кибернападающие постоянно разрабатывают новые способы, чтобы обойти современные меры безопасности, поэтому не пренебрегайте осведомленностью вашего персонала. Общепризнано, что человеческий фактор является самым слабым звеном в цепочке, когда речь идет о кибербезопасности. Осведомленность, лекции и тренинги о рисках и критериях атаки должны быть неотъемлемой частью подготовки к реализации Плана. Регулярность таких учений не позволит вашим работникам забыть о важности кибербезопасности, что позволит вам минимизировать вероятность того, что именно неосведомленность вашего персонала повлечет брешь в системе безопасности. Хорошо подготовленные работники смогут предупредить возможность возникновения инцидента, связанного с кибербезопасностью, или, по крайней мере, смогут быстрее и лучше определить, что такой инцидент начался. 6. Практика, практика и еще раз практика!
Темп, с которым сегодня все меняется, является ключевым моментом в этом пункте. Учитывая эти два критерия, знайте – каким бы идеальным ни был ваш План, его нужно постоянно менять и адаптировать. Не забывайте проводить регулярные тренинги, практикумы и инициировать фейковые кибератаки для вашего персонала, развивая у людей рефлекс действовать по плану ответа на кибератаки в формате «мышечной памяти». Это особенно важно делать, если в организации существует текучесть персонала, поскольку новые работники могут не разбираться в кибербезопасности вообще и своей неосведомленностью могут вызвать масштабные негативные последствия для вашей компании. 7. Обеспечьте возможность выявить брешь в системе
Возможность вовремя выявить брешь в системе является критически важной для компании. Очень часто происходит так, что о бреши в безопасности узнают через год, а могут и вообще никогда не узнать, что такое произошло. Такие ситуации происходят, поскольку это не то, что принесут вам на тарелочке и скажут: «Алярм, у вас здесь брешь». Иногда нужно очень постараться, чтобы идентифицировать брешь, и это не так просто, как кажется на первый взгляд.
Обстоятельный анализ инцидента по кибербезопасности может быть осуществлен только тогда, когда инцидент оценивается подробно и реалистично. Ответы на вопрос «Как и при каких условиях произошел инцидент?», «Какой объем данных был скомпрометирован?» и другие смогут дать более подробную картинку того, что произошло. Также ответы на эти вопросы могут помочь выстроить правильную позицию защиты и сообщения для ваших клиентов, данные которых были похищены. 8. Определитесь с вашими стратегиями внутренних и внешних коммуникаций
Внутренние коммуникации невероятно важны, ведь быстрая реакция внутри компании гарантирует минимизацию негативных последствий, которые могут возникнуть во время атаки. Когда на вас совершили атаку, нет времени на выяснение, с кем и как следует связаться. Вы должны реагировать мгновенно! Ваш План должен содержать не только имена людей и их сферу ответственности, но также иметь номера телефонов, альтернативные номера телефонов, вторичные контакты, адреса электронной почты, конкретные места, где эти люди, вероятно, будут находиться.
Возможно, самым важным вопросом в аспекте коммуникаций, с которым столкнется ваша компания после обнаружения инцидента по кибербезопасности, является решение о сообщениях, что у вас этот инцидент произошел.
9. Обеспечьте дальнейшее функционирование компании
Возможность потерять вашу репутацию в эпоху социальных сетей – это первое, о чем вы беспокоитесь, и это гораздо страшнее получения штрафа. Риск того, что инцидент, связанный с кибербезопасностью, может быть неправильно воспринят общественностью, также как и несвоевременная реакция, могут разрушить репутацию, которую строили годами. Не стоит забывать и о том, что ваша компания должна продолжать работать, какой бы инцидент не произошел. Так, хорошим примером может быть Новая Почта, которая после того, как появилось подозрение об утечке базы данных клиентов, продолжала работать, как будто ничего не произошло. Ваш План должен содержать подробную инструкцию с соответствующими шагами, необходимыми для того, чтобы ваша компания в конце концов не претерпела сбоев работе. 10. Не паникуйте!
Даже если случилось так, что на вас была осуществлена кибератака, и вы потеряли данные, и все по наихудшему сценарию, у вас есть План, есть ответственные люди, которые знают, что делать в этой ситуации, и умеют это делать, ваш персонал прошел тренинги и имеет понимание, что к чему. Единственное, что вам нужно сделать, это сообщить CERT-UA (команда реагирования на компьютерные чрезвычайные события Украины (англ. Computer Emergency Response Team of Ukraine) – специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам. Для чего, вы спросите? А для того, чтобы CERT-UA знал о том, что была совершена атака, провел анализ и подготовил рекомендации. Конечно, признавать или нет публично тот факт, что на вас совершили атаку, дело ваше. Публичное признание проблемы – это всегда потенциальные репутационные риски, однако при правильном пиаре, своевременных коммуникациях и правильно расставленных акцентах можно даже повернуть ситуацию к лучшему для себя. Кроме того, если речь идет о массовых кибератаках, не были бы вы благодарны, если бы вам сообщили об этом и тем самым предупредили о потенциальной атаке? Решать вам.
Выводы
Конечно, кибератака и кибербезопасность сегодня звучат еще очень странно и необычно для людей в Украине, но понимание важности и актуальности этого вопроса уже становится неотъемлемым трендом в нашей стране. Если посмотреть на перечень технических специальностей в украинских вузах, то «Кибербезопасность» уже присутствует во многих, и количество вузов, которые будут готовить таких специалистов, с каждым годом будет только увеличиваться. Но самое главное – всем нам следует понимать, что кибербезопасность начинается с соблюдения прописанных вами правил и ответственности каждого из членов команды.