Фишинг, шифровальщики и миллионы потерь: топ угроз для компаний в Казахстане

Бизнес все чаще сталкивается с киберугрозами, которые не только приводят к финансовым потерям, но наносят ущерб репутации. В материале разбираем, какие решения от "Лаборатории Касперского" выбирают компании разных сфер, как изменились угрозы и что бизнесу нужно знать о шифровальщиках, фишинге и атаках через подрядчиков.

У "Лаборатории Касперского" представлен широкий ассортимент решений для организаций. Мы спросили, какие продукты чаще всего выбирают компании и есть ли особенности в зависимости от сферы бизнеса?

Как отметили в компании, сегментация по отраслям действительно существует. Например, финансовые организации чаще всего используют решения для защиты и выявления таргетированных атак. Поскольку количество мошеннических схем, нацеленных на клиентов банка, растет, финансовый сектор также использует антифрод-системы. В то же время для промышленной сферы характерен выбор специализированных решений для защиты технологических процессов. Для государственного сегмента приоритет стоит на защите данных и противодействии таргетированным атакам.

Как изменилось отношение бизнеса к кибербезопасности

За последние годы отношение бизнеса к вопросам киберзащиты заметно изменилось. "Лаборатория Касперского" активно вела просветительскую деятельность, объясняя, что одного антивируса недостаточно для предотвращения современных угроз. Компания рассказывала о сложных атаках, обучала специалистов по информационной безопасности и повышала уровень киберграмотности сотрудников.

Эти усилия дали результат: компании стали серьезнее относиться к киберрискам. Интерес к решениям для защиты данных проявляют не только крупные предприятия, но и представители малого и среднего бизнеса.

Мониторинг событий: кому и зачем он нужен

Мониторинг событий, поясняет эксперт в области информационной безопасности, один из примеров современных решений для кибербезопасности. Эти технологии помогают предотвращать сложные атаки, оперативно реагировать на инциденты и проводить глубокий анализ угроз.

Важными инструментами безопасности выступают системы SIEM (Security Information and Event Management) и EDR (Endpoint Detection and Response). Они позволяют компаниям вывести киберзащиту на новый уровень.

В основном их используют организации с развитым подразделением информационной безопасности. Появление таких подразделений связано с ростом киберрисков и усложнением бизнес-процессов. Чем выше риски, тем более продвинутые технологии требуются для защиты компании.

Какие сегодня существуют угрозы и чего стоит бояться бизнесу?

Методы проникновения у злоумышленников практически не меняются, однако степень интенсивности тех или иных атак может отличаться в зависимости от разных факторов. В этом году эксперты компании обратили внимание, что одной из ключевых тенденций угроз для бизнеса стали атаки через подрядчиков. Злоумышленники могут проникнуть в саму организацию, например, через стороннего партнера, который администрирует ее IT-инфраструктуру. Также мошенники могут использовать для проникновения вредоносный код, внедренный в ПО подрядчика или вендора.
Уязвимости в этом году характерны тем, что злоумышленники используют не только эксплойты ОС Windows, но и других систем, в частности, NGFW.

Атакуя компании, мошенники используют разный инструментарий и векторы атак – шифровальщики, трояны, фишинг, атаки через почту или социальные сети, а также эксплуатируют актуальные легенды.

В Центральной Азии даже самые крупные компании становятся жертвами кибермошенников по трем основным причинам:

• Уязвимости в программном обеспечении. Чаще всего уязвимости не нулевого дня. То есть, которые уже известны, и своевременный патч-менеджмент мог бы исправить ситуацию.
• Слабые пароли, которые используют системные администраторы. Злоумышленники, подобрав такой пароль, получают доступ во внутреннюю инфраструктуру компании.
• Фишинг, распространяемый в том числе через электронную почту.

Наиболее серьезную угрозу представляет шифрование данных. Это может произойти с организацией любого размера. Что нужно знать бизнесу о таких атаках?

Распространенный сценарий атаки — это хищение данных: о сделках, счетах или клиентах компании. Часто злоумышленники выдвигают требования по выплате выкупа, угрожая в противном случае опубликовать украденное. В случае с чувствительной информацией о клиентах это может грозить не только репутационном ущербом, но и солидными штрафами в соответствии с законом о хранении персональных данных. Злоумышленники также могут запустить в инфраструктуре жертвы программу-шифровальщика, которая блокирует доступ ко всем файлам, тем самым фактически парализуя работу бизнеса. За расшифровку могут потребовать выкуп — как правило, это значительные суммы и гарантии возврата всех данных никто не дает.

После выплаты выкупа злоумышленники могут предоставить ключ, который позволит расшифровать сервера и компьютеры. Но так происходит далеко не всегда — зачастую они просто исчезают с деньгами или выдвигают новые требования. Более того, счет или криптокошелек, на который жертва отправляет средства, может быть связан с экстремистской деятельностью. В таком случае компания рискует попасть под законодательство, связанное с финансированием терроризма.

Прежде чем вступать в переговоры с хакерами, стоит хотя бы попытаться разблокировать инфраструктуру. Как правило, на сайтах крупных компаний, занимающихся кибербезопасностью, в открытом доступе размещены утилиты, позволяющие побороть некоторые распространенные шифровальщики самостоятельно, в том числе у нас. В случае если ни один из них не сработал, следует обратиться к специалистам за расследованием инцидента. Это недешевая услуга, но она поможет выяснить, подлежит ли инфраструктура дешифрованию и есть ли смысл выкупать ключ.

Важно также понимать, что даже при наличии ключа процесс разблокировки занимает длительное время. Потому необходимо периодически выполнять архивирование, чтобы в случае инцидента иметь возможность восстановить хотя бы часть данных. При этом бэкап должен быть настроен таким образом, чтобы диски, на которые осуществляется копирование, находились в изолированном сегменте и не пострадали при негативном сценарии.

Какие суммы теряет бизнес, не уделяя внимание защите?

Организации любого размера хранят и обрабатывают информацию, которая представляет интерес для злоумышленников: клиентские данные, финансовые записи, интеллектуальную собственность. Их потеря или утечка может привести к материальному ущербу, потере конкурентного преимущества и ухудшению репутации, а порой и к полному прекращению деятельности.

Согласно данным опроса, который компания провела в прошлом году, каждая третья организация (31 процент) в Казахстане становилась жертвой кибератак. Каждая десятая организация теряла от 800 тысяч до 2,4 миллиона тенге. Однако потери могут быть и выше. В 5 процентах компаний, подвергавшихся атакам, сумма достигала более 8 миллионов тенге. Также стоит не забывать, что не все компании в Казахстане готовы делиться как фактом ущерба, так и конкретными цифрами о финансовых потерях. Если брать глобальные данные, то, к примеру, по результатам нашего исследования, они могут составить для малого и среднего бизнеса 105 тысяч долларов.

Меньшее, что может сделать владелец бизнеса, — использовать надежные продукты для защиты рабочих мест: компьютеров, мобильных устройств, серверов. Важно, чтобы решения регулярно обновлялись. За день появляются сотни тысяч новых вирусов — устаревшая версия программы-защитника против них бессильна.

Для максимальной эффективности защита должна быть комплексной и покрывать все важные активы. Базовые решения можно связать с другими продуктами — например, для расширенного обнаружения угроз и оперативного самостоятельного реагирования на них. Оптимально, если процесс будет максимально автоматизированным, а управление — простым и понятным.

Решением может стать многоуровневая стратегия безопасности, реализуемая через внедрение платформенных решений ИБ-класса для расширенного обнаружения угроз и реагирования на инциденты (XDR). Такие решения позволяют эффективно собирать события безопасности от разных элементов ИТ-инфраструктуры и, коррелируя их, обнаруживать самые сложные кибератаки.

Какие рекомендации вы даете для защиты крупной инфраструктуры, например для промышленных объектов?

Для защиты компьютеров АСУ от киберугроз "Лаборатория Касперского" рекомендует ряд мер:

1. Использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial Cybersecurity, чтобы обеспечить безопасность всех критически важных промышленных систем.
2. Проводить тренинги по кибербезопасности для сотрудников, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов "Лаборатории Касперского".
3. Предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики угроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и о том, как повысить их устойчивость.
4. Ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.
5. Регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности.
6. Своевременно обновлять операционные системы и приложения в составе ОТ-инфраструктуры и устанавливать патчи сразу, как только они выходят.