Почему сотрудники становятся самым уязвимым местом казахстанских компаний
Данные клиентов и сотрудников, бухгалтерия, секреты организации бизнес-процессов — практически любая компания, даже небольшая, хранит огромное количество данных. При этом критические для функционирования бизнеса данные — новая нефть. Они становятся объектом охоты для киберпреступников. Разбираемся вместе с экспертом, передает Press.kz.
Подавляющее большинство организаций так или иначе используют в своей работе IT-решения. Это относительно новая сфера, и можно было бы решить, что именно здесь находится главная уязвимость. Однако все источники статистики по киберпреступности наперебой утверждают, что IТ-системы сами по себе не «ломаются», а слабые места и ошибки в них обнаружить и исправить не так сложно.
Другое дело — человеческий фактор. Который был, остается и, видимо, какое-то время останется главной угрозой для важных бизнесу данных. Разбираемся, сколько бизнесу может стоить отсутствие элементарной компьютерной грамотности в отделах, не имеющих отношения к IТ, что делать, чтобы усилить технологический блок и почему самое главное — это личная ответственность каждого сотрудника.
Немного статистики
Только за 2022 год, по данным МВД РК, казахстанцы «отдали» интернет-мошенникам почти 15 млрд тенге. Заместитель начальника центра по борьбе с киберпреступностью Департамента криминальной полиции МВД РК Рустем Дюсетаев в ноябре прошлого года сообщал, что киберпреступления в нашей стране участились — за год было зарегистрировано более 17 тысяч инцидентов такого рода.
2022 год можно считать отправной точкой в контексте осознания рисков информационной безопасности. Общество столкнулось с тем, что утечка данных – это не эфемерное понятие, а конкретные адреса, номера телефонов и другая чувствительная информация о конкретных людях. Бизнес столкнулся с возросшим числом кибератак на свою инфраструктуру, причём «досталось» и тем, кто считал, что его это никогда не коснется.
Ситуация в Казахстане, пусть и в несколько меньших масштабах, отражает мировые тенденции. Так, 95% всех киберпреступлений в мире происходит из-за человеческой ошибки. Расходы на кибербезопасность за 2022 год составили 170 млрд долларов. При этом, согласно некоторым прогнозам, к 2025 году ущерб от киберпреступлений достигнет 10,5 триллионов долларов в год.
86% кибератак мотивированы деньгами и только 10% связаны с промышленным шпионажем. Всего 5% папок в среднестатистической компании защищены достаточно эффективно.
Несанкционированный доступ
Утечка данных — это ситуация, при которой киберпреступник похищает и раскрывает конфиденциальную информацию. Зачастую данные похищают с внутренних устройств организации: ноутбуки сотрудников, внешние жесткие диски или USB-накопители. Получить несанкционированный доступ к системам организации позволяет также электронная почта сотрудников.
Социальная инженерия, фишинг, вредоносные программы, несанкционированное копирование — угроз огромное количество. Хакеры, например, могут встроить на сайт организации вредоносный JavaScript, который будет майнить криптовалюту, пока пользователь находится на сайте. Причём в большинстве случаев “теневым” майнингом, о котором не в курсе ни бизнес, ни пользователь, дело не ограничивается: через эксплуатацию незакрытой уязвимости злоумышленник получает доступ к компьютеру пользователя, а через него — к сети организации.
Кибератаки — это не так страшно, как можно себе представить. Вы моете руки перед едой, после уборной, придя с улицы — и тем самым сокращаете шансы подхватить инфекцию. Или, к примеру, в пандемию COVID-19 вы ответственно относитесь к рекомендациям медиков, носите маску, соблюдаете социальную дистанцию, обрабатываете руки санитайзером — и не заболеваете, — говорит Алексей Белимов, генеральный директор и основатель казахстанского IТ-холдинга IT Support Group.
По словам эксперта, аналогия с пандемией в данном случае наиболее иллюстративна: мало кто вопринимал ковид всерьёз до того, как люди начали терять друзей, знакомых, коллег и близких. “Ну, есть там какой-то китайский вирус в Китае, мне-то что?”. Точно также дела обстоят и с кибербезопасностью.
Например, компания подверглась фишинговой атаке, резервное копирование критической для бизнеса информации не настроено или настроено некорректно, хакеры просят выкуп (речь, как правило, идёт о сумме от 5 тысяч долларов), и только тогда, оглядывая IТ-инфраструктуру, бизнес понимает, чем и зачем нужно было заниматься. Вчера.
Каждый современный бизнес должен взять за правило один простой тезис: защита информации – это главный приоритет. Методы и средства защиты информации должны быть выбраны и проработаны насколько возможно заранее. Желательно, на этапе построения IТ-инфраструктуры, – добавил Алексей Белимов.
Человеческий фактор
Все ли помнят о том, что, подключаясь к публичному Wi-Fi, можно наткнуться на фальшивую сеть и “подарить” свои авторизационные данные злоумышленникам? Многие современные компании стремятся создать для сотрудников максимально комфортные условия труда: плавающий график, удалённая (когда “офис” у сотрудника как раз в кофейне с публичным подключением к интернету) или гибридная работа. Но с точки зрения информационной безопасности нельзя забывать о разумном компромиссе между комфортом и надёжной защитой от киберугроз.
Для того, чтобы сократить влияние человеческого фактора на кибербезопасность бизнеса, нужно учесть две принципиально важных вещи. Во-первых – базовая компьютерная грамотность на всех уровнях. Технологические процессы компании не могут быть “не моим делом” ни для кого, вне зависимости от должности, специфики и возраста.
Второе – IТ-специалист не должен “вариться” в одних и тех же задачах, так как в итоге он упрется в концептуальный потолок. Все зависит от амбиций и других личных качеств: в каких-то случаях человек просто уйдет в поисках развития, в других – развитие остановится. Последнее как раз и является серьёзной угрозой для бизнеса. Выходом может быть постоянное обучение в IТ-отделе, новые задачи, поощрения и так далее. Однако это зачастую бывает затратно. Тут на помощь могут прийти IТ-аутсорсинг или аутстаффинг.
IТ-аутсорсинг — это когда IТ-отдел вашей компании укомплектовывается квалифицированными айтишниками, решающими самые разные задачи для самых разных бизнесов тогда, когда вам нужно. Есть задача — есть специалист с нужными знаниями и навыками. Его не нужно держать в штате, не нужно платить налоги и так далее. Но самое главное в том, что ответственность за его действия и решения несёт не только он сам, но и целая большая компания за его плечами, — заключил глава компании.
О том, какие именно IT-сервисы с чистой совестью можно отдавать на аутсорсинг, можно почитать здесь.