У світі відзначають День безпечного Інтернету

Щороку, у вівторок другого тижня лютого у світі відзначають День безпечного Інтернету (англ. Safer Internet Day). Започаткували таку традицію європейські некомерційні організації European SchoolNet та Insafe у 2004 році.  

Мета Дня безпечного Інтернету — це поширення знань про безпечне та відповідальне використання цифрових технологій. Особливо актуальною ця тема є для підприємців та керівників  компаній. Адже, несанкціоноване втручання в роботу інформаційних систем може призвести як до незначних незручностей в роботі компанії, так і до глобальних проблем – від викрадення конфіденційної та фінансової інформації до втрати бізнесу. 

Так, за даними Держспецзв’язку лише за минулий рік Оперативним центром реагування на кіберінциденти Державного центру кіберзахисту (ДЦКЗ) зафіксовано 41 мільйон підозрілих подій інформаційної безпеки, опрацьовано 160 тисяч критичних подій та зареєстровано 147 кіберінцидентів. Відповідно до зібраних статистичних даних, найбільше кіберінцидентів стосувалися шкідливого програмного коду (28%), збору інформації зловмисниками (18%) та шахрайства (6%). 

Тому, команда першої української акселераційної програми, що реалізується SocialBoost у межах проєкту USAID Cybersecurity Activity, спільно з компаніями-учасниками програми, які працюють у секторі ІТ та кібербезпеки розповіли про кібер-ризики та основні види кібератак, які можуть становити загрозу вашому бізнесу. 

Основні види кібератак на бізнес в Україні :

• Програми-вимагачі (шифрувальники) – шифрують всю інформацію на девайсах вашої компанії, що може призвести до повної зупинку бізнесу. Інколи, така інформація навіть не підлягає відновлення.  
• Інсайдерські атаки. Інсайдери є найскладнішим видом кіберзагроз. Адже пов’язаний з людським фактором. Це може бути співробітник, якому ви довіряєте. Інсайдер може зашкодити компанії, як цілеспрямовано, так і випадково. Такий вид кібератаки складно передбачити. 
• Фішинг – одна з найефективніших атак. Полягає в розсилці кіберзловмисником листів зі шкідливими файлами або посиланнями. Натискаючи на такі вкладення людина заражає свій ПК. З цього розпочинається проникнення в мережу організації. Навіть досвідчені люди іноді потрапляють у цю пастку. Тому, якщо вам прийшли підозрілі листи, краще взагалі їх не відкривати. 

• Цільові кібератаки, DDoS-атаки – це атаки на обчислювальну систему з метою довести її до відмови. Створити такі умов, щоб користувачі системи взагалі не могли отримати доступ до системних ресурсів, що надаються, або він буде обмежений.

Крім цього, власникам бізнесу варто розуміти, що правильно визначений кібер-ризик для компанії дозволяє побачити, який буде вплив на бізнес загалом, а також важливо передбачити вірогідність того, що цей ризик може статися. 

Визначаючи ці два питання, ми розуміємо наскільки критичною ця подія стане для компанії. Далі, визначивши, які дані ми можемо втратити: фінансові, конфіденційні тощо, ми обираємо те, як будемо працювати з кібер-ризиками.  

Існує багато підходів роботи з ризиками, але найрозповсюдженішими є наступні: 

1. Avoid (піти від ризику) – це оптимізація бізнес-процесів таким чином, щоб не використовувати дані, втрата яких стане критичною для вашої компанії. Наприклад, збір та збереження персональних даних клієнтів. Якщо ви можете надавати товар, послугу тощо, без отримання таких даних – краще це зробити та убезпечити себе від вірогідності їх викрадення. 
2. Except (якщо кібер-ризик має невеликий вплив на бізнес). В такому випадку ви розуміючи це, приймаєте таку вірогідність та продовжує працювати без зміни бізнес-підходів. Оскільки, виключення такого ризику може бути дорожчим, ніж його прийняття. 
3. Mitigation (пом’якшення кібер-ризиків та їх впливу на компанію). Проведення аудиту та визначення, наскільки є вразливою ваша IT-архітектура перед хакерами. Після проведення такого тестування, варто оцінити, чи вистачить отриманої інформації та даних для зниження кібер-ризиків. Якщо цього не достатньо, компанії варто застрахуватися. На випадок, якщо компанія зазнає збитків, кошти від страховки допоможуть покрити, наприклад, штрафи та витрати на відновлення певних процесів в компанії.  

Крім зазначених вище механізмів, компанія може впровадити розробку додаткових елементів захисту інженерами безпеки. Вони вже на етапі розробки аналізуватимуть моделі загроз, екстрені випадки тощо, та виставлятимуть вимоги, які будуть використовувати розробники. 

Після чого, платформу захисту можна також перевірити, виставивши її на публічний хакінг, для тестування на вразливість незалежними “експертами”. 

4. Transfer (передача відповідальності за кібер-ризик). Передача команді або компанії (аутсорсинг) відповідальність за питання кібербезпеки вашого бізнесу. 

Для того щоб максимально захистити компанію від кібер-ризиків варто на постійній основі займатись інформаційною безпекою. Для цього, можна найняти відповідного співробітника, або створити власні відділи/департаменти з кібербезпеки. Проте, кращим рішенням стане віддати цей напрямок спеціалізованій компанії, яка проведе аудит інформаційної безпеки компанії, та на основі отриманих даних збудує стратегію кіберзахисту відповідну даному бізнесу. 

Як правильно підібрати партнера з кіберзахисту?

Для початку не варто віддавати перевагу одній компанії. Краще зробити запити декільком, пояснити очікування від спільної роботи та прописати технічне завдання. Далі, подивитись, яким чином ці компанії вирішуватимуть поставлені задачі, які при цьому використовують методики тощо. Так буде легше визначитись, з якого компанією буде комфортно працювати. 

Також, варто розуміти, яка саме команда працюватиме над кібербезпекою. Адже, це повинні будту спеціалісти з досвідом роботи в тій галузі, в якій працює компанія-замовник. 

Важливо, не обирати спеціалістів за принципом найменшої ціни. Адже, є вірогідність отримати послугу неналежної якості та наразити компанію на додаткові ризики. Завжди варто звертати увагу на експертизу компанії, з якою плануєте працювати.