Массовый переход на удаленный формат работы способствовал формированию у сотрудников более ответственного отношения к безопасности данных. Согласно исследованиям ITRC за 2020 год, публично зафиксированные утечки затронули порядка 300 млн человек, что на две трети меньше, чем за предыдущий год. Однако даже на фоне этой положительной тенденции количество хакерских атак не сокращается, а бизнес по-прежнему теряет из-за взломов колоссальные суммы.
Кибератаки – один из важнейших факторов риска для современного бизнеса
В отчете Всемирного экономического форума за 2020 год были рассмотрены самые глобальные угрозы для корпораций, включая стихийные бедствия и оружие массового поражения. Интернет-мошенничество и кибератаки заняли третью по значимости позицию среди прочих факторов.
Самые тревожные факторы для бизнеса (источник: World Economic Forum)
Чтобы удостовериться в обоснованности столь высокого уровня беспокойства, достаточно обратиться еще к нескольким фактам статистики за 2020 год:
«$8,64 млн – средняя стоимость утечки данных в США», – сообщает IBM. В эту сумму входят убытки из-за простоя, выкуп данных у злоумышленников, оплата штрафов за нарушение сохранности данных потребителей и прочие возникшие вследствие утечки расходы.
По прогнозам Cybersecurity Ventures, общие затраты на киберпреступность в 2021 году составят порядка $6 трлн.
«Каждые 39 секунд ваш компьютер может подвергнуться хакерской атаке», – заявляют исследователи из Университета Мэриленда. Устройства, принимавшие участие в их эксперименте, в среднем были атакованы 2244 раза в сутки.
Согласно отчету AON, рыночная стоимость многих компаний за год упала на 25% после того, как они подверглись кибератаке.
Для полноты картины достаточно задуматься о том, что все приведенные примеры основаны исключительно на информации, попавшей в публичный доступ. Значительное количество случаев взлома так и не добирается до СМИ или аналитиков, а замалчивается компаниями.
Под угрозой не только крупный бизнес
Многие люди склонны полагать, что в группе риска только гигантские корпорации, а небольшие компании хакеров не интересуют. Опровержение этому заблуждению можно найти в отчете Verizon, где зафиксировано, что 28% жертв утечки данных – именно малые предприятия. Усугубляется положение тем, что, по расчетам USA Today, стоимость кибератак для малого бизнеса составляет от 84 до 148 тыс. долларов. Не все компании готовы справиться с такими убытками, и 60% из них разоряются в течение шести месяцев после кибератаки.
Жертвы утечек данных (источник: Verizon)
В то же время больше половины СМБ-компаний не в состоянии содержать в штате высококвалифицированных специалистов по безопасности. Даже после инцидента многие организации не могут принять надлежащие меры по усилению защиты. По опросу Fundera, только 14% компаний оценивают свою способность снижать киберриски и противостоять атакам как высокоэффективную.
Почему происходят утечки данных?
Согласно исследованию IBM и Ponemon Institute за 2020 год, в ходе которого было опрошено 3200 человек, работающих в 524 организациях в 17 странах и регионах, 52% всех утечек данных были вызваны злоумышленниками со стороны, еще 25% – сбоями в системе и 23% – по ошибке человека. Личная информация клиентов (PII), на которую пришлось 80% всех утечек, была типом записей, которые чаще всего теряются или крадутся. Это неудивительно, учитывая, что PII является наиболее ценным типом данных из-за своей чувствительности. Как следствие, это также тип данных, который чаще всего защищается ИБ-правилами.
Причины утечек данных (источник: IBM и Ponemon Institute)
Скомпрометированные учетные данные и неправильная конфигурация облака стали причиной 19% вредоносных утечек данных, а на уязвимости стороннего программного обеспечения пришлось еще 16%. Причем человеческий фактор не был определяющим: основной причиной 7% утечек стали вредоносные инсайдеры, а еще 17% пришлось на социальную инженерию и фишинговые атаки, нацеленные непосредственно на сотрудников.
Причины утечек данных в различных сферах (источник:отчет IBM и Ponemon Institut)
Также было показано, что сотрудники проявляют бóльшую халатность в одних секторах, чем в других. Возглавляет список индустрия развлечений, где 34% всех утечек данных были вызваны неосторожными сотрудниками, за ней следуют общественный сектор и сектор потребительских товаров – 28%. В секторе здравоохранения, несмотря на жесткие правила, халатность сотрудников стала причиной 27% всех утечек, а в сфере транспорта только 13% были вызваны человеческой ошибкой, в то время как в розничной торговле и технологиях на их долю пришлось 17%.
Как защитить данные от кражи
Все вышеописанные риски и статистика по взломам ясно дают понять, что безопасность данных должна быть одной из первоочередных задач компании. Разумеется, лучший способ защиты – нанять квалифицированного специалиста в области информационной безопасности. Однако есть ряд базовых практик, которые компании могут использовать в своей работе самостоятельно. Выполнение следующих пунктов поможет на порядок повысить уровень безопасности данных и уберечь от наиболее распространенных видов атак:
Внедрение политик сложности паролей. Они должны соответствовать ряду требований: например, состоять не менее чем из из 32 символов, содержать в себе буквы верхнего и нижнего регистра, цифры и специальные символы.
Проведение регулярной ротации паролей. Оптимальная частота – раз в месяц для наиболее важных сервисов.
Создание безопасного хранилища секретов с ограниченным уровнем доступа и повышенной степенью защиты данных.
Жесткое разграничение доступов для сотрудников по принципу “least privilege”.
Установка запрета на подключение к учетным записям администрации извне рабочей сети.
Максимальное ограничение доступа к базе данных из внешней сети. Если полный переход на приватную сеть невозможен, подключение можно ограничить исключительно для доверенных хостов.
Использование межсетевого экрана и средств против обнаружения и сканирования портов.
Проведение регулярного автоматического бэкапа базы данных.
Шифрование информации в базе данных и (в особенности!) ее бэкапах. Довольно часто именно хранящиеся в открытом доступе бэкапы становятся причиной утечек.
Внедрение аудита и сетевого логирования на серверах с базами данных.
Регулярное обновление ПО для базы данных и ОС.
Халатное отношение к сохранности данных может повлечь серьезный материальный ущерб и утрату доверия со стороны клиента. В случае же малого бизнеса существует вполне реальная угроза, что компания не переживет последствий атаки. А потому важно постоянно контролировать уровень информационной безопасности и принимать меры по его усилению. Как показывают исследования, многие утечки происходят по вине самих же сотрудников компании, которые не побеспокоились о базовых мерах предосторожности или попались на элементарный фишинг. Чтобы избежать подобных инцидентов, проблему безопасности нужно открыто обсуждать и доносить до каждого сотрудника.
Смотреть все статьи по теме “Информационная безопасность”