30 мая 2024 года прошла первая масштабная конференция «СФЕРА Cybersecurity» от СберКорус — одного из ведущих игроков рынка электронного документооборота в России.
За последние несколько лет мошенники усовершенствовали методы социальной инженерии и применяют их вместе с новыми технологическими достижениями. Если раньше злоумышленники звонили и пытались убедить, что они сотрудники банка, которым нужно срочно предоставить сведения и своих счетах, то теперь схемы обмана работают точечно.
Мошенникам больше не нужно получать от вас информацию, они уже знают ваши паспортные данные, с кем вы общаетесь, где храните деньги. Подключая искусственный интеллект с умением распознавать речь и генерировать сообщения по образцу голоса, преступники добиваются того, что человек сам все выдаст своему другу, а бухгалтер без задней мысли переведет деньги по нужным реквизитам, услышав голос своего директора.
«Во всем мире средства атаки всегда были на шаг впереди средств защиты. Например, порох изобрели в пятом веке, а бронежилет только в пятнадцатом. Сейчас временные лаги уже не такие большие, не десять веков, но проблема в другом — не все знают, какие средства защиты существуют и как их выбрать», — сказал генеральный директор СберКорус Виталий Тарасов.
С 2022 года Сбер проинвестировал в кибербезопасность на порядок больше средств, чем в предыдущие 10 лет. Это чуть больше 5% от выручки всей компании.
Сейчас информационная безопасность бизнеса становится одним из ключевых показателей при выборе партнеров. Компания, которая умеет работать с данными и защищать их, получает конкурентное преимущество.
Вложенные средства не будут работать, если у партнеров и клиентов не будет нужного уровня информационной защищенности. Поэтому акционеры группы Сбер установили строгие требования к контрагентам, оповещают партнеров о пробелах и как из закрыть.
Как бизнесу повысить уровень кибербезопасности?
Несмотря на широкое развитие технологий и цифровизацию, культура информационной грамотности еще не выстроена. Установки кибербезопасности только начали формироваться у населения, поэтому компании могут оказать значительное влияние на этот процесс.
Хорошо, что сейчас практически не осталось предприятий, где пароли от важных программ записаны на стикеры и приклеены к монитору компьютеров, но этого недостаточно.
Для сотрудников важно создать атмосферу здравого скептицизма. Например, чтобы при звонке гендира с просьбой совершить какую-либо финансовую операцию, бухгалтер первым делом спросил: «а чем вы докажете, что именно вы — мой директор?». У специалистов должен быть внутренний стержень, который позволит защитить в первую очередь их самих, а потом уже и интересы бизнеса.
«Сейчас в области безопасности мы должны уйти от режима пожаротушения и прийти к концепции предупреждения угроз. И здесь основную роль играет культура и цифровая гигиена», — сказал Евгений Волошин, директор по стратегии BI.ZONE.
Для выстраивания новых культурных кодов нужно много времени и важно следовать четким правилам, мониторить их соблюдение, реагировать на нарушения и работать на опережение. Об этом рассказал директор по развитию «Ростелеком-Солар» направления «Кибербезопасность для населения» Олег Седов.
Он считает, что недостаточно просто запугать бизнес хакерскими атаками и тем самым заставить компании вкладывать деньги в информационную безопасность, нужно подходить к проблеме комплексно и воспитывать своих партнеров, сотрудников и окружение в целом.
Таким образом на плечи бизнеса как двигателя экономического развития общества легла и масштабная социальная задача. Но ведь есть и небольшие компании, которым главное — закрепиться в своей нише, получать стабильный доход и достигать именно своих целей. Казалось бы, можно сразу загнать «культурную миссию» в долгий ящик, но не тут-то было!
Есть регуляторка, например, Госдума уже приняла в первом чтении поправки об усилении ответственности за утечку персональных данных. Речь идет об оборотных штрафах, так за нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических — до 15 млн. Одновременно власти планируют ввести уголовную ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем.
«Безопасности в вакууме не существует, на нее постоянно будут влиять новые угрозы, внешняя среда и тотальная цифровизация. Даже в буханке хлеба есть айтишная составляющая, без технологий остановится производство и логистика», — заявил директор по безопасности СберКорус Иван Дмитриев.
Нельзя выстроить безопасность и думать, что эта система будет защищать в течение пяти лет. Это процесс, которым нужно заниматься непрерывно. Сегодня компании, которые инвестируют в кибербезопасность, завтра будут измерять, сколько добавочной стоимости бизнес получил о внедрения этой системы.
Как правильно выбрать меры для защиты бизнес-процессов?
Специалисты по кибербезопасности должны знать, что именно они защищают, какие атаки характерны для конкретной сферы бизнеса и что за сценарии злоумышленники применяют чаще. Без знаний этой базы невозможно написать защитные программы. Фактически, нужно провести разведку и определиться с точкой приложения усилий.
«На 100% от всего защититься невозможно, но нужно определить значимые активы и процессы, безопасность которых должна быть на первом месте. Важно помнить, что затраты на принимаемые контрмеры не должны превышать стоимость того, что защищаем», — объяснил Артем Грибков, заместитель директора Angara SOC.
Если установить слишком много параметров для выявления подозрительных действий, сигналы об атаках будут срабатывать слишком часто, и они могут быть ложными. В какой-то момент безопасники перестанут на них реагировать, а это уже чревато риском пропустить реальную атаку и взлом системы.
Спешка, человеческий фактор и отсутствие смысла — главные враги кибербезопасности
Первая цель разработчиков и продуктовых команд — как можно быстрее запустить программу, вывести ее на рынок и начать продавать. Это приводит к тому, что IT-системы и продукты могут неадекватно себя вести с точки зрения безопасности. В компании могут возникнуть разногласии между отделами. Например, такие:
«Люди будут действовать, как нужно, если они видят в этом смысл и понимают, что это важно. Тогда и безопасность будет восприниматься как ключевое свойство продуктов, без которого их запуск невозможен», — сказал Сергей Волдохин, директор по продуктам экосистемы Start X.
Таким образом, от культуры безопасности зависят реальные действия людей. В свою очередь от их действий зависит защищенность систем, которая приносит конкретные результаты.
