Рассказываем, как уберечься от взломов и хакерских атак на рабочие страницы в соцсетях. И делимся опытом по следам пережитой атаки во ВКонтакте.
Крупные интернет-компании и соцсети регулярно обнаруживают и устраняют уязвимости, которые позволяют хакерам взламывать профили. Так, в 2018 году Facebook сообщила об уязвимости, затронувшей 50 млн пользователей, а в мае 2019-го стало известно об уязвимости WhatsApp, с помощью которой хакеры устанавливали на смартфоны жертв шпионское программное обеспечение.
При этом причиной взлома аккаунтов в соцсетях зачастую оказывается элементарная невнимательность и типичное «недосмотрели».
Получается, что стопроцентной гарантии безопасности просто не существует: даже крупнейшие компании и их соцсети подвергаются взломам, что уж говорить о менее крупном бизнесе.
И даже если взлом не навредил подписчикам бизнес-аккаунта, он может оставить след на репутации компании. Мы тоже пережили попытку взлома во ВКонтакте, к счастью — быстро вернули доступы без последствий для наших подписчиков.
Организационная структура бизнеса и налоговая безопасность. Какая связь?
Рассказываем, какие меры предпринять, чтобы обезопасить аккаунт и быстро вернуть доступ в случае кибератаки.
юрий наместников
Руководитель российского исследовательского центра «Лаборатории Касперского»
Сегодня популярные корпоративные аккаунты в соцсетях можно смело приравнять к СМИ. Зачастую просмотр одного ролика там может измеряться миллионами, а количество репостов и комментариев — стремиться к бесконечности. Кроме того, корпоративный аккаунт в соцсетях — это ещё и инструмент продаж, который позволяет бизнесу успешно расти.
С приходом популярности увеличиваются и риски, связанные с интернет-безопасностью. Известно немало случаев атак на страницы в соцсетях.
Последствия могут быть самыми плачевными: потеря всего контента без возможности его восстановления, дискредитация блога, урон репутации компании, потеря бизнеса.
Редакция нетологии
Как взламывают бизнес в Сети: основные приемы киберзлоумышленников
Что важно для безопасности бизнеса?
Бизнес бывает разный и для каждого вида нужен свой индивидуальный подход в обеспечении требуемой безопасности. Здесь вы узнаете общие требования для надежной работы систем безопасности, которые предусмотрены в защите малого и среднего бизнеса.
1. Системы видеонаблюдения
Первое, о чем люди склонны думать, когда представляют себе системы безопасности бизнеса, — это системы видеонаблюдения, но мало кто знает их истинный потенциал — это гораздо больше, чем зернистая черно-белая картинка.
Кибербезопасность. Есть ли бизнес в сфере информационная безопасность? СЕО Hideez || Бизнес в IT
Полная система видеонаблюдения должна включать в себя съемку в условиях низкой освещенности или инфракрасное изображение и охватывать все помещение в дополнение к внутренней части вашего офиса или торгового помещения. Слепые зоны, помехи от источников света или электромагнитных помех, или неправильно сфокусированные линзы — это все, что вы должны учитывать при установке ваших камер.
2. Системы контроля доступа
Системы контроля доступа включают в себя все, от домофонов до биометрических сканеров отпечатков пальцев, клавиатур, электронных считывателей карт — все, что позволяет вам управлять точками входа в ваш бизнес.
Ваши системы контроля доступа должны соответствовать виду вашего бизнеса. Многоквартирному комплексу может не понадобиться ничего, кроме устройства чтения карт или ПИН-код, в то время как бизнес, управляющий конфиденциальными данными, должен использовать двухфакторную аутентификацию и биометрию для ограничения доступа.
3. Системы сигнализации
Видеонаблюдение и контроль доступом — это не все, о чем следует задумываться для обеспечения безопасности бизнеса, еще следует учитывать, как ваш бизнес будет защищен от неожиданностей. Для этого вам понадобится сигнализация.
Чтобы защитить ваш бизнес от непредвиденных чрезвычайных ситуаций, таких как пожары, наводнения или другие повреждения, а также от взлома или попытки преступной деятельности, система сигнализации является вашей первой реальной линией защиты. Благодаря правильно настроенному набору датчиков и резервным копиям подключения и источника питания вы знаете, что ваши самые ценные активы никогда не останутся без присмотра.
4. Правильное планирование и установка
Все эти функции безопасности бессмысленны, если они реализованы неправильно. Инвестировать в современную систему видеонаблюдения только для того, чтобы обнаружить, что что-то было неправильно выровнено или у вас недостаточно камер, чтобы охватить все точки входа, было бы досадной тратой времени и денег.
Все наши сотрудники обучены и сертифицированы, чтобы предотвратить любые сюрпризы, в отсутствии должной безопасности. Мы прикладываем все силы, чтобы создать идеальное решение для обеспечения безопасности, и мы установим его в соответствии с нашими строгими стандартами, чтобы не было никаких неприятных сюрпризов в будущем.
5. Постоянная поддержка и обслуживание
Наша работа не заканчивается на установке. Даже самые надежные технологии безопасности требуют обслуживания и ремонта, поэтому Территория Безопасности также предлагает комплексную постоянную поддержку для всех наших систем безопасности. Если система когда-либо выйдет из строя или потребует обновления, или если потребуется внести изменения, мы гарантируем, что обеспечим защиту вашего бизнеса.
Источник: safetyarea.ru
Как обосновать необходимость информационной безопасности бизнесу?
Как обосновать необходимость ИБ бизнесу? Как-то одиозный глава «Евросети», господин Чичваркин, так высказался об общении со своим ИТ-департаментом: «Кстати, с айтишниками я не мог вообще никогда вести переговоры. Мне казалось, что я говорю на русском, а они – на козьем. Надо иметь человека в компании, который переводит с козьего, а нам с этим не везло абсолютно. А переводчика с их стороны практически никогда не бывало».
Ровно тоже и даже хуже обычно происходит при общении сотрудников отдела защиты информации (информационной безопасности) со своим руководством. Оно еще меньше понимает, что делает подразделение, которое вводит множество препон на пути бизнеса, борется с мифическими угрозами и заставляет выполнять «дурацкие законы». Объясняют свои нужды безопасники достаточно банально: «Если мы этого не сделаем, нас взломают» или «Если мы этого не сделаем, нас накажут регуляторы». Но стоит задать встречный вопрос: «И что?» – дискуссия затухает.
Не так часто безопасник может на понятном бизнесу языке объяснить, к чему приведет та или иная проблема. Например, если вспомнить уязвимость Heartbleed в OpenSSL, то на вопрос: «И в чем ее опасность?», часто приходилось видеть обычный copy-past из Википедии: «Heartbleed – ошибка переполнения буфера в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера».
На логичный вопрос: «И что?» следует обычно недоуменный взгляд, который как бы говорит: «Ну ты что, совсем ничего не понимаешь? Это же очевидные вещи!». Куда как сложнее ответить более понятно для несведущего в информационной безопасности человека: «Уязвимость Heartbleed была обнаружена в понедельник ночью, и она может иметь негативное воздействие на наши Web-сервера.
Эта ошибка позволяет украсть такие приватные данные как имена пользователей, пароли, номера кредитных карт и т.п. Наша команда по безопасности немедленно начала сканировать нашу сеть для оценки потенциального воздействия на нее. В настоящий момент нет никаких признаков того, что нам угрожает этот риск, или мы были скомпрометированы ранее».
Если говорить об инцидентах, то руководство интересует, как инцидент относится к его компании, что произошло, каков ущерб и что было предпринято для устранения последствий и отсутствия повторов в будущем? Если говорить о новых ИБ-проектах, то руководство интересует, как проект относится к его компании, что он дает и как этого достичь/получить? И поскольку сам бизнес не будет вникать в то, что делает ИБ, шаг навстречу должны сделать именно безопасники, пытаясь понять, чем они могут помочь своему работодателю. Нужно посмотреть на безопасность с точки зрения именно бизнеса, а не торговли страхом (то есть борьбы с угрозами) или copmpliance.
Чем занимается бизнес? Куда он стремится? Какие задачи перед собой ставит? Есть ли в них место информационной безопасности? Дабы не быть голословным и больше не растекаться мыслью по древу, давайте посмотрим на три примера, в которых информационная безопасность играет роль, но непривычную, не связанную с нейтрализацией угроз или выполнением требований какого-либо нормативного акта.
Итак, возьмем процесс заказа любого товара в Интернет-магазине. На этапе запроса товара перед нами стоит задача обеспечить бесперебойное функционирование системы регистрации заявок и уменьшение времени ее регистрации. Что может помешать этому? Среди прочего – DDoS-атаки, отсутствие проверки ввода в поля формы заявки на заказ товара.
И бороться с ними нам помогают различные защитные технологии. Обратите внимание – мы «продаем» не средство борьбы от DDoS, а говорим о средстве обеспечения бесперебойного функционирования процесса приема заявок, так как в противном случае мы эти заявки начинает терять (или обрабатывать меньшее их число), что прямым образом влияет на доходы предприятия. То есть вроде и говорим о том же, но позиционируем совершенно по-иному, с точки зрения, понятной бизнесу.
На этапе проверки остатков на складе наша задача предоставить системе корректные данные. Если данные будут меньше реальных, то мы теряем деньги, а если больше, то снижается лояльность клиентов, которых придется уведомлять о том, что заказанный (и, возможно, уже оплаченный) товар отсутствует. С формированием предложения случай иной.
Мы не должны раскрывать детали предложения никому, кроме клиента. Нередки ситуации, когда разные клиенты имеют разные условия обслуживания, разные скидки. Никто не хочет, чтобы об этом узнали другие клиенты. Опять начнется снижение лояльности, недовольство, уход к конкурентам. И безопасность тут как нельзя кстати; и вновь она нам помогает не бороться с угрозами или выполнять какие-либо законы, а решает вполне конкретную и понятную бизнесу задачу.
Идем дальше. Выставление счета должно быть не только бесперебойным, но и в счете должны быть указаны правильные реквизиты и сумма, чтобы клиент заплатил ровно столько, сколько нужно, и туда, куда нужно. Никакой подмены реквизитов быть не должно. И вновь решить это можно с помощью технологий ИБ. Наконец, оплата товара должны быть безопасной.
И дело не в только требованиях стандарта PCI DSS, но и в том, что клиенты не хотят, чтобы информация об их покупках или их кредитных картах стала достоянием гласности.
А почему нельзя торговать страхом, то есть продвигать борьбу с угрозами? Ведь об угрозах ИБ сегодня слышали все. Утечки, DDoS, программы-вымогатели, APT… Знакомые многим понятия. Что же с ними не так? Почему они плохо «продаются» сегодня?
Причин тому две. Во-первых, в непростую экономическую ситуацию перед бизнесом встают в полный рост совершенно иные проблемы, имеющие больший приоритет. Речь идет о росте кредитных ставок, банкротстве контрагентов, сокращении персонала, изменении курса валюты, кассовом разрыве и других более важных угрозах.
Вторая причина связана с тем, что приводя статистику об угрозах, мы забываем указать, как она относится к вашей компании и не является ли она средней температурой по больнице. А если статистика релевантна, то бизнес хочет знать масштаб ущерба от этих угроз, а не просто их перечисление. А считаем ли мы ущерб?
Рассмотрим второй пример. Оформление заявки на кредит на банковском сайте. Обычно этот процесс интересен безопасникам только в контексте обработки персональных данных в анкете заемщика, то есть мы рассматриваем его с точки зрения выполнения требований законодательства (compliance). Но давайте отвлечемся и посмотрим, как еще кибербезопасность может помочь в этом деле?
Первый шаг совпадает с предыдущим кейсом – регистрация заявки, и мы хотим обеспечить бесперебойность процесса регистрация заявок заемщиков на получение кредита. В противном случае мы начинаем терять клиентов и их деньги.
Одним из показателей эффективности этапа проверки достоверности информации о заемщике может служить скорость проверки. Может ли безопасность увеличить этот показатель? Почему бы и нет, если использовать технологии анализа социальных сетей и применять методики OSINT (Open Source INTelligence – разведка по открытым источникам). Они позволяют нам быстро вычислить мошенников или неплательщиков или существенно сократить их число, дошедшее до этапа получения денег у банка. Вновь мы видим, что безопасность нам помогает не традиционным путем (нейтрализовывать угрозы или выполнять нормативные требования), а с учетом стоящих перед бизнесом задач – ускорение обработки заявок на выдачу кредитов и снижение числа невозвратных кредитов, выданных мошенникам.
А почему compliance малоинтересен бизнесу? Ведь во всех умных книжках говорится, что именно compliance – это епархия генерального директора (или председателя правления). Все просто. Compliance compliance’у рознь. Одно дело говорить о выполнении требований налогового законодательства и совсем другое о некоем 21-м приказе ФСТЭК по защите персональных данных.
Ведь что мешает бизнесу задать два простых вопроса на требование выделить средства на выполнение того или иного нормативно-правового акта? Какова средняя сумма штрафа за невыполнение НПА и сколько наказаний уже было приведено в исполнение (в стране, в регионе, в отрасли)?
И окажется, что с точки зрения кибербезопасности оба этих показатели выглядят смешно, а точнее практически равны нулю. Да, следуя старой советской поговорке, строгость наших законов компенсируется необязательностью их исполнения. Даже максимальные штрафы по статьям, связанным с невыполнением мер по защите информации, не превышают пары десятков тысяч рублей, а уж про число успешно выигранных по данным статьям дел и вовсе можно пересчитать по пальцам одной руки. В итоге много болтовни и полный пшик на практике. Зачем же бизнесу платить за то, за что не наказывают или размер наказания на порядке меньше суммы затрат?
Но обратимся к третьему кейсу. Увольнение сотрудника. Как тут может помочь безопасность и может ли? На удивление, да. И это, пожалуй, тот хороший пример, который показывает роль ИБ в ситуациях, когда нет ни угроз, ни требований законодательства. Однако увольнение – это всегда проблема для бизнеса.
Уволившийся человек не приносит денег, а простаивающая вакансия – это ухудшение KPI для службы управления персоналом. Вот именно о помощи HR мы сейчас и поговорим. Одной из задач хорошего HR является уменьшение времени простаивания вакансий в компании с традиционных для России 2-3 месяцев до нуля.
Правда, это только там, где задача HR – удерживать персонал (а именно этим должен заниматься HR в компании), а не заниматься только увольнениями и наймом сотрудников. Так вот в нормальных компаниях HR хочет иметь информацию о том, кто из сотрудников «навострил лыжи» и планирует покинуть «отчий дом». И кто может ему дать такую информацию?
Только служба ИБ, которая может с легкостью получить данную информацию. Ведь нередко люди ищут себе работу не только из дома и не только с личных мобильных устройств, но и на работе. Они ходят по рекрутинговым сайтам, размещают резюме, читают вакансии. А еще они рассылают резюме по электронной почте и, реже, получают предложения о новой работе (job offer).
И все это элементарно отслеживается с помощью систем анализа Интернет и e-mail трафика, которые помимо ловли спама и утечек данных, могут и иной контент в информационных потоках выуживать. А с помощью Netflow можно увидеть выкачку больших объемов данных с внутренних серверов предприятия, что часто является признаком готовящегося увольнения, когда сотрудник готов унести все ценное, до чего сможет дотянуться со своего компьютера.
Получив данные сведения, HR может провести воспитательную беседу с готовящимся к увольнению работником и уговорить его остаться или, поняв тщетность своих бесед, начать заранее искать замену. В идеале к моменту подачи заявления об увольнении служба персонала уже находит кандидата на замещение вакантной должности, который выходит в день увольнения своего предшественника или даже заранее, чтобы иметь возможность принять дела. И вновь безопасность смогла учесть интересы бизнеса и улучшить его отдельные показатели.
