Кі­бер­без­пе­ка бі­зне­су – акту­аль­ні тен­ден­ції 2018

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Ві­та­лійВі ій ЯКУШЕВ ЯКУШЕВ, опе­ра­цій­ний ди­ре­ктор ком­па­нії 10Guards

Що­ро­ку нев­пин­но зро­стає кіль­кість кі­бер­за­гроз. На жаль, не­має при­чин для зни­же­н­ня ці­єї сум­ної ди­на­мі­ки, оскіль­ки мо­ва йде про со­тні мі­льяр­дів до­ла­рів (са­ме та­ки­ми су­ма­ми оці­ню­ю­ться сві­то­ві зби­тки від кі­бер­зло­чи­нів на рік). У 2018 р. про­дов­жа­ться ти­пи кі­бе­ра­так, які існу­ва­ли ра­ні­ше, а та­кож з’яв­ля­ти­му­ться та роз­ви­ва­ти­му­ться но­ві ти­пи атак, пов'яза­ні з по­рів­ня­но но­ви­ми те­хно­ло­гі­я­ми (на­при­клад, Ін­тер­не­том ре­чей, IoT, кри­пто­ва­лю­та­ми та ін.).

Зу­пи­ни­мо­ся де­таль­ні­ше на де­яких най­більш акту­аль­них кі­бер­за­гро­зах.

На­бра­н­ня чин­но­сті у кін­ці трав­ня цьо­го ро­ку жорс­тки­ми сан­кці­я­ми за но­вим єв­ро­пей­ським ре­гла­мен­том GDPR спри­чи­нить зро­ста­н­ня ува­ги до при­ва­тно­сті та ро­бо­ти з пер­со­наль­ни­ми да­ни­ми. З одно­го бо­ку, між­на­ро­дний бі­знес впро­ва­джу­ва­ти­ме ви­мо­ги GDPR у сво­їх про­це­сах, та бу­де ба­га­то га­ла­су, пов'яза­но­го з ви­то­ка­ми пер­со­наль­них да­них (сві­жий при­клад – Facebook і Cambridge Analytica). З ін­шо­го бо­ку, ко­ри­сту­ва­чі отри­ма­ють все біль­ше ін­стру­мен­тів для кон­тро­лю за збо­ром ін­фор­ма­ції про се­бе та мо­жли­вість нею ке­ру­ва­ти. Кі­бер­зло­чин­ці та­кож здо­бу­дуть до­да­тко­вий ін­стру­мент мо­не­ти­за­ції – те­пер пі­сля отри­ма­н­ня не­сан­кціо­но­ва­но­го до­сту­пу до пер­со­наль­них да­них клі­єн­тів/пар­тне­рів будь-якої ве­ли­кої між­на­ро­дної ком­па­нії во­ни мо­жуть шан­та­жу­ва­ти вла­сни­ка з ви­мо­гою за­пла­ти­ти за мов­ча­н­ня і по­гро­жу­ва­ти роз­кри­ти факт ви­то­ку, за який ком­па­нію че­кає ве­ли­че­зний штраф.

Ви­ко­ри­ста­н­ня рі­зних IT-ін­стру­мен­тів з при­став­кою «ро­зум­ні» (Ін­тер­нет ре­чей, IoT) вно­сить до­да­тко­ві ви­ди атак на бі­знес. Вже сьо­го­дні фра­за «ха­ке­ри зла­ма­ли ка­зи­но че­рез «ро­зум­ний» аква­рі­ум» не ви­кли­кає сміх, а зму­шує за­ми­сли­ти­ся про без­пе­ку сво­го бі­зне­су та від­ки­ну­ти дум­ку про при­дба­н­ня чай­ни­ка з Wi-Fi. Злам IoT-при­стро­їв до­зво­ляє ви­ко­ри­сто­ву­ва­ти їх як ін­стру­мент у на­сту­пних ата­ках на ком­па­нію-вла­сни­ка цьо­го га­дже­та, а та­кож на ін­ші ком­па­нії (на­при­клад, як еле­мент зом­бі-ме­ре­жі для DDOS-атак).

Тренд на ви­ко­ри­ста­н­ня кри­пто­ва­лют пе­ре­хо­дить у бі­знес. Кі­бер­зло­чин­ці вже не­ква­пли­во пе­ре­хо­дять на кра­діж­ку кри­пто­акти­вів, вклю­ча­ю­чи то­ке­ни ICO, а та­кож на ви­до­бу­ток (май­нінг) кри­пто­ва­лют, ви­ко­ри­сто­ву­ю­чи зла­ма­ні ре­сур­си (сер­ве­ри то­що) ком­па­ній. У сві­ті все біль­ше від­бу­ва­є­ться атак, спря­мо­ва­них на за­ро­бі­ток кри­пто­акти­вів (кра­діж­кою або ви­до­бу­тком).

Ще одна ма­со­ва за­гро­за з при­став­кою «кри­пто» – кри­пто­ло­ке­ри, ши­фру­валь­ни­ки-здир­ни­ки (ви­ма­га­чі) – це шкі­дли­ве про­грам­не за­без­пе­че­н­ня (ПЗ), яке ши­фрує ва­жли­ву ін­фор­ма­цію на при­стро­ях і ви­ма­гає ви­куп за роз­ши­фро­ву­ва­н­ня. Біль­ше ніж 40% всіх кі­бе­ра­так у 2017 р. бу­ли са­ме з ви­ко­ри­ста­н­ням та­ко­го ти­пу злов­ми­сно­го ПЗ.

Не­ста­біль­на гео­по­лі­ти­чна си­ту­а­ція при­зве­де до збіль­ше­н­ня кі­бер­війн між кра­ї­на­ми. Хо­ча ата­ки кі­бер­військ спря­мо­ва­ні на дер­жав­ні ре­сур­си, ве­ли­кий бі­знес та еле­мен­ти кри­ти­чної ін­фра­стру­кту­ри, ча­сто стра­ждає й ін­ший бі­знес. На­при­клад, від на­слід­ків атак на кри­ти­чну ін­фра­стру­кту­ру (від­клю­че­н­ня еле­ктро­енер­гії пі­сля атак на енер­го­ком­па­нії) або від атак без­по­се­ре­дньо на ком­па­нії (то­рі­шня ата­ка на біль­шу ча­сти­ну укра­їн­сько­го бі­зне­су з ви­ко­ри­ста­н­ням ПЗ M.E.doc).

Бе­ру­чи до ува­ги ви­ще­за­зна­че­не, за­ли­ша­є­ться пи­та­н­ня про те, які ж трен­ди в кі­бер­за­хи­сті бі­зне­су? Ро­з­гля­не­мо по­зи­тив­ні при­кла­ди, які до­зво­ля­ють під­ви­щи­ти кі­бер­без­пе­ку бі­зне­су. Не бу­де­мо зга­ду­ва­ти кон­кре­тні те­хно­ло­гії (апа­ра­тне та/або про­грам­не за­без­пе­че­н­ня), оскіль­ки що­ро­ку во­ни ево­лю­ціо­ну­ють та змі­ню­ю­ться, а ор­га­ні­за­цій­ні під­хо­ди до під­ви­ще­н­ня кі­бер­без­пе­ки за­ли­ша­ю­ться май­же не­змін­ни­ми.

Все біль­ша ци­фро­ві­за­ція бі­знес-про­це­сів при­зво­дить до то­го, що пра­це­зда­тність бі­зне­су або окре­мих бі­знес-про­це­сів за­ле­жить від пра­це­зда­тно­сті IT-ін­стру­мен­тів, які до­по­ма­га­ють ав­то­ма­ти­зу­ва­ти бі­знес-про­це­си. Від­по­від­но, ри­зи­ки, пов'яза­ні з кі­бер­без­пе­кою, ча­сто ста­ють не те­хні­чни­ми, а бі­знес-ри­зи­ка­ми. Ком­па­нії, які ро­зу­мі­ють та усві­дом­лю­ють цю ло­гі­ку, пе­ре­да­ли від­по­від­аль­ність за управ­лі­н­ня кі­бер-ри­зи­ка­ми на рі­вень не те­хні­чно­го топ-ме­не­джмен­ту, що ро­зу­мі­є­ться біль­ше, ніж те­хні­чний пер­со­нал, на ри­зи­ках для бі­зне­су.

Ро­зу­мі­н­ня ве­ли­чи­ни по­тен­цій­них зби­тків від рі­зно­го ти­пу кі­бе­ра­так до­зво­ляє ком­па­нії по­бу­ду­ва­ти пла­ни кі­бер­стій­ко­сті бі­зне­су – пла­ни що­до збе­ре­же­н­ня фун­кціо­ну­ва­н­ня бі­зне­су (не­хай і з де­якою втра­тою ефе­ктив­но­сті) під час ата­ки (Business Continuity Plan, BCP) та що­до ма­кси­маль­но швид­ко­го від­нов­ле­н­ня пі­сля неї (Disaster Recovery Plan, DRP). Не по­трі­бно за­бу­ва­ти про кри­зо­ву ко­му­ні­ка­цію з клі­єн­та­ми та пар­тне­ра­ми під час атак та пі­сля них, адже якщо з ни­ми не бу­де спіл­ку­ва­ти­ся бі­знес, то за них це зро­блять ЗМІ, що мо­же бу­ти не на ко­ристь бі­зне­су.

Ата­ки обов'яз­ко­во бу­дуть... Се­ред екс­пер­тів з кі­бер­без­пе­ки дав­но хо­дить сум­ний жарт про те, що всі ком­па­нії ді­ля­ться на 2 ти­пи: які вже зла­ма­ли та які ще не зла­ма­ли (є ще один тип – які не зна­ють, що їх вже зла­ма­ли ). Одним з го­лов­них трен­дів кі­бер­за­хи­сту бі­зне­су по­вин­на бу­ти ро­зроб­ка пла­ну що­до кі­бер­стій­ко­сті бі­зне­су, який має бу­ти кон­кре­тним та ді­є­вим, а не для га­ло­чки.

Та­кож вже не пер­ше де­ся­ти­річ­чя най­слаб­шою лан­кою в кі­бер­за­хи­сті будь-якої ком­па­нії є люд­ський фа­ктор, то­му на­вча­н­ня пер­со­на­лу осно­вам ци­фро­вої гі­гі­є­ни та йо­го пе­рі­о­ди­чне те­сту­ва­н­ня має ста­ти обов'яз­ко­вим еле­мен­том під­ви­ще­н­ня кі­бер­без­пе­ки бі­зне­су. Тре­нін­ги те­хні­чно­го пер­со­на­лу для ви­вче­н­ня по­гли­бле­них під­хо­дів до кі­бер­за­хи­сту бі­зне­су та­кож бу­дуть ду­же ко­ри­сни­ми у бо­роть­бі з кі­бер­за­гро­за­ми.

Обов'яз­ко­ви­ми атри­бу­та­ми зрі­лої ком­па­нії по­вин­ні ста­ти вла­сний під­роз­діл кі­бер­без­пе­ки та на­дій­ні зов­ні­шні пар­тне­ри-кон­суль­тан­ти, на яких по­кла­да­є­ться зав­да­н­ня (час­тко­во або пов­ні­стю) ри­зик-ме­не­джмен­ту, а та­кож управ­лі­н­ня кі­бер­ри­зи­ка­ми.

Най­го­лов­ні­ше, що по­вин­ні ро­зу­мі­ти бі­знес та не те­хні­чний топ-ме­не­джмент – це те, що кі­бер­без­пе­ка є без­пе­рерв­ним про­це­сом, нею по­трі­бно за­йма­ти­ся по­стій­но, щоб до­ся­га­ти ма­кси­маль­но­го ефе­кту.

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.