Выживание в кибератаке – результат подготовки, а не везения
Угрозы информационной безопасности предприятия всегда следует рассматривать как бизнес-риски, а не просто как техническую проблему. Кибер-атака может нанести серьезный ущерб крупным и малым предприятиям и привести к полному провалу бизнеса.
Малые и средние предприятия особенно подвержены риску, и утверждается, что 60% малых предприятий, которые страдают от кибератак, перестают работать в течение шести месяцев после того, как подвергаются атаке. Однако и более крупные предприятия рискуют не меньше.
Киберстрахование может стать одним из вариантов противодействия угрозам, но малый бизнес может оказаться неспособен существовать с нарушением денежного потока достаточно долго, чтобы получить страховую выплату. Успешно пережить кибератаку – не вопрос удачи, это вопрос принятия надлежащих мер безопасности и разработки плана на случай, если произойдет худшее.
Что именно входит в список возможных действий злоумышленников против компании будет зависеть от конкретного бизнеса, но в качестве примеров можно привести следующие:
- Вирус-вымогатель или аналогичная атака, блокирующая данные, финансовые и учетные программы и т.д., которые необходимы для ведения бизнеса.
- DDoS-атака (распределенный отказ в обслуживании) на веб-службы, блокирующая доступ клиентов к вашим услугам.
- Утечка данных, наносящая серьезный ущерб вашей репутации, или приводящая к судебным издержкам, ущербу для персональных данных или к их повреждению.
- Потеря критически важной для бизнеса интеллектуальной собственности, которая позволяет вашим конкурентам дискредитировать ваши продукты, или приводит к падению доверия к компании.
Если предприятие хочет пережить такое событие, подготовка должна охватывать юридические обязательства и отношения с клиентами, а также технические аспекты. Конкретные действия зависят от типа бизнеса и доступных ресурсов, но, по сути, для защиты от атаки нужно использовать практики предприятий из той же отрасли, а также необходим план реагирования для быстрого восстановления.
Использование передового опыта не только помогает бизнесу защититься от атаки, но и показывает, что бизнес не пренебрегал безопасностью и выполнил все разумные шаги по противодействию угрозам. Однако «передовой опыт» не является статичным - необходимо идти в ногу с развитием как самих угроз, так и технологий по противодействию им.
Процесс должен охватывать не только технические меры, но и предусматривать обучение пользователей защите данных, чтобы минимизировать нарушения со стороны сотрудников, а также повышение осведомленности пользователей о возможных угрозах такими методами как симуляция фишинга, которая, наряду с уменьшением (хотя и не устранением) нарушений, демонстрирует пользователям необходимость должной осмотрительности.
Когда дело доходит до восстановления, в случае атаки вымогателей или сложной атаки, может оказаться невозможным найти или удалить вредоносное ПО злоумышленника без повторного отображения всех хостов и серверов в сети и, возможно, даже оборудования инфраструктуры, такого как маршрутизаторы.
Методы деструктивного шифрования, как видно из прецедента с вирусом NotPetya, требуют, чтобы малый и средний бизнес восстанавливали данные из архивов, которые сегодня у многих либо не существуют вовсе, либо процессы резервного копирования и восстановления никогда не тестировались в масштабах полного критического восстановления бизнеса. Эту процедуру нужно спланировать и сделать как можно более простой.
Если все машины разные, и пользователи хранят критически важные файлы локально, а не на сервере, то повторное создание образа и восстановление данных будут занимать много времени, если это вообще будет возможно. Если это делается для восстановления после кибератаки, то необходимо убедиться, что резервные копии не содержат вредоносных программ.
В идеале, необходимо иметь общую сборку, чтобы узлы можно было легко переустановить, и пользователи не могли сохранять документы локально.
Другой вариант, используемый многими малыми и средними предприятиями и растущим числом крупных организаций, заключается в использовании облачного подхода, когда все делается через браузер. В этом случае поставщик услуг должен позаботиться о ваших резервных копиях.
Нужно будет следовать передовому опыту и обучать пользователей, но также необходимо заключать соответствующие SLA (соглашения об уровне обслуживания) с поставщиком услуг для обеспечения своевременного реагирования и полного определения обязательств.
Когда дело доходит до веб-бизнеса, выбор аналогичен: разместить все на собственных мощностях, применив все средства защиты от DDoS, настроив резервное копирование и т. д., или обратиться к поставщику услуг. Однако для последнего варианта все еще будет сохраняться потребность резервного копирования контента и / или защиты системы разработки, в зависимости от бизнес-модели. Опять же, SLA должны отражать потребности бизнеса.
Если произойдет наихудшее, потребуется запустить план реагирования на инциденты. Он должен быть всеобъемлющим и проверенным, и не должен ограничиваться техническим уровнем. Первое, на что нужно обратить внимание, это то, кто руководит процессом, какие роли в этом процессе необходимы, кто принимает решения и кто выступает в качестве заинтересованных сторон.
На территории Европейского союза GDPR (Общее положение о защите данных) и / или директива NIS могут потребовать сообщать и раскрывать информацию об атаке, поэтому вам потребуется план связи и кто-то, кто назначен руководителем по внешним коммуникациям. Это должен быть человек, обладающий полномочиями одобрения важных бизнес-решений, таких как отключение системы от Интернета, а также тот, кто будет постоянно доступен в любое время для принятия решения.
Именно поэтому в плане должны быть указаны роли, кто их выполняет и кто является заместителями, если первые не доступны, а также их контактные данные для связи в рабочее и нерабочее время. В плане также должны быть указаны соответствующие поставщики услуг с указанием способов связи и контактными данными.
Детализация плана реагирования будет зависеть от системы и типа бизнеса. Важно, чтобы план реагирования тестировался и уточнялся на регулярной основе, так как почти наверняка при его первом использовании будет хаос.
Таким образом, выживание бизнеса после кибератаки является бизнес-задачей, которую можно облегчить, если заранее принять соответствующие технические решения при проектировании системы и разработке процессов, чтобы можно было быстро вернуться к нормальной жизни, поддерживая обязательства организации и управляя отношениями с клиентами на протяжении всего процесса.