Во сколько обойдется ущерб от взлома компании и почему топ-менеджменту полезно вовлекаться в вопросы кибербезопасности
Как становятся белыми хакерами
Белый хакер предпочитает большим и быстрым деньгам стабильность. Он понимает, что нужно наращивать экспертизу, становиться известным и развивать личный бренд. По своим навыкам и умениям белый хакер выше, чем специалисты, которые строят ИТ: ему нужно не просто сломать систему, а быстро разобраться в том, как она была построена, проконтролировать закрытие уязвимостей, формализовать их, сделать техническую, рекомендательную и рисковую часть для бизнеса. Это оценивается очень высоко. Случайных людей здесь быть не может.
В чем различие белых и черных хакеров
Черными хакерами движут негативные эмоции или деньги. Это люди, которые разочаровались в рабочих процессах и обиделись на весь мир, либо идейные активисты. Они находятся в тени и могут зарабатывать огромные деньги в составе группировок, но рано или поздно их все равно находят. Технологии поиска таких людей совершенствуются, существует и киберразведка, и киберконтрразведка.
Белый хакер — это человек, который соблюдает кодекс чести. Если он его нарушит, то попадет везде в черный список и загубит свою карьеру. Ради чего — ради ста тысяч украденных строк с данными?
Недопустимое событие как основа стратегии
Недопустимое событие — это конкретный риск, реализация которого приведет к измеримым финансовым и репутационным потерям. Для маркетплейса или другого игрока онлайн-торговли таким риском может быть остановка продаж, для банка — кража денег, для производственной компании — остановка оборудования на несколько дней. Такие события могут обойтись крупным компаниям в сотни миллионов рублей и более. После реального взлома в компании полностью пересматривается подход к информационной безопасности (ИБ), увольняют ответственных за это сотрудников, вплоть до генерального директора.
Такие риски можно минимизировать через проверку силами белых хакеров, которые используют аналогичные методы и инструменты, что и «черные» специалисты. Проблем в этом случае гораздо меньше: процесс контролируется третьей стороной, в случае найденной уязвимости команда может вовремя ее исправить. Максимальный риск: сотрудника ИБ лишат премии.
Ключевые ошибки бизнеса в построении ИБ
Главная ошибка — не тестировать свою защищенность на реальной инфраструктуре или проводить такие исследования с большими ограничениями. Из-за этого компания не может понять, реально ли она защищена. И не тренирует своих ИБ-специалистов, которые должны такие атаки отражать.
Другая ошибка — использовать устаревшее или нелицензионное программное обеспечение (ПО), не соблюдать парольную политику. Уязвимостями в этой сфере чаще всего пользуются злоумышленники, чтобы проникнуть в инфраструктуру компании.
Еще одна ошибка — отсутствие защищенных резервных копий. Как бы ни работала ИБ, если у бизнеса нет резервных копий, в любой момент найдется брешь. Однажды сотрудник нажмет что-то не то, и бизнес остановится.
Как оценивается кибербезопасность в деньгах
Бесценна только репутация, все остальное имеет цену. Мы можем посчитать экономику взлома. На черном рынке реально найти стоимость каждой базы — мы берем эту цену, умножаем на количество потерянных данных при той или иной уязвимости и получаем финансовый эквивалент уязвимости.
При эксплуатации уязвимости мы не просто компрометируем сервер, этого мало. Нужно понять, что это за сервер и какие данные на нем хранятся. Если там содержится база клиентов с их персональными данными, считаем, сколько таких клиентов, умножаем на цену на черном рынке за штуку и получаем цену взлома.
Но это только начало — у нас еще есть цена ресурсов. Это стоимость сервера, потому что он сколько-то времени живет в интернете, его купили в какой-то конфигурации. Для серьезной задачи там может стоять лицензированное ПО, которое для корпораций стоит десятки миллионов. Для его восстановления потребуется время ИТ-специалистов, которые вместо решения актуальных задач потратят недели и месяцы на возобновление процессов, которые можно было защитить.
Можно провести разведку по открытым источникам, собрать информацию о компании и о том, что ее главный актив — это, например, какой-то сервер. Если понятно, что там есть база данных и установлены конкретные программы, значит, явно есть лицензии на это и обученные эксперты. Средняя цена этих экспертов на рынке тоже известна. Суммируешь все это — получается стоимость потери бизнеса.
Что может перенять бизнес у хакеров
Бизнес должен понять, какие существуют риски. Эта роль отчасти возлагается на генерального директора, а также отдельного специалиста, который занимается риск-менеджментом. Последний формирует сценарии угроз, что может произойти и к каким последствиям это приведет, взвешивает ситуацию и дает советы, на что необходимо потратить ресурсы.
По умолчанию черному хакеру платить нельзя, потому что нет гарантии, что он что-то вернет. Мало того, существует риск, что проблема глубже, чем просто компрометация одного сервера и шифрование какого-то одного сегмента. Если хакер что-то скомпрометировал, то он уже украл персональные данные и серверные учетные записи. Их нужно менять и смотреть, есть ли пробития в других местах, остались ли резервные копии, можно ли восстановить данные или нет. Когда все это разложится по полочкам, тогда будет понятен план действий.
