Как правильно защищаться от киберугроз?

Бизнес любого масштаба постоянно сталкивается с рисками в области информационной безопасности. Например, «Северсталь» в среднем отражает 7,5 млн кибератак ежемесячно. Информационная безопасность компании схожа с живым организмом, который постоянно борется с вирусами и бактериями, но мы этого не замечаем, пока не поднимется температура. Так же дело обстоит и с кибератаками. Информационную систему компании постоянно атакуют снаружи, но большинство сотрудников об этом даже не знают.

За последний год мы зафиксировали рост числа кибератак более чем на 24%. Их характер становится все более разнообразным: от массового распространения компьютерных вирусов до сложных форм кибермошенничества или даже кибертерроризма.

Все чаще используются вирусы-шифровальщики. Такие вирусы шифруют данные компании, требуя деньги за возврат в исходное состояние. Потери от крупных атак такого рода могут достигать нескольких млрд руб.
Ущерб от действий кибермошенников в РФ превысил 9 млрд руб. К примеру, только в Череповце за прошлый год жители перевели мошенникам более 280 млн руб. Наиболее распространённая схема - это звонок сотрудника банка, силовых структур или высокопоставленного менеджера компании, в которой работает жертва. Задача злоумышленника – изолировать жертву и «отключить» критическое мышление, например рассказав о возможном возбуждении дела за госизмену. Затем человека подводят к тому, чтобы он добровольно передал мошенникам свои активы.

Мы фиксируем около 80 таких атак в месяц. Особенно опасно то, что методы обмана постоянно совершенствуются, все чаще в них используются дип-фейки, то есть созданный искусственным интеллектом голос или видео коллеги или родственника жертвы.

< 9

млрд руб.

ущерб от действий кибермошенников

По данным Роскомнадзора, за прошлый год, зафиксировано только официально 135 случаев массовых утечек баз данных. Это больше 700 млн строк информации о нас с вами - номера телефонов, контактные данные, пароли, адрес проживания, собственность. Перепродажа этих данных – большой теневой бизнес с миллиардными оборотами, где действуют сервисы от сбора справки о человеке до создания фальшивой цифровой личности.

Реагируя на новые угрозы, государство постоянно ужесточает ответственность за утечки персональных данных. Новые увеличенные штрафы вступят в силу в конце мая 2025 года. Если вы как компания скрыли информацию об утечке информации, и она стала известна регулятору, это грозит штрафом в 3 млн руб. Если это первая утечка, в зависимости от числа субъектов персональных данных, которых она затронула, будет предписан штраф от 5 до 15 млн руб. В случае повтора на компанию-нарушителя может быть наложен штраф от 3% выручки за год, но не менее 25 и до 500 млн руб.

Неправильное или несовременное информирование регулятора. Например, это может быть неорганизованный процесс уведомления об инцидентах через единую государственную систему.

Ошибки в работе с персоналом - как пробелы в сборе соглашений об обработке персональных данных с сотрудников, так и недостаточное информирование сотрудников обо всех нюансах в связи с соблюдением законодательства.

Проблемы защиты в информационных системах. Например, могут быть неправильно оформлены процедуры доступа к данным.

Использование вредоносного ПО, то есть различных разновидностей вирусов для атак на бизнес и на частных лиц (68%).

Социальная инженерия, то есть использование обмана и психологических манипуляций, чтобы вынудить человека на определенные действия (52% в корпоративном секторе и 85% в атаках на физлиц).

Эксплуатация уязвимостей (34% - в компаниях, 9% - физлица). Этот вид атак чаще всего используют против компаний, а за крупными корпорациями следят постоянно.

Более 90% успешных кибератак на организации происходят с «помощью» самих сотрудников. Часто причиной является несоблюдение базовых принципов обращения с паролями. Например, таких, как необходимость придумывать разные пароли для разных сервисов, запрет на включение паролей в автоматизированные процедуры входа и запрет коллегам работать под вашей учетной записью. Чтобы придумывать сложные и безопасные пароли, которые при этом легко запомнить, можно использовать мнемонический пароль – составленный из фрагментов, к примеру, первых буков или строчек знакомой песни, стихотворения в англоязычной раскладке.