Обсуждаемые вопросы:

• Определение понятий информационная безопасность, кибербезопасность. Почему компании уязвимы для киберпреступников.
• Как работает phishing. Почему его уровень вырос в период COVID-19.
• Как сотрудники компаний сами открывают доступ хакерам. Какие меры нужно предпринимать, чтобы этого не происходило. Social engineering. Почему нельзя открывать неизвестные файлы.
• Как уменьшить риски подвергнуться атаке хакеров. Поможет ли антивирус. Ликбез по безопасности для сотрудников.
• Почему cyber security должна быть приоритетом в любой компании.
• Как и зачем оценивать cyber security risk. Кто должен обеспечивать кибербезопасность бизнеса.

Алекс Кауфман- cпециалист по кибербезопасности, раскрывает секреты мошенников в интернете. Вы узнаете, какие распространенные виды fraud существуют сегодня в киберпространстве и как защитить себя и свой бизнес от хакеров.

MoneyInside.ca – ваш подкаст о деньгах, экономике и личных финансах.
MoneyInside в iTunes
MoneyInside в YouTube

Оставить свои комментарии или задать вопросы вы всегда можете под этим выпуском или в группе «Финансы с Артемом» в MeWe — https://mewe.com/join/canfinanceinrussian

Книга “Inside Banking” — все вопросы и ответы о канадских финансах простым языком. Купить

Спасибо, что слушаете MoneyInside. Успехов в деньгах!

 

Читать транскрипт выпуска

Cyber security, или кибербезопасность бизнеса

Что такое cyber security

– Здравствуйте, дорогие слушатели подкаста MoneyInside – вашего подкаста о деньгах, экономике и личных финансах. С вами, как всегда, Кира Черниковски, хост подкаста MoneyInside, и независимый эксперт по маркетингу для малых и средних бизнесов. Ну, вы уже поняли, что сегодня мы начинаем эксперимент: мы добавляем видеоформат к традиционному аудиоформату наших подкастов. И первой ласточкой у нас сегодня выступает Алекс Кауфман, специалист по кибербезопасности для бизнесов. Алекс, привет!

– Привет, Кира!

– Очень рада, что ты согласился и решился на такой шаг. Будем держать пальчики, чтобы у нас все получилось. Сегодня мы, естественно, говорим обо всем, что связано с кибербезопасностью – безопасностью информации в сети – с уклоном на тему бизнесов. Потому что про себя мы более-менее, наверное, что-то почитали или сталкивались уже с разными инцидентами, а вот про бизнесы мы не говорили. Я сама, работая в банке до недавнего времени, пыталась в этой теме разобраться в своих маркетинговых исследованиях. И это было сложно. Поэтому сегодня я надеюсь, что Алекс нам поможет разобраться в этом более детально и обратит наше внимание на необходимые моменты. Начнем! Алекс, представься, пожалуйста, чем ты занимаешься, кто ты, где ты и на чем ты фокусируешься профессионально.

– Во-первых, Кира, спасибо, что ты меня пригласила, очень приятно. Как ты и сказала, зовут меня Александр Кауфман, специалист кибербезопасности, около 20 лет стажа в области IT и кибербезопасности. Последние 10 лет занимал ведущие ключевые позиции в разных enterprise в Израиле. И последние два с половиной года работаю как консультант в одном из финансовых институтов Канады – консультантом по информационной безопасности.

– Да, это тяжелая работа. Опять же, я в свою бытность в банке пыталась докопаться, кто же там все решает и как помогает клиентам и банку самому оставаться безопасными. Это было непросто, найти этих специалистов. Окей, тогда давай начнем с азов. Терминов, связанных с кибербезопасностью, куча и на английском, и на русском. Объясни, пожалуйста, разницу между терминами как то: informational security, кибербезопасность, cyber security, fraud. Прокатись, пожалуйста, по всему этому лесу густому.

– Ну, на самом деле, все очень просто. Да, есть определенная путаница в этих определениях. Мы очень часто слышим: информационная безопасность. Мы очень часто слышим: кибербезопасность. На самом деле определение информационной безопасности к нам пришло издалека. Очень давно, когда вся информация у нас хранилась на каких-то накопителях, на каких-то распечатанных бумагах, мы все складывали в какие-то архивы – и уже тогда были какие-то требования, чтобы защищать эту информацию от каких-то определенных лиц, которые не имеют права иметь доступ к этой информации. И оттуда у нас пошло это определение – информационная безопасность. Ну с тех пор очень многое изменилось: IT технологии внедрились в нашу жизнь, все организации сегодня стали детализировать свою информацию. И как только наша информация стала в принципе детализированная, с этого момента мы начали называться кибербезопасность – cyber security. Когда мы должны сейчас защищать не только бумагу или не только информацию, которая находится где-то в архивах или на каких-то накопителях, а информацию, которая у нас находится в киберпространстве. А как ты знаешь, там у нас находится очень много информации.

– Ну да, и с одним и тем же паролем, что часто встречается.

– Послушай, пароль – это вообще даже не проблема, потому что очень часто информация находится вообще без пароля. То есть, наши личные данные, которые находятся в интернете, они абсолютно не защищены никаким паролем. Наша geolocation, то есть, где мы находимся в данный момент, что мы купили, наши какие-то привычки, наши какие-то последние действия, последнее, что мы искали, что мы любим, что мы предпочитаем – это все находится в интернете абсолютно без пароля. А если брать организацию и посмотреть сквозь призму организации, то это может быть даже какая-то бизнес-информация, которая, например, будет очень ценна для каких-то конкурентов, какая-то персональная информация работников, персональная информации клиентов, вообще клиентская база данных, которые мы бы не хотели, чтобы она была раскрыта. Но это все на самом деле находится в интернете, и не всегда это все защищено паролем. Вот тут приходят такие специалисты, киберспециалисты, которые помогают организациям защищать эту информацию.

– Да, слушай, ты назвал очень много очень важной информации, привел много примеров. Давай, может быть, детально копнем парочку из них. Давай начнем с клиентской базы. Ну обычно клиентская база как хранится у организаций, особенно поменьше: либо в их базах данных, в CRM определенных, либо иногда даже в Excel. Какие тут опасности существуют для бизнесов, которые ну не очень думают о кибербезопасности?

– Послушай, наверно, тут ты права: тут, наверное, стоит делать разделение между большими компаниями, enterprise, и маленькими компаниями. И где-то между ними находится какой-то small medium business – это компания, скажем так, больше 10 человек, у которой есть уже какой-то актив, у них есть какая-то клиентская база данных большая, которыми они очень дорожат. Со стороны enterprise, больших организаций, там, конечно, все понятно. Конечно, в любой такой организации будет какая-то система CRM, которая будет хранить в себе всю базу данных. Все это будет очень сконцентрированно, все это будет в одном месте зачастую, не всегда. И тем не менее, и там есть свои проблемы, потому что к этой базе данных должны иметь доступ какие-то другие люди, другие системы. И все вот эти интерфейсы, все вот эти соединения, соответственно, должны быть защищены, потому что если база данных защищена, но доступ к ней не защищен, в принципе, смысл понятен: вся информация может быть, в принципе, доступна тому, кто имеет доступ к этому интерфейсу. К этому мы вернемся немножко попозже более детально. В плане маленьких компаний – да, ты права, у маленьких компаний это может быть какой-то Excel, это может быть какой-то Word, это может быть какая-то маленькая бесплатная CRM система, которую кто-то когда-то установил. Она уже давно не поддерживается, но у организации нет достаточно ресурсов, чтобы ее обновлять или чтобы ее поменять. И они засовывают туда все данные, которые только можно. И эти данные, естественно, желательно защищать, потому что любой бизнес будет классифицировать клиентскую базу данных как очень критичный asset, как очень ценное для этой организации. И конечно же, это все нужно охранять и хранить очень бережно.

Как работает phishing

– Это точно. А скажи, пожалуйста, как могут украсть такую базу данных у небольшой компании? Это через mail, это wishing, phishing? Я сейчас показываю свои знания в этой сфере.

– Ну может быть, скоро мы будем иметь дело с wishing, на данный момент мы имеем дело с phishing. Но это только один из моментов, который может быть, чтобы украсть базу данных. И то, если смотреть на это детально, phishing не предназначен именно для того, чтобы украсть какую-то базу данных. Он предназначен для того, чтобы вынудить пользователя, который получит какой-то email, сделать какую-то операцию, которую хочет определенное лицо, которое послало этот email. Как правило, это что-то, чтобы например получить доступ в систему, или украсть пароль, или сделать просто какой-то банальный damage – просто разрушить систему. На самом деле, есть очень много разных способов, чтобы проникнуть в систему. И не надо забывать, что один из главных способов сегодня – это просто, скажем так, недовольный работник, который недоволен работодателем, недоволен зарплатой, и он уже решил для себя, что он хочет уйти из этой компании. Но ему тяжело уйти просто так, он хочет оставить какую-то памятку о себе, и это, в лучшем случае, просто уничтожить эту базу данных, или просто сделать ее нечитаемой, или просто испортить записи в этой базе данных. В худшем случае – просто украсть эту базу данных и отдать одному из главных конкурентов, продать, я не знаю, что он с ней захочет сделать.

– Да, ну это инсайдерские риски.

– Абсолютно. Это инсайдерские риски, но они, как правило, занимают одну из ведущих позиций. Если мы будем смотреть и делать рейтинг всех рисков, это один из ведущих рисков, который организация должна учитывать при построении комплекса информационной безопасности своих данных.

– Ничего себе, здесь я удивилась. Тогда, знаешь, это отличная подводочка к тому, чтобы обсудить как covid и вся эта ситуация – работа из дома – повлияла на кибербезопасность и вообще ситуацию с бизнесами большими и маленькими. Ты начал упоминать рейтинг этих опасностей: какие сдвиги произошли с марта-апреля, когда все засели дома? Что-то новенькое появилась на рынке преступности в киберпространстве?

– На самом деле, я обязан сказать, что мы живем в очень интересный период последний год. Очень многие организации, скажем так, маленькие организации, которые не были готовы к тому, что сегодня происходит, когда мы вдруг в марте в течение недели должны были все перейти работать издалека и предоставить нашим работникам, если мы хотим продолжать делать бизнес as usual и вести какие-то контакты с нашими партнерами, мы должны были предоставить нашим работникам возможность работать издалека. И многих организации, к сожалению, к этому не были готовы и чтобы это делать, они просто открылись для всего мира, чтобы делать. К примеру, есть какая-то система, где лежит куча данных, с которыми работают партнеры. И раньше эти партнеры просто приходили в офис и работали на этой базе данных. На сегодняшний день партнеры не могут прийти в офис. Но бизнес хочет существовать, он должен открыть все свои границы, чтобы дать этим партнерам доступ к этой базе данных издалека. Но инфраструктура не была к этому готова. Тем самым бизнес просто, как говорится, «оголенный» перед всеми опасностями, которые существуют в интернете. Потому что база данных полностью открыта: кто хочет, может туда заходить. И очень много бизнесов, конечно же, от этого пострадало. И это только маленький пример. Бизнесы сразу кинулись покупать разные решения для того, чтобы подсоединяться издалека, при этом не беря в расчет ту инфраструктуру, которая у них существует. Я понимаю каждый бизнес, что очень тяжело за одну неделю, в принципе, даже за месяц превратить всю свою систему, всю свою инфраструктуру поддерживать и работать издалека. Но тем не менее, бизнесы и business owners были вынуждены это сделать, те, кто хочет продолжать существовать. И тем самым открыли очень много лазеек и возможностей для bad guys, которые это очень хорошо используют. И один из моментов, которые стоит упомянуть здесь, это ransom. Это когда тот же злодей каким-то образом проникает в систему, шифрует полностью всю информацию или блокирует ее и потом требует выкуп. И выкуп зачастую очень и очень даже не маленький. И бизнес стоит в дилемме: что делать – платить, и в надежде, что после оплаты он получит назад все данные, или не платить. К сожалению, есть также очень много бизнесов, которые даже не делают backup на свою дату, то есть, они даже не были готовы к этому. И мы сегодня слышим все больше и больше случаев, когда бизнес просто не может дальше существовать, потому что у него нет доступа к его собственной информации. И это не ново. Ransom ­– это сопровождает нас очень давно. Просто к твоему вопросу, что изменилось последний год, можно увидеть огромный скачок в ransom. Можно увидеть огромный скачок, в принципе, в случаях, когда какие-то киберпреступники просто используют какие-то уязвимые места в системах, которые предоставляют удаленный доступ. И используют это, чтобы получить удаленный доступ и делать то, что они хотят делать. У каждого своя мотивация.

Самое слабое звено

– Да, слушай, это точно. Ransom – это очень интересный аспект. И я уверена, что было много таких случаев. А какие лазейки существуют? Мы упомянули phishing – это когда посылают mail, и человек либо дает какие-то пароли, либо, не знаю, может быть, даже производит оплату. Поскольку человек, который работал в финансовом учреждении, естественно, все связано с финансами: слышали мы такие случаи, когда в результате неправильного использования информации уходили деньги, которые потом нужно было искать и возвращать клиентам очень долго и упорно. Вот где эти лазейки?

– Ну, во-первых, основная лазейка – это мы. Это мы, я имею в виду, работники компании, люди. Мы, как специалисты в кибербезопасности, мы всегда говорим, что информационная система сильна настолько, насколько силен самый слабый пользователь. Абсолютно точно. И к сожалению, даже не самый слабый пользователь, а самый слабый компонент в информационной системе. И в нашем случае самый слабый компонент – это человек. Человек, который работает в этой компании. Потому что мы всегда очень-очень дружелюбные, мы всегда очень открыты и мы всегда хотим помочь, мы всегда очень корыстны. И когда нам посылают имейл от нашего соседа по Youtube, от нашего друга, от нашего коллеги по работе, что он застрял где-то, ему нужно срочно перевести какую-то сумму денег, потому что он потерял и кошелек, и паспорт, и все, мы же, конечно, поможем. Потому что мы не можем не помочь. Потому что завтра этот человек будет сидеть рядом со мной, и он также поможет мне в тяжелую минуту. На самом деле, киберпреступники используют эти человеческие качества. И используют это как лазейку. Один из путей использовать лазейку – это, как ты сказала, phishing, правильно. Подстроить могут, найти какого-то человека, могут изучить его очень хорошо. А сегодня, когда у нас social media очень распространены, нет практически человека, у которого нет аккаунта в Facebook, у которого нет Instagram, который не находится в LinkedIn. Мы очень хорошо можем проследить, чем занимается этот человек, какие у него хобби, кто у него друзья, с кем он имеет дело, где он работал годы назад. На основании этого мы можем подобрать какую-то определенную setup, определенную конфигурацию и послать ему какие-то discounts, какие-то очень привлекательные dealing, какие-то, я не знаю, приглашения на конференции. Это то, что часто происходит. И тем самым вынудить его нажать на какой-то link, который находится в имейле. Я тебе скажу более того: я встречал очень много случаев, когда вот этот phishing email сопровождался социальной инженерией. Социальная инженерия – это когда человек просто делает вид, что он кто-то другой. И он может быть кем угодно: он может быть госслужащим, он может быть полицейским, он может быть представителем какой-то компании, он может быть представителем HR в этой же компании. И, к примеру, очень реальный случай, когда человек, сидящий на работе, получает на свой рабочий имейл приглашение на какую-то конференцию, тут же он получает звонок от представителя этой компании, которые послали ему имейл. Он говорит: мы видели, что ты интересовался такими-то, такими-то конференциями, мы послали тебе приглашение. Мы хотим, чтобы ты знал, что количество мест очень ограничено, поэтому мы будем очень рады, если ты сейчас зарегистрируешься. И тем самым человек думает, тот самый работник думает: ну если уже и имейл и если они мне позвонили, то это не может быть какой-то хакер, правильно, это легитимная компания, которая мне позвонила. А на самом деле это тот же киберпреступник, который делает это еще с сотнями человек. Этот работник заходит, открывает какой-то файл, который уже инфицирован, тем самым устанавливает что-то на своем рабочем компьютере. И в это время game over. По сути дела, как только у хакера есть доступ на рабочий компьютер, который находится в организационной сети, у него есть полный доступ к сети. Как ты видишь, на сегодняшний день не надо быть супер технически подкованным хакером, чтобы получить доступ в систему. А по поводу зараженных файлов, их даже не надо уже писать, то есть, уже даже не нужно быть программистом. Сегодня все можно купить в интернете, все очень дешево, относительно, конечно, очень дешево. Я тебе даже скажу, что мы привыкли очень часто слышать такие определения, как infrastructure as a service, как software as a service, потому что у нас все сегодня все в облаке, правильно. И на сегодняшний день есть даже ransom as a service. Мне даже не нужно ничего писать, я могу просто зайти, купить на какое-то время вот эту программу, которую я просто пошлю в каком-то файле пользователю, тем самым используя социальную инженерию и phishing и все.

– Слушай, ну все намного страшнее, чем я думала и могла себе представить в любом кошмарном сне. А что же нам делать? Получается, сила-то вся в знаниях. Как ты сказал, слабое звено – это мы, люди. Откуда брать эти знания?

– Абсолютно. Смотри, чтобы знать, как выстроить систему безопасности правильно, нужно, конечно же, знать, что делает тот же киберпреступник, какие этапы он проходит для того, чтобы успешно закончить свою атаку. Каждая атака проходит через определенные этапы, которые довольно-таки известны. Например, первый этап: он начинает собирать как можно больше информации об организации, которую он будет атаковать, о пользователях в этой организации. Потом он начинает смотреть, какие системы использует организация. Может быть, в каких-то системах уже есть какая-то уязвимость, которую он может использовать. Потом он смотрит, уязвима ли система, открыта ли для доступа из интернета. Как ты понимаешь, на сегодняшний день это большая проблема, потому что особенно малые бизнесы открывают все, потому что они хотят существовать. И тем самым они как бы подписывают себе смертный приговор, не открывая уязвимую систему в интернет. Потом, конечно же, находится способ, как можно использовать эту уязвимость в этой системе. Пишется, покупается, адаптируется какой-то вирус, назовем его так, или какой-то инфекционный файл, который использует эту уязвимость. Используются такие методы, как phishing, как social engineering, чтобы послать этот файл, который попадет к пользователю, который, в принципе, его откроет, мы уже знаем, почему он его откроет. Потом этот файл уже находится в организации, он заразил этот компьютер. Этот компьютер начинает сканировать всю остальную организационную сеть, находит другие компьютеры, находит сервера, находит все системы. И тут, в принципе, уже организация должна смотреть, что она делает после того, как она уже хакнута. Тут должен быть уже готов план, как говорится, post incident, что мы сейчас делаем, каким руководством мы должны пользоваться, чтобы правильно сделать все правильные activities, чтобы закончить этот incident. К сожалению, в большинстве случаев то, что я видел, все это начинает думаться уже после того, как это произошло. И многие организации просто не готовы. Потому что мы все говорим, что с нами это не случится. Это случается везде, во всем мире, в любой стране. Это случается с моим соседом, но со мной это не случится. В конце концов, это случается и со мной, и я просто не знаю, что делать, и я начинаю думать. Но на самом деле все очень просто: для того, чтобы выстроить систему, правильную систему безопасности, нужно знать все эти уровни. И на каждый уровень есть какие-то определенные контроли, которые мы должны имплементировать. Может быть, есть кто-то, кто думает, что есть какой-то у нас супер magic solution, то есть, супер какое-то волшебное решение, которое мы сейчас купим, и на этом все закончится для нас.

Как уменьшить риски

– Нет такого?

– Я искал очень много лет и, к сожалению, не нашел. Я очень часто слышу: ну у меня же есть антивирус, что он, не поможет? Нет, антивирус в этом случае не поможет, потому что, даже если купить самый лучший антивирус на сегодняшний день, он никогда не способен в одиночку противостоять тем угрозам, которые у нас есть. Для того, чтобы выстроить комплексную систему, нужно реально понимать каждый этап атаки. И под каждый этап атаки нужно имплементировать определенный контроль. Возьмем, к примеру, phishing. Что организация может сделать для того, чтобы как-то уменьшить свой риск быть хакнутыми через phishing. Элементарно, давай спросим, какой хозяин предоставил какую-то образовательную программу для своих работников для того, чтобы научить их реально распознавать, fishing это или не phishing. Я тебе могу гарантировать, что 99% работодателей даже об этом не думали, потому что они считают, что они платят достаточно много денег своим работникам. Для чего им еще предоставлять какую-то образовательную программу: пусть они идут домой и сами обучаются. Но, естественно, ни один работник это не делает, потому что зачем ему тратить свое личное время.

– Ну и вообще, да, как ты сказал, пока гром не грянет – никто не бежит учиться.

– 100 процентов. А на самом деле 90% имейлов, вот таких вот phishing, можно предотвратить, просто повысив уровень образования своих работников. Если каждый квартал делать им какую-то маленькую лекцию на полчаса, чтобы они поняли, как выглядит mail phishing, какие есть у каждого mail phishing какие-то определенные компоненты, на которые можно посмотреть и сказать: что-то здесь fishy, что-то здесь такое неладное. И на основании этих компонентов можно принять правильное решение: или я просто стираю этот имейл и даже его не открываю. Или даже если я его уже открыл, я могу посмотреть и сказать: окей, здесь link какой-то, но я туда заходить не буду, потому что этот линк очень странный, он какой-то неправильный. Или адрес, например, если я вижу, что имейл послался на один адрес, а там, например, грамматические ошибки. Email пришел с одного из банков, и там куча грамматических ошибок. Потому что хакеры зачастую не говорят ни на английском, не говорят ни на каком языке. Они просто используют Google Translate, чтобы перевести текст этого имейла. И они просто делают copy-paste и посылают. И лого любого банка или любой организации сегодня очень просто найти в интернете. Они просто приклеивают лого на имейл и посылают.

– И еще вот я знаю: может прийти имейл от человека, который, как вам кажется, вам знаком, но там может быть буквы нет. Или когда смотрите, мышку наводите на email адрес, то там тоже может быть буква не та или имейл с точечкой какой-нибудь. То есть, не идентичный имейл тому, от кого вы должны получить.

– Конечно. Я тебе скажу более того: email может прийти от человека, с которым ты знаком или знакома, и будет абсолютно такой же имейл. На сегодняшний день есть очень много способов, как сделать в Outlook, или в любой email программе, или email client возможность, чтобы, откуда пришел имейл, показывало имя именно того человека, которого ты знаешь. Не забывай, что можно и хакнуть имейл этого человека и просто использовать, реально его послать.

– А он даже не будет знать.

– Но это все работники должны знать. Это не первый случай, когда это происходит. И я тебе скажу честно, меня очень удивляло, работая еще в enterprises, почему люди до сих пор на это ловятся. Например, если ты помнишь, был очень распространен случай, когда CFO компании получал email от CEO компании, который требовал срочно перевести какую-то сумму денег на определенный счет, иначе перегорит какая-то сделка. И CFO, даже не задавая никому вопросов, просто слепо шел и переводил эти деньги без того, что он даже перезвонил CEO и спросил, от тебя ли это пришло. И это было не один, не два и не три раза. На протяжении нескольких лет эта атака нас преследовала, этот fraud нас преследовал. Кстати, o fraud ты меня спрашивала. Вот это называется fraud, когда мы пытаемся каким-то криминальным путем получить какую-то выгоду. Это может быть финансовая выгода или другая выгода. Причем fraud он везде одинаковый: в реальной жизни fraud и в виртуальной жизни fraud, везде одинаковый. Мы используем какие-то меры криминальные, чтобы вынудить кого-то сделать, что мы хотим.

– Ну да, раньше вкладывали чеки бумажные неправильные, ненастоящие, а теперь то же самое происходит через людей в киберпространстве.

– 100%. Все то же самое. Это, например, один из контролей, который можно имплементировать. Второй контроль мы можем сказать. И я сейчас просто называю вещи, в которые не нужно вкладывать очень много денег или даже в некоторые из них не нужно вкладывать вообще денег. Например, давай изменим что-то в нашей компании, чтобы как-то усилить нашу информационную безопасность. Например, давай начнем с того, что начнем менять регулярно пароль.

– О, ну что ты, что ты, мы же его забудем!

– Сколько стоит денег поменять пароль? Да нисколько это не стоит – поменять пароль. На самом деле, давай сейчас сделаем, например, запретим пользователям или заблокируем какую-то возможность устанавливать и скачивать с интернета какие-то программы и устанавливать на рабочий компьютер. Ни один бизнес от этого не пострадает, а наоборот – получит огромную выгоду. И причем это не стоит денег. Это все очень и очень просто сделать. И таких примеров можно привести очень много. Не всегда, когда мы говорим о каких-то контролях безопасности, мы говорим о вкладывании каких-то огромных денег, чего, в основном, боятся business owners. И очень часто – не очень часто, а всегда – системная безопасность, информационная безопасность начинается с людей, с каких-то изменений, с культуры компании. Ведь каждая компания, по сути дела, это какая-то культурная область, где создается эта культура на протяжении многих лет существования этой компании. Например, как я уже сказал, в одной компании принято использовать один пароль для всех, в другой компании принято иметь полный доступ в интернет, смотреть фильмы и скачивать какие-то программы и устанавливать на рабочий компьютер. В другой компании, например, принято, я не знаю, получать кучу имейлов и открывать их все и смотреть, легитимный это имейл или нелегитимный, неважно. И вот здесь, в принципе, нужно начать с того, что мы начинаем вносить какие-то изменения в нашу организационную культуру. Какие-то пароли начинают менять, потом не использовать один и тот же пароль везде. Ведь что часто происходит: у нас есть один пароль, который мы очень хорошо знаем и помним, мы его используем и дома, и на работе.

– Да. Обязательно!

– Ну правильно. Потому что – а как иначе? И вот этот пароль на Facebook, когда мы залогинились в Facebook, и нас хакнули, он, в принципе, является паролем в компанию. А потом удивляемся, почему, как так, зашли с легитимным юзером в компанию, без того, что нужно было как-то хакать пароль. Просто зашли и получили доступ полностью. И мы не видим следов, никаких следов атаки. А их и не будет, потому что user предоставил свой пароль криминалу, который просто его использовал и сделал все, что ему нужно.

– Слушай, ты меня сейчас заставил задуматься о том, что, действительно, есть же такое понятие, как свой, частный, компьютер, домашний – и рабочий компьютер. И то же самое с телефонами. И вот сейчас меня прямо осенило, зачем это делается.

– И это, например, один из основных, в принципе, компонентов, контролей, которые мы делаем. Бизнес есть бизнес, а личная жизнь – она есть личная жизнь. Никогда не нужно мешать эти два понятия, никогда не нужно использовать свой личный компьютер в рабочих целях, свой рабочий компьютер в личных целях. Так же с паролями, должно быть полное распределение. Но это все идет от культуры этого бизнеса, о которой в данный момент мы говорим. И вот эти изменения, которые нужно вносить.

Cyber security в приоритете

– Слушай, ну, во-первых, напугал, но и успокоил тоже. Конечно, свет в конце тоннеля есть. Теперь последним вопросом перед тем, как мы будем завершать: помоги, пожалуйста, найти shortcuts, как говорится на английском. Как вообще ускорить этот процесс? Можно найти каких-то консультантов, которые дадут тебе вот эту бумажку: делайте первое-второе-третье-четвертое? Или придут и проведут эти тренинги, может быть? Или предоставят консультационные услуги вот таким бизнесам, у которых ну просто руки не доходят до кибербезопасности. Потому что и так платить нечем, не знаю, поставщики в Китае не могут тебе послать то, что тебе нужно. А тут еще и кибербезопасность приземляется с небес.

– Ну смотри, в принципе, все, что ты сказала – это и является shortcut, то, что нужно делать. Но опять же, я скажу: все изменения должны начинаться с нас. И каждая компания должна уметь как-то распределять и делать какой-то приоритет на риски, которые она готова иметь. Если у компании главный приоритет – это договориться с партнером с Китая, и информационная безопасность – это наименьший приоритет, это окей, это решение компании. И никто здесь не скажет: нет, оставь сейчас своего китайского партнера в покое, давай делать информационную безопасность. Есть организации, и я тебе скажу честно, в enterprises, например, в больших компаниях вот именно cyber risk занимает одну из ведущих позиций вообще в рисках, которые компания должна принимать в расчет. И каждый бизнес-процесс на сегодняшний день в больших компаниях берет в расчет именно cyber security risk. Там есть cyber security команды, которые участвуют во всех бизнес-процессах для того, чтобы построить этот бизнес-процесс как можно более защищенным. Я понимаю, что в маленьких компаниях это делать тяжело. Ну опять же, тут есть свои приоритеты, которые нужно расставлять. Если компания не хочет в один день просто найти себя жертвой какого-то вымогателя, который заблокирует всю информацию и будет просить 100 тысяч долларов выкуп, если компания посчитает, что 100 тысяч долларов выкупа – это недостаточно большая цена, чтобы заплатить и, может быть, получить свою информацию назад, то пусть занимается своими партнерами. Если же для компании 100 тысяч долларов – это серьезная сумма, которая, в принципе, решает, существовать ли компании или нет, то cyber security risk должен быть один из 100 priority risk, которым нужно заниматься. По поводу консультантов, естественно, всегда очень хорошо начать с того, чтобы понять, а какие проблемы есть в компании? И под проблемами я имею в виду, какие есть gaps, как мы говорим на английском. Есть какие-то рекомендации, всемирно известные рекомендации по информационной безопасности: как должна выглядеть информационная безопасность в компании. Можно просто взять какого-то консультанта, который сделает какой-то gap анализ. То есть, проанализирует настоящее состояние, настоящее положение компании, сравнит это с рекомендациями и скажет: окей, для того, чтобы быть здесь, вот у нас есть, скажем, 150-200 пробелов, которые нужно восполнить. Потом нужно посидеть, решить, опять же, сделать какой-то prioritization, то есть, решить, какие пробелы наиболее важны, какие пробелы наименее важны, и построить какой-то бизнес-план на 2-3 года. И сказать: окей, через два-три года я хочу быть здесь. Второе: можно взять консультанта, который будет сопровождать эту компанию на протяжении всего этого времени. И компания для себя должна решить, на сколько времени она хочет этого консультанта.

– На сколько денег, сколько стоят такие вот услуги.

– 100%. Если у компании оборот 100 тысяч долларов в год, и взять консультанта, который стоит 150 тысяч долларов в год – естественно, это не решение проблемы. Каждый это решает для себя. По поводу проводить какие-то образовательные программы для работников: это не стоит много денег. Это можно взять того же консультанта, это можно взять какого-то человека из IT, который довольно-таки талантлив, у которого есть способность провести какую-то лекцию для работников, чтобы хотя бы дать им какие-то базовые знания. Это уже хорошее начало.

– Отлично. Я как раз подумала, что можно найти, может быть, какого-то волонтера в самой компании, который заинтересован в том, чтобы изучить все, посмотреть наиболее популярные практики и, может быть, распространить это внутри организации. Отлично! Прекрасно! Мне очень понравился сегодняшний разговор. Спасибо тебе большое, Алекс! Я правда уверена, что у людей возникнет куча-куча вопросов. Скажи, пожалуйста, можно ли тебе их задать?

– Конечно, без проблем.

– Хорошо. Тогда, дорогие слушатели, пишите нам на [email protected], и мы обязательно передадим ваши вопросы Алексу. А если наберется куча-куча вопросов, то, наверное, нам придется сделать следующую серию подкастов про кибербезопасность. Ну или что нам нужно всем знать.

– Обязательно сделаем.

– Ну что ж, спасибо большое, это был первый видеовыпуск MoneyInside с нашим киберспециалистом Алексом Кауфманом. Ну а пока, друзья, удачи в деньгах!

Сообщение Cyber security, или кибербезопасность бизнеса | #125 появились сначала на Moneyinside.ca - Финансовые подкасты.