Універсальної пігулки «захисту» від кібератак не існує. Але існують дієві інструменти– Олег Дерев’янко

Чарівної пігулки для захисту бізнесу від кібератак не існує. У світі наразі немає таких технологій, які б забезпечували гарантії захисту від кібератак. Це стосується і рівня персональних комп’ютерів, ноутбуків чи гаджетів, і інформаційних систем бізнесу будь-якого рівня теж. Але є дієві інструменти з кібербезпеки як для малого, так і великого бізнесу, про які поговоримо далі – говорить в інтерв’ю для Львівської бізнес-школи УКУ (LvBS) Олег Дерев’янко, співзасновник і президент Kyiv Cyber Academy, співзасновник і голова ради директорів ISSP.

Derev

«Маємо виходити з того, що атакованими і скомпрометованими можуть бути комп’ютерні системи і дані будь-якої компанії, тому мають бути забезпечені всі формати захисту: мережевий захист, захист станцій користувачів, захист баз даних, захист від витоку інформації, захист розробки програмного забезпечення і додатків тощо. Раніше була така приказка – «компанії і організації в світі діляться на дві категорії: ті, яких вже хакнули, і ті, яких ще хакнуть». Але ця приказка вже не є актуальною. Сьогодні актуальним є інше висловлювання: «компанії і організації в світі діляться теж на дві категорії: ті, яких хакнули і вони про це знають, і ті, яких хакнули, але вони про це ще не знають». Проникнення зловмисників у мережі або індивідуальні пристрої є неминучими, але якщо їх вчасно виявляти, то можна запобігти нанесенню шкоди, яка не може бути виправлена, або принаймні мінімізувати  негативні наслідки.

Як бізнес може захиститися від кібератак?

Усе залежить від того, який це вид бізнесу і які цілі у зловмисників, чи, як їх часто називають, -  хакерів, хоча це й не дуже коректний термін, адже хакери можуть бути і «чорні» і «білі», а зловмисники або кіберзлочинці – це вже точно темні сили. Отже, противник може використовувати різні інструменти і з різною метою. Скажімо, атаки на фінансові установи чи рітейл заради крадіжок коштів – це одне, а атаки на промислові, енергетичні та інші інфраструктурні об’єкти, або на медіа-компанії чи інші великі корпорації, заради виведення інформаційних систем з ладу, крадіжок або знищення даних – це вже зовсім інше...

Які є форми захисту для малого та середнього бізнесу?

Малий і середній бізнес, на жаль, не може собі дозволити використовувати найновіші засоби захисту чи тримати у своєму штаті кваліфікованих спеціалістів з кібербезпеки. Це завеликі інвестиції для такого бізнесу. З іншої сторони, малий та середній бізнес є набагато менш цікавим для кіберзлочинців, і тому рідше піддається націленим атакам. Найчастіше це можуть бути банальні DDos-атаки (напад на комп'ютерні системи з наміром зробити комп'ютерні ресурси недоступними користувачам; розподілена атака типу «відмова в обслуговуванні», – ред.) або ransomware (віддалене блокування комп’ютеру з вимогою викупу за відновлення доступу до нього – ред.). Універсального захисту, як зазначено вище, від кібератак не існує, але зменшити ризики та наслідки проникнення все ж можливо. Порадою для малого та середнього бізнесу буде розміщувати свої ресурси у найбільш захищених хмарних сервісах. Це може бути, наприклад, той же Аmazon або Microsoft Azure.

Ми наразі працюємо над розробкою SЕСaaS – security as a service (безпека як сервіс – ред.) для малого та середнього бізнесу. Він буде повністю сумісний із популярними бізнес-сервісами як, наприклад, Microsoft Office 365.

Derev

А як щодо захисту великого бізнесу?

Якщо говорити про великий бізнес, то тут також важливу роль відіграє його специфіка:  процеси, технології і люди. Ще кілька років тому у багатьох структур навіть не було окремих підрозділів з кібербезпеки, незалежних від ІТ. При цьому, велика частина проблем з безпекою інформаційних систем пов’язана з неправильним налаштуванням саме ІТ-процесів і технологій в компаніях. Але навіть коли все правильно налаштовано в ІТ і всі ключові системи захисту інформаційних систем і даних також присутні, все одно компанія не має 100% гарантії захисту. Сьогодні і ІТ технології, і  технології та інструменти кібератак змінюються настільки швидко, що жодна, навіть дуже потужна і велика організація, не може встигнути за цими змінами, особливо, з точки зору постійного забезпечення наявності в штаті компанії відповідного рівня спеціалістів з кібербезпеки, а жодні технології без наявності відповідного рівня спеціалістів не врятують. Тому, головним трендом в забезпечені кіберзахисту великих компаній сьогодні є використання підходу SЕСaaS – security as a service (безпека як сервіс – ред.), який здійснюється шляхом підключення комп’ютерної інфраструктури компанії до спеціалізованого професійного центру управління кібербезпекою. Такі центри (а в Україні є поки що один такий центр – це SOC, тобто Security Operations Center компанії ISSP) в режимі реального часу отримують і аналізують різноманітну телеметрію стану комп’ютерних мереж і подій в них і виявляють аномалії. До речі, не всі аномалії одразу є кібератаками, але коли є підозра (а аномалія – це і є сигнал того, що всередині інформаційних систем компанії знаходяться зловмисники) дуже важливо швидко реагувати, і для цього також потрібні спеціальні технології і досвідчені фахівці.

Чи можна мінімізувати людський фактор?

Якщо говорити про людський фактор у дотриманні безпеки, то найпростіші і найдієвіші форми захисту: не відкривати невідомі e-mail, особливо вкладки у них. Але, якщо вже так сталося, то дуже важливо, щоб людина не боялася повідомити про це відповідного спеціаліста з кібербезпеки в компанії. Адже навіть, коли працівнику здалося, що загроза минула, що з комп’ютером нічого не відбувається, злочинці вже могли проникнути у внутрішню мережу компанії.

Усім співробітникам потрібно запам’ятати і виконувати три найважливіші правила:

  • не ходити на скомпрометовані або підозрілі інтернет-ресурси
  • не відкривати вкладення, якщо ви не впевнені від кого цей лист
  • якщо ви все ж це зробили – відкрили вкладення і побачили, що файл виглядає як спам,  містить інформацію, яка вас не стосується тощо, обов’язково повідомити про це відповідних фахівців у компанії (це може бути helpdesk або конкретний спеціаліст, відповідальний за безпеку інформаційних систем).

 Сподіваємось, ці поради будуть корисними для вас та вашого бізнесу. Пам’ятайте про безпеку в мережі. Вже незабаром, а саме 23 березня, Олега Дерев’янка можна буде почути під час сьомої щорічної візійної конференцію INTRO на тему «Людина майбутнього», яку організовує Візійний центр LvBS.

Etyka

До слова, Львівська бізнес-школа УКУ (LvBS) започаткувала проект «Етика і Технології» із дослідження етичних викликів технологій майбутнього. Ціллю проекту є вивчення етичних перспектив розробки та використання інноваційних технологій, як-от штучний інтелект (AI), людино-машинні інтерфейси, нейромережі, біоніка, big data та інші.