Блог S2: от тех и для тех, чей подход имеет значение

Как понять, что данные вашей компании украли

Армия роботов из сотен тысяч взломанных серверов по всему миру круглосуточно проверяет каждый IP-адрес и старается взломать устройство, которое за ним закреплено. Поэтому в любую компанию может прийти злоумышленник и украсть данные. У кого-то это база заказчиков или кредитных карт, у другого — рецепт вакцины от коронавируса. В каждой компании можно найти, чем поживиться.

В статье собрали базовые знания об информационной безопасности бизнеса и четкие инструкции: как понять, что данные компании украли, и что делать в случае кражи. В конце — рекомендации специалиста по кибербезопасности, которые помогут защитить ваш бизнес. 

Содержание

I. 7 признаков того, что данные компании украли
II. Кто может украсть данные у бизнеса
III. Какая информация чаще всего интересует мошенников
IV. Как крадут данные
V. Что делать, если данные компании уже украли
VI. Как не допустить кражу данных

7 признаков того, что данные компании украли

Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

1. Скорость интернета регулярно снижается. Это косвенный признак, который может обозначать взлом или проблемы с интернет-провайдером.

Если это проблемы с интернет-провайдером, проверить это легко: позвоните провайдеру и узнайте о проблемах со скоростью. 

Если это взлом, низкая скорость будет каждый день в одни и те же промежутки времени, потому что шпионские приложения обычно отправляют данные в одинаковое время. 

2. Вы заметили отправку электронных писем на странные, ранее неизвестные адреса. Если в папке «‎Отправленные» есть письма, которые ваши сотрудники не отправляли, это может быть взлом системы и следствие работы вирусного ПО. 

3. Вы заметили увеличение спам-писем на почтах сотрудников. Количество спама разное и зависит от специфики работы. Но если приходит больше 50 спам-сообщений в день — это повод задуматься. Более 100 — уже признак проблем.

4. Клиенты стали получать фейковые письма от сотрудников, которые те не отправляли

5. Антивирус на компьютерах сотрудников стал фиксировать большое количество заражений.

6. На страницах компании в соцсетях стали появляться сообщения, комментарии, посты и записи, которые вы не оставляли

7. Ваши данные появились в одном из нелегальных хранилищ данных

Нелегальные хранилища — это места с запрещенным контентом, например, украденной информацией. Такие хранилища есть в Даркнете — темной стороне интернета. В него нельзя попасть просто так — в России Даркнет запрещен законом. Но можно пользоваться услугами компаний, которым Федеральная служба технического контроля дала разрешение на использование Даркнета — Group-IB и Positive Technologies. Стоимость их услуг рассчитывается индивидуально и зависит от специфики и объема вашего бизнеса.

Торрент-сайты — тоже нелегальные хранилища. Например, если вы разрабатываете IT-решения, там могут бесплатно продавать или раздавать на скачивание их копии. 

Также, например, если вы занимаетесь онлайн-курсами и не оставляете на видео логотип или водяной знак, их могут нелегально скопировать и выложить на площадку для слива.

Кто может украсть данные у бизнеса

Илья Горюнов
Директор по развитию бизнеса Thycotic в России и СНГ, АФИ Дистрибьюшн.

По данным из отчета Verizon за 2020 год, В 70% случаев крадут данные внешние взломщики — организованные хакерские группы, а в 30% — ваши сотрудники, у которых есть доступ к конфиденциальной информации.

Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

Почему крадут данные у бизнеса:

1. Деньги. Желание заработать либо напрямую — снять деньги со счета компании, либо косвенно — на продаже информации.

2. Месть. Характерно для бывших сотрудников, с которыми, по их мнению, некорректно расстались. Поэтому важно блокировать учетные записи уволенных. 

3. Интерес. Просто украсть или парализовать работу вашей компании — чтобы похвастаться перед коллегами и друзьями.

4. Компрометация других коллег — чтобы продвинуться по карьерной лестнице. 

Иногда бывает, что сотрудники компании случайно крадут данные. Например, передают учетные записи третьим лицам. Это уже считается кражей.

Какая информация чаще всего интересует мошенников

Илья Горюнов
Директор по развитию бизнеса Thycotic в России и СНГ, АФИ Дистрибьюшн.

Какие именно данные хотят украсть — зависит от специфики бизнеса и целей злоумышленников. Рассмотрим несколько примеров.

1. Допустим, у вас банк.

Что выгодно украсть Зачем 
Данные платежных карт клиентов: номер, имя и фамилия, срок, CVV или CVC, ПИН-код.

 

  • Чтобы совершать покупки в онлайн-магазинах и везде, где не надо вводить дополнительную информацию.
  • Чтобы потом представиться сотрудником банка и просить предоставить больше данных для будущих краж. 

2. Представьте, что у вас клиника пластической хирургии. Такая кража была в 2017 году: хакеры вымогали 100 тыс. долларов у клиники и шантажировали пациентов, в итоге фотографии опубликовали в интернете. 

Что выгодно украсть Зачем 
Медицинские данные пациентов. Например, обнаженные фотографии до и после операции, имена и фамилии.

 

 

  • Чтобы шантажировать и требовать выкуп и от компании, и от клиентов, которые были на фото.
  • Чтобы перепродавать заинтересованным. 
  • Чтобы потом представиться медицинским персоналом и просить предоставить больше данных для будущих краж. 

3. Например, у вас IT-компания или фармацевтический завод с новыми технологиями. 

Что выгодно украсть Зачем 
  1. Информацию о ноу-хау разработке, инновациях и новом подходе к решению задач.
  2. Данные о дальнейшем развитии компании. 

 

  • Чтобы шантажировать и требовать выкуп от компании.
  • Чтобы перепродавать заинтересованным. 
  • Чтобы использовать в своих коммерческих целях. 
Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

Кроме информации о разработке продуктов или клиентских данных, мошенников интересуют и другие вещи. Рассмотрим на примерах.

1. Допустим, вы занимаетесь поставкой эксклюзивной одежды из Европы. 

Что выгодно украсть Зачем
Информацию о поставщиках.

 

  • Чтобы увеличить качество своей продукции. 
  • Если у поставщика вашей компании сомнительная репутация — ударить по имиджу. 

2. Представьте, что у вас IT-компания. Ваши сотрудники — лучшие умы программирования и топ-менеджмента.

Что выгодно украсть Зачем
Информацию о сотрудниках компании, их должностях и обязанностях.

 

  • Чтобы выявить ключевых сотрудников и переманить их в компанию-конкурента. 
  • Чтобы получить секретную информацию о разработках. 

Как крадут данные

Александр Горячев
Эксперт компании Доктор Веб.

Целенаправленные атаки

Такие атаки хорошо скрыты, продуманы и профинансированы. Поскольку они дорогие и сложные, то обычно проводятся умелыми группами злоумышленников. Заказчиками могут быть либо богатые конкуренты, либо целые правительства — все зависит от специфики атакованной компании и нужных данных. 

Как происходит кража. Например, компьютеры или серверы компании могут заразить вредоносными программами. Они будут постепенно и незаметно выгружать данные на сервер хакеров. 

Рутинные взломы

Это мелкие преступные группировки массово и неразборчиво пытаются взломать все, что можно, и нечаянно попадают на вашу компанию. 

Как происходит кража. Хакеры могут случайно найти «дыру» в IT-системе компании и скопировать данные. Рутинные взломы компаний происходят случайно, но они тоже опасны.

Метод социальной инженерии

Это когда, например, звонят по телефону, притворяются вашими же сотрудниками и просят выдать какую-то информацию.

Как происходит кража. Жертва может сама все рассказать, ошибочно подумав, что общается с банком или государственной службой по своему вопросу. Злоумышленники могут не только звонить по телефону, но и писать на почту, отправлять SMS и маскироваться под сервис или приложение.

Физическая утечка данных благодаря инсайдерам

Инсайдер — сотрудник, который имеет доступ к конфиденциальной информации в компании.

Как происходит кража. Например, данные скопируют на съемные носители и вынесут из офиса.

Случайная утечка по вине сотрудников

Ноутбуки, смартфоны, флешки и другие портативные устройства сотрудники могут просто потерять, или же их могут украсть — такое тоже случается.

Фишинговые рассылки

Это вид интернет-мошенничества, его используют, чтобы получить данные пользователей. 

Как происходит кража. На почту или в мессенджер сотрудника приходит письмо с вредоносной ссылкой. При нажатии на нее устанавливается шпионская программа или автоматически распространяется компьютерный вирус. Он поможет скопировать данные на сервера мошенников. 

Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

Вредоносное ПО

Вредоносное ПО или вирус может попасть в вашу компанию вот так:

1. Через интернет, электронную почту или фишинговые ссылки.

2. Через личные флешки. Если на флешке находился вирус, он автоматически попадает внутрь системы компании и заражает все компьютеры. Создатель вируса сможет получить, удалить или повредить ваши данные.

3. В процессе установки или обновления нелегального ПО. Например, сотрудник устанавливает нелегальное программное обеспечение, которое может помочь выполнять работу. Это ПО может содержать вредоносный код, который заразит все компьютеры вирусом и скопирует данные на серверы мошенников.

Что делать, если данные компании уже украли

Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

Если данные украли, вернуть их уже не получится. Даже если вы обратитесь в полицию, не факт, что это поможет вам. Поэтому важно направить все силы на уменьшение ущерба.

Следуйте инструкции ниже:

1. Вирус атакует компьютеры и сеть, поэтому отключите компанию от интернета на 1 час, если есть такая возможность. А затем обратитесь к специалисту по информационной безопасности.

Если отключить от интернета не можете — попросите системного администратора перезапустить хостинг или ваш сайт. 

2. Поменяйте логин и пароль для входа в административную часть сайта. 

3. Отключите или заблокируйте логины и пароли компьютеров сотрудников, кроме отдела информационной безопасности, если он есть.

4. Выключите атакованный компьютер. Тогда пострадает только один компьютер, а не все сразу.

Нужно просто отключить его от локальной сети и интернета. Если компьютер не в сети, он не сможет заразить остальные. Если он не подключен к интернету, он не сможет передать данные, даже если вирусное ПО пыталось их отправить. 

5. Устраните заражение, которое привело к хищению данных или взлому системы.

Самый простой способ устранить заражение — антивирусная проверка компьютера, который был отключен от сети. Чтобы провести такую проверку, нужно: 

  • Настроить антивирус на компьютерах сотрудников. Корпоративных антивирусных решений на рынке много. Например, Kaspersky. Цена зависит от количества компьютеров.
  • Обновлять антивирусное решение раз в неделю или настроить автоматическое обновление.

Лучше нанять системного администратора, который будет заниматься корпоративными компьютерами. Средняя зарплата квалифицированного сисадмина в России — от 50 тыс. рублей. 

6. Смените логины и пароли от всех учетных записей и данные для доступа к почте и ресурсам компании для всех сотрудников.

7. Смените логины и пароли от всех административных учетных записей для всех баз данных, которые используются в компании.

8. Раздайте сотрудникам новые учетные записи.

9. Организуйте сотрудникам стандартный инструктаж со специалистом по информационной безопасности, чтобы предотвратить похожие инциденты. 

Проговорите:  

  • какая информация — личная, а какая — служебная; 
  • как проверять файлы перед открытием;
  • зачем проверять адрес электронной почты неизвестного отправителя письма;
  • как передавать информацию через флешки; 
  • как должен поступать сотрудник, чтобы не допустить кражу данных;
  • какие ошибки могут привести к краже данных; 
  • как правильно работать с информацией, а как — неправильно.

Кто предупрежден, тот вооружен. Мы подготовили памятку от наших экспертов, чтобы вашу компанию никогда не взламывали хакеры.

Как не допустить кражу данных

Дмитрий Абрамов
Руководитель компании SafeCafe. Эксперт в сфере информационной безопасности, преподаватель

Базовая инструкция по защите данных.

1. Проведите тестирование и аудит текущего уровня защищенности вашей компании — обратитесь в компании, которые занимаются исследованием уязвимостей. Это стоит от 80 до 200 тыс. рублей.  

2. Если в вашем штате нет специалиста по информационной безопасности, наймите его. Средняя зарплата специалиста — от 60 тыс. рублей в месяц. Удобнее и дешевле иметь специалиста в штате, чем платить  аутсорсинг-компании за услуги.   

3. Установите антивирус на компьютеры сотрудников.

4. Обновляйте ПО и антивирус.

5. Регулярно проводите инструктаж сотрудников в области информационной безопасности. В идеале — раз в год, минимум — раз в 2 года. 

Автор: Полина Ладина

Пользуйтесь S2 CRM семь дней бесплатно

За это время вы поймете, подойдет ли CRM для вашей компании: как работает IP‑телефония, e-mail и sms-рассылки, удобно ли ей пользоватся сотрудникам.

Оцените статью по пятибалльной шкале

Средняя оценка 5 / 5. Количество оценок: 4

Оценок пока нет. Поставьте оценку первым.

Добавить комментарий

Your Header Sidebar area is currently empty. Hurry up and add some widgets.