Ідентифікація загроз безпеці компаній і банків є початковим етапом розроблення заходів з управління ризиками та побудови ефективної системи безпеки на корпоративному рівні. На сучасному етапі кожна компанія або банківська установа повинна займатися систематичним виявленням і класифікацією загроз, а також оцінюванням їх суттєвості. У результаті формується перелік значущих (істотних) загроз, для кожного банку або компанії він свій і залежить від багатьох факторів. Спробуємо систематизувати сучасні загрози безпеці компаній і банків в Україні в умовах мінливого зовнішнього середовища.
Передусім інформаційні загрози на корпоративному рівні проявляються через кібертероризм, кібератаки, кібершпигунство, зловживання доступом, витік ділової інформації.
Кібератаки не обмежуються лише державними інституціями чи великими корпораціями: в поле зору хакерів потрапляє й критична інфраструктура, малий та середній бізнес, неурядові організації та комунальні підприємства. Оскільки великі компанії посилюють свій кіберзахист, кіберзлочинці націлюються на менші компанії. Вони менш здатні протистояти наслідкам кібератак. Якщо невелика компанія з неефективним управлінням кіберризиками зазнає значного кіберінциденту, є шанс, що вона може «не вижити» на ринку.
Масовані кібератаки проти державних структур та бізнесу України посилились з початку повномасштабної агресії рф. Кіберзлочинці планують ці атаки, щоб паралізувати роботу стратегічних об'єктів і компаній (банків).
У грудні 2023 р. росіянам вдалось на два дні вимкнути українського мобільного оператора «Київстар». Без зв’язку залишилась половина країни, а сама компанія отримала збитки на мільярди гривень. А на початку 2024 р. хакери атакували в Україні дата-центр «Парковий», що призвело до збою в діяльності «Нафтогазу», «Укрзалізниці», «Укрпошти», а також інформаційної системи «Шлях».
Найчастішим видом кібератак є DDos – перевантаження сайту шляхом мільйонів запитів на секунду. Але більш смертоносними є кібератаки з використанням небезпечного програмного забезпечення Wiper – зараження комп’ютерів вірусом, який здатен знищувати дані. Це може надовго «вимкнути» компанію або організацію, якщо вона не має швидкого доступу до резервних копій. У будь-якому випадку це призводить до збитків.
Відповідно до результатів дослідження страхової компанії Allianz Risk Barometer («Барометр ризиків Allianz»), кіберінциденти вважаються найбільшим корпоративним ризиком у США. Зокрема, у бізнеса викликають занепокоєння витоки даних, кібератаки на критично важливу інфраструктуру чи фізичні активи та посилення атак програм-вимагачів. Так, респонденти Allianz Risk Barometer (59%) вважають витік даних найбільшою загрозою в кіберпросторі, після чого йдуть атаки на критичну інфраструктуру та фізичні активи (53%).
Причина, за якою корпоративні бази даних так часто піддаються злому, полягає в тому, що вони мають ключове значення для будь-якої компанії, оскільки містять конфіденційну ділову інформацію.
Загрози, що виникають на корпоративному рівні через відсутність відповідного захисту інформації, можуть бути звичайними крадіжками даних, шахрайством, а можуть – шпигунством чи кібертероризмом.
При цьому різні кіберзагрози постійно «удосконалюються», оскільки хакери отримують доступ до нових технологій або знаходять нові способи використання старих кіберуразливостей. Хакери починають використовувати мовні моделі на основі штучного інтелекту (ШІ), такі як ChatGPT, щоб збільшити швидкість та обсяг кібератак програм-вимагачів, розробляти нове шкідливе програмне забезпечення та створювати дуже переконливі фішингові електронні листи та діпфейки. Злочинці вивчають способи використання штучного інтелекту для автоматизації та прискорення кібератак, створення ефективніших шкідливих програм і фішингу. Завдяки неймовірній кількості підключених мобільних пристроїв та Інтернету речей (IoT) із підтримкою 5G можливості для кібератак, імовірно, лише збільшаться у майбутньому.
Вище вже наголошувалось, що найбільшою загрозою в кіберпросторі є витік даних (бази даних клієнтів, інформації про контрагентів, інтелектуальної власності).
До типових видів кіберінцидентів, які призводять до витоку даних, відносяться: впровадження шпигунського програмного забезпечення, фішинг, зламані налаштування доступу.
Ризиками витоку особистої/корпоративної інформації є:
1. Крадіжка особистих даних: хакери можуть атакувати інформаційні системи, щоб отримати доступ до особистих даних посадових осіб або власників компанії тощо. Ця інформація може бути використана для шахрайства або шантажу.
2. Витік корпоративної інформації:конкуренти або зловмисники можуть намагатися отримати доступ до конфіденційної інформації компанії, такої як плани розвитку, фінансові дані або технічні розробки. Це може призвести до фінансових втрат, втрати конкурентної переваги або репутаційних проблем.
3. Соціальна інженерія:зловмисники можуть використовувати соціальну інженерію для отримання доступу до конфіденційної інформації, використовуючи маніпуляцію та обман співробітників компанії або інших осіб. Так, основна частка витоку інформації з компаній припадає на злочини, які вчинені за допомогою використання схем соціальної інженерії.
4. Втручання у систему безпеки: зловмисники можуть здійснювати кібератаки на інформаційні системи, щоб внести зміни в дані, викрасти їх або завдати шкоди функціонуванню системи.
При цьому останнім часом у світі зростають витоки даних третіх сторін. Це пов’язано з багатьма загрозами як для компаній, так і для окремих осіб. Можна виділити декілька причин такої тривожної тенденції:
· збільшення взаємозв'язку між бізнес-структурами: більше взаємопов’язаних систем створює більше точок входу для хакерів;
· складні ланцюги поставок: розширюють доступ постачальників до конфіденційних даних, підвищуючи ризики злому;
· недостатні заходи безпеки: стороннім постачальникам часто бракує надійних заходів безпеки, що робить їх легкою мішенню для хакерів;
· відсутність нагляду: часто існує неадекватний нагляд за методами безпеки сторонніх постачальників;
· людська помилка: людська помилка співробітників сторонніх постачальників залишається основним фактором порушення безпекових заходів.
Уразливості третьої сторони можуть призвести до значних порушень безпеки на корпоративному рівні, навіть якщо власні інформаційні системи залишаються захищеними.
Для мінімізації таких ризиків критично важливим є глибокий аудит партнерів, зокрема послуга від компанії Сідкон перевірка нерезидентів, що дозволяє виявити приховані загрози ще до підписання контракту.
Поряд з цим, останнім часом спостерігається зростання кількості DDoS-атак, спрямованих на руйнування інфраструктури промислових підприємств і постачальників послуг. За допомогою протизаконних програмних засобів часто одержується доступ до баз даних, автоматизованих систем управління підприємств. Експерти також прогнозують збільшення кількості кіберзагроз для «хмарних» технологій.
Зважаючи, що найближчим часом не менш ніж 30% даних буде зберігатися в «хмарі», обсяг доступної пам’яті кожні чотири роки збільшуватиметься в 10 разів, а кількість злочинів у кіберпросторі щорічно – не менше ніж на 10%, в Україні в умовах обмеженого фінансування та реального зростання кількості кібернетичних атак на ІТ-інфраструктури важливих з точки зору забезпечення національної безпеки юридичних осіб доцільно розробити й надалі втілити на практиці концепції інформаційної безпеки цих юридичних осіб з метою запобігання зазначеним кіберзагрозам.
Водночас найчастіше інциденти з витоком даних відбуваються не навмисне, а через незнання, необережність та недбалість персоналу. Одним із основних джерел витоку інформації є Інтернет. Питома вага внутрішніх загроз на корпоративному рівні прямо свідчить про те, що серйозні зусилля потрібно спрямовувати на запобігання витоку конфіденційної інформації всередині компанії, на підвищення рівня свідомості й обізнаності співробітників.
Як свідчать результати досліджень останніх років, близько 80% збитків матеріальним активам компаній заподіює їх власний персонал. Тільки 20% спроб несанкціонованого проникнення в закриті мережі здійснюється ззовні, а решта 80% випадків спровоковані за участю персоналу компаній.
Топ-менеджери, співробітники, що працюють із чутливою інформацією, ІТ-фахівці завжди будуть у зоні ризику. Вони можуть бути обмануті, вони можуть працювати на конкурента, мати якусь особисту мотивацію або допустити помилку.
Саме тому превентивна перевірка персоналу та менеджменту через послугу Background Check від компанії Сідкон стає обов’язковим інструментом, що дозволяє вчасно ідентифікувати реальні наміри, зв’язки з конкурентами та потенційні зони вразливості ключових співробітників
Часто умовами порушення безпеки бізнес-структури є некомпетентність окремих менеджерів і спеціалістів компанії (банку), їх навмисні дії й бажання окремих працівників особисто збагатитися за рахунок можливостей компанії (банку), у тому числі за рахунок зговору з клієнтурою чи криміналом, а також із потенційними конкурентами.
Співробітники часто мають прямий доступ до конфіденційної інформації компанії. Це спрощує завдання обходити захисні бар’єри й робить цінні для компанії активи вразливими. Доступ до внутрішньої інформації означає, що у співробітників немає необхідності незаконно проникати у мережу крізь зовнішній периметр, вони вже й так перебувають у системі.
Кіберзагрозу також можуть становити програми, навмисно встановлені на комп’ютерах співробітниками, яких звільнили. Поряд з цим, фахівці з інформаційної безпеки констатують, що неуважність компаній до закриття облікових записів та обмеження доступу для колишніх співробітників – це справжня кіберзагроза, іноді навіть більш згубна, ніж втручання сторонніх осіб у внутрішній периметр.
Крадіжка конфіденційної інформації стає можливою завдяки використанню доступу до «хмарних» сховищ та особистих облікових записів електронної пошти. Частина інцидентів може виникнути, коли колишні співробітники намагаються вимагати у свого роботодавця гроші, щоб скасувати зміни або обмеження доступу до веб-сайтів компанії. Змінивши декілька паролів або ж «підправивши» деякі настройки, вони отримують козир, який надає можливість і помститися, і заробити. Частина колишніх співробітників може забрати із собою бази клієнтів, плани, звіти й інші дані для подальшого продажу або використання на новому місці роботи, або ж продовжувати віддалено відвідувати корпоративні ресурси. Ці інциденти інформаційної безпеки можуть коштувати компаніям тисячі й навіть мільйони доларів, залежно від їх масштабів. Серед головних складових втрат бізнесу – вартість украдених даних, витрати з відновлення інформаційної безпеки, створення контрзаходів, на юридичні послуги, а також втрати доходів і/або клієнтів.
Тому найбільшу загрозу у витоку корпоративної інформації передусім становить людський фактор.
Отже, в умовах поширення кіберзагроз у світі кожна компанія повинна бути напоготові та заздалегідь має оцінити кібервразливість, щоб забезпечити корпоративні системи від вчинення кіберінцидентів. Бізнес має виробити надійні стратегії та політику кібербезпеки, що будуть враховувати інформаційні загрози на корпоративному рівні.
Аналітика кіберзагроз, розробка Політики корпоративної безпеки, що містить Стратегію кібербезпеки на корпоративному рівні, необхідні органам державної влади, підприємствам, організаціям, установам, які прагнуть захистити свої цифрові активи та знизити кіберризики у сучасному середовищі загроз. Усвідомлюючи серйозні загрози, пов'язані з кібербезпекою, бізнесу варто ретельно розглядати можливості забезпечення надійного захисту інформаційних ресурсів.
Кібербезпека не є просто питанням виконання технічних захисних заходів. Для протистояння кібератакам бізнесу потрібний комплексний захист основних напрямів реалізації кіберзагроз. Цей комплексний підхід охоплює як технологічні рішення, так і внутрішні політики безпеки, процедури та навички персоналу.
На корпоративному рівні доцільно безперервно оцінювати ризики та ефективно управляти наявними фінансовими й технічними ресурсами відповідно до прийнятих політик безпеки, а також застосовувати ризик-орієнтований підхід до організації та забезпечення корпоративної безпеки.
При цьому слід мати на увазі, що кібербезпека – це не одноразовий захід, а постійний процес, у який потрібно вкладати кошти. Технології швидко змінюються, а отже, кібератаки стають більш витонченими. На це потрібно реагувати – проводити моніторинг кіберзагроз та модифікувати методи кіберзахисту.
Для забезпечення такої безперервності та адаптивності захисту компанія Сідкон пропонує професійну розробку та впровадження комплексної системи Корпоративної безпеки, що дозволяє інтегрувати сучасні методи моніторингу та захисту активів у щоденні бізнес-процеси.
У сучасному світі, де загрози стають все більш інтелектуальними, перемога залишається за тими, хто сприймає безпеку не як обмеження, а як стратегічний фундамент для стабільного розвитку та масштабування бізнесу.
Кібератаки не обмежуються лише державними інституціями чи великими корпораціями: в поле зору хакерів потрапляє й критична інфраструктура, малий та середній бізнес, неурядові організації та комунальні підприємства. Оскільки великі компанії посилюють свій кіберзахист, кіберзлочинці націлюються на менші компанії. Вони менш здатні протистояти наслідкам кібератак. Якщо невелика компанія з неефективним управлінням кіберризиками зазнає значного кіберінциденту, є шанс, що вона може «не вижити» на ринку.
Масовані кібератаки проти державних структур та бізнесу України посилились з початку повномасштабної агресії рф. Кіберзлочинці планують ці атаки, щоб паралізувати роботу стратегічних об'єктів і компаній (банків).
У грудні 2023 р. росіянам вдалось на два дні вимкнути українського мобільного оператора «Київстар». Без зв’язку залишилась половина країни, а сама компанія отримала збитки на мільярди гривень. А на початку 2024 р. хакери атакували в Україні дата-центр «Парковий», що призвело до збою в діяльності «Нафтогазу», «Укрзалізниці», «Укрпошти», а також інформаційної системи «Шлях».
Найчастішим видом кібератак є DDos – перевантаження сайту шляхом мільйонів запитів на секунду. Але більш смертоносними є кібератаки з використанням небезпечного програмного забезпечення Wiper – зараження комп’ютерів вірусом, який здатен знищувати дані. Це може надовго «вимкнути» компанію або організацію, якщо вона не має швидкого доступу до резервних копій. У будь-якому випадку це призводить до збитків.
Відповідно до результатів дослідження страхової компанії Allianz Risk Barometer («Барометр ризиків Allianz»), кіберінциденти вважаються найбільшим корпоративним ризиком у США. Зокрема, у бізнеса викликають занепокоєння витоки даних, кібератаки на критично важливу інфраструктуру чи фізичні активи та посилення атак програм-вимагачів. Так, респонденти Allianz Risk Barometer (59%) вважають витік даних найбільшою загрозою в кіберпросторі, після чого йдуть атаки на критичну інфраструктуру та фізичні активи (53%).
Причина, за якою корпоративні бази даних так часто піддаються злому, полягає в тому, що вони мають ключове значення для будь-якої компанії, оскільки містять конфіденційну ділову інформацію.
Загрози, що виникають на корпоративному рівні через відсутність відповідного захисту інформації, можуть бути звичайними крадіжками даних, шахрайством, а можуть – шпигунством чи кібертероризмом.
При цьому різні кіберзагрози постійно «удосконалюються», оскільки хакери отримують доступ до нових технологій або знаходять нові способи використання старих кіберуразливостей. Хакери починають використовувати мовні моделі на основі штучного інтелекту (ШІ), такі як ChatGPT, щоб збільшити швидкість та обсяг кібератак програм-вимагачів, розробляти нове шкідливе програмне забезпечення та створювати дуже переконливі фішингові електронні листи та діпфейки. Злочинці вивчають способи використання штучного інтелекту для автоматизації та прискорення кібератак, створення ефективніших шкідливих програм і фішингу. Завдяки неймовірній кількості підключених мобільних пристроїв та Інтернету речей (IoT) із підтримкою 5G можливості для кібератак, імовірно, лише збільшаться у майбутньому.
Вище вже наголошувалось, що найбільшою загрозою в кіберпросторі є витік даних (бази даних клієнтів, інформації про контрагентів, інтелектуальної власності).
До типових видів кіберінцидентів, які призводять до витоку даних, відносяться: впровадження шпигунського програмного забезпечення, фішинг, зламані налаштування доступу.
Ризиками витоку особистої/корпоративної інформації є:
1. Крадіжка особистих даних: хакери можуть атакувати інформаційні системи, щоб отримати доступ до особистих даних посадових осіб або власників компанії тощо. Ця інформація може бути використана для шахрайства або шантажу.
2. Витік корпоративної інформації:конкуренти або зловмисники можуть намагатися отримати доступ до конфіденційної інформації компанії, такої як плани розвитку, фінансові дані або технічні розробки. Це може призвести до фінансових втрат, втрати конкурентної переваги або репутаційних проблем.
3. Соціальна інженерія:зловмисники можуть використовувати соціальну інженерію для отримання доступу до конфіденційної інформації, використовуючи маніпуляцію та обман співробітників компанії або інших осіб. Так, основна частка витоку інформації з компаній припадає на злочини, які вчинені за допомогою використання схем соціальної інженерії.
4. Втручання у систему безпеки: зловмисники можуть здійснювати кібератаки на інформаційні системи, щоб внести зміни в дані, викрасти їх або завдати шкоди функціонуванню системи.
При цьому останнім часом у світі зростають витоки даних третіх сторін. Це пов’язано з багатьма загрозами як для компаній, так і для окремих осіб. Можна виділити декілька причин такої тривожної тенденції:
· збільшення взаємозв'язку між бізнес-структурами: більше взаємопов’язаних систем створює більше точок входу для хакерів;
· складні ланцюги поставок: розширюють доступ постачальників до конфіденційних даних, підвищуючи ризики злому;
· недостатні заходи безпеки: стороннім постачальникам часто бракує надійних заходів безпеки, що робить їх легкою мішенню для хакерів;
· відсутність нагляду: часто існує неадекватний нагляд за методами безпеки сторонніх постачальників;
· людська помилка: людська помилка співробітників сторонніх постачальників залишається основним фактором порушення безпекових заходів.
Уразливості третьої сторони можуть призвести до значних порушень безпеки на корпоративному рівні, навіть якщо власні інформаційні системи залишаються захищеними.
Для мінімізації таких ризиків критично важливим є глибокий аудит партнерів, зокрема послуга від компанії Сідкон перевірка нерезидентів, що дозволяє виявити приховані загрози ще до підписання контракту.
Поряд з цим, останнім часом спостерігається зростання кількості DDoS-атак, спрямованих на руйнування інфраструктури промислових підприємств і постачальників послуг. За допомогою протизаконних програмних засобів часто одержується доступ до баз даних, автоматизованих систем управління підприємств. Експерти також прогнозують збільшення кількості кіберзагроз для «хмарних» технологій.
Зважаючи, що найближчим часом не менш ніж 30% даних буде зберігатися в «хмарі», обсяг доступної пам’яті кожні чотири роки збільшуватиметься в 10 разів, а кількість злочинів у кіберпросторі щорічно – не менше ніж на 10%, в Україні в умовах обмеженого фінансування та реального зростання кількості кібернетичних атак на ІТ-інфраструктури важливих з точки зору забезпечення національної безпеки юридичних осіб доцільно розробити й надалі втілити на практиці концепції інформаційної безпеки цих юридичних осіб з метою запобігання зазначеним кіберзагрозам.
Водночас найчастіше інциденти з витоком даних відбуваються не навмисне, а через незнання, необережність та недбалість персоналу. Одним із основних джерел витоку інформації є Інтернет. Питома вага внутрішніх загроз на корпоративному рівні прямо свідчить про те, що серйозні зусилля потрібно спрямовувати на запобігання витоку конфіденційної інформації всередині компанії, на підвищення рівня свідомості й обізнаності співробітників.
Як свідчать результати досліджень останніх років, близько 80% збитків матеріальним активам компаній заподіює їх власний персонал. Тільки 20% спроб несанкціонованого проникнення в закриті мережі здійснюється ззовні, а решта 80% випадків спровоковані за участю персоналу компаній.
Топ-менеджери, співробітники, що працюють із чутливою інформацією, ІТ-фахівці завжди будуть у зоні ризику. Вони можуть бути обмануті, вони можуть працювати на конкурента, мати якусь особисту мотивацію або допустити помилку.
Саме тому превентивна перевірка персоналу та менеджменту через послугу Background Check від компанії Сідкон стає обов’язковим інструментом, що дозволяє вчасно ідентифікувати реальні наміри, зв’язки з конкурентами та потенційні зони вразливості ключових співробітників
Часто умовами порушення безпеки бізнес-структури є некомпетентність окремих менеджерів і спеціалістів компанії (банку), їх навмисні дії й бажання окремих працівників особисто збагатитися за рахунок можливостей компанії (банку), у тому числі за рахунок зговору з клієнтурою чи криміналом, а також із потенційними конкурентами.
Співробітники часто мають прямий доступ до конфіденційної інформації компанії. Це спрощує завдання обходити захисні бар’єри й робить цінні для компанії активи вразливими. Доступ до внутрішньої інформації означає, що у співробітників немає необхідності незаконно проникати у мережу крізь зовнішній периметр, вони вже й так перебувають у системі.
Кіберзагрозу також можуть становити програми, навмисно встановлені на комп’ютерах співробітниками, яких звільнили. Поряд з цим, фахівці з інформаційної безпеки констатують, що неуважність компаній до закриття облікових записів та обмеження доступу для колишніх співробітників – це справжня кіберзагроза, іноді навіть більш згубна, ніж втручання сторонніх осіб у внутрішній периметр.
Крадіжка конфіденційної інформації стає можливою завдяки використанню доступу до «хмарних» сховищ та особистих облікових записів електронної пошти. Частина інцидентів може виникнути, коли колишні співробітники намагаються вимагати у свого роботодавця гроші, щоб скасувати зміни або обмеження доступу до веб-сайтів компанії. Змінивши декілька паролів або ж «підправивши» деякі настройки, вони отримують козир, який надає можливість і помститися, і заробити. Частина колишніх співробітників може забрати із собою бази клієнтів, плани, звіти й інші дані для подальшого продажу або використання на новому місці роботи, або ж продовжувати віддалено відвідувати корпоративні ресурси. Ці інциденти інформаційної безпеки можуть коштувати компаніям тисячі й навіть мільйони доларів, залежно від їх масштабів. Серед головних складових втрат бізнесу – вартість украдених даних, витрати з відновлення інформаційної безпеки, створення контрзаходів, на юридичні послуги, а також втрати доходів і/або клієнтів.
Тому найбільшу загрозу у витоку корпоративної інформації передусім становить людський фактор.
Отже, в умовах поширення кіберзагроз у світі кожна компанія повинна бути напоготові та заздалегідь має оцінити кібервразливість, щоб забезпечити корпоративні системи від вчинення кіберінцидентів. Бізнес має виробити надійні стратегії та політику кібербезпеки, що будуть враховувати інформаційні загрози на корпоративному рівні.
Аналітика кіберзагроз, розробка Політики корпоративної безпеки, що містить Стратегію кібербезпеки на корпоративному рівні, необхідні органам державної влади, підприємствам, організаціям, установам, які прагнуть захистити свої цифрові активи та знизити кіберризики у сучасному середовищі загроз. Усвідомлюючи серйозні загрози, пов'язані з кібербезпекою, бізнесу варто ретельно розглядати можливості забезпечення надійного захисту інформаційних ресурсів.
Кібербезпека не є просто питанням виконання технічних захисних заходів. Для протистояння кібератакам бізнесу потрібний комплексний захист основних напрямів реалізації кіберзагроз. Цей комплексний підхід охоплює як технологічні рішення, так і внутрішні політики безпеки, процедури та навички персоналу.
На корпоративному рівні доцільно безперервно оцінювати ризики та ефективно управляти наявними фінансовими й технічними ресурсами відповідно до прийнятих політик безпеки, а також застосовувати ризик-орієнтований підхід до організації та забезпечення корпоративної безпеки.
При цьому слід мати на увазі, що кібербезпека – це не одноразовий захід, а постійний процес, у який потрібно вкладати кошти. Технології швидко змінюються, а отже, кібератаки стають більш витонченими. На це потрібно реагувати – проводити моніторинг кіберзагроз та модифікувати методи кіберзахисту.
Для забезпечення такої безперервності та адаптивності захисту компанія Сідкон пропонує професійну розробку та впровадження комплексної системи Корпоративної безпеки, що дозволяє інтегрувати сучасні методи моніторингу та захисту активів у щоденні бізнес-процеси.
У сучасному світі, де загрози стають все більш інтелектуальними, перемога залишається за тими, хто сприймає безпеку не як обмеження, а як стратегічний фундамент для стабільного розвитку та масштабування бізнесу.