Ідентифікація загроз безпеці компаній і банків є початковим етапом розроблення заходів з управління ризиками та побудови ефективної системи безпеки на корпоративному рівні. На сучасному етапі кожна компанія або банківська установа повинна займатися систематичним виявленням і класифікацією загроз, а також оцінюванням їх суттєвості. У результаті формується перелік значущих (істотних) загроз, для кожного банку або компанії він свій і залежить від багатьох факторів. Спробуємо систематизувати сучасні загрози безпеці компаній і банків в Україні в умовах мінливого зовнішнього середовища.
Передусім інформаційні загрози на корпоративному рівні проявляються через кібертероризм, кібератаки, кібершпигунство, зловживання доступом, витік ділової інформації.
Масовані кібератаки проти державних структур та бізнесу України посилились з початку повномасштабної агресії рф. Кіберзлочинці планують ці атаки, щоб паралізувати роботу стратегічних об'єктів і компаній (банків).
У грудні 2023 р. росіянам вдалось на два дні вимкнути українського мобільного оператора «Київстар». Без зв’язку залишилась половина країни, а сама компанія отримала збитки на мільярди гривень. А на початку 2024 р. хакери атакували в Україні дата-центр «Парковий», що призвело до збою в діяльності «Нафтогазу», «Укрзалізниці», «Укрпошти», а також інформаційної системи «Шлях».
Найчастішим видом кібератак є DDos – перевантаження сайту шляхом мільйонів запитів на секунду. Але більш смертоносними є кібератаки з використанням небезпечного програмного забезпечення Wiper – зараження комп’ютерів вірусом, який здатен знищувати дані. Це може надовго «вимкнути» компанію або організацію, якщо вона не має швидкого доступу до резервних копій. У будь-якому випадку це призводить до збитків.
При цьому різні кіберзагрози постійно «удосконалюються», оскільки хакери отримують доступ до нових технологій або знаходять нові способи використання старих кіберуразливостей. Хакери починають використовувати мовні моделі на основі штучного інтелекту (ШІ), такі як ChatGPT, щоб збільшити швидкість та обсяг кібератак програм-вимагачів, розробляти нове шкідливе програмне забезпечення та створювати дуже переконливі фішингові електронні листи та діпфейки. Злочинці вивчають способи використання штучного інтелекту для автоматизації та прискорення кібератак, створення ефективніших шкідливих програм і фішингу. Завдяки неймовірній кількості підключених мобільних пристроїв та Інтернету речей (IoT) із підтримкою 5G можливості для кібератак, імовірно, лише збільшаться у майбутньому.
До типових видів кіберінцидентів, які призводять до витоку даних, відносяться: впровадження шпигунського програмного забезпечення, фішинг, зламані налаштування доступу.
Ризиками витоку особистої/корпоративної інформації є:
1. Крадіжка особистих даних: хакери можуть атакувати інформаційні системи, щоб отримати доступ до особистих даних посадових осіб або власників компанії тощо. Ця інформація може бути використана для шахрайства або шантажу.
2. Витік корпоративної інформації: конкуренти або зловмисники можуть намагатися отримати доступ до конфіденційної інформації компанії, такої як плани розвитку, фінансові дані або технічні розробки. Це може призвести до фінансових втрат, втрати конкурентної переваги або репутаційних проблем.
3. Соціальна інженерія: зловмисники можуть використовувати соціальну інженерію для отримання доступу до конфіденційної інформації, використовуючи маніпуляцію та обман співробітників компанії або інших осіб. Так, основна частка витоку інформації з компаній припадає на злочини, які вчинені за допомогою використання схем соціальної інженерії.
4. Втручання у систему безпеки: зловмисники можуть здійснювати кібератаки на інформаційні системи, щоб внести зміни в дані, викрасти їх або завдати шкоди функціонуванню системи.
При цьому останнім часом у світі зростають витоки даних третіх сторін. Це пов’язано з багатьма загрозами як для компаній, так і для окремих осіб. Можна виділити декілька причин такої тривожної тенденції:
· збільшення взаємозв'язку між бізнес-структурами: більше взаємопов’язаних систем створює більше точок входу для хакерів;
· складні ланцюги поставок: розширюють доступ постачальників до конфіденційних даних, підвищуючи ризики злому;
· недостатні заходи безпеки: стороннім постачальникам часто бракує надійних заходів безпеки, що робить їх легкою мішенню для хакерів;
· відсутність нагляду: часто існує неадекватний нагляд за методами безпеки сторонніх постачальників;
· людська помилка: людська помилка співробітників сторонніх постачальників залишається основним фактором порушення безпекових заходів.
Поряд з цим, останнім часом спостерігається зростання кількості DDoS-атак, спрямованих на руйнування інфраструктури промислових підприємств і постачальників послуг. За допомогою протизаконних програмних засобів часто одержується доступ до баз даних, автоматизованих систем управління підприємств. Експерти також прогнозують збільшення кількості кіберзагроз для «хмарних» технологій.
Зважаючи, що найближчим часом не менш ніж 30% даних буде зберігатися в «хмарі», обсяг доступної пам’яті кожні чотири роки збільшуватиметься в 10 разів, а кількість злочинів у кіберпросторі щорічно – не менше ніж на 10%, в Україні в умовах обмеженого фінансування та реального зростання кількості кібернетичних атак на ІТ-інфраструктури важливих з точки зору забезпечення національної безпеки юридичних осіб доцільно розробити й надалі втілити на практиці концепції інформаційної безпеки цих юридичних осіб з метою запобігання зазначеним кіберзагрозам.
Водночас найчастіше інциденти з витоком даних відбуваються не навмисне, а через незнання, необережність та недбалість персоналу. Одним із основних джерел витоку інформації є Інтернет. Питома вага внутрішніх загроз на корпоративному рівні прямо свідчить про те, що серйозні зусилля потрібно спрямовувати на запобігання витоку конфіденційної інформації всередині компанії, на підвищення рівня свідомості й обізнаності співробітників.
Як свідчать результати досліджень останніх років, близько 80% збитків матеріальним активам компаній заподіює їх власний персонал. Тільки 20% спроб несанкціонованого проникнення в закриті мережі здійснюється ззовні, а решта 80% випадків спровоковані за участю персоналу компаній.
Топ-менеджери, співробітники, що працюють із чутливою інформацією, ІТ-фахівці завжди будуть у зоні ризику. Вони можуть бути обмануті, вони можуть працювати на конкурента, мати якусь особисту мотивацію або допустити помилку.
Часто умовами порушення безпеки бізнес-структури є некомпетентність окремих менеджерів і спеціалістів компанії (банку), їх навмисні дії й бажання окремих працівників особисто збагатитися за рахунок можливостей компанії (банку), у тому числі за рахунок зговору з клієнтурою чи криміналом, а також із потенційними конкурентами.
Співробітники часто мають прямий доступ до конфіденційної інформації компанії. Це спрощує завдання обходити захисні бар’єри й робить цінні для компанії активи вразливими. Доступ до внутрішньої інформації означає, що у співробітників немає необхідності незаконно проникати у мережу крізь зовнішній периметр, вони вже й так перебувають у системі.
Кіберзагрозу також можуть становити програми, навмисно встановлені на комп’ютерах співробітниками, яких звільнили. Поряд з цим, фахівці з інформаційної безпеки констатують, що неуважність компаній до закриття облікових записів та обмеження доступу для колишніх співробітників – це справжня кіберзагроза, іноді навіть більш згубна, ніж втручання сторонніх осіб у внутрішній периметр. Тому найбільшу загрозу у витоку корпоративної інформації передусім становить людський фактор.
Отже, в умовах поширення кіберзагроз у світі кожна компанія повинна бути напоготові та заздалегідь має оцінити кібервразливість, щоб забезпечити корпоративні системи від вчинення кіберінцидентів. Бізнес має виробити надійні стратегії та політику кібербезпеки, що будуть враховувати інформаційні загрози на корпоративному рівні.
Аналітика кіберзагроз, розробка Політики корпоративної безпеки, що містить Стратегію кібербезпеки на корпоративному рівні, необхідні органам державної влади, підприємствам, організаціям, установам, які прагнуть захистити свої цифрові активи та знизити кіберризики у сучасному середовищі загроз. Усвідомлюючи серйозні загрози, пов'язані з кібербезпекою, бізнесу варто ретельно розглядати можливості забезпечення надійного захисту інформаційних ресурсів.
Кібербезпека не є просто питанням виконання технічних захисних заходів. Для протистояння кібератакам бізнесу потрібний комплексний захист основних напрямів реалізації кіберзагроз. Цей комплексний підхід охоплює як технологічні рішення, так і внутрішні політики безпеки, процедури та навички персоналу.
На корпоративному рівні доцільно безперервно оцінювати ризики та ефективно управляти наявними фінансовими й технічними ресурсами відповідно до прийнятих політик безпеки, а також застосовувати ризик-орієнтований підхід до організації та забезпечення корпоративної безпеки.
При цьому слід мати на увазі, що кібербезпека – це не одноразовий захід, а постійний процес, у який потрібно вкладати кошти. Технології швидко змінюються, а отже, кібератаки стають більш витонченими. На це потрібно реагувати – проводити моніторинг кіберзагроз та модифікувати методи кіберзахисту.
Детальніше розкриття проблем безпекової політики, управління загрозами корпоративній безпеці та стратегій протидії представлено у книзі Сідкон «Безпекова політика у сучасному світі».
Це видання має цінність не лише для фахівців корпоративного сектору, а передусім для тих, хто формує політику безпеки на державному та міждержавному рівнях. Книга пропонує аналітичний погляд на взаємозв’язок економічної, інформаційної та політичної безпеки, що робить її важливим джерелом для розробників національних стратегій, експертів із кібер- та економічної безпеки, а також управлінців, відповідальних за реалізацію безпекової політики у сучасному світі.
Передусім інформаційні загрози на корпоративному рівні проявляються через кібертероризм, кібератаки, кібершпигунство, зловживання доступом, витік ділової інформації.
Масовані кібератаки проти державних структур та бізнесу України посилились з початку повномасштабної агресії рф. Кіберзлочинці планують ці атаки, щоб паралізувати роботу стратегічних об'єктів і компаній (банків).
У грудні 2023 р. росіянам вдалось на два дні вимкнути українського мобільного оператора «Київстар». Без зв’язку залишилась половина країни, а сама компанія отримала збитки на мільярди гривень. А на початку 2024 р. хакери атакували в Україні дата-центр «Парковий», що призвело до збою в діяльності «Нафтогазу», «Укрзалізниці», «Укрпошти», а також інформаційної системи «Шлях».
Найчастішим видом кібератак є DDos – перевантаження сайту шляхом мільйонів запитів на секунду. Але більш смертоносними є кібератаки з використанням небезпечного програмного забезпечення Wiper – зараження комп’ютерів вірусом, який здатен знищувати дані. Це може надовго «вимкнути» компанію або організацію, якщо вона не має швидкого доступу до резервних копій. У будь-якому випадку це призводить до збитків.
При цьому різні кіберзагрози постійно «удосконалюються», оскільки хакери отримують доступ до нових технологій або знаходять нові способи використання старих кіберуразливостей. Хакери починають використовувати мовні моделі на основі штучного інтелекту (ШІ), такі як ChatGPT, щоб збільшити швидкість та обсяг кібератак програм-вимагачів, розробляти нове шкідливе програмне забезпечення та створювати дуже переконливі фішингові електронні листи та діпфейки. Злочинці вивчають способи використання штучного інтелекту для автоматизації та прискорення кібератак, створення ефективніших шкідливих програм і фішингу. Завдяки неймовірній кількості підключених мобільних пристроїв та Інтернету речей (IoT) із підтримкою 5G можливості для кібератак, імовірно, лише збільшаться у майбутньому.
До типових видів кіберінцидентів, які призводять до витоку даних, відносяться: впровадження шпигунського програмного забезпечення, фішинг, зламані налаштування доступу.
Ризиками витоку особистої/корпоративної інформації є:
1. Крадіжка особистих даних: хакери можуть атакувати інформаційні системи, щоб отримати доступ до особистих даних посадових осіб або власників компанії тощо. Ця інформація може бути використана для шахрайства або шантажу.
2. Витік корпоративної інформації: конкуренти або зловмисники можуть намагатися отримати доступ до конфіденційної інформації компанії, такої як плани розвитку, фінансові дані або технічні розробки. Це може призвести до фінансових втрат, втрати конкурентної переваги або репутаційних проблем.
3. Соціальна інженерія: зловмисники можуть використовувати соціальну інженерію для отримання доступу до конфіденційної інформації, використовуючи маніпуляцію та обман співробітників компанії або інших осіб. Так, основна частка витоку інформації з компаній припадає на злочини, які вчинені за допомогою використання схем соціальної інженерії.
4. Втручання у систему безпеки: зловмисники можуть здійснювати кібератаки на інформаційні системи, щоб внести зміни в дані, викрасти їх або завдати шкоди функціонуванню системи.
При цьому останнім часом у світі зростають витоки даних третіх сторін. Це пов’язано з багатьма загрозами як для компаній, так і для окремих осіб. Можна виділити декілька причин такої тривожної тенденції:
· збільшення взаємозв'язку між бізнес-структурами: більше взаємопов’язаних систем створює більше точок входу для хакерів;
· складні ланцюги поставок: розширюють доступ постачальників до конфіденційних даних, підвищуючи ризики злому;
· недостатні заходи безпеки: стороннім постачальникам часто бракує надійних заходів безпеки, що робить їх легкою мішенню для хакерів;
· відсутність нагляду: часто існує неадекватний нагляд за методами безпеки сторонніх постачальників;
· людська помилка: людська помилка співробітників сторонніх постачальників залишається основним фактором порушення безпекових заходів.
Поряд з цим, останнім часом спостерігається зростання кількості DDoS-атак, спрямованих на руйнування інфраструктури промислових підприємств і постачальників послуг. За допомогою протизаконних програмних засобів часто одержується доступ до баз даних, автоматизованих систем управління підприємств. Експерти також прогнозують збільшення кількості кіберзагроз для «хмарних» технологій.
Зважаючи, що найближчим часом не менш ніж 30% даних буде зберігатися в «хмарі», обсяг доступної пам’яті кожні чотири роки збільшуватиметься в 10 разів, а кількість злочинів у кіберпросторі щорічно – не менше ніж на 10%, в Україні в умовах обмеженого фінансування та реального зростання кількості кібернетичних атак на ІТ-інфраструктури важливих з точки зору забезпечення національної безпеки юридичних осіб доцільно розробити й надалі втілити на практиці концепції інформаційної безпеки цих юридичних осіб з метою запобігання зазначеним кіберзагрозам.
Водночас найчастіше інциденти з витоком даних відбуваються не навмисне, а через незнання, необережність та недбалість персоналу. Одним із основних джерел витоку інформації є Інтернет. Питома вага внутрішніх загроз на корпоративному рівні прямо свідчить про те, що серйозні зусилля потрібно спрямовувати на запобігання витоку конфіденційної інформації всередині компанії, на підвищення рівня свідомості й обізнаності співробітників.
Як свідчать результати досліджень останніх років, близько 80% збитків матеріальним активам компаній заподіює їх власний персонал. Тільки 20% спроб несанкціонованого проникнення в закриті мережі здійснюється ззовні, а решта 80% випадків спровоковані за участю персоналу компаній.
Топ-менеджери, співробітники, що працюють із чутливою інформацією, ІТ-фахівці завжди будуть у зоні ризику. Вони можуть бути обмануті, вони можуть працювати на конкурента, мати якусь особисту мотивацію або допустити помилку.
Часто умовами порушення безпеки бізнес-структури є некомпетентність окремих менеджерів і спеціалістів компанії (банку), їх навмисні дії й бажання окремих працівників особисто збагатитися за рахунок можливостей компанії (банку), у тому числі за рахунок зговору з клієнтурою чи криміналом, а також із потенційними конкурентами.
Співробітники часто мають прямий доступ до конфіденційної інформації компанії. Це спрощує завдання обходити захисні бар’єри й робить цінні для компанії активи вразливими. Доступ до внутрішньої інформації означає, що у співробітників немає необхідності незаконно проникати у мережу крізь зовнішній периметр, вони вже й так перебувають у системі.
Кіберзагрозу також можуть становити програми, навмисно встановлені на комп’ютерах співробітниками, яких звільнили. Поряд з цим, фахівці з інформаційної безпеки констатують, що неуважність компаній до закриття облікових записів та обмеження доступу для колишніх співробітників – це справжня кіберзагроза, іноді навіть більш згубна, ніж втручання сторонніх осіб у внутрішній периметр. Тому найбільшу загрозу у витоку корпоративної інформації передусім становить людський фактор.
Отже, в умовах поширення кіберзагроз у світі кожна компанія повинна бути напоготові та заздалегідь має оцінити кібервразливість, щоб забезпечити корпоративні системи від вчинення кіберінцидентів. Бізнес має виробити надійні стратегії та політику кібербезпеки, що будуть враховувати інформаційні загрози на корпоративному рівні.
Аналітика кіберзагроз, розробка Політики корпоративної безпеки, що містить Стратегію кібербезпеки на корпоративному рівні, необхідні органам державної влади, підприємствам, організаціям, установам, які прагнуть захистити свої цифрові активи та знизити кіберризики у сучасному середовищі загроз. Усвідомлюючи серйозні загрози, пов'язані з кібербезпекою, бізнесу варто ретельно розглядати можливості забезпечення надійного захисту інформаційних ресурсів.
Кібербезпека не є просто питанням виконання технічних захисних заходів. Для протистояння кібератакам бізнесу потрібний комплексний захист основних напрямів реалізації кіберзагроз. Цей комплексний підхід охоплює як технологічні рішення, так і внутрішні політики безпеки, процедури та навички персоналу.
На корпоративному рівні доцільно безперервно оцінювати ризики та ефективно управляти наявними фінансовими й технічними ресурсами відповідно до прийнятих політик безпеки, а також застосовувати ризик-орієнтований підхід до організації та забезпечення корпоративної безпеки.
При цьому слід мати на увазі, що кібербезпека – це не одноразовий захід, а постійний процес, у який потрібно вкладати кошти. Технології швидко змінюються, а отже, кібератаки стають більш витонченими. На це потрібно реагувати – проводити моніторинг кіберзагроз та модифікувати методи кіберзахисту.
Детальніше розкриття проблем безпекової політики, управління загрозами корпоративній безпеці та стратегій протидії представлено у книзі Сідкон «Безпекова політика у сучасному світі».
Це видання має цінність не лише для фахівців корпоративного сектору, а передусім для тих, хто формує політику безпеки на державному та міждержавному рівнях. Книга пропонує аналітичний погляд на взаємозв’язок економічної, інформаційної та політичної безпеки, що робить її важливим джерелом для розробників національних стратегій, експертів із кібер- та економічної безпеки, а також управлінців, відповідальних за реалізацію безпекової політики у сучасному світі.