От бэкапа до мощной системы мониторинга: что используют компании для защиты данных

Интеллектуальная собственность, персональные данные сотрудников или клиентов, финансовые документы — никогда не знаешь, какая именно внутренняя информация заинтересует киберпреступников. Причём растёт доля атак на малый и средний бизнес: по данным на май 2023 года, она составляет уже 20%. В 2023 году наибольшему числу атак подверглись промышленные предприятия, компании из сфер транспорта, IT и финансов.

Утечка данных влечёт за собой не только потерю денег из-за вынужденного простоя и необходимости быстро устранить угрозы. Инцидент чреват репутационными потерями, если преступники получат доступ к данным клиентов или партнёров.

Расскажем о пяти популярных способах усилить кибербезопасность внутри компании. Хотя, конечно, их намного больше. Бизнес сам оценивает уровень риска и решает, какие технологии использовать.

В случае кибератаки данные могут стереть или зашифровать — компания потеряет к ним доступ. Чтобы этого не произошло, следуйте системе «3-2-1». Она подразумевает создание сразу трёх копий — например, на локальном внешнем диске, удалённом выделенном сервере и в облачном хранилище.

Полагаться только на «облако» не стоит. Так, в США в 2019 году вирус атаковал сервис облачного хранения DDS Safe. Его услугами пользовались стоматологические клиники. В результате файлы 400 клиник, в том числе медицинские карты пациентов, оказались зашифрованы преступниками с целью вымогательства. Поэтому бэкапы на физических носителях по-прежнему актуальны.

Наиболее эффективно автоматическое резервное копирование. Достаточно настроить расписание — и программа будет создавать копии с указанным интервалом. Периодичность зависит от того, как часто данные обновляются и насколько критична их утеря. Если для лендинга достаточно одного бэкапа в месяц, то базу данных с информацией о заказах и остатках на складе разумно копировать хотя бы раз в час.

Желательно не удалять предыдущие копии сразу, а хранить их какое-то. Например, сотрудник случайно меняет цифры в отчёте, и это обнаруживают лишь спустя месяц. Резервное копирование было две недели назад. Если предыдущая копия удалена, скорее всего, восстановить отчёт с корректными цифрами уже не получится.

В ходе шифрования софт преобразует данные в символы, которые невозможно прочесть без криптографического ключа. Зашифровать можно практически всё: документы, пароли, сообщения, которыми обмениваются сотрудники. Даже если данные попадут в руки преступников, они не смогут их расшифровать и использовать в своих целях. Теоретически можно взломать ключ методом подбора, но у подавляющего большинства злоумышленников нет таких вычислительных ресурсов.

Сотрудники получают доступ к закодированной информации только после авторизации в системе. Уровень безопасности можно повысить, если добавить к вводу пароля необходимость подключить аппаратный ключ. Он выглядит как обычный USB-накопитель, но отличается тем, что содержит файл ключа для расшифровки данных. По сути, получается усиленная двухфакторная аутентификация.

Сигнатурные антивирусы уже не могут в полной мере обеспечить безопасность: они борются только с известными угрозами, информация о которых есть в базе данных. Система остаётся уязвимой для новейших вредоносных программ.

Проблему решают несигнатурные антивирусы. Анализируя код и поведение программ, они сравнивают его с признаками уже известных вирусов — и в результате определяют, является ли программа безопасной. Алгоритм основан на технологии машинного обучения.

Для максимальной защиты предприятия используйте корпоративные решения, которые объединяют функционал сигнатурных и несигнатурных антивирусов. Такие продукты есть у популярных на рынке разработчиков.

Помните, что антивирусы позволяют подключить дополнительные полезные опции — например, централизованный запрет на использование флешек через центр управления.

Если антивирус защищает от вредоносных программ, которые уже попали в корпоративную сеть, межсетевой экран блокирует движение подозрительного трафика и не даёт угрозам проникнуть в сеть компании. Межсетевой экран ещё называют файерволом или брандмауэром. Его функция — отделять локальную сеть от внешней, фильтруя трафик.

Экран анализирует как входящий, так и исходящий трафик. С его помощью можно не только защититься от угроз извне, но и предотвратить передачу конфиденциальной информации из сети компании, ограничив отправку писем. Межсетевой экран также устанавливают для защиты устройств в критически важных для предприятия отделах — например, в бухгалтерии или отделе исследований и разработок.

Сейчас злоумышленники всё чаще атакуют не сеть, а конечные точки: серверы, ноутбуки, смартфоны и даже умные колонки. Особую угрозу представляют бесфайловые атаки. Вредоносные программы не попадают на жёсткий диск в виде файлов — они умело маскируются и встраиваются в программный код. Такая программа может встроиться в приложение, которому пользователь доверяет. Обнаружить её с помощью антивируса сложно.

Одно из средств защиты — EDR-система. Аббревиатура расшифровывается как «endpoint detection & response». Система состоит из агентов, которые устанавливают на отдельные устройства, и сервера. В отличие от антивируса, EDR сканирует не один компьютер, а всю инфраструктуру: следит за поведением пользователей, запущенными программами, сетевой активностью. Как только в одной из точек обнаруживаются признаки взлома, система предотвращает распространение атаки за пределы устройства, устраняет угрозу и запускает восстановление до безопасных параметров.

В основе EDR — технологии искусственного интеллекта. IBM Security поделились результатами исследования: именно ИИ помог компаниям на 108 дней раньше выявить утечку данных и сэкономить в среднем 1,76 млн $. Сравнение провели с компаниями, которые не использовали алгоритмы ИИ в системе безопасности.

Любой инцидент с утечкой или уничтожением данных — это убытки. Приходится приостанавливать работу, платить компенсацию пострадавшим клиентам, восстанавливать информацию, а иногда и всю систему — не говоря уже о том, что преступники могут похитить деньги со счетов. Поэтому компаниям, работающим с большим объёмом конфиденциальных данных, полезно заключить договор со страховой компанией. Например, у «Ингосстраха» есть программа «Кибер-Инго».

Напоследок напомним про человеческий фактор. Часто утечки данных происходят по вине персонала — из-за ошибок или целенаправленных действий. Предоставляйте доступ к критически важным данным только узкому кругу лиц. Если устройством пользуются несколько сотрудников, убедитесь, что у каждого есть своя учётная запись. И проводите тренинги по информационной безопасности: если сотрудник знает, как распознать фишинг или настроить двухфакторную аутентификацию, ваш бизнес подвержен меньшим рискам.