Константин Абзац – Стартап в области кибербезопасности для малого бизнеса (страница 3)

В мире цифр это работает так: вам звонит «сисадмин» и взволнованным голосом сообщает, что на сервере пожар и нужно срочно сменить пароль, иначе все пропадет. Он просит продиктовать старый пароль, чтобы убедиться, что новый не совпадает. И вы диктуете. Почему? Потому что голос уверенный, потому что паника, потому что хочется помочь. Это называется атакой на человеческий фактор.

Самый обидный вид уязвимости – это когда все технические средства защиты есть, они работают, но дверь открывает тот, кому доверили ключи. Хакеры знают, что гораздо легче обмануть человека, чем взломать сложный алгоритм шифрования. Они играют на нашем желании быть вежливыми, на страхе перед начальством или на жадности («Вы выиграли приз, только подтвердите данные карты»).

Здесь важно понять одну вещь: вы можете купить самый дорогой фаервол и поставить несгораемые сейфы для серверов, но если ваш главный бухгалтер переведет миллион рублей по просьбе «директора», присланной в мессенджере с левого номера, все эти сейфы окажутся бесполезны. Уязвимость – это не дыра в коде, это дыра в голове. И пока мы не научимся критически мыслить и проверять каждый подозрительный звонок или письмо, никакие программы нас не спасут.

Оглянитесь вокруг. Есть ли у вас в компании правило: «Никогда и никому не сообщай свой пароль, даже если этот человек представился президентом компании»? А правило: «Перепроверять любые просьбы о переводе денег по телефону, даже если они пришли от знакомого аккаунта в мессенджере»? Если нет, то вы только что нашли свою самую главную брешь. И она сидит сейчас за соседним столом и пьет кофе, даже не подозревая, что является целью номер один для киберпреступников.

Главные мифы о защите: «Я слишком мал, чтобы меня взломали»

Когда я начинал свой первый бизнес – небольшую кофейню, – безопасность меня волновала меньше всего. Я переживал, что скиснут сливки, что сломается кофемашина или придет проверка из налоговой. А то, что какой-то хакер из подвала захочет взломать мой старый ноутбук с рецептами сиропов и графиком уборки, казалось таким же бредом, как нашествие инопланетян. И знаете что? Это была классическая ловушка мышления, в которую попадают почти все владельцы малого бизнеса. Мы сами убеждаем себя в том, что наша «песочница» никому не нужна. Давайте разберем самые популярные мифы о защите, которые на самом деле работают против нас.

Миф первый: «Кому нужны мои данные?»

Это самый живучий и опасный миф. Нам кажется, что данные – это только номера кредиток, гостайна или переписка президентов. Но для хакера ваша бухгалтерская база, список клиентов или доступ к корпоративной почте – это инструмент заработка. Хакеры не охотятся лично за вами. Они запускают автоматических ботов, которые сканируют интернет в поисках любой уязвимой дыры. Для них ваш бизнес – не личность, а просто винтик в огромной сети. Если компьютер или сервер плохо защищен, бот это заметит и положит в копилку. Потом эту дыру продадут тому, кто захочет отправить спам с вашего сервера или устроить атаку на крупный портал, используя ваш роутер как часть армии зомби-машин. Так что вопрос не в ценности именно ваших данных, а в ценности доступа к ресурсам вашего компьютера. Вспомните, оставляете ли вы ключи в двери своей квартиры, рассуждая, что вор все равно не захочет подниматься на пятый этаж? Вот и с цифровыми ключами та же история.

Миф второй: «У меня стоит антивирус, я защищен»

Да, антивирус – это хорошо. Это как замок на двери. Но представьте, что вы закрыли дверь на хлипкий замок, а ключ положили под коврик. Или открыли окно и ушли. Антивирус ловит то, что уже известно и занесено в базы. Но сегодняшние атаки становятся все более хитрыми. Хакеры не ломятся в дверь с криком «Вирус!», они приходят под видом курьера, которому нужно оплатить доставку. Это называется фишинг. Вы сами, своими руками, запускаете вредоносную программу, открыв письмо от «банка» или скачав прайс от «поставщика». Антивирус может это не заметить, потому что программа новая и еще не изучена. Кроме того, даже самый лучший антивирус бессилен, если вы используете пароль qwerty123 на всех аккаунтах. Техника – это лишь часть защиты. Другая часть – это ваше поведение и настройки.

Миф третий: «У меня маленькая фирма, на меня никто не нападет специально»

И снова мимо цели. Чаще всего атаки не целевые. Представьте себе рыбака, который закидывает огромный невод в море. Он не целится в конкретную рыбу, он хочет поймать как можно больше всего, что попадется. Так же работают и большинство современных киберпреступников. Они рассылают тысячи фишинговых писем или ищут уязвимости в типовых решениях, которые используют все: от гигантов до маленькой парикмахерской. Если в типовой программе для записи клиентов или в популярной CRM обнаружилась дыра, хакер взломает всех, кто вовремя не поставил заплатку. Вы просто окажетесь в этом неводе не потому, что вы особенный, а потому, что были там, где проходила атака. Это как эпидемия гриппа: вирусу все равно, какой у вас статус, главное, что вы не привиты и ходите без маски.

Миф четвертый: «Если меня взломают, я просто все восстановлю с бэкапа»

Резервное копирование – это святое, и мы обязательно поговорим о нем в следующих главах. Но миф заключается в уверенности, что бэкап решит все проблемы. А теперь подумайте: где хранится ваш бэкап? На том же компьютере, на той же флешке, что подключена к серверу? Если вирус-шифровальщик проникнет в систему, он зашифрует не только рабочие файлы, но и все диски, которые сможет достать, включая вашу драгоценную резервную копию. Второй момент: даже если бэкап в сохранности, сколько времени уйдет на восстановление? День? Два? А что будут делать ваши сотрудники? А клиенты, которые не могут получить заказ? А репутация, которая рухнет, когда вы скажете: «Извините, нас взломали, приходите через недельку». Восстановление данных – это процесс, а не волшебная кнопка. И без подготовленного плана он превратится в хаос.

Миф пятый: «Мы маленькие, и хакеры о нас не знают»

В эпоху интернета понятия «маленький» и «незаметный» почти исчезли. Ваш сайт, ваши страницы в соцсетях, ваши объявления – всё это видно. Хакеры используют поисковики точно так же, как и вы. Они могут искать уязвимые сайты на определенном движке или компании, использующие конкретное бухгалтерское ПО. Анонимности в сети больше нет. Вас видно. И если вы не светитесь как крупный игрок, то светитесь как легкая добыча. Знаете, что говорят профессиональные взломщики квартир? Им не нужно лезть в сейф банка, проще обчистить десять дач, где хозяева уверены, что «кому мы нужны в этой глуши». Вот и здесь тот же принцип. Ощущение, что вы в глуши, – это иллюзия.

Подумайте сейчас о своем бизнесе или даже о своем домашнем компьютере. Сколько из этих мифов вы ловили себя на мысли? «Да кому нужны мои фотки котиков?», «У меня пароль сложный, 8 символов», «Я же ничего такого не делаю в интернете». Проблема в том, что злоумышленникам не нужно, чтобы вы делали что-то такое. Им нужно, чтобы вы не сделали чего-то простого: не закрыли дверь, не сменили пароль, не насторожились при странном письме. И вот тогда вы становитесь идеальной мишенью не потому, что вы крупный игрок, а потому что ваша дверь оказалась самой хлипкой на улице. А исправить это можно даже без глубоких технических знаний, просто перестав верить в эти сказки.

Анатомия взлома: как злоумышленники проникают в системы

Давайте на минутку представим, что ваш офис – это не просто помещение с компьютерами, а настоящая средневековая крепость. У вас есть стены (ваши антивирусы и фаерволы), ров с водой (сложные пароли) и бдительные лучники на башнях (вы и ваши сотрудники). Хакер в этой аналогии – опытный полководец, который не пойдет на прямой штурм, потому что это шумно, дорого и с высокой вероятностью провала. Вместо этого он будет искать тайный подземный ход, который ведет прямо в сокровищницу. Он найдет его там, где крепость кажется неприступной, но строители где-то поленились или оставили дверь черного хода незапертой.

В этой главе мы с вами наденем шлемы и, словно на экскурсии, пройдем по этому самому тайному ходу вместе с хакером. Мы не будем учиться взламывать, мы будем учиться понимать логику злоумышленника, чтобы вовремя заметить свежий след на полу и замуровать проход навсегда.

Разведка боем: сбор информации

Любой уважающий себя злоумышленник никогда не нападет вслепую. Его первая задача – узнать о вас как можно больше. И для этого ему не нужны сложные хакерские программы, ему достаточно Google и немного терпения. Этот этап называется разведкой.

Представьте, что наш хакер – это недобросовестный детектив. Он начинает рыться в открытых источниках. Он зайдет на ваш сайт и посмотрит, какие технологии вы используете. Увидит, что ваш интернет-магазин работает на популярной системе управления контентом, и сразу отметит для себя: «Ага, версия такая-то, у нее есть известная уязвимость». Потом он заглянет в соцсети. Скорее всего, кто-то из ваших сотрудников выложил фото с рабочего места. На мониторе можно разглядеть, какая программа открыта, или, что еще хуже, заметить стикер с паролем, прилепленный прямо к клавиатуре. Помните, мы говорили о человеческом факторе? Вот он во всей красе.