Киберпреступления в бизнесе

Что считается киберпреступлением

Бизнес чаще всего сталкивается с двумя преступлениями — неправомерным доступом к информации и вирусами. А все виды киберпреступлений описывает Уголовный кодекс.

Киберпреступники в малом и среднем бизнесе чаще всего преследуют три цели: испортить репутацию, украсть персональные данные или получить от компании деньги.

Взломы сайтов

В июне этого года кто-то взломал сайт челябинской клиники. На главной странице появилась заглушка, а ссылки на другие разделы исчезли:

Текст заглушки: «Хочешь некачественное лечение втридорога? Или чтобы твои медицинские данные попали в общий доступ (они уже попали). Хочешь просто сдохнуть? Всё это — клиника N. Лучше иди скорее *цензура* отсюда! Нет ссылочек — нет сайта»

На следующий день сайт восстановили, но скриншоты попали в социальные сети. Если судить по тексту, кажется, что сайт взломали недовольные клиенты, чтобы испортить репутацию клиники.

«Кажется, что сайт взломали недовольные клиенты, чтобы испортить репутацию клиники»

Испортить репутацию — не единственная цель взломщиков. Если у компании есть уязвимость, из-за которой можно получить персональные данные, контакты или сканы паспортов, преступники скорее будут перепродавать их, чем сообщать об этом на главной странице.

Перепродажа персональных данных

В интернете продаются сканы документов: паспортов, пенсионных свидетельств, водительских прав и дипломов о высшем образовании.

500 рублей стоит скан паспорта гражданина России

Мы не знаем точно, откуда у продавцов чужие документы. Но, к примеру, такой же набор сканов запрашивают при оформлении ипотеки и трудоустройстве.

Иногда взломщики не продают персональные данные, а публикуют их в открытом доступе.

В интернет попали персональные данные клиентов и сотрудников медицинского сервиса Док+

Некоторые специалисты по информационной безопасности находят уязвимости компаний и предупреждают о них. Так делает, например, телеграм-канал «Утечки информации»:

Авторы канала находят уязвимости, предупреждают о них компании и владельцев сайтов, а затем рассказывают об этом в телеграме и во Вконтакте

Есть крупные компании, которые специально платят тем, кто находит в их программах или сервисах уязвимости. Это помогает устранять слабые места раньше, чем их найдут взломщики.

Пользователь нашел уязвимость в Телеграме и получил за это 2000 евро

В практике моих коллег был случай. На файлообменнике появилось видео: неизвестный взламывает сайт компании и скачивает персональные данные клиентов. Для взлома он подобрал пароль, вошел в личный кабинет администратора и через этот кабинет разом скачал данные других пользователей.

Ошибкой компании было хранить персональные данные на сайте. Правильно хранить их на компьютере без доступа к интернету или на внешнем жестком диске.

Вымогательство через вирус-шифровальщик

Последние пару лет специалисты стали чаще сталкиваться со взломами ради вымогательства. Если раньше взломами занимались идейные группы, чтобы продвигать свои взгляды, сейчас это делают ради денег.

Взломщикам проще вымогать деньги у мелких фирм: продавцов пластиковых окон, фитнес-клубов и региональных интернет-магазинов, потому что в крупных компаниях есть отделы информационной безопасности.

Взлом может выглядеть так. На рабочую почту сотрудника приходит письмо с заголовком вроде: «ASAP Срочно_подписать_контракт_для_бухгалтерии», а внутри письма — вложение, например «контракт.doc.exe». Сотрудник скачивает файл, открывает его и запускает вирус-шифровальщик.

Так может выглядеть рабочий стол взломанного компьютера. В файлах README.txt — сумма выкупа и номер кошелька взломщика

Обычно в одном из файлов или во всплывающем окне требование заплатить 0,008-0,025 биткоинов, это примерно 100-300 долларов. Взломщик обещает, что после оплаты пришлет ключ для расшифровки.

Но платить взломщику — бесполезный и ненадежный метод. Нет гарантий, что он пришлет ключ для расшифровки, и даже что он знает, как расшифровать файлы. Цель взломщика — получить от компании деньги, поэтому его программа должна уметь шифровать файлы и требовать деньги, а расшифровка его не интересует.

В 2017 году был всплеск атак с помощью вирусов-шифровальщиков, сейчас почтовые сервисы не разрешают отправлять программы по почте. Программы — это файлы с расширением .exe, их отправку сервисы блокируют. Но это не мешает отправлять письма со ссылками на вирус.

Письмо с подозрительными ссылками сразу попало в папку со спамом, но сотрудник может зайти в нее и кликнуть по ссылке, чтобы забрать обещанные деньги

Чтобы избежать заражения вирусом-шифровальщиком, нужно объяснить сотрудникам, как он обычно выглядит и что будет, если открывать ссылки от незнакомых отправителей и скачивать программы из интернета. А еще лучше — ограничить права пользователей так, чтобы они не могли скачивать и устанавливать программы.

Что делать, если файлы компании зашифровал вирус

Главная проблема с вирусом-шифровальщиком — это отсутствие доступа к важным файлам. Например, к базе поставщиков, заявкам клиентов и 1С-бухгалтерии. Вирус останавливает работу, и, пока файлы зашифрованы, компания теряет деньги.

Чаще всего зашифрованные файлы — это потерянные файлы, но всё же есть способы, расшифровать файлы после вируса шифровальщика.

Написать в поддержку антивируса. Антивирус — это защита системы от известных угроз, а шифровальщик может быть неизвестным. Но если в компании во время заражения был установлен лицензионный антивирус и включено автоматическое обновление, можно написать о проблеме в поддержку. Почти всегда разработчик антивируса старается помочь, и нередко ему это удается.

Обратиться к интеграторам. Интеграторы — это компании, которые занимаются информационной безопасностью. Возможно, у них в штате есть специалисты по расшифровке файлов, которые смогут вернуть хотя бы часть данных. Но расшифровщики есть не в каждом городе.

Цена расшифровки зависит от вируса и размеров файлов. Например, расшифровка базы 1С размером до 1 гигабайта может стоит 12 000 рублей, до 20 гигабайтов — 30 000 рублей.

Восстановить файлы через теневую копию. У Виндоус есть своя система защиты — теневые копии. Это копии, которые в фоновом режиме создает система.

По умолчанию у Виндоус включена защита диска с системой, обычно это диск С. Для доступа к файлам теневой копии нужно:

• запустить программу Shadow Explorer;
• проверить систему антивирусом. Мне кажется, что лучше остальных справляется бесплатный антивирус Dr. Web;
• подключить жесткий диск и скопировать на него файлы;
• переустановить систему.

Обычно вирус удаляет теневые копии первыми, но попробовать стоит.

Обратиться в полицию. Полиция может изъять оборудование, а это значит, что работа компании остановится на неизвестный срок. Но есть шанс, что помогут, особенно если взлом неслучайный и были похищены данные. Неслучайный значит, что преступники не просто рассылали вирус всем подряд, а специально украли данные именно этой компании, например телефоны их клиентов.

Правила кибербезопасности для бизнеса

Первое, что нужно сделать, — обучить сотрудников. По моему опыту, больше половины взломов случаются из-за того, что сотрудник скачивает программы из интернета, открывает странные ссылки, игнорирует антивирус и пользуется паролем 123 456 или qwerty.

Кроме обучения, нужно сделать еще несколько вещей:

• установить на все компьютеры антивирус, хотя бы бесплатный, и включить автоматическое обновление антивирусных баз;
• обновить операционную систему до Виндоус 10 и включить автоматическое обновление;
• создать график резервного копирования файлов. Важные для работы файлы лучше копировать на внешний жесткий диск, который не будет подключаться к сети. Лучше копировать раз в неделю, а если данные меняются каждый день, то ежедневно;
• поставить пароли на все точки входа в информационную систему. Точки входа — это вайфай и компьютеры, подключенные к локальной сети.

Пароль должен состоять минимум из восьми букв и цифр разного регистра. Для создания паролей можно использовать методику парольных фраз. Придумать принцип, например цифра-животное-цвет, и набирать эту фразу в английской раскладке.

Такой пароль не нужно записывать на бумажку, потому что его легко запомнить. Но при этом он сложный.

Пароли от рабочей почты и аккаунтов в онлайн-сервисах нужно менять раз в месяц, потому что иногда они попадают в открытый доступ. Проверить, не попал ли пароль от вашей почты в интернет, можно через телеграм-бота @mailsearchbot.

Отправляете боту свою почту, если он пишет Not Found — это хорошо, комбинации «почта и пароль» нет в открытом доступе. Если же в ответ присылает часть вашего пароля, его нужно срочно поменять и нигде больше не использовать

Если компания обрабатывает персональные данные: паспорта, медкарты, отпечатки пальцев, нужно соблюдать требования закона к защите персональных данных. Это значит, придется создать отдел информационной безопасности и вести журнал: в нем записывают, кто и когда получал доступ к данным.