Информационная безопасность — это создание системы защиты в организации для любых данных, особенно тех, что представляют коммерческую тайну или содержат личные данные (в том числе доступ к счетам, картам и т.п.) физических лиц, поиск и устранение уязвимостей защиты.
Мотив воровства
Иногда воры действуют группой, иногда поодиночке. Если они собираются, то обычно их объединяет какой-то общий стимул:
- Быстрые большие деньги. Период подготовки к взлому и краже может проходить долгое время, но само воровство — быстрый процесс, иначе утечку заметят и канал перекроют. Что касается похищения информации, то и здесь мотив — продажа ее на черном рынке. Сколько заплатят конкуренты, чтобы узнать первыми о прогрессивных разработках или перехватить выгодный тендер? А если удалось получить компромат (данные “серой бухгалтерии”), это, по мнению грабителей, отличный повод для шантажа. Мошенники никогда не размениваются на мелочи. Если взломали систему банка, из нее выведут миллионы, причем не рублей. Когда получили доступ к счету компании — его обнулят. Выгоднее, конечно, так поступать с крупными организациями или сразу снимать деньги со счетов сотен или тысяч клиентов банка, но и тогда взломают не сами фирмы (слишком трудоемко), а кредитную организацию.
- Базы данных. Они есть фактически у каждой компании. Ведете учет в специальной программе, где собраны сведения о ваших сотрудниках (ФИО, паспортные данные, номера телефонов, реквизиты счетов и т.д.), — вот вам и база. Здесь интерес похожий — получить деньги за возврат сведений или продать в даркнете. Вот откуда про вас узнают настойчиво звонящие спамщики.
- Промышленный шпионаж. О нем я уже сказала, но речь скорее о конкретном заказе, грабители идут и взламывают компанию целенаправленно, по предварительному сговору с заказчиком-конкурентом.
- Любопытство, желание выделиться. Хакеры могут вообще не иметь цели что-то похитить, просто показывают мастерство и превосходство над службой безопасности.
- Активистское движение. Выражение протеста оппозиционеров. Атакуемая компания, по их мнению, загрязняет окружающую среду, нарушает права работников или совершает другие незаконные действия.
- Политика. Видели фильм с Брюсом Уиллисом (“Крепкий орешек 4”), где хакеры взламывают все сети: воду, электричество, сотовую связь и т.д.? Там, конечно, речь о террористах, но суть одна: если захотеть, можно взломать целый город или даже страну, и там воцарится хаос. Кибервойна давно не киносценарий, а реальность.
Кстати! Есть легальные соревнования, которые проводятся ежегодно с 2007 года — Pwn2Own. Участники соревнования тестируют программы и гаджеты, ищут уязвимости. Победители получают денежные призы и подарки.
Кто отвечает в компании за защиту?
Специалист по информационной безопасности имеет много специализаций. Есть те, кто отвечают за защиту облачных технологий, за безопасность сервисов и приложений, сетевую структуру и т.д. В общем, его функция — находить, уничтожать, предотвращать угрозы изнутри и извне, разрабатывать и внедрять систему безопасности.
Существуют тестеры — они проводят тестовые взломы и пытаются проникнуть в системы так же, как это делают настоящие злоумышленники.
Чтобы правильно организовать работу, специалист должен:
- Мониторить информацию о тех, кто потенциально заинтересован во взломе (конкуренты, группировки, недовольные действия организации, бывшие сотрудники, уволенные за противоправные действия и т.п.).
- Изучать имеющуюся систему безопасности и искать в ней бреши.
- Разрабатывать новый алгоритм защиты или дорабатывать старый.
- Проводить тестирование.
- Отслеживать функционирование системы постоянно.
- Действовать по принципу “никому не доверяй”, т.е. подозревать в потенциальной угрозе всех — от сотрудников до разработчиков ПО.
Как происходит взлом?
Способов очень много, но мы рассмотрим те, что касаются непосредственно работы бухгалтерии, кадров и иных аналогичных служб:
- “Вам письмо” — сообщает почтовый сервер и вы захотите проверить свой ящик. А там “Срочно! От ФНС города N, по возмещению НДС”. Разволновавшись, открываете письмо, где сказано, что вы отправили декларацию по НДС за второй квартал 2020 года с ошибками и список их прилагается в файле к письму. Открыв файл, вы запускаете вирус, попадающий на компьютер, его даже не заметит антивирусная программа (давно не обновляли, этот вид еще не попал в базу или маскируется очень хорошо). И пока вы разбираетесь, с жесткого диска скачивается информация и передается мошенникам по сети. Подобный способ использовали взломщики в 2016 году и позднее, рассылая письма крупным российским банкам, им удалось похитить немало денег со счетов. Как уберечься: проверяйте отправителя, не смотрите на надпись типа “ФНС” (т.е. имя отправителя), а именно на указанный почтовый ящик. Оригинальный, например, fns@nalog.ru, а поддельным окажется fns@nalog.com или fnc@nalog.ru. или вообще будет указан совершенно другой. Не открывайте спам-письма, а тем более приложения к ним из любопытства, надеясь на антивирус.
- Запаролено — защищено? Не совсем. С помощью писем пересылается программа-шпион, она станет считывать все нажатия клавиш, среди которых пароль. Вот вы садитесь за свой рабочий компьютер, включаете и вводите пароль к бухгалтерской программе и кто-то на другом конце страны узнает, как попасть в ваши базы. Удаленный доступ — дело техники. Как уберечься: сложно предотвратить целенаправленную атаку. Регулярно меняйте пароли к самым уязвимым базам, обновляйте антивирус ежедневно (лучше настроить автоматическое обновление). Вводите пароли с виртуальной клавиатуры. Сохраняйте информацию на недоступном из сети носителе — на флешке, внешнем жестком диске, чтобы осталась копия, если взломщики решат уничтожить изъятые сведения.
- Камеры мобильных или ноутбуков тоже могут быть опасны. Немало известно случаев, когда к ним подключались, записывали видео, выкладывали в сеть, получали компромат или узнавали ценные сведения. Чаще, правда, информация нужна для хулиганства. Как уберечься: самый простой способ — заклеить камеру кусочком непрозрачного скотча или стикером с картинкой, на телефоне носить чехол и держать его закрытым и камерой (если есть фронталка) вниз, пока не используете по назначению.
- Звонок. Звучит, как название фильма ужасов. На самом деле последствия действительно катастрофичны. Вам дозванивается “оператор колл-центра банка” или “представитель корпоративного мобильного оператора”, или даже “инспектор ПФР Иванов”. Дальше сценарии разные: сообщают о несхождении каких-то сведений, например, СНИЛС в СЗВ-М по сотруднику, подозрительных операциях по корпоративной карте, всем, что связано с персональными сведениями — данными карты, паспорта. Вас грамотно введут в заблуждение, предложат решить вопрос здесь и сейчас (“зачем вам слать уточненку по СЗВ-М, штраф получите, сейчас сверим СНИЛСы, я сама внесу правки”). Все полученные сведения используются для мошеннических целей. Как такового взлома здесь не происходит, но последствия настигнут именно в цифровом виде — в интернете пройдет оплата через корпкарту, сотрудники внезапно обнаружат — их накопления “переехали” из одного НПФ в другой, кто-то окажется обладателем микро-займа, полученного через сайт. Как уберечься: уточните, кто вам позвонил: должность, ФИО и конкретную организацию, откуда идет звонок, попросите оставить номер для связи (“я не могу сразу найти информацию, перезвоню через несколько минут”). В нормальном учреждении вам не откажут. Предупредите руководителя — данные корпоративной карты такие же секретные, как и личной.
- Отключенная защита. Удивительно, но иногда приходится отключать антивирус, чтобы настроить доступ к вполне обычным сайтам или сервисам: электронной торговой площадке, личному кабинету ЕИС или даже ФНС. Меня брандмауэр не хотел пускать на страницу поликлиники, самой настоящей. Потом проблему исправили (что-то с сертификатом сайта), но на время антивирус пришлось отключать. Как уберечься: за работой легко забыть о приостановке защиты — ставьте таймер на подключение антивируса, он восстановит обслуживание автоматически. Не отключайте его, если не уверены в подлинности сайта — проверьте еще раз адрес в браузерной строке.
Важно! Если сидите за компьютером, а говорите по мобильному — наберите в поисковой строке браузера входящий номер (“кто звонит 81234567890”) и посмотрите на результат поиска. Существует много сайтов, где люди делятся информацией о мошеннических звонках, если там успел “засветиться” этот номер телефона, вы его найдете.
Аналогично с электронной почтой — адрес для рассылки может быть чуть-чуть измененным и вести на завирусованную страницу. Вас должно насторожить, если вы сохраняли пароли и логины в браузере, но у вас вдруг снова просят их ввести, возможно, вы попали на фальшивый сайт.
Недавно я пыталась попасть в личный кабинет на сайте, где веду работу с заказчиками, и обнаружила, что страница просит логин и пароль. Меня одолели сомнения, оказалось — умудрилась попасть на клон-сайт с почти таким же названием и оформленным один в один с оригиналом. Злоумышленники клонируют государственные сайты и страницы банков.
Это не все возможности, используемые хакерами и просто мошенниками. Оставайтесь бдительными, не забывайте регулярно сохранять данные на внешних носителях. Восстановление бухгалтерии за последние годы или кадровых документов — дорогое и хлопотное удовольствие.
Жертвами взломщиков становятся как крупные компании (вспомните хотя бы кражу данных клиентов Сбербанка в 2019 году), так и небольшие.
Вот еще один вариант обмана — подмена счетов. Вам приходит письмо, вроде бы от постоянного поставщика с информацией, что изменились реквизиты и новый счет на поставку. Тут обычно не трудно проверить подделку — изменятся не только банковские реквизиты (наименование подстановочной фирмы может быть совершенно таким же), но и ИНН. Созвонитесь с контрагентом по обычным каналам связи и уточните реальность изменений.
Как еще обезопасить важную информацию?
Про сохранение на внешних носителях уже сказано, как еще обезопасить и сохранить данные:
- Облачные сервисы или приложения. Оттуда добыть вашу информацию намного сложнее, чем просто скачать с компьютера, к тому же операторы заботятся об обеспечении многоступенчатой обороны, а данные архивируются. В случае чего восстановление пройдет намного проще.
- Шифрование. Если хотите отправить кому-то важные сведения (например, передать новому удаленному бухгалтеру архив кадров), зашифруйте их. Для этого есть специальные программы, ставьте пароль на сам архив, назвав его коллеге по телефону (отсылать пароль и документы одним письмом, как понимаете, небезопасно).
- Электронные архивы. Тоже технология облака, но в данном случае вы не ведете в программе учет, а просто сохраняете сканы оригинальных документов. Высокая степень защиты и ограничение доступа (в зависимости от функционала настройка прав пользователя — загрузку/выгрузку, редактирование, удаление и т.д.).
- Использование максимально сложных комбинаций паролей. Если боитесь забыть — записывайте в небольшой блокнотик и носите всегда с собой. Да, везде не рекомендуют этого делать, но нереально запомнить большое количество данных, если у вас не одна компания, счет, программа и т.д.
Важно! Не храните подобную информацию рядом с объектом доступа (листочки — напоминалки в топку!) и не сообщайте всем и каждому, что там у вас записано. Говорите, что это любимые стихи, вы их регулярно перечитываете (для конспирации, кстати, запишите парочку).
- Не выбрасывайте и не храните без защиты старые карты, ключи с сертификатами, карты внутреннего доступа, SIMки. При утере сразу сообщайте в соответствующее ведомство: банк, мобильному или ЭДО оператору и блокируйте. Даже устаревшие, они могут послужить для целей взломщиков и уничтожаются физически либо хранятся в сейфе.
Можно ли научиться информационной безопасности?
Да, бухгалтер может освоить при желании эту специальность. Придется пройти обучение (существуют даже онлайн-курсы), но оно достаточно дорогое и требует некоторых базовых навыков:
- Знание английского, хотя бы на начальном уровне с последующим совершенствованием.
- Преимущество — ориентированность в сфере IT, современных технологий, активное пользование различными системами, базами, сервисами и приложениями.
- Умение настроить локальную сеть, операционную систему для безопасной работы (в зависимости от уровня курса — новичок, специалист, профессионал — это могут преподавать прямо на занятиях).
- Знание законодательства в области защиты информации (Закон о персональных данных, О защите в области информационных технологий), требований государственных органов: ФНС, Ростехнадзора, Центробанка и т.д.
Не выбирайте исключительно теоретические курсы, без практики от них нет толка, разве что они бесплатные. Иногда на учебе преподают поиск уязвимостей при помощи тестирования (это фактически тот же хакинг, но легальный), но не рассказывают о защите. Важно уметь не только искать баги в системе, но и защищать ее.