Насколько все плохо с информационной безопасностью в мире? (Спойлер: очень и очень)
Как думаете, люди в большинстве своем надежно защищены от кибератак? По данным Positive Technologies, их количество растет каждый год. При этом более 70% из них имеют конкретную цель. Несмотря на то, что инциденты с участием физических лиц составляют около 12%, это не значит, что к вопросу личной информационной безопасности можно подходить легкомысленно. Если кто-то украдет ваши данные, он точно найдет способ их монетизировать.
Выбор хакера-2021
Вот характерная деталь — две наиболее популярные уязвимости у злоумышленников в 2021 году. Помните WannaCry? Что-то старое, из докороновирусной эры, верно? На самом деле это вполне себе реалия настоящего. Он активно заражает машины прямо сейчас, а в марте 2021 года количество пострадавших организаций увеличилось в сорок раз по сравнению с октябрем 2020 года.
Вторая популярная активно эксплуатируемая уязвимость этого года находится в устаревшей файлообменной программе Accellion FTA. То есть, огромное количество людей нарушает важнейшее правило «Не пользуйтесь устаревшим ПО» и получает из-за этого огромное количество проблем.
Кроме того, из почтовых ящиков никуда не делись фишинговые письма — самый популярный среди злоумышленников способ «закинуть» вам в систему вредоносное ПО. Они используются в 6 из 10 успешных атак. Это лишний повод внимательно читать письма и сразу напрягаться, если что-то идет не так. А программы-вымогатели (тоже ведь привет из прошлого, верно?) используются более чем в 60% атак.
И на всякий случай. Если вы работаете в госсекторе, промышленной компании, научном или образовательном учреждении, стоит быть особенно внимательным, общаясь с кем-то в интернете. По статистике, большинство атак направлено именно на эти учреждения и их сотрудников.
Любим обозревать на Хабре самые интересные и дискуссионные темы из мира IT. Если хотите быть в курсе новостей, традиционно входящих в топ читаемых, подписывайтесь на наш блог.
А что насчет дивного корпоративного мира?
Можно согласиться с тем фактом, что у частных лиц в большинстве своем все плохо с обеспечением безопасности, но как насчет корпоративного сектора? Ладно человек, он может не понимать последствий, но в случае с организациями на кону ведь стоят репутация и деньги? Лучшей мотивации для обеспечения безопасности, казалось бы, не найти.
1Password опросил 500 компаний, работающих в сферах IT и DevOps и выяснила, что ситуация следующая — организации знают о своих проблемах, но лишь немногие близки к их решению.
В среднем, четыре из пяти компаний уязвимы для атак, потому что «плохо работают с безопасностью». Причиной этого 1Password называет следующее: современные технологии (облака, микросервисы и другие) позволяют ускорить циклы разработки, однако обеспечение безопасности требует времени (которого нет). Также не редки такие вопиющие ситуации, когда API-токены, SSH-ключи и сертификаты безопасности находятся в конфигурационных файлах. Так разработчики упрощают жизнь себе, а заодно и злоумышленникам.
Стоит признать, что в целом, компании относятся к себе довольно самокритично, около 80% из них признают, что не справляются с обеспечением нужного уровня безопасности. Сотрудники же рассказывают, что занимаются такой работой без всякой системы и тратят на нее около 25 минут в день. 60% опрошенных компаний сталкивались с утечкой данных в той или иной форме, а более 80% сотрудников до сих пор имеют доступ к чувствительной информации своего бывшего работодателя.
У каждой четвертой организации, принявшей участие в опросе, чувствительные данные наподобие паролей хранятся более чем в 10 различных точках. А половина респондентов призналась, что даже не знает точного числа этих мест, настолько их много.
И, самый главный (а возможно, самый очевидный) инсайт. Многие сотрудники признают, что никакой стратегии по обеспечению информационной безопасности у них нет. Стратегия здесь — решать проблемы по мере их возникновения. Главное последствие такого подхода — проблем становится все больше, а их решение требует все больше ресурсов. Многие сотрудники утверждают, что работа с корпоративной безопасностью — это «худшая часть рабочего дня».
«В области корпоративной безопасности сейчас абсолютный дикий Запад и чтобы исправить эту ситуацию, требуется изменение мышления», — пишет 1Password в своем отчете.
Что нужно делать?
Совсем недавно ФБР и Агентство по кибербезопасности и защите инфраструктуры США выпустили актуальные рекомендации. Свои советы подготовила и компания 1Password. Характер этих документов позволяет сделать окончательные и очень грустные выводы об общем (очень низком) глобальном уровне информационной безопасности. Озвучим здесь несколько моментов из них.
- На уровне компаний необходимо общее понимание важности информационной безопасности. Организация надежна настолько, насколько надежно ее самое слабое звено. Необходимо выделить на обучение сотрудников достаточное количество времени.
- Внедрение политики информационной безопасности должно быть официальным и задокументированным, чтобы сотрудники поняли, что отношение компании к вопросу серьезное.
- Политика и используемые технологии постоянно должны обновляться и пересматриваться в соответствии с меняющимся характером угроз.
Также среди советов от ФБР (наверняка эти парни что-то знают про безопасность) есть следующие:
- сделайте бэкапы данных;
- не переходите по подозрительным ссылкам;
- вовремя обновляйте ОС и свой софт;
- используйте надежные пароли;
- подключите двухфакторную аутентификацию.
Американские спецслужбы, ради всеобщего блага, даже подготовили полноценные листовки по безопасной работе в интернете, совсем как учитель информатики в вашей родной школе (только выглядят они чуть поинтереснее). Вот материалы по бэкапам, безопасной работе с RDP, необходимости апдейтов, сложных паролях, и двухфакторной авторизации.
Таким образом, чтобы оказаться в прекрасном мире будущего, где все максимально надежно, никого не взламывают и данные не воруются, осталось всего ничего. Соблюдать несложные рекомендации и сделать все посильное, чтобы их соблюдали и другие люди. Звучит не такой уж и сложной задачей.