Уязвимое место: почему бизнес вынужден переходить на корпоративные мессенджеры

Количество кибератак растет по всему миру: согласно экспертным оценкам, в прошлом году количество успешных кибератак выросло на 18 процентных пунктов. Утечки данных, DDoS-атаки, парализующие работу компаний, — эти новости не уходят из российского инфополя. Сегодня угроза исходит не только от хакеров-одиночек, которые хотят таким образом заработать, и «идейных» взломщиков — хактивистов с собственным почерком, уничтожающих IT-инфраструктуру по политическим и бизнес-мотивам. О самой масштабной такой атаке в истории Сбербанка рассказал Станислав Кузнецов на Восточном экономическом форуме (ВЭФ). 

Для этого есть благоприятная почва. Самый очевидный фактор — нехватка зарубежных решений в сфере кибербезопасности. Отдельные качественные разработки, которые способны конкурировать с зарубежными аналогами, зачастую носят локальный характер. То есть защищают отдельные части критической информационной инфраструктуры (КИИ), но не обеспечивают комплексного решения по защите инфраструктуры. 

Пока в защите есть бреши, бизнес возлагает надежды на высококвалифицированных IT-безопасников и сетевых инженеров — а таких кадров в стране острый дефицит. Это приводит к тому, что бизнес по-прежнему остается уязвимым для атак. 

И, наконец, нехватка собственных микропроцессоров — из-за них есть зависимость от иностранных поставщиков. А так как микропроцессоры — продукт зарубежный, то снова запускается долгий цикл сертификации. 

Все вместе это формирует одну из главных проблем кибербезопасности — уязвимость защищенного периметра, войти и выйти за пределы которого нельзя, а за исполнением этого правила наблюдают штатные сотрудники по кибербезопасности. Что сегодня не так с таким контуром? Например, то, что сотрудники могут свободно пользоваться личными каналами связи, находясь на работе, — мессенджерами, социальными сетями. Отчасти такие послабления определил гибридный и удаленный формат работы. Работодатели распробовали «гибрид» давно — еще в 2021 году половина российских компаний планировала перейти на этот формат работы. К тому же удаленная коммуникация сегодня удобна как никогда: в любом мессенджере можно быстро обсудить рабочие вопросы с коллегой, там же собрать видеозвонок, провести презентацию, переслать файлы любого размера. Для сотрудников еще один плюс мессенджеров в бесшовности — можно в одном окне решать рабочие задачи, читать новости и обмениваться мемами.

Однако такая коммуникация абсолютно не защищена. Чем так опасны мессенджеры?

Старый (не) добрый фишинг

Фишинг — это способ получения конфиденциальных данных пользователя обманным путем. Чаще всего сценарий разворачивается так: сотрудник компании получает фишинговую ссылку на почту, в мессенджер или в личные сообщения в социальной сети. Ссылка замаскирована под нормальную, при переходе по ней пользователь попадает на привычный сайт — но это копия, подготовленная преступником. Когда пользователь введет там свои данные, например логин и пароль, те окажутся у злоумышленника.

Дальше киберпреступник действует по своему усмотрению: например, он может использовать доступы сотрудника, чтобы войти в административную панель сайта, корпоративного портала или CRM-системы. Злоумышленник получает доступ к данным компании — это могут быть базы клиентов, персональные данные сотрудников, коммерческая тайна, другие конфиденциальные документы — и похищает их либо шифрует специальным вирусом. Дальше вариантов несколько: преступник выходит на связь и вымогает выкуп, продает данные конкурентам, выкладывает в общий доступ, если договориться с пострадавшей стороной не получилось.

Для бизнеса все печально: потеря денег, ущерб репутации. Есть и менее очевидные последствия хакерских атак. Пока ваши данные недоступны из-за шифровальщика, страдают другие системы — лежит сайт, CRM-система становится бесполезной, частично встает маркетинг. Это все упущенная выгода.

По экспертным оценкам, сред­ний ущерб от утеч­ки ин­фор­ма­ции для рос­сий­ских ор­га­низа­ций в 2023 году сос­та­вил 5,5 млн рублей (сум­ма не вклю­чает пря­мые фи­нан­со­вые из­дер­жки, не учи­тывает по­тен­циаль­ные ре­пута­цион­ные по­тери и штраф­ные санкции). А число фишинговых ресурсов в 2024 году выросло в полтора раза относительно 2023 года. Угроза бизнесу остается более чем реальной.

Личные мессенджеры как точка входа

Почему именно личные мессенджеры сегодня — идеальная точка входа для киберпреступников? Причин несколько.

Первая — они стали частью деловой коммуникации. Электронная почта существенно проигрывает мессенджерам именно как канал связи, в первую очередь потому, что общение по e-mail гораздо более медленное, сегодня это воспринимается как архаика. Бизнес не может пересадить сотрудников с удобного и современного инструмента на неудобный и устаревший. 

Вторая — их невозможно защитить программно. «Зонтик» кибербезопасности компании не распространяется на личные приложения сотрудников. Поэтому бизнесу остается только блокировать использование личных почт, мессенджеров и социальных сетей на работе — и переводить всех на корпоративные защищенные каналы связи.

Третья — технологии играют злую шутку с сотрудниками и руководителями. Сегодня злоумышленник может не только подделать или угнать аккаунт коллеги — хакер также может отправить от его имени голосовое сообщение или видео, в которых будет сложно распознать работу нейросетей. А учитывая, что при удаленном формате работы коллеги могут ни разу не видеться в реальной жизни, задача злоумышленника упрощается в разы. Он может просто попросить напомнить доступ в корпоративную систему — чистая социальная инженерия, даже фишинговые ссылки не понадобятся.

Как обезопасить рабочую коммуникацию

У компании есть разные варианты защититься от угроз — от готовых DLP-решений (Data Loss Prevention, защита от утечки персональных данных) до работы с «белыми хакерами» — специально нанятыми IT-специалистами, которые атакуют инфраструктуру компании и указывают на уязвимые места при проникновении. Но при этом бизнес часто забывает о том, что рабочая коммуникация должна также происходить в защищенных пространствах. 

Мессенджер или почта — только точка входа для злоумышленника, уязвимым звеном является сам сотрудник. Поэтому важно работать не только с программами, но и с людьми. Их стоит обучить базовым правилам информационной гигиены и направлять на специализированные курсы. Например, компании внедряют курсы по информационной безопасности в процесс онбординга: пока сотрудники их не пройдут, у них будут ограниченные права доступа. Также регулярно стоит проводить тренинги по фишингу, и отдельно проводят работу над ошибками с теми, кто клюнул на удочку хакеров. Подобную практику лучше внедрить на постоянной основе, чтобы сотрудники могли своевременно узнать о новых угрозах и хакерских стратегиях, а значит — уменьшить риски для бизнеса. 

Стоит внедрить правила рабочей коммуникации: например, ограничить (в идеале — устранить) использование личных соцсетей и мессенджеров с рабочих устройств. Также стоит установить надежные входные пароли и мультифакторную аутентификацию в корпоративных системах. А персональные данные лучше хранить в зашифрованном виде и предоставлять ключ только тем, кому нужно работать непосредственно с данными.

Что касается других методов защиты, то некоторые компании минимизируют использование облачных хранилищ, так как их достаточно сложно защитить. Те, у кого есть бюджет на дополнительные меры безопасности, создают собственные облака или отдельные контуры с минимальным выходом в общедоступные сети. Но это дорогое решение, для которого нужны значительные ресурсы и постоянная поддержка, поэтому оно подходит не всем.

В последнее время много дискуссий на тему использования искусственного интеллекта и ML-алгоритмов для защиты от киберугроз. Но пока это звучит как далекая перспектива: подобные разработки от лидеров рынка можно ждать только через пару лет, и неизвестно, насколько качественными они будут. Предсказать, справится ли AI-based защита с утечками, сложно.

Будущее безопасной коммуникации

В вопросах кибербезопасности самым важным остается построение защищенного периметра, который невозможно представить без защищенных коммуникаций. Поэтому вскоре стоит ожидать перехода компаний на внутренние корпоративные мессенджеры, которые легко адаптировать под потребности компаний. Такое решение уже есть у крупных IT-игроков.

В первую очередь, наличие защищенного мессенджера обеспечивает безопасность данных за счет снижения рисков несанкционированного доступа к инфраструктуре компании. Это происходит благодаря ограничению круга лиц, способных войти в систему, чего не скажешь о традиционных мессенджерах, в которых такой риск кратно выше. В то же самое время система шифрования делает практически невозможным перехват сообщений или утечек объектов коммуникации. 

Более того, наличие и использование защищенных мессенджеров делает компанию привлекательней в глазах соискателей. Сейчас не менее 67% сотрудников в России хотели бы использовать их в работе. Данные — ценнейший ресурс, и их надежная защита положительно влияет на имидж компании. 

При этом внешне такие корпоративные мессенджеры мало чем отличаются от традиционных. В доступе все привычные функции: голосовые и видеосообщения, гиперссылки, смена шрифтов и даже эмодзи со стикерами. Обычно у пользователей не составляет труда сменить один и переключаться между, например, Telegram и другим мессенджером.

Есть и другие перспективные решения, которые помогут компаниям закрывать уязвимости, — например, активно развивается практика Bug Bounty, когда «белые хакеры» ищут слабые места в защите и сообщают об уязвимостях разработчику за вознаграждение. Даже Минцифры и «Ростелеком» в прошлом году внедрили программу Bug Bounty на портале «Госуслуги». 

Также следует поддерживать культуру пентестов внутри компаний, которая сейчас находит поддержку в профессиональном сообществе — не так давно появилась ежегодная премия Pentest Awards. В некоторых сферах (например, в банкинге) пентест — обязательная мера для сохранности конфиденциальных данных, закрепленная в законе. Тесты покрывают и такую уязвимую часть системы, как коммуникация между сотрудниками, — и помогают найти уязвимости в коммуникации сотрудников.

В условиях увеличивающихся киберугроз и растущего объема защищаемых данных обеспечение информационной безопасности становится ключевой задачей для любой организации. Современные программные решения предлагают широкий спектр методов защиты. Однако технические меры должны основываться на осведомленности сотрудников и развитии культуры информационной безопасности в целом. Только комплексный и системный подход способен обеспечить надежную защиту данных, способствуя устойчивому развитию и успешной деятельности компании.

Мнение редакции может не совпадать с точкой зрения автора