Вывести новый софт: как обновления ПО могут уберечь компанию от хакерских атак
Природа взломов
Причин, почему хакерские атаки происходят все чаще и часть из них заканчиваются успешно, несколько. Во-первых, это сложившаяся геополитическая обстановка, из-за которой российские частные компании и госструктуры регулярно подвергаются массированным атакам, большая часть которых исходит из-за рубежа. Во-вторых, растет компьютеризация мира, увеличивается количество вредоносного ПО и устройств, с которых можно проводить атаки, и, как следствие, многократно увеличивается их масштаб. К тому же все больше продвинутых пользователей пробуют себя в хакинге, сидят на специализированных форумах и в сообществах, читают инструкции по взлому сетей. Благодаря доступности информации узнать про дыры в программах становится все проще, происходит романтизация профессии хакера. Многие кибератаки сегодня осуществляются даже не для того, чтобы получить ценную информацию, а просто из любопытства, чтобы попробовать себя в новой сфере.
Почему даже новичкам порой удается взломать сложные корпоративные системы? Ответ прост: человеческий фактор. Большое распространение получил социальный хакинг, когда злоумышленники получают данные через сотрудников компаний. Человек может передать данные, даже сам того не подозревая: например, войти на сайт с домашнего компьютера, с которого он только что подключался к офису, используя везде одинаковые пароли, или дать доступ к внутренним системам компании по просьбе своего друга.
Зачем и как обновлять ПО
Одним из ключевых факторов защиты компаний от угрозы хакерских атак является регулярное обновление ПО. Как правило, хорошие вендоры постоянно ищут лазейки в системах, и если таковые находятся — оперативно выпускают обновление, прежде чем об уязвимости узнают хакеры.
Своевременная установка обновления может защитить компанию от уязвимостей, но очень многие организации пренебрегают этим по ряду причин.
В первую очередь, не все компании в принципе могут осуществить обновление, если такая возможность не была заложена при разработке системы. К сожалению, это является классической ошибкой, особенно при создании сложных ERP-систем. При разработке системы необходимо учитывать три составляющие, которые в будущем будут требовать обновлений: безопасность, законодательные изменения и новый функционал. Только в этом случае система будет гибкой и надежной, поэтому в момент ее проектирования важно обратиться к надежному IT-интегратору, который учтет все компоненты.
Те компании, которые могут обновиться, зачастую не делают этого по причине экономии ресурсов. Обновить ERP-систему на тысячу пользователей — не то же самое, что скачать новую версию мобильного приложения на смартфон. Установка апдейта занимает определенное время. IT-интегратору нужно раскатить обновление на тестовых серверах, протестировать софт, поэтому важно выделить для этого специальное технологическое окно. Оно может занять до восьми часов. При этом, любой простой — это потеря денег для бизнесов, особенно тех, которые работают 24/7, поэтому здесь есть несколько вариантов. Первый — проводить обновления ночью или в те часы, когда идут наименьшие отгрузки, продажи или процессы, и тогда все пользователи будут на время отключены от работы программы. Второй — при тяжелых обновлениях можно применять алгоритмы дублирования серверов: на одном сервере идет раскатка новой платформы или новой версии софта, а все пользователи в это время находятся на старой платформе со старым софтом. Затем, условно, за один час всех переводят на новую версию. Как правило, это дорогостоящий вариант, поэтому каждый раз необходимо строить экономическую модель и просчитывать, что будет выгоднее: остановить бизнес на восемь часов или взять в аренду дублирующий сервер и обновить все через него.
Установка апдейта — дело не самое простое, поэтому к любому обновлению нужно подходить осознанно и взвешивать, насколько оно вам необходимо, устраняет ли оно ту уязвимость, которая для вас критична. Обязательно запрашивайте у вендора, что конкретно исправлено, затем проанализируйте, насколько этот баг существенен именно для вас. Иногда вместе с внесением исправлений и улучшением безопасности в чем-то одном можно ухудшить безопасность в другом, и тогда появится баг, о котором разработчики не подозревали.
Например, при апдейте может быть устранена уязвимость при подключении к общеиспользуемому сервису обновления курса валют. Но ваша компания не пользуется этим конкретным сервисом, и вы понимаете, что через эту лазейку злоумышленники к вам не постучатся. Тогда, учитывая, что этот апдейт может принести другие баги, обновляться в данный момент не стоит. Или же другая ситуация: обновлены драйверы для процессора, чтобы закрыть возможность злоумышленнику удаленно управлять потоками. Это уже критичная уязвимость, и обновляться здесь однозначно стоит. Также можно применять дополнительные средства защиты: устанавливать фаерволы или межсетевые экраны, дополнительные ограничения работы с сетью.
Как защитить компанию
Все рекомендации по защите компаний можно свести к следующим пунктам:
- Следить за «цифровой гигиеной» сотрудников. Так как человеческий фактор играет наибольшую роль при взломе серверов, очень важно объяснить сотрудникам, почему нельзя на работе и в личных целях использовать одни и те же пароли или писать пароли на бумажке, оставляя их на рабочем месте. Также будет полезно чаще менять пароли (при этом частоту смены паролей каждая компания определяет самостоятельно) и подключить двухфакторную аутентификацию через корпоративные телефоны.
- Публиковать наружу минимальное необходимое количество данных. Чем меньше информации расположено вовне, тем лучше. Если нет потребности в том, чтобы сотрудники удаленно бронировали даты отпусков в какой-то системе, то нет смысла создавать портал, где будут крутиться все кадровые документы и есть доступ к кадровой базе.
- Обязательно узнавать у вендора про изменения в обновлениях, чтобы проанализировать, насколько для вас они актуальны. При появлении нового апдейта лучше выждать несколько дней и протестировать, как оно раскатывается, есть ли существенные баги. При этом бояться работать с внешними IT-интеграторами не нужно: они работают в отдельных защищенных зонах и не имеют доступ к чувствительным данным. Зачастую заказчики сами выстраивают среды разработки и разрешают интегратору работать только в них, а уже потом через специальные шифровальные каналы переносят данные. Существуют также средства аудирования кода, который предоставляет интегратор, поэтому работа с вендорами не несет в себе угрозы для безопасности данных.
- Банальный, но актуальный совет: ставить лицензионное ПО. Так вы будете в курсе всех изменений и обновлений от своего вендора.
- Не экономить на службах и инженерах по безопасности и с пониманием относиться к тому, что они делают. Иногда разработчики бывают недовольны, что инженеры по безопасности требуют выполнять условия, которые сложны и разработчикам, и пользователям, или, например, запрещают работать с планшетов, выходить в другие сети. Это удобно, зато небезопасно, поэтому нужно искать компромиссы.
- Нанять стороннюю компанию по информационной безопасности, у которой есть хорошая экспертиза в этой сфере. Тогда вам будет удобнее сосредоточиться на задачах компании, а за защитой данных будут следить профильные специалисты.
В сумме эти советы помогут выстроить достойный уровень информационной защиты и застраховаться на случай умышленных и неумышленных кибератак.
Мнение редакции может не совпадать с точкой зрения авторов