22 октября 2021

Язвы на сайтах МСБ

13% ИТ-ком­па­ний ма­лого и сред­не­го биз­не­са (МСБ) имеют уяз­ви­мос­ти на сай­те. Это тре­тий пос­ле кон­салтин­га (17%) и роз­ничной тор­говли (14%) по­каза­тель в ис­сле­дова­нии "Тинь­кофф Биз­нес" о са­мых рас­прост­ра­нен­ных оши­бок в сфе­ре ИБ, ко­торые до­пус­кают ком­па­нии из сег­мента МСБ. Во всем сек­то­ре поч­ти по­лови­на сай­тов ком­па­ний под­верже­на уг­ро­зам. Наи­бо­лее час­то встре­чают­ся ошиб­ки: не­под­тверж­ден­ный ад­рес сай­та (34%), не­защи­щен­ная ба­за дан­ных (27%). Боль­шая часть эк­спер­тов от­ме­чает, что пред­по­сылок к улуч­ше­нию ра­боты сай­тов ком­па­ний МСБ с ин­форма­цион­ной бе­зопас­ностью не наб­лю­дает­ся.

Аналитики "Тинькофф Бизнес" проанализировали более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.

По данным аналитиков исследования, чаще всего ошибки кибербезопасности (отрасли определены по ОКВЭДу бизнеса) случаются в сфере консалтинга (17%), розничной торговли (14%), ИТ (13%), услуг (13%), оптовой торговли (11%).

Вице-президент Тинькофф, руководитель департамента информационной безопасности Дмитрий Гадарь обращает внимание на то, что анализ сайтов компаний МСБ проводился в течение трех месяцев, а это небольшой промежуток, чтобы оценить динамику уязвимостей.

"Но за этот период компании могли исправить самые очевидные ошибки. Тем не менее за время наших наблюдений ситуация не улучшилась. Наше исследование как раз призвано обратить внимание на информационную безопасность сайтов МСБ. По мере перехода все большего количества бизнесов в онлайн число киберпреступлений будет только расти", - резюмировал Дмитрий Гадарь, добавив, что в топе исследования по уязвимостям находятся те отрасли, которые используют больше цифровых сервисов, чем остальные.

Специалист по информационной безопасности Group-IB Сергей Золотухин отметил, что ИТ-компании в топе уязвимых компаний стоят особняком и могли попасть в него из-за "атаки на цепочку поставок". Под этим подразумевается использование инфраструктуры партнеров и поставщиков для проникновения в сеть. Эксперт Group-IB подчеркивает, что ИТ-компании, несмотря на более высокую защищенность в целом, привлекательны для злоумышленников в силу широкого круга интернет-ориентированных партнеров.

Руководитель департамента разработки компании "Аванпост" Александр Махновский согласился с аналитиками "Тинькофф Бизнес" в том, что при работе с сайтами МСБ часто допускает ошибки, связанные сетевыми доступами к базам данных, защитой каналов передачи данных и регистрацией доменных имен.

"Однако это только верхушка айсберга, легко идентифицируемые и устраняемые проблемы, лежащие на поверхности. Есть еще целый пласт проблем, повторяющийся от компании к компании в сегменте SMB. Из технических проблем можно выделить уязвимости ПО самих сайтов, базового ПО, на котором они построены (CMS), системного ПО на серверах. Также бизнесу стоит уделять внимание квалификации специалистов, занимающихся поддержкой и развитием сайтов, наличию договоров с ними, контролю за доступом и распространению паролей", - заключает Александр Махновский.

"В целом розничная торговля и IT активно выходят в интернет, представляя цифровые сервисы. Чем сложнее цифровой сервис, тем выше шанс найти в нем ошибку информационной безопасности. Стоимость защиты сложных цифровых решений растет экспоненциально, а у МСБ не всегда находятся деньги на покупку и внедрение ИБ-решений", - замечает руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев, добавляя, что, по исследованию "Кода Безопасности", в среднем компании тратят на ИБ около 6% от всего ИТ-бюджета, а целенаправленно безопасностью сайтов занимают крупные организации, которые имеют высокий уровень зрелости.

На вопрос ComNews, стали ли компании МСБ больше беспокоиться о безопасности сайтов, мнения экспертов разделились. По мнению Сергея Золотухина из Group-IB, в связи с ростом количества инцидентов многие организации МСБ задумались о защите своих веб-ресурсов, вследствие чего в 2021 году количество запросов на аудит веб-безопасности (сайтов и приложений) выросло почти вдвое. кроме того, наблюдается рост запросов в направлении защиты от цифровых рисков.

По словам Павла Коростелева из "Кода Безопасности", малый и средний бизнес имеет низкий уровень зрелости, и нередко их информационная безопасность заканчивается на покупке защиты от DDoS у оператора связи, а безопасность веб-приложений — дорогая история, которая требует не только больших затрат, но и высококвалифицированных специалистов. Павел Коростелев добавил, что если компания не сильно заинтересована в предоставлении услуг и товаров в интернете, то и безопасность ее сайта не будет в приоритете.

За время исследования аналитики "Тинькофф Бизнес" выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием. Почти половина сайтов и баз данных компаний (46%) оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Кроме того, каждая пятая компания допускает у себя, минимум две ошибки.

Среди самых распространенных ошибок кибербезопасности в сайтах, аналитики "Тинькофф Бизнес" перечислили: отсутствие верификации домена ( у 34% компаний МСБ), означающее, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им, а в таком случае, злоумышленник может заявить права на владение сайтом и компания больше не сможет использовать собственный адрес; незащищенную базу данных (27%), откуда мошенник может беспрепятственно скачать данные, включающие имена, адреса, номера телефонов, сумму сделки и т.д., о клиентах и сотрудниках, компании; проблему с SSL-сертификатом, необходимым для работы по протоколу безопасного соединения HTTPS, который подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта, но у 15% компаний не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных; уязвимость к шифровальщикам (9%), ведь если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников; просроченный сертификат (7%), при истечении срока действия которого, браузер сообщает всем посетителям, что соединение не защищено и это снижает доверие пользователей, а компания теряет потенциальных клиентов. Самые редкие уязвимости связаны с удаленным управлением серверами компаний — на них приходится чуть больше 5% ошибок.

По мнению Павла Коростелева из "Кода безопасности" указанный перечень распространенных ошибок, скорее всего, не справедлив, и сильно перекошен в сторону сайтов, но при работе с информационной безопасностью в целом существуют более серьезные ошибки, которые могут привести к существенным потерям.

"Например, отсутствующие процессы инвентаризации ИТ-активов, реагирования на ИБ-инциденты или выявления и устранение уязвимостей в ИТ-инфраструктуре. Взлом сайта менее критичен, чем проникновение в корпоративную сеть с похищением или шифровкой всей находящейся в ней информации", - отметил Павел Коростелев, добавив что ближайшем будущем ситуация с обеспечением безопасности сайтов будет ужесточаться, и некоторые сайты могут подпадать под требования к критической информационной инфраструктуре, что повысит интерес к их защите.

По статистике Positive Technologies из отчета "Актуальные киберугрозы: II квартал 2021 года", использование уязвимостей веб-приложений – один из наиболее распространенных методов, который применяется в реальных атаках.

"Во 2 квартале 2021 года каждая десятая атака (10%) на организации включала эксплуатацию веб-уязвимостей. При этом в отрасли торговли веб-атаки применяются даже чаще – 21% от всех атак на организации из этой сферы. В госучреждениях доля атак с эксплуатацией веб-уязвимостей равна 15%, что тоже значительно. Распространенность данного метода объясняется широким применением и высокой критичностью веб-ресурсов в перечисленных отраслях", - заявил руководитель отдела аналитики Positive Technologies Евгений Гнедин, добавив, что аналогичные наблюдения его компания проводила и по итогам всего 2020 года, и тогда взлом веб-приложений использовался в качестве метода в 11% кибератак.

Опрос "Лаборатории Касперского" под названием "Малый и средний бизнес: переживая пандемию" (проведено независимым исследовательским агентством Arlington Research в 2021 году в 22 странах по всему миру, в опросе приняли участие 3 150 принимающих решения сотрудников организаций с численностью персонала до 250 человек, в том числе 200 человек в России ) показал, что небольшие компании сталкиваются с разными проблемами кибербезопасности. Почти в трети компаний (31%) возникают вопросы, как защищать корпоративные данные на личных устройствах сотрудников, 29% испытывают трудности с обеспечением безопасности в связи с тем, что на одного сотрудника приходится несколько рабочих устройств, 27% называют проблемой недостаток цифровой грамотности среди сотрудников. В каждой четвертой компании сотрудники не соблюдают правила информационной безопасности при ведении переписки по электронной почте, каждая пятая (22%) — с тем, чтобы каждый сотрудник использовал собственный логин и пароль для входа в системы. Для 19% компаний одна из основных проблем в области ИБ — обеспечить соответствие своих IT-систем законодательным требованиям.

Представители небольших компаний признаются, что часто нуждаются в советах по кибербезопасности. Так, 42% хотели бы понимать, как бороться с утечками, 29% — как избежать атак программ-вымогателей и что делать, если они произошли, 26% — как обеспечивать безопасность облачных сервисов.

В то же время более четверти (27%) опрошенных не уверены в том, что существует реальный риск пострадать от кибератаки или столкнуться с потерей либо кражей ценных данных. Однако, по данным опроса "Информационная безопасность бизнеса" (проводился "Лабораторией Касперского" в мае-июне 2021 года, участвовали 4 303 специалиста из компаний с более чем 50 сотрудниками из 31 страны, включая Россию; данные приведены по России.), для компаний МСБ-сектора, в которых сотрудники используют IT-ресурс ненадлежащим образом, общий годовой ущерб от утечек данных составляет 32 тысячи долларов США.

"Нередко маленькие компании являются частью цепочки поставок, и злоумышленники стремятся использовать доступ к их сетям в рамках многоэтапных операций по проникновению в сети более крупных организаций. Но бизнесу угрожают не только целевые атаки, очень часто заражение происходит из-за массовых рассылок вредоносного ПО, нацеленных на случайных жертв. А поскольку обычно небольшие компании защищены хуже, чем корпорации, это делает их легкодоступной мишенью", — комментирует эксперт "Лаборатории Касперского" по киберзащите малого и среднего бизнеса Андрей Данкевич.

 

Источник: Comnews

Может все и ничего не стоит: нужен ли вам Low Code и в чем ваша ошибка

7 декабря 2021

В условиях дефицита ИТ-кадров и растущей потребности в новых цифровых сервисах компании возлагают большие надежды на Low Code. Но выясняется, что многие его переоценивают. Как понять, нужен ли Low Cod вашему бизнесу, разъясняет Максим Тикуркин (Syssoft).

 

Чем HR-процессы стартапа отличаются от крупной компании?

7 декабря 2021

Я, Евгения Сковородько, HRBP компании IT_One, и наша команда отвечаем за HR-процессы компании IT_One: быстро растущего стартапа на рынке разработки, численность сотрудников которого увеличилась с 200 до 800 менее, чем за год. Как и многие в команде IT_One, до этого работала в большой зарубежной ИТ-компании. Сравнивая, как выстраиваются HR-процессы в компаниях разного масштаба, я теперь понимаю, почему то, что хорошо для большой компании, чаще всего совсем не подходит для стартапа.

 

Почему госкомпании не хотят использовать отечественный софт

7 декабря 2021

С 1 мая 2022 года в России будет введена персональная ответственность глав госкорпораций за низкие темпы перехода на российский софт. Исполнительный директор АНО «Консорциум отечественных разработчиков систем хранения данных» (РосСХД) Олег Изумрудов в колонке для Forbes рассказывает.

 

Высокая производительность флуда

7 декабря 2021

Системы для наблюдения за персоналом используют или планируют внедрить 76% российских компаний, перешедших на гибридный формат работы. Речь идет о проверке электронной почты и контроле за посещением сайтов, выяснили аналитики Vanson Bourne.

 

TechTrends-дайджест: XAI-парадигма в ИИ, как выглядит метавселенная Facebook, блокчейн поможет молодым музыкантам

7 декабря 2021

От искусственного интеллекта все чаще ждут способности объясняться, блокчейн меняет музыкальную индустрию и готовится отражать атаки квантовых хакеров, Facebook идет «ва-банк» с проектом метавселенной – в новом обзоре актуальных новостей в мире хайтека от руководителя Liquid Studio компании Accenture в России Арсения Кондратьева.