Каждые 2,5 минуты в России происходит 2500 успешных кибератак.  Для сравнения — за этот же отрезок времени в реальном пространстве, в стране происходит одно ограбление.

Угроза кибератаки для бизнеса есть и будет всегда. Не защищена в виртуальном пространстве и личность. В любой момент, каждый из нас может лишится денег, партнерских отношений и доброй репутации. При этом, чем больше мы уходим в цифровой мир, тем виртуозней методы хакеров. Так что вопрос кибербезопасности сегодня актуален, как никогда. Как подтверждение, данные исследований E&Y Новосибирск, озвученные на форуме «Новые технологии. Кибербезопасность».

— В отрасли металлургии и добывающей промышленности России год назад риски, связанные с кибербезопасностью, были на 9 месте, сегодня они занимают 3 позицию. Ежегодно более половины компаний в добывающей отрасли подвергаются атакам хакеров, — отметил заместитель директора E&Y Новосибирск Павел Охонин.

По его словам, российский бизнес начинает осознавать всю серьезность этих рисков. Если 5 лет назад в вопрос вникали только айтишники компаний, то сегодня им активно интересуются директора и владельцы бизнеса.

Преступления в сфере компьютерной информации относятся к уголовно наказуемым и описаны в 28 главе УК РФ.  В качестве наказания не только штрафы, но и реальное лишение свободы. И сроки немалые. Так, если вирус нанес бизнесу серьезный ущерб, злоумышленнику, запустившему его в сеть, грозит до 7 лет тюрьмы. Однако, привлечь хакера к ответственности не так-то просто.

По словам генерального директора GROUP-IB Ильи Сачкова, чья компания занимается расследованием кибератак, взлом личной страницы в социальных сетях — случай рядовой. И это тоже преступление. Но попробуйте обратиться в полицию — вас засмеют. Меж тем, по закону, стражи правопорядка обязаны найти взломщика. Но делать это некому.

— Специалистов по кибербезопасности катастрофически не хватает, а те, что есть, имеют невысокую квалификацию. С атаками на бизнес дело обстоит не лучше. Если к примеру, вашу квартиру ограбили, эксперт-криминалист приедет оперативно и отработает у вас бесплатно. Совсем другое дело — компьютерные преступления. Криминалистов в этой области единицы, есть они не в каждом отделении. Экспертизу делать будут до полугода и, скорее всего, за деньги. Профит от такого расследования — нулевой, — констатирует Сачков.

Его слова подтверждает и статистика. Так согласно опросам, проводимым E&Y Новосибирск, 90% россиян уверены, что служба кибербезопасности их компании не соответствует современным требованиям.

— И хорошо еще, — добавляет представитель ФГУП НТЦ «АТЛАС» Сергей Туманов, — если эта служба вообще в компании есть. Часто бывает, что ответственность за цифровую безопасность возлагают на приходящего айтишника, а то и на специалиста по кадрам.

GROUP-IB проводила компьютерную криминалистическую олимпиаду. Участвовали 50 тысяч студентов технических ВУЗов. Справились с заданием только двое. Меж тем, в министерстве образования уверены, что уровень подготовки специалистов в этой области отличный. В ВУЗах есть кафедры информационной безопасности, и этого достаточно. Столь оптимистичного взгляда на образования в сфере информационной безопасности не разделяет и начальник сервисного центра «Информационная безопасность» Сибирского банка ПАО «Сбербанк» Александр Адаменко.

— У нас учат отличных айтишников, которые абсолютно не подкованы в информационной безопасности, и специалистов по кибербезопасности, которым не хватает знаний в современных технологиях.  В минувшем году Сбербанк России предложил создать в стране Академию кибербезопасности. Однако инициативу наверху не поддержали. Сбербанк Академию создал на собственной базе. В ней обучаются сотрудники, а уже с этого года планируется сотрудничество академии с высшими учебными заведениями. Будут проводятся лекции, готовится специалисты, — пояснил Адаменко.

По словам руководителя департамента информатизации и развития телекоммуникационных технологий НСО Анатолия Дюбанова, область IT — самая активная сфера, именно поэтому знания об информационной безопасности должны быть заложены с раннего возраста. Однако в школах такой предмет отсутствует. Детей не учат элементарной компьютерной гигиене и способам защиты личной информации в сети.  Подчас это приводит к трагическим последствиям.  Группы суицидников и педофилы охотятся на детей именно в интернете. Уроки по информационной безопасности будут введены в российских школах лишь с 2021 года. По словам Ильи Сачкова, это огромная потеря времени.

Впрочем, получать знания никогда не поздно. И заботится о повышении уровня компетенции в области компьютерной безопасности должны прежде всего руководители компаний. Ведь согласно мировой статистике, 77% граждан уверены, что главную киберугрозу создают именно сотрудники фирм. Одни — целенаправленно, другие — по неграмотности. В числе ключевых рисков, которые выделяют опрошенные компании, на первом месте неосведомленность сотрудников, на втором — устаревшие средства контроля, на третьем — несанкционированный доступ. Примечательно, что самая популярная угроза — вредоносные ссылки, на которые сотрудники компании охотно кликают.

— Сегодня программы, обеспечивающие киберзащиту стоят не дешево. Но, многие пренебрегают даже бесплатными мерами, — говорит Сергей Туманов. — Объяснить своим работникам, что нельзя открывать сомнительные письма не сложно. Но даже этого не делают. Больше того, размещают свой сайт на хостинге, и даже не интересуются защищен ли он, не требуют никаких обязательств. Не ставят антивирусы. В общем, наплевательски относятся к собственному же делу.

Для защиты коммерческой и личной информации специалисты озвучили на форуме несколько простых рекомендаций:

1.Не делайте единый пароль для множества систем. Не дублируйте пароль для банковских услуг и соц. сетей.

2.Не доверяйте открытым вайфайсетям. Не меньше 25% из них — уязвимы.

3.Не переходите на незнакомые ссылки.

4.Не оставляйте мобильник без присмотра.

Еще одна проблема — отсутствие доверия к государству. Многие бизнесмены бояться даже подавать в Роскомнадзор данные для обработки. А ведь без обоюдного доверия ни о какой безопасности говорить не приходится.  Бизнес сегодня думает о том, какие технологии он может купить, чтобы защитится от хакеров. А думать надо прежде всего о том, кто и зачем захочет атаковать его бизнес.  И уже исходя из этого, выбирать способы. Киберзащита — это наука. И здесь нужен научный подход. Именно его применили в Сбербанке России и создали многоконтурный периметр защиты.

— Он работает в автоматизированном режиме, дабы исключить так называемый, человеческий фактор. Для наших клиентов была придумана система Fraud-мониторинга, основанная на поведенческом анализе, — рассказывает Александр Адаменко. — Система эта основана на поведенческом анализе, заданной метрике. Например, если бабушка, живущая в Саратове, начинает закрывать счет и снимать все свои сбережения в банкомате Владивостока, программа автоматически заблокирует данную операцию.

Достижения Сбербанка в области кибербзащиты были замечены правительством и банк был выбран центром компетенции по информационной безопасности при реализации программы цифровой экономики.  Курс по переводу всех бизнес процессов в цифровое пространство уже взят, мы идем к сто процентным онлайн счетам и абсолютной прозрачности наших финансовых операций, так что компаниям пора всерьез задуматься о кибербезопасности.

Юлия Ростяженко

Фото: баз- DataCorp Technology LTD, остальные- пресс-служба ГК Отелит Девелопмент