В 2016 году было зафиксировано большое количество киберпреступлений с использованием программ-вымогателей, многие из которых вызвали по-настоящему широкий общественный резонанс. По нашим прогнозам, по частоте использования данный тип вредоносного программного обеспечения (ПО) может превзойти даже банковских троянцев. Среди программ-вымогателей, которые используют злоумышленники, все большую популярность приобретают вирусы-шифровальщики: программы, которые шифруют файлы на компьютере пользователя, или, если могут добраться, то и на сервере компании, и потом требуют денег за их расшифровку.
За прошедший год программами-шифровальщиками были атакованы четверть компаний в СФО. В целом отечественному бизнесу эта угроза кажется гораздо более серьезной, чем зарубежному, и не зря: количество этого вида киберугроз для корпоративного сектора в 2015–2016 годах увеличилось почти в шесть раз по сравнению с периодом 2014–2015 гг. При этом хочу подчеркнуть, что один из наиболее уязвимых сегментов бизнеса — небольшие и средние компании: 40% таких компаний за прошедший год столкнулись с шифровальщиками.
Весной 2016 года мы провели совместно с компанией B2B International исследование «Информационная безопасность бизнеса». В опросе приняли участие 4395 IT-специалистов из 25 стран по всему миру, включая Россию. Согласно этому исследованию, 53% российских компаний среднего и малого бизнеса считают вирусы-шифровальщики одной из самых серьезных угроз в цифровой среде. Всего в СФО этой проблемой обеспокоены 58% компаний.
Как правило, на восстановление доступа к данным малым компаниям требуется от нескольких часов до нескольких дней. Для небольших компаний любое, даже кратковременное отсутствие доступа к данным может принести существенные убытки или полностью приостановить деятельность. В случае если в организации не принимались должные меры по обеспечению сохранности важной информации, покупка ключа-дешифровщика может стать единственным способом возобновить ее работоспособность. Несмотря на то что это не гарантирует полное восстановление данных, порядка 11% организаций СМБ выплачивают требуемую сумму. Результаты оказались неутешительными: одна из шести компаний так и не смогла вернуть свои данные.
Хочу подчеркнуть, что чаще всего последствия заражения вирусом-шифровальщиком не ограничиваются только единовременной выплатой суммы, которую требуют киберпреступники. В России 10% небольших компаний понесли значительные финансовые потери. Обычно расходы складываются из следующих составляющих:
- восстановление доступа к данным;
- восстановление нормальной деятельности и бизнес-процессов;
- расходы на обучение сотрудников безопасной работе с IT-системами;
- вложения в инфраструктуру и защиту для предотвращения повторения инцидента;
- упущенные во время простоя контракты и компенсации клиентам;
- репутационные риски.
На размер суммы, которую компания теряет от такого инцидента, во многом влияют недочеты в профилактической работе IT-персонала (нерегулярно обновляемое ПО, плохо администрируемые системы, устаревшие или отсутствующие резервные копии, ненадежные пароли, бесплатные или не предназначенные для корпоративных систем антивирусы и т. д.). В рамках нашего исследования порядка 14% представителей российского малого и среднего бизнеса сообщили, что потеряли корпоративные данные из-за действий шифровальщика, несмотря на то что были подготовлены к возможному инциденту.
Как снизить риски потери данных?
Действительно, нехватка ресурсов и внутренней экспертизы в области информационной безопасности, которые могут привести к серьезным финансовым потерям в случае инцидентов, является для многих компаний сегмента малого и среднего бизнеса одним из наиболее проблемных вопросов. И, несмотря на всю простоту и очевидность, на данный момент существует только один способ избежать крупных финансовых неприятностей — действовать на опережение. Предотвратить заражение всегда гораздо легче и дешевле, чем пытаться вернуть зашифрованные данные и устранять последствия инцидентов.
Если у вас в компании принято решение не выделять отдельную ставку для ИТ-специалиста, то задачу по организации обслуживания ИТ-инфраструктуры можно решить несколькими способами:
- частично или полностью передать управление ИТ-безопасностью на аутсорсинг. Специалисты компании-подрядчика обычно устанавливают необходимое ПО, а в случае заражения, как правило, помогают провести расследование и восстанавливают данные. Кроме того, они проводят диагностику и помогают оценить, насколько хорошо обеспечивается защита ИТ-инфраструктуры организации;
- использовать специализированные решения, разработанные для небольших предприятий. В данном случае услуги безопасности предоставляются в виде сервиса, с помощью которого компания сможет полностью удовлетворить свои потребности в надежной защите без дополнительных затрат на ИТ-ресурсы или замену ПО.
Не следует забывать о постоянном обучении сотрудников. По данным исследования, в среднем каждый третий случай в небольшой компании, связанный с существенной потерей данных, происходит из-за беспечности или недостаточной информированности персонала.
Чаще всего вирусы-шифровальщики распространяются через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Соблюдение элементарных мер предосторожности (удаление сомнительных файлов, осторожное обращение со ссылками на внешние сайты) позволит сократить количество таких инцидентов.
Современные темпы развития шифровальщиков представляют серьезную проблему, на которую сложно не обращать внимание. Столкнувшись с шантажом, жертва встает перед фактом выбора — платить либо потерять информацию. Поэтому крайне важно предупредить угрозу и не дать ей развиться, нежели заниматься решением ее последствий.
WPBuild.Ru