Нужно ли платить взломавшим тебя мошенникам, с чего начать внедрять кибербез в компании и зачем устраивать внутренние фишинг-рассылки? Об этом в новом выпуске подкаста Doubletapp «Что-то на программистском», записанном на кэмп-конференции South HUB, рассказал CEO и акционер компании F.A.C.C.T. Валерий Баулин.
Его команда разрабатывает технологии для борьбы с киберпреступлениями, решения для предотвращения кибератак, проводит исследования киберпреступности и защищает интеллектуальную собственность в Сети.
***
После начала СВО он изменился реально сильно. Потому что появились группы, целью которых является не кража денег, а дестабилизация деятельности компаний. После этого появились группы двойного назначения, которые могут и деньги украсть, и зашифровать данные, чтобы невозможно было дальше восстановить. Количество утечек выросло раза в полтора, если говорить про последние два года.
Фишинг всегда был актуальным, только за последние два года он, опять же, трансформировался очень сильно. Техники усложняются, очень много добавилось социальной инженерии, потому что — что самое важное? Создать доверенную атмосферу, чтобы пользователь перешел по ссылочке, ввел данные, открыл письмо. Все это максимально связано с социалкой. Чем ты больше реализуешь подмену голоса, текста, нормальную подмену доменного имени или усложняешь тактику направления письма в виде QR-кода какого-нибудь прикольного, тем пользователь с большей вероятностью письмо это откроет, по ссылочке перейдет, пройдет опрос в телеграм-канале каком-нибудь. Вот этого стало сильно больше.
***
В начале прошлого года это были промка, ТЭК, госы, окологосы. Осенью волна прошлась по МФО-шкам – это микрофинансовые организации, все, что связано с небанковским кредитованием. Текущий квартал – это компании, которые занимаются, логистикой, товарами, доставкой. Плюс, опять же, телеграм очень активно атакуют в части пользователей.
А под угрозой только крупные компании? Малым, средним предприятиям, обычному бизнесу стоит быть спокойным или нет?
Я периодически выступаю на разных мероприятиях, и информация, которую я пытаюсь донести, – кибербез касается всех абсолютно точно. Потому что, я уверен, тебе по-любому звонили какие-нибудь мошенники, предлагали деньги на безопасный счет перевести. Мошенническая схема «фейк босс», знакома такая? Это когда от имени руководителя в телегу якобы сотруднику кто-то пишет.
Было такое, что копируют аккаунт в телеграме, заменяют одну букву на очень похожую, типа И на Л, и начинают писать коллегам всем: «Скинь тридцатку».
Похожая схема, только тут создавали новый аккаунт, назывались именем руководителя и писали сотрудникам, опять же, по утекшим контактным базам. Дальше говорили, что якобы с тобой свяжется сотрудник ФСБ по какому-то секретному делу. Другой человек связывался и просил деньги перевести.
Взять детей, которые сейчас все с меньшего и меньшего возраста начинают пользоваться устройствами цифровыми, в целом знакомиться с миром интернета, с соцсетями. Возраст снижается, мне кажется, лет до пяти, до четырех, может даже меньше. Дети, очевидно, в большей степени подвержены переходу на разные сайты, ссылки. Опять же, аккаунты угоняют довольно легко у всех детей. А ребенок – это отличный рычаг воздействия на его родителей, если родители являются целью для какой-то атаки. Поэтому кибербез касается всех. Не только корпоратов, не только средний, малый бизнес – вообще всех.
О чем я постоянно говорю – цифровая гигиена, как мы ее называем, самые базовые знания по поводу пользования устройствами, пользования сетью Интернет, как по каким-то маркерам, ключевым событиям определить, является ли сообщение или кейс мошенническим, должны быть уже в школьной программе. При этом вот эти базовые, казалось бы, простые требования, закрывают или усложняют злоумышленнику процентов на 80 успешное совершение атаки. Об этом должны знать все. Думать про свою безопасность — корпоративную, личную — своих близких, бабушек, дедушек научить обязательно.
Если брать процессы по кибербезу в компании небольшой или средней, то с чего их правильно начать внедрять?
Есть стандартные политики безопасности, которые настраиваются, условно, базовым софтом. Много у кого корпоративный чат в телеграм – возьми всем настрой облачный пароль. Это уже сильно усложняет злоумышленнику способ получения доступа к твоим данным, к твоему аккаунту. То есть хотя бы бесплатные средства возьми и используй их правильно. Да, мы делаем крутые средства для безопасности. Они дорого стоят. Но это уже может быть некими дополнительными средствами. Если правильно ввести, внедрить хотя бы базовые, уже будет сильно лучше.
Компания когда становится для злоумышленника интересной? Когда она начинает в паблик выходить. Это тоже был вопрос по поводу компаний и стартапов. В какой момент стоит им думать про кибербез? Примерно в тот же момент, когда нужно начинать думать про юридический департамент в своей компании, когда нужно свою разработку, интеллектуальные права оформить правильно, чтобы они не утекли, чтобы кто-то другой на себя это не оформил.
Сейчас в России масса IT-кластеров, взять «Сколково», тот же самый Иннополис, где в рамках поддержки стартап-проектов, небольших компаний, в рамках некого партнерства, куда входят и кибербезные компании в том числе, можно получить либо бесплатно, либо за какие-то мизерные деньги довольно-таки хорошие средства по защите почты, внешней инфраструктуры, аудиту в виде сканера хотя бы уязвимостей. Полно средств, способов и методов, и не все они супердорогие.
О том, безопасно ли компании использовать облачные решения для мессенджинга и почты, какую операционную систему выбрать и можно ли отдать ИБ на аутсорс – смотрите в видео.
***
Да. Плохо, но да. Когда ковидные были времена, мы кучу потратили времени, чтобы сделать правильные регламенты, дать советы по безопасности, как можно обустроить удаленное рабочее место, и в целом сейчас механизм уже отработан. Главное, чтобы это устройство было подконтрольное, а не просто какой-то домашний комп, на котором помимо тебя сидит еще твоя жена, твой ребенок играется во что-то, смотрит фильмы, делает что угодно, и с него же ты имеешь доступ в корпоративную инфраструктуру. Вот так делать не надо. Если это полноценно подконтрольная рабочая станция, с нормальным VPN, RDP настроен, все будет в порядке.
За последние два года ушли все иностранные игроки с рынка кибербеза российского, и те, кто остался в России, кто работает здесь, получили свободу пространства. Импортозамещение случилось или еще нет?
Много что было сделано, много было уникальных разработок и поддержки отечественных операционных систем. Поэтому практически, наверное, удалось все заместить, к чему ранее привыкли клиенты. Но с другой стороны – взять даже нас или кого-то еще из топов на рынке – мы же изначально были ориентированы в плане конкуренции не только на рынок России, мы старались конкурировать во всем мире. Поэтому нет такого, что мы на какое-то время остались просто без ничего, с какими-то там палками и камнями.
Российский кибербез, российские вендоры отечественные – замечательные, толковые, крутые, технологичные. Наш финансовый сектор – самый защищенный в мире финансовый сектор, потому что чаще всего сталкивался с атаками. Мы на этом учились годами. И в целом рынок кибербеза в России очень крутой.
Как найти баланс между разработкой продукта, скоростью разработки и безопасностью?
Нужно правильно оценить бизнес-процессы, которые ты защищаешь, правильно оценить риски наступления событий и вследствие чего они могут наступить, и от этого уже и плясать. Считать в деньгах, считать во времени, сколько ты потеряешь на всем этом, если вдруг он у тебя уплывет, и посчитать, условно, специалиста, одного админа, разработчика, который такой: «Да мне удобно “свисток” в ноутбук вставить, я вот так хочу, я крутой». Иди отсюда. Нам проще найти трех других – дешевле будет, чем потом восстанавливать половину компании. Есть моменты, которые нельзя никоим образом разрешать.
Я борюсь за то, чтобы все работали – и айтишка, и безопасность, и менеджмент компании, и разработка – в команде. Чтобы все были в тренде, реально понимали, что происходит на рынке. Конечно, если я сижу 24 на 7 у себя за компом, не читаю новости, не понимаю, что происходит, для меня, хакеры – это что-то далекое. Если все будут понимать, что реально творится в мире, проблемы договориться не будет.
***
Чтобы эффективно инциденты предотвращать, необходимо понимать, как они совершаются. Для этого тебе нужны данные, которые ты получаешь с реагирования на инциденты. Когда ты выезжаешь на места, когда ты инциденты расследуешь, когда ты работаешь в рамках экспертизы, исследований.
То есть это все – насмотренность от ваших клиентов, от сервисного бизнеса?
Клиенты – это одна составляющая. Плюс у нас довольно-таки давно существует направление киберразведки. Это глубокая аналитика того, что происходит на андеграундных форумах – какие-то готовящиеся атаки, инциденты, тулзы для совершения атак начинают продаваться. Эту информацию необходимо собирать, но… На примере той же самой Беларуси, где у нас есть офис. Есть стратегия выхода в новый регион, она у нас называется КУВР – ключ успеха в регионе. Мы считаем, что просто отправить двух сейлов в другой офис, в другую страну – это неэффективно. Для того, чтобы эффективно бороться с киберпреступностью в той стране, важно, чтобы у тебя на месте сидели аналитики, чуваки, которые расследуют киберинциденты, занимаются threat intelligence (киберразведкой), threat hunting (проактивной охотой за киберугрозами), работают с местной правоохраной, с вузами, обучают студентов, берут местных сотрудников к себе на работу. Только в таком формате возможно эффективно локально бороться с киберпреступностью, понимая локальные угрозы.
***
Вышел chatGPT, появился запрос типа: «chatGPT, а как взломать какой-нибудь софт?» Тот им выдал, условно, три способа. Облегчило? Наверное, да.
Другой пример. Была волна в телеге, взлом аккаунтов, где предлагали пройти опрос — проголосуй за мою дочку в конкурсе рисования. Потом телега улетала куда-то. И злоумышленники что делают? Они получают к твоей телеге доступ, делают рассылку по твоим аккаунтам: «Займи денег, вечером отдам». Просто сообщения какие-то.
Раньше, если они находили голосовые, они прямо нарезали кусками и голосовые формировали для того, чтобы уровень доверия повышать. Сейчас эти голосовые все просто заливаются в AI’шку, и она строит им короткие фразы. Почему короткие? Потому что на длинных фразах интонационно довольно просто распознать эти перепады и можно понять, что это искусственный интеллект. А короткие фразы строят идеально, вообще это не отличишь. Помогает? Помогает.
***
Плакать (смех). Можно не платить. Либо самостоятельно, либо при помощи внешнего аутсорса провести реагирование на инцидент и – первое – выяснить причину, что способствовало этому инциденту, второе – найти все возможные следы злоумышленника, чтобы он не имел возможности сделать там что-то еще, чтобы его не осталось в инфраструктуре. Потому что даже если человек решает заплатить, то злоумышленник имеет доступ в ту же инфру, повторно это сделает, и снова ты на деньги попадаешь. Третье – сейчас, к сожалению, меньше таких кейсов, потому что, видимо, до некоего хорошего уровня разработки дошли шифровальщики – где-то в коде поковыряться, попробовать найти ключ и данные расшифровать.
В ином варианте, конечно, финансирование злоумышленников – это очень плохо, и не стоит так делать. Но некоторые все-таки приходят к способу выкупа своих данных, и для них это, видимо, единственный вариант, к сожалению, поэтому лучше думать об этом заранее.
Как правильно обучать сотрудников кибербезопасности, чтобы каждый бэкендер, каждый фронтендер и тестировщик думали про это?
Делать для них курсы, тренинги, в какой-то игровой форме всю эту информацию доносить. В структуре нашей компании есть Киберакадемия, где мы разработали так называемые киберпрофессии будущего – как мы считаем, эти профессии должны быть в каждой компании реализованы для того, чтобы эффективно бороться с киберпреступностью. Обучаем специалистов конкретных – аналитиков, incident responder, threat hunter. А есть и более массовая история, где ты, может быть, не глубоко, не специфично, но обучаешь полноценному курсу цифровой гигиены любого сотрудника – любого, не знаю, тетю Машу, которая у тебя полы вытирает…
Просто у них разный порог входа и разная скорость обучаемости.
Согласен, возможно, тетя Маша научится быстрее (смех). На самом деле нет в этом разницы какой-то, потому что любой сотрудник твоей компании должен понимать, что происходит, как с этим бороться, хотя бы на базовом уровне.
Мы, кстати, у себя это начали с тестов, с проверок на уязвимости. Продукт тестируют все равно, классно было добавить такой функционал.
У нас тоже есть команда аудита, которая наши продукты постоянно анализирует. Те же самые тестовые рассылки. Все-таки человек – самое слабое звено компании, фишинг – самая массовая история, связанная с атаками, поэтому возьми ты, постоянно делай фишинг-рассылки в своей компании, по итогам чего ты проводишь обучение для сотрудников, которые не прошли этот тест.
Знаешь, что самое прикольное? Когда ты рассылаешь какую-нибудь тестовую, отправил десяти, условно, людям, а тебе пришло 15 аккаунтов, потому что кто-то не смог открыть документы, а ему было очень интересно, он прислал другому чуваку, и тот открыл.Важно работать с этими людьми, проводить обучение, и, пожалуй, если они необучаемые, с ними надо расставаться. Необучаемые в том плане, что ты три раза ему письмо отправил, три раза ты с ним провел обучение по итогам этого письма, и он четвертый раз тоже с удовольствием открывает это письмо. Такие есть.
Можешь посоветовать пять телеграм-каналов или ютуб-каналов про безопасность, которые стоит посмотреть?
Во-первых, канал компании F.A.C.C.T., кстати, по количеству подписчиков он самый большой среди моновендорских. А так можно взять топ вендоров.
***
У меня нет пятилетнего ребенка – старшей 12, младшей 9. Но когда они были маленькими, я им говорил, что папа борется со злом, папа борется с хакерами.
А вообще на самом деле умение излагать специфику твоей деятельности на уровне младшего дошкольного возраста – это очень крутой навык, который тебе пригождается при общении с клиентами, потому что объяснить простым языком сложные вещи – это суперкруто.
Выпуск подкаста «Что‑то на программистском» с Валерием Баулиным смотрите на YouTube‑канале Doubletapp, в VK Video, на Дзене и RuTube, аудиоверсию слушайте на удобной площадке.
Гостями подкаста уже побывали CPO RuStore Олег Афанасьев, CTO Dodo Engineering Павел Притчин, дизайн-директор Иви Митя Осадчук, гуру фронтенд-разработки Глеб Михеев и другие спикеры.
Подписывайтесь на канал, чтобы не пропустить новые выпуски. Смотрите нас также в VK Video, на Дзене и RuTube.
