К сожалению, абсолютной защиты от злоумышленников нет. Чтобы ее возвести, прежде всего, нужно время, рассказал в Казани менеджер по развитию продукта «ЮзерГейт» Виталий Даровских.
По словам Даровских, в современных реалиях это не только финансовая заинтересованность киберпреступников, но и некая политическая ангажированность. При взломах и атаках уже не считают денег и времени на это готовы потратить много.
- У нас много заказчиков, мы много историй видели, в том числе есть и личные. Так, я состою в некоторых телеграм-каналах, которые посвящены инвестициям. И вот однажды мне написал какой-то человек, что нашел меня в канале, захотел поделиться опытом и все в этом роде. Начался разговор про криптовалюту. Я отвечал достаточно сухо. Переписка длилась около двух недель, - поделился специалист.
Закончилась их переписка тем, что человек начал отправлять фотографии с выигрышами в размере 200 - 300 тысяч рублей на ставках. При этом он уверял, что в месяц зарабатывает около 60 тысяч рублей. А часть этих денег тратил для получения некого инсайда. То есть подталкивал к тому, чтобы приобщиться к этой «схеме» и вложить свои деньги, которые явно утекут на сторону и вы ничего с этим не сделаете.
- Запомните: в интернете все может выглядеть очень по-человечески, но на самом деле мошенники сразу же тянут свои руки к вашим деньгами. Поэтому абсолютной защиты нет нигде: ни в частной жизни, ни в компаниях. Нужно смириться с тем, что наши персональные данные уже гуляют по серверам. Любой может позвонить вам или написать, - подчеркнул спикер.
Во избежание неприятностей он призывает сохранять обычную цифровую гигиену и никому не верить. Это может каждый человек, но нужно быть всегда готовым к атакам мошенников. Речь идет о подходе с нулевым доверием к тому, что происходит в Сети (Zero Trust Network Access). Для этого достаточно сделать несколько маленьких шагов, чтобы мошенники больше тратили на своих потенциальных жертв махинаций. Тогда человек станет для них неинтересным, так как результат для них непонятен.
- Например, компания может потерять что-то небольшое, но в итоге сохранить важное ядро своей системы. На всех инцидентах мы должны учиться, - говорит Даровских.
СПРАВКА
Нулевое доверие - это процесс постоянной проверки доступа к необходимым и достаточным ресурсам в компании. Все технологии для его формирования уже существуют. Достаточно организовать надежный и лично контролируемый VPN. Еще необходимо создать Split tunneling (концепция использования компьютерной сети). Этот инструмент нужен, чтобы нерабочий трафик не нагружал сеть.
- Также в пример приведу историю про одну строительную компанию. Они делали бэкап своих данных (резервное копирование). Однако совершили одну большую ошибку - не проверяли их. У них была иллюзия, что все в порядке. Когда пришло время восстановиться, оказалось, что их проекты начали занимать гигабайты-терабайты памяти. Поэтому средство резервного копирования не могло этот вес сохранить. Зеленые галочки о том, что процесс успешно выполнен, были лишь иллюзией абсолютной защищенности, - предупредил эксперт.
Еще одним простым правилом безопасности является настройка доступа к необходимым сервисам компании. Так, вход в программу 1С должен быть разрешен только опытным сотрудникам, которые хорошо разбираются в данной системе.
- Я понимаю, что такой подход не всегда приемлем. Легко отключить доступ и заявить, что все запрещено. И тут начнутся возмущения: «Я не могу работать, дайте мне доступ». В этот момент люди начнут перечислять, что им действительно необходимо: «Я не могу обходиться без электронной почты, без CRM, без DNS-сервера». Но зачем это ему? Удобно, но не соответствует правилам безопасности, - пояснил Виталий Даровских.