Язвы на сайтах МСБ
Аналитики "Тинькофф Бизнес" проанализировали более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.
По данным аналитиков исследования, чаще всего ошибки кибербезопасности (отрасли определены по ОКВЭДу бизнеса) случаются в сфере консалтинга (17%), розничной торговли (14%), ИТ (13%), услуг (13%), оптовой торговли (11%).
Вице-президент Тинькофф, руководитель департамента информационной безопасности Дмитрий Гадарь обращает внимание на то, что анализ сайтов компаний МСБ проводился в течение трех месяцев, а это небольшой промежуток, чтобы оценить динамику уязвимостей.
"Но за этот период компании могли исправить самые очевидные ошибки. Тем не менее за время наших наблюдений ситуация не улучшилась. Наше исследование как раз призвано обратить внимание на информационную безопасность сайтов МСБ. По мере перехода все большего количества бизнесов в онлайн число киберпреступлений будет только расти", - резюмировал Дмитрий Гадарь, добавив, что в топе исследования по уязвимостям находятся те отрасли, которые используют больше цифровых сервисов, чем остальные.
Специалист по информационной безопасности Group-IB Сергей Золотухин отметил, что ИТ-компании в топе уязвимых компаний стоят особняком и могли попасть в него из-за "атаки на цепочку поставок". Под этим подразумевается использование инфраструктуры партнеров и поставщиков для проникновения в сеть. Эксперт Group-IB подчеркивает, что ИТ-компании, несмотря на более высокую защищенность в целом, привлекательны для злоумышленников в силу широкого круга интернет-ориентированных партнеров.
Руководитель департамента разработки компании "Аванпост" Александр Махновский согласился с аналитиками "Тинькофф Бизнес" в том, что при работе с сайтами МСБ часто допускает ошибки, связанные сетевыми доступами к базам данных, защитой каналов передачи данных и регистрацией доменных имен.
"Однако это только верхушка айсберга, легко идентифицируемые и устраняемые проблемы, лежащие на поверхности. Есть еще целый пласт проблем, повторяющийся от компании к компании в сегменте SMB. Из технических проблем можно выделить уязвимости ПО самих сайтов, базового ПО, на котором они построены (CMS), системного ПО на серверах. Также бизнесу стоит уделять внимание квалификации специалистов, занимающихся поддержкой и развитием сайтов, наличию договоров с ними, контролю за доступом и распространению паролей", - заключает Александр Махновский.
"В целом розничная торговля и IT активно выходят в интернет, представляя цифровые сервисы. Чем сложнее цифровой сервис, тем выше шанс найти в нем ошибку информационной безопасности. Стоимость защиты сложных цифровых решений растет экспоненциально, а у МСБ не всегда находятся деньги на покупку и внедрение ИБ-решений", - замечает руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев, добавляя, что, по исследованию "Кода Безопасности", в среднем компании тратят на ИБ около 6% от всего ИТ-бюджета, а целенаправленно безопасностью сайтов занимают крупные организации, которые имеют высокий уровень зрелости.
На вопрос ComNews, стали ли компании МСБ больше беспокоиться о безопасности сайтов, мнения экспертов разделились. По мнению Сергея Золотухина из Group-IB, в связи с ростом количества инцидентов многие организации МСБ задумались о защите своих веб-ресурсов, вследствие чего в 2021 году количество запросов на аудит веб-безопасности (сайтов и приложений) выросло почти вдвое. кроме того, наблюдается рост запросов в направлении защиты от цифровых рисков.
По словам Павла Коростелева из "Кода Безопасности", малый и средний бизнес имеет низкий уровень зрелости, и нередко их информационная безопасность заканчивается на покупке защиты от DDoS у оператора связи, а безопасность веб-приложений — дорогая история, которая требует не только больших затрат, но и высококвалифицированных специалистов. Павел Коростелев добавил, что если компания не сильно заинтересована в предоставлении услуг и товаров в интернете, то и безопасность ее сайта не будет в приоритете.
За время исследования аналитики "Тинькофф Бизнес" выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием. Почти половина сайтов и баз данных компаний (46%) оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Кроме того, каждая пятая компания допускает у себя, минимум две ошибки.
Среди самых распространенных ошибок кибербезопасности в сайтах, аналитики "Тинькофф Бизнес" перечислили: отсутствие верификации домена ( у 34% компаний МСБ), означающее, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им, а в таком случае, злоумышленник может заявить права на владение сайтом и компания больше не сможет использовать собственный адрес; незащищенную базу данных (27%), откуда мошенник может беспрепятственно скачать данные, включающие имена, адреса, номера телефонов, сумму сделки и т.д., о клиентах и сотрудниках, компании; проблему с SSL-сертификатом, необходимым для работы по протоколу безопасного соединения HTTPS, который подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта, но у 15% компаний не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных; уязвимость к шифровальщикам (9%), ведь если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников; просроченный сертификат (7%), при истечении срока действия которого, браузер сообщает всем посетителям, что соединение не защищено и это снижает доверие пользователей, а компания теряет потенциальных клиентов. Самые редкие уязвимости связаны с удаленным управлением серверами компаний — на них приходится чуть больше 5% ошибок.
По мнению Павла Коростелева из "Кода безопасности" указанный перечень распространенных ошибок, скорее всего, не справедлив, и сильно перекошен в сторону сайтов, но при работе с информационной безопасностью в целом существуют более серьезные ошибки, которые могут привести к существенным потерям.
"Например, отсутствующие процессы инвентаризации ИТ-активов, реагирования на ИБ-инциденты или выявления и устранение уязвимостей в ИТ-инфраструктуре. Взлом сайта менее критичен, чем проникновение в корпоративную сеть с похищением или шифровкой всей находящейся в ней информации", - отметил Павел Коростелев, добавив что ближайшем будущем ситуация с обеспечением безопасности сайтов будет ужесточаться, и некоторые сайты могут подпадать под требования к критической информационной инфраструктуре, что повысит интерес к их защите.
По статистике Positive Technologies из отчета "Актуальные киберугрозы: II квартал 2021 года", использование уязвимостей веб-приложений – один из наиболее распространенных методов, который применяется в реальных атаках.
"Во 2 квартале 2021 года каждая десятая атака (10%) на организации включала эксплуатацию веб-уязвимостей. При этом в отрасли торговли веб-атаки применяются даже чаще – 21% от всех атак на организации из этой сферы. В госучреждениях доля атак с эксплуатацией веб-уязвимостей равна 15%, что тоже значительно. Распространенность данного метода объясняется широким применением и высокой критичностью веб-ресурсов в перечисленных отраслях", - заявил руководитель отдела аналитики Positive Technologies Евгений Гнедин, добавив, что аналогичные наблюдения его компания проводила и по итогам всего 2020 года, и тогда взлом веб-приложений использовался в качестве метода в 11% кибератак.
Опрос "Лаборатории Касперского" под названием "Малый и средний бизнес: переживая пандемию" (проведено независимым исследовательским агентством Arlington Research в 2021 году в 22 странах по всему миру, в опросе приняли участие 3 150 принимающих решения сотрудников организаций с численностью персонала до 250 человек, в том числе 200 человек в России ) показал, что небольшие компании сталкиваются с разными проблемами кибербезопасности. Почти в трети компаний (31%) возникают вопросы, как защищать корпоративные данные на личных устройствах сотрудников, 29% испытывают трудности с обеспечением безопасности в связи с тем, что на одного сотрудника приходится несколько рабочих устройств, 27% называют проблемой недостаток цифровой грамотности среди сотрудников. В каждой четвертой компании сотрудники не соблюдают правила информационной безопасности при ведении переписки по электронной почте, каждая пятая (22%) — с тем, чтобы каждый сотрудник использовал собственный логин и пароль для входа в системы. Для 19% компаний одна из основных проблем в области ИБ — обеспечить соответствие своих IT-систем законодательным требованиям.
Представители небольших компаний признаются, что часто нуждаются в советах по кибербезопасности. Так, 42% хотели бы понимать, как бороться с утечками, 29% — как избежать атак программ-вымогателей и что делать, если они произошли, 26% — как обеспечивать безопасность облачных сервисов.
В то же время более четверти (27%) опрошенных не уверены в том, что существует реальный риск пострадать от кибератаки или столкнуться с потерей либо кражей ценных данных. Однако, по данным опроса "Информационная безопасность бизнеса" (проводился "Лабораторией Касперского" в мае-июне 2021 года, участвовали 4 303 специалиста из компаний с более чем 50 сотрудниками из 31 страны, включая Россию; данные приведены по России.), для компаний МСБ-сектора, в которых сотрудники используют IT-ресурс ненадлежащим образом, общий годовой ущерб от утечек данных составляет 32 тысячи долларов США.
"Нередко маленькие компании являются частью цепочки поставок, и злоумышленники стремятся использовать доступ к их сетям в рамках многоэтапных операций по проникновению в сети более крупных организаций. Но бизнесу угрожают не только целевые атаки, очень часто заражение происходит из-за массовых рассылок вредоносного ПО, нацеленных на случайных жертв. А поскольку обычно небольшие компании защищены хуже, чем корпорации, это делает их легкодоступной мишенью", — комментирует эксперт "Лаборатории Касперского" по киберзащите малого и среднего бизнеса Андрей Данкевич.