Кибербезопасность в бизнесе: проблемы и решения

В прошлом году мировая общественность потратила $1 млрд на борьбу с хакерскими атаками. Только на покрытие ущерба от утечек данных в 2020 ушло $3.86 млн, а в 2021 — $4.24 млн. Зная об этом, предприниматели стремятся предотвратить хакерские атаки. Почему малый и средний бизнес подвержен кибератакам и что можно сделать, чтобы избежать проблем?

Корень проблем

В отчете об экономической ценности предупредительного подхода в кибербезопасности приведена статистика.

  • Лишь 24% IT-специалистов инвестируют в инструменты для предотвращения кибератак.
  • У 56% организаций не разработан план реагирования на инциденты. Из оставшихся 44% только 32% считают, что их план мгновенного реагирования сработает эффективно.
  • 6% экспертов считают, что сложно восстанавливать данные после утечек из-за отсутствия протоколов безопасности, когда третьи лица получают доступ ко внутренней информации.
  • 66% опрошенных организаций используют для работы от 16 до 50 облачных сервисов и приложений. А 45% специалистов в области кибербезопасности боятся взлома аккаунта.

Очевидно, сотрудники фирм недовольны степенью защищенности IT-периметра, в котором они работают. И это можно исправить, если решить несколько проблем.

Некачественная криптография

Криптография — это процесс изменения электронной информации таким образом, чтобы ее не мог прочитать пользователь, не владеющий секретным ключом. Шифрование в деловой коммуникации гарантирует, что если хакер получит доступ к корпоративной переписке, то не сможет понять, о чем идет речь. Именно проблемы с криптографией и неэффективное шифрование веб-приложений разработчиками приводят ко взлому сайтов в 39,7% случаев.

Во избежание проблем не изобретайте собственные криптографические алгоритмы. Лучше пользоваться алгоритмами, зарекомендовавшими себя на рынке. Это симметричный стандарт шифрования AES, криптографический алгоритм RSA, алгоритм хеширования SHA-256. Надлежащее шифрование обеспечивает и VPN. Как поясняет гайд ExpressVPN, виртуальная приватная сеть защищает соединение между гаджетом и Интернетом, опираясь на продвинутые математические методы, туннелирование и шифрование. Выходя в сеть, вы становитесь невидимыми для хакеров, а ваша коммуникация остается конфиденциальной.

Межсайтовый скриптинг

12% проблем в IT-инфраструктуре бизнеса связаны с XSS-атаками (cross-site scripting). Приложение отправляет данные в веб-браузер, не предлагает пройти верификацию и зашифровать контент. Тем временем, хакеры встраивают вирусные скрипты в браузер, взламывая сеансы и заражая сайты. Так создаются благоприятные условия для фишинговых и вирусных атак, особенно на языке программирования JavaScript. В результате, хакеры проводят операции на страницах сайта, могут похитить персональные и финансовые данные пользователя.

Предлагаем рекомендации для защиты от межсайтового скриптинга.

  • В поле пользовательского ввода укажите фильтры, основываясь на то, что вы ожидаете получить.
  • Зашифруйте данные на выходе, используя комбинации HTML, URL, JavaScript, CSS.
  • Установите в запросах заголовки Content-Type и X-Content-Type-Options, чтобы убедиться, что браузер откликается именно на ваши запросы.
  • Включите дополнительный слой защиты, воспользовавшись политикой защиты контента (CSP — Content Security Policy).

Игнорирование обновлений

74% организаций не знают, сколько у них цифровых ключей и сертификатов. Сам по себе этот факт делает их уязвимыми перед угрозой хакерских атак. А 8% киберпреступлений возникают из-за того, что предприятия не установили необходимые патчи.

Справиться с этой проблемой помогут тренинги по кибербезопасности. Ведь до сих пор среди сотрудников фирм сохранился стереотип, что вносить изменения в ПО слишком энергозатратно. Поэтому на семинарах по информационной безопасности необходимо рассказать работникам, что многих атак можно было бы избежать, если вовремя загружать обновления. Также стоит объяснить, что этому действительно нужно посвятить некоторое время, даже если фирма работает на аутсорсе.

Залишити коментар