Иллюзия безопасности: 5 мифов о кибербезопасности, в которые до сих пор верит топ-менеджмент

В мире корпоративного управления есть опасный парадокс. На совещаниях топ-менеджеры скрупулезно просчитывают финансовые риски, проверяют контрагентов и закладывают бюджеты на форс-мажоры. Но как только речь заходит о кибербезопасности, логика часто уступает место опасным иллюзиям.

«Нас это не коснется», «у нас этим занимается сисадмин Паша» или «мы купили самую дорогую лицензию Антивируса Х» — эти фразы ежегодно стоят компаниям миллионов долларов, сорванных сделок и уничтоженной репутации.

Давайте снимем розовые очки и разберем 5 главных мифов, которые до сих пор живут в головах руководителей.

Миф 1. «Мы — малый/средний бизнес, кому мы вообще нужны?»

Откуда это вязлось? Из ощущения собственной «незаметности» на фоне гигантов рынка вроде Газпрома, Сбера или того же Яндекса. Кажется, что хакеры — это элита, которая охотится только за миллиардами.

Реальность такова, что современные кибератаки в 90% случаев — это не таргетированная охота, а ковровая бомбардировка. Злоумышленники используют автоматические сканеры, которые ищут уязвимости по всему интернету. Им все равно, кто вы — транснациональная корпорация или сеть семейных кондитерских.

По статистике, более 40% кибератак совершается именно на малый и средний бизнес. Почему? Потому что у гигантов есть огромные бюджеты на защиту, а СМБ-сектор часто беззащитен. К тому же, через мелкого подрядчика хакеры часто взламывают крупных клиентов (так называемые атаки на цепочку поставок или Supply Chain attacks). 

Миф 2. «У нас стоит дорогой файрвол — мы в домике»

У некоторых компаний восприятие кибербезопасности как средневекового замка: построим стену потолще, выроем ров (купим файрвол) — и враг не пройдет.

Но периметра больше не существует. В эпоху удаленки, облачных сервисов и концепции BYOD (Bring Your Own Device), когда сотрудники заходят в рабочие CRM со своих домашних ноутбуков или телефонов в кафе, «стена» становится бесполезной.

Если ваш сотрудник кликнет по фишинговой ссылке в письме и сам введет пароль от корпоративной почты, никакой файрвол не поможет. Хакер зайдет в систему не через пробитую стену, а через парадную дверь, используя легитимные ключи.

Миф 3. «Двухфакторная аутентификация (2FA) по SMS защищает на 100%»

2FA — это действительно отличный шаг вперед по сравнению с обычным паролем. А SMS-коды стали стандартом индустрии, к которому все привыкли.

SMS-аутентификация — это иллюзия стопроцентной защиты. Сегодня это один из самых уязвимых способов двухфакторки. Хакеры научились обходить его множеством способов:

• SIM-swapping (угон SIM-карты): Злоумышленники по поддельной доверенности выпускают дубликат сим-карты сотрудника в салоне связи.

• Фишинг нового поколения (AitM): Прокси-серверы перехватывают и пароль, и вводимый одноразовый код в режиме реального времени.

• Перехват через уязвимости SS7: Уязвимости в самих протоколах сотовой связи позволяют перехватывать SMS на лету.

Что делать: Переходить на аппаратные ключи (например, YubiKey) или хотя бы на приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator) вместо SMS.

Миф 4. «Если нас взломают, наши айтишники сразу об этом узнают»

Это миф из голливудских фильмов, где в момент взлома на экранах мониторов все мигает красным, а сирена кричит «Access Denied».

Лучший взлом — это незаметный взлом. Профессиональные хакеры (APT-группировки) могут находиться внутри корпоративной сети месяцами (в среднем от 100 до 200 дней) до того, как их обнаружат.

Все это время они ведут разведку: изучают структуру компании, читают переписку руководства, выкачивают конфиденциальные данные и ищут резервные копии, чтобы удалить их перед тем, как запустить вирус-вымогатель. Если вы узнали о взломе, потому что у вас заблокировались компьютеры, — хакеры сидят у вас уже очень давно.

Миф 5. «Кибербезопасность — это проблема IT-отдела»

Откуда взялся: Из привычки делегировать всё, что связано с компьютерами, «ребятам из IT».

Реальность: IT-отдел отвечает за доступность и работоспособность сервисов. Кибербезопасность (ИБ) — это управление рисками бизнеса. Это совершенно разные задачи, которые иногда даже конфликтуют между собой (айпишникам нужно, чтобы всё работало быстро и просто, а безопасникам — чтобы всё было защищено, даже если это неудобно).

Более того, главная уязвимость в любой компании — это не софт, а человеческий фактор.

Защита компании — это вопрос корпоративной культуры, регулярных тренингов персонала (cyber hygiene) и личной вовлеченности топ-менеджмента.

Вместо вывода: три вопроса, которые топ-менеджер должен задать себе сегодня

Если вы управляете бизнесом, забудьте про мантру «нас пронесет». Чтобы спать спокойнее, задайте своей команде три неудобных вопроса:

1. Сколько времени нам понадобится на полное восстановление бизнеса, если завтра вся наша IT-инфраструктура превратится в тыкву?

2. Где хранятся наши бэкапы, и проверяли ли мы хоть раз, что они реально работают и изолированы от основной сети?

3. Когда в последний раз наши сотрудники проходили учения по фишингу (и сколько из них «кликнули» на тестовую ссылку)?

Кибербезопасность — это не статья расходов и не галочка в отчете. Это страховка бизнеса от внезапной смерти. И начинается она с ликвидации иллюзий на самом верху.