Вітаємо, вас зламали. Як бізнесу правильно реагувати на публічні повідомлення про злами

25 лютого 2020, 08:45
НВ Преміум

Бізнес і держструктури завжди дуже болісно реагують на інформацію про витік даних і проблеми з кібербезпекою. Особливо, якщо ця інформація з’являється у Facebook.

#паровозикоблачко

Як правильно поводитися в таких ситуаціях — пояснюють ті, хто ці відомості публікує.

Контекст. #F*ckresponsibledisclosure і #паровозикоблачко

Наприклад кінці 2017 року спільнота українських кіберактивістів Український кіберальянс ініціювала флешмоб у соціальній мережі Facebook під назвою #FRD (#f*ckresponsibledisclosure). Він спрямований на публічне розкриття вразливостей державних інформаційних ресурсів.

Відео дня

Хактивісти знаходили і публікували на своїх сторінках у Facebook інформацію про вразливості інформресурсів органів влади, об'єктів критичної інфраструктури тощо. Публічно розкривати вразливості учасників флешмобу змусила відсутність реакції держструктур на повідомлення про проблеми в рамках так званого «відповідального розкриття» (responsible disclosure). Завдяки флешмобу #FRD вдалося виявити і закрити понад тисячу вразливостей державних ресурсів та інформаційних систем, серед яких — вразливості НАЕК Енергоатом, КМДА, поліції, судів, CERT-UA, Єдиного порталу вакансій державної служби та безлічі інших.

У 2019 у ком’юніті виник ще один подібний флешмоб — #паровозикоблачко. Він націлений на публічне розкриття вразливостей українських бізнес-структур, які, як пояснює його ініціатор Андрій Перевезій, «зачепили паровозиком» під час моніторингу мережі.

Однією з умов #FRD і #паровозикоблачко є те, що відомості про критичні вразливості ресурсів спочатку передаються до відповідних органів і публікуються лише після вирішення проблеми або відсутності реакції на повідомлення протягом тривалого часу. При цьому у відомостях про вразливість не публікуються дані, які можуть дозволити зловмисникам скористатися «діркою».

Андрій Перевезій і Олександр Галущенко — помітні фігури у співтоваристві українських кіберактивістів. З 2017-го вони публічно повідомляли про сотні інцидентів, пов’язаних зі зломами, витоками даних і дірками в безпеці. Реакція на такі повідомлення була найрізноманітнішою — від «спасибі» до погроз судом і візитів поліції. Минулого тижня Перевезій і Галущенко удвох виступили в рамках конференції CISO DX DAY 2020 перед керівниками ІБ-департаментів і власниками великого бізнесу, щоб пояснити, чим займаються, і як фігурантам витоків реагувати на таку інформацію.

Як бізнесу перестати боятися і полюбити повідомлення про вразливість — у матеріалі НВ Бізнес.

Мотивація, реакція і подяки від фігурантів

«Ми завжди прагнемо допомогти і виступаємо за те, щоб у нас у країні з’явилася кібербезпека. Зрозуміло, що неприємно виявити себе у #FRD або #паровозикоблачко. Більшість починає відразу нервувати, бігати до кіберполіції, заявляти про злом… Але ми викладаємо тільки те, що ви залишили у відкритому доступі, і краще це викладемо ми, ніж потім вашу базу клієнтів продаватимуть десь на чорному ринку», — говорить Андрій Перевезій. «Ми хочемо показати, наскільки це важливо, тому що зараз частина бізнесу при слові „кібербезпека“ робить квадратні очі і питає, що це таке. Бізнес часто вже не зіставляє свої ризики з кібербезпекою».

При цьому, кажуть учасники обох флешмобів, бізнес набагато оперативніше закриває вразливості, ніж державні органи.

Для прикладу наведемо два кейси реагування на ідентичні проблеми (витік скан-копій паспортів) від держави (Національне агентство державної служби) та бізнесу (туроператор Royal Voyage).

Реакция на утечку данных госструктуры (НАГС) (Фото: скриншот презентации)

Реакция на утечку данных госструктуры (НАГС) / Фото: скриншот презентации
Реакция на информацию об утечке бизнеса (Фото: скриншот презентации)

Реакция на информацию об утечке бизнеса / Фото: скриншот презентации

За підрахунками учасників флешмобів, у середньому термін реагування на виявлені вразливості в рамках #FRD становить до 14 днів, у рамках #паравозикоблачко — до 2 днів. При цьому, реакція на інформацію про уразливість і у бізнесу, і у державного сектора приблизно однакова: 24% заявляють, що у них «такого немає або це не страшно», понад 70% — заявляють, що самі хактивісти їх зламали і обіцяють написати заяви до кіберполіції. Однак подальші дії відрізняються:

Реакция госструктур на информацию об утечке (#FRD) (Фото: скриншот презентации)

Реакция госструктур на информацию об утечке (#FRD) / Фото: скриншот презентации
Реакция бизнеса на информацию об утечке (#паровозикоблачко) (Фото: скриншот презентации)

Реакция бизнеса на информацию об утечке (#паровозикоблачко) / Фото: скриншот презентации

Як реагувати правильно

Що ж робити, якщо ви прочитали відомості про вразливість або витік у вашій компанії, позначені одним з двох хештегів? Самі хактивісти рекомендують наступні кроки:

Розслабтеся. Ви вже потрапили до #FRD і #паровозикоблачко і цього не змінити.

Знайдіть причину. Пошуком винних ви займетеся потім, а першочерговим завданням є пошук причини витоку.

Усуньте причину.

Залучайте сторонніх фахівців. Свої постійні аудитори інформаційної безпеки мають замилені очі.

«Завжди по можливості залучайте через певний проміжок часу сторонніх фахівців. Вони допоможуть поглянути на проблему свіжим поглядом», — пояснює Перевезій.

Як правильно будувати комунікацію в разі витоку

Вкрай важливою, відзначають експерти з кібербезпеки, є грамотна комунікація із зовнішнім світом і всередині компанії.

Комунікація всередині компанії. «Як ви думаєте, хто першим бачить інформацію про витік, яку опубліковано у Facebook? Це маркетологи, SMM-спеціалісти, співробітники служби підтримки і т. д. Грамотно побудована комунікація дозволить уникнути репутаційних ризиків», — каже Перевезій. «Ви маєте бути синхронізовані з вашими маркетологами, SMM-никами, службою підтримки. У разі згадки Вашої компанії у #FRD або #паровозикоблачко, вони повинні бігти до вас щодуху і повідомляти про проблему».

Найчастіше співробітники компанії бояться повідомляти відомості про проблеми топ-менеджменту, але в разі витоку або вразливості це просто необхідно зробити, каже Андрій Перевезій.

«Говоріть правду. Зламати можуть кожного і будь-який власник бізнесу це розуміє. Жоден власник не може платити 100 тисяч доларів на місяць із вимогою щоб нас ніколи не зламали“. Просто тому що це неможливо гарантувати. Зламати можна всіх», — підкреслює Перевезій.

Комунікація з етичними хакерами. Не бійтеся звертатися безпосередньо до автора поста про вразливість — він може не тільки вказати на проблему, а й допомогти розв’язати цю проблему. Комунікація з етичними хакерами також позитивно позначиться на репутації компанії.

Комунікація з клієнтами. Комунікація з клієнтом у разі витоку є обов’язковою.

«Обов’язково повідомляйте клієнту про те, що сталося, і які кроки ви зробили для вирішення проблеми. Ваша репутація від цього тільки виграє. Ще раз підкреслю: зламати можна всіх. Але набагато цінніше не мовчки закрити вразливість, а показати, що «так, ми були вразливі, але ми виправилися», — рекомендує Андрій Перевезій.

Нагадаємо, за даними дослідження кіберзагроз IBM X-Force Threat Intelligence Index 2020 року, Україна посіла 12 місце в рейтингу країн за уразливістю від ботнетів. За даними розробників словацького антивірусу ESET, більше 75% атак вірусу Petya у 2017 році припали на Україну. Економічні збитки від цієї атаки засновник компанії «Октава Кіберзахист» Олександр Кардаков оцінив у суму до 450 мільйонів доларів.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

poster
Картина ділового тижня

Щотижнева розсилка головних новин бізнесу і фінансів

Розсилка відправляється по суботах

Показати ще новини
Радіо НВ
X