Автор оригинальной статьи: Ник Мартиндейл (Nick Martindale), журналист-фрилансер, редактор и копирайтер, автор публикаций в ряде изданий, включая The Telegraph, приложения к The Times и HR magazine
По материалам: AAT Comment
Компании давно уже в курсе опасности, которую для них представляют злоумышленники, но до недавнего времени часто оказывалось, что они недооценивают риски кибератак. Недавнее исследование системных рисков, проведенное Банком Англии, дает основание думать, что в скором времени все может измениться. Уже 62% представителей финансового сектора рассматривают кибератаки в качестве серьезного фактора, идущего по значимости для них сразу после политических рисков и примерно вровень с геополитической напряженностью.
В сентябре 2017 года прогремела новость о кибератаке на системы Deloitte, в результате которой скомпрометированными оказались сотни электронных писем ее клиентов; среди них - отправители из ООН и четырех правительственных департаментов США. Произошедший почти одновременно аналогичный случай с компанией Equifax лишь дополнил картину, показав всем, насколько опасным это может быть. Однако не стоит думать, что это проблема только лишь крупных игроков, кроме которых хакеров больше никто не волнует: исследование от Beaming показало, что 62% профессиональных бухгалтерских организаций Великобритании в прошлом году пали жертвой хоть какой-то формы киберпреступлений, а общие потери для сектора составили £300 млн.
Любая бухгалтерско-аудиторская организация сталкивается с целым рядом рисков, способных иметь очень серьезные последствия – как финансовые, так и репутационные. “Самая большая угроза для любого современного бизнеса, пользующегося интернетом или электронной почтой, заключается в том, что персональные или чувствительные данные, которыми он владеет, будут скомпрометированы, похищены с требованием выкупа или просто украдены”, - говорит Сара Адамс (Sarah Adams), эксперт по кибербезопасности в Policy Bee. – “Аудиторская компания – привлекательная цель, поскольку отдача тут потенциально больше. Возможность получить доступ к бесчисленным счетам и собрать персональные данные в одном месте – слишком большое искушение, чтобы его проигнорировать”.
Один из самых больших рисков связан со взломом. Гарри Шеневи-Тренч (Harry Chenevix-Trench), операционный менеджер в Blackstone Consultancy, говорит: “Те составляющие сетевой безопасности, которые требуют наибольшего участия человека, обычно являются самыми уязвимыми. Это необязательно означает просто слабый пароль – это может быть, например, переход сотрудником по зараженной вредоносным кодом ссылке в электронном письме или случайное использование USB-носителя, содержащего зловредный код, который открывает “заднюю дверь” в корпоративную сеть”.
Это очень серьезная угроза в бухгалтерской сфере – соглашается Ливью Арсин (Liviu Arsene), старший аналитик электронных угроз в Bitdefender. “Бухгалтеры, работающие с множеством компаний, часто получают письма с прикреплениями различных документов, и каждое такое письмо буквально кричит о своей срочности. Как раз это ощущение срочности в рутинной работе криминальные элементы используют, чтобы склонить своих жертв к активизации приложения или переходу по зловредному URL”.
Фишинговые атаки, с которыми у сотрудников выманивают пароли и другую важную информацию, также становятся все более распространенными и изощренными. “Криминальные элементы осознали, что, атакуя один финансовый счет, содержащий много денег, они могут получить больше денег гораздо быстрее, так что они разработали то, что называется компрометирующей бизнес-атакой через электронную почту”, - рассказывает Дэниел Броуди (Daniel Brody), руководитель продуктовой линейки и защиты против мошенничеств в Cyxtera. – “Это такая атака, при которой криминальные элементы выдают себя за исполнительных лиц или финансовых специалистов в организациях, обманом вытягивая у другого сотрудника чувствительную информацию”.
Способы защитить свой бизнес
Если много вариантов действий, которые могут предпринять компании, чтобы снизить свои шансы стать жертвой взлома, отказа в доступе либо атаки с требованием выкупа. Директор Corero Network Security Шон Ньюман (Sean Newman) говорит, что лучше всего начать с регулярных обновлений всего используемого в компании программного обеспечения с помощью патчей, начиная с операционных систем персональных компьютеров и заканчивая специализированными бухгалтерскими программами. Если профессиональная организация занимается прямым оказанием своих услуг в режиме онлайн, очень высокий риск попасть под удар DDoS-атаки (распределенной атаки отказа в обслуживании). Если обеспечить постоянное обновление защиты от DDoS – либо самостоятельно, либо с привлечением стороннего поставщика услуг – это значительно снизит вероятность.
Политика компании в отношении надежных паролей также важна. Как минимум, они должны быть достаточно сложными и регулярно меняться – предупреждает Митеш Патель (Mitesh Patel), управляющий директор Fifosys. “Часто атакующему очень легко обнаружить отправную часть деталей пользователя на корпоративном сайте или в LinkedIn, а затем сконцентрироваться на взломе пароля”. Также компаниям стоит подумать о мультифакторной авторизации, чтобы оборвать любые транзакции, если пароль все-таки будет выявлен.
Также необходимо предпринять целевые меры против фишинговых атак. Отправной точкой должны стать образовательные программы для персонала, но полагаться только лишь на них не стоит – предупреждает Фрейзер Кин (Fraser Kyne), старший технический директор по региону ЕБВА в компании Bromium. “Просить людей быть осторожными – это все равно что просить их не употреблять алкоголя и регулярно делать физические упражнения. Все знают, что они должны это делать, но это не значит, что они всегда будут это делать. И, к сожалению, достаточно одной ошибки единственного пользователя – и вся хорошая работа может пойти насмарку”.
Параллельно с этим также значение имеет мониторинг использующихся систем для выявления фишинговых адресов, приходящих с похожих доменов – возможно, отличающихся лишь одной буквой или цифрой, добавляет Дэниел Броуди. “Таким способом они могут быть выявлены еще до того, как кто-то попадется, кликнув на них и передав информацию”.
Директор The Final Step Саймон Хит (Simon Heath) говорит, что помимо всего прочего очень важен эффективный бекап – то, что у них реализовано с помощью системы Datto. Таким способом можно нейтрализовать атаку с целью выкупа, даже если бизнес на нее попадется. В идеале нужно решение, способное восстановить данные в случае разных сценариев – говорит он. Например, это может быть даже простым досадным недоразумением, когда менеджер удаляет важную папку с данными сразу перед общим собранием, и все руководство тотчас же встает на уши.
Помимо обеспечения безопасности своих систем, профессиональным бухгалтерским организациям также приходится играть важную роль в консультировании своих клиентов в этой области. “Будучи аудиторами, профессиональные бухгалтеры часто тонко чувствуют, как технологии могут повлиять на раскрытие финансовой информации, и киберпреступления тут – никакое не исключение”, - говорит Дэниел Броуди. – “В самом деле, внимательность, с которой профессиональные бухгалтеры подходят к своим клиентам в ходе аудита, способна обнаружить скрытые ранее кибератаки. И некоторые профессиональные бухгалтеры действительно уже расшили спектр своих услуг на кибербезопасность, консультируя в этой области потому, что она так близка к обеспечению правильности отражения финансовой информации”.
Недавние наработки в финансовой и бухгалтерской области способны, однако, сделать кибербезопасность еще более актуальной темой. Директор продуктовой линейки в Sonic Wall Джон Гординир (John Gordineer) указывает на все более распространенное использование облачных технологий. Этот момент подчеркивали даже в Банке Англии. “По мере того как все больше приложений перемещается в “облако”, безопасность также должна трансформироваться, чтобы обеспечивать современную защиту. Шаг один – просто определить, какие облачные приложения используются, а затем уже встает вопрос об определении политики по устранению небезопасных теневых IT-приложений из организации”. Открытое банковское обслуживание, кстати, тоже повышает зависимость от “облака”, так как информацией при нем делятся с третьими лицами.
Вступление в силу регламента о защите персональных данных (GDPR), с которым любая организация, пойманная на нарушении целостности данных, может столкнуться со штрафом в 4% от ее общемирового оборота либо в €20 млн., заставляет всех – в том числе аудиторские компании – относиться к кибербезопасности гораздо серьезнее (если вдруг до сих пор они относились к ней несерьезно). “Для бухгалтеров ответственность выходит далеко за пределы простого комплайенса”, - говорит Соня Близард (Sonia Blizzard), управляющий директор Beaming. – “Самый значительный риск в том, что те, кому нельзя доверять в плане обеспечения сохранности данных их клиентов, скоро обнаружат, что у них вообще не осталось клиентов, кого нужно было бы защищать”.