Кейс Kovorkingi.ru: почему бизнесу важно думать о кибербезопасности
На портале Kovorkingi.ru мы занимаемся агрегацией гибких рабочих пространств. Проект существует с 2012 года. Долгое время сайт не поддерживался и оставался в старом непривлекательном дизайне, но тем не менее сохранял сильный SEO-потенциал — по большинству высокочастотных запросов он индексируется поисковиками в ТОП-10. В 2023 мы сдули с проекта пыль, привлекли инвестиции, собрали команду крепких специалистов и принялись за перезапуск проекта.
Атака
С момента перезапуска мы столкнулись с несколькими сериями кибератак типа «скрутка поведенческих факторов», осуществляемых посредством ботов, что является критичным для нашего бизнеса. В течение 8 месяцев на нас было направлено более десятка крайне мощных по меркам нашего бизнеса наплывов бот-нета.
График кибератак на портал Kovorkingi.ru
График наглядно показывает степень кибератак на наш портал. Синие и желтые пики — это наплыв ботов, кратно превышающих органический трафик на сайте, и призванных пессимизировать наш SEO посредством поведения, однозначно расцениваемого поисковыми роботами как негативное.
В начале разбирательств для нас все эти типы атак, их классификация и типизация были «темным лесом» — мы не хотели разбираться ни в типах, ни в видах, ни в подвидах. Мы просто хотели устранить или хотя бы нивелировать негативное воздействие мощной и неожиданной атаки на наш проект. Однако, разбираться все-таки пришлось - влоть до типов ботов, используемых в кибератаке и определения сетей, в которых они находились.
Момент для атаки злоумышленники выбрали максимально неудобный для нас. Мы только что осуществили полный редизайн, еще не успели заново настроить сбор метрик, при этом основной трафик у нас — из поисковых систем. Это значит, что помимо возможного негативного влияния редизайна на SEO-потенциал портала, к нему моментально прибавилось сильнейшее негативное влияние на SEO от ботов, осуществляющих накрутку негативных поведенческих факторов. Проще говоря, кто-то из наших конкурентов-агрегаторов решил обезопасить себя от возможного успешного перезапуска нашего проекта, и «положить» SEO-трафик сайта «в ноль» Нет трафика -> нет лидов -> нет сделок -> нет выручки. В случае, если бы злоумышленникам удалась их затея, для нас это означало бы необходимость полного пересмотра финансовой модели проекта из-за необходимости переориентирования в сторону платного трафика, увеличение сроков окупаемости, поиск дополнительного финансирования, сложных объяснений перед инвесторами.
Из-за плохо настроенных метрик атака была не сразу замечена нами. Однако, как только мы поняли, в чем причина, действовать начали незамедлительно. Прямо как Google с его «красным кодом» в 2023 году, когда резко рванул ChatGPT от OpenAI.Все наши ресурсы были моментально брошены на отражение атаки и выстраивание надежной защиты от подобных угроз.
Проконсультировавшись со специалистами по кибербезопасности, мы выяснили, что стоимость подобной атаки может составлять до нескольких сотен тысяч рублей в месяц. Как и сама атака, для нас это было большой неожиданностью. Для проекта, который развивается в узкой нише (трафик <50 000 пользователей в месяц) с небольшой финансовой емкостью рынка, подобные расходы на устранение конкурента являются чрезмерными и экономически необоснованными. Поизучав, кому из конкурентов это могло быть интересно, мы пришли к выводу, что наши недоброжелатели, вероятнее всего, такую сумму не тратили. Они сами являются техническими специалистами с большим опытом в SEO, и, соответственно, располагают возможностями произвести подобную атаку сильно дешевле.
Как формировать команду по защите информации внутри компании
Формирование команды по защите информации внутри компании зависит от:
размера организации и ее клиентской базы; нормативно-правовых актов, регулирующих деятельность организации; степени зависимости финансовых потоков от цифровых операций; чувствительности коммерческой тайны; многих других факторов.
В зависимости от них, компания может иметь четко прописанную политику по ИБ или не иметь ее вовсе. Сотрудники, отвечающие за ИБ могут быть как штатными, так и на аутсорсе. В небольших компаниях задачи по информационной защите часто можно возложить на стороннюю организацию, работу которой, тем не менее, нужно контролировать, как и работу любого иного подрядчика.
Часто компании стараются формировать команду внутри организации. Так легче контролировать передачу конфиденциальной информации и соблюдение политик, обучать сотрудников цифровой грамотности. В этом случае важно не «навешивать» все функции по обеспечению информационной безопасности предприятия на существующий ИТ-отдел, так как:
у текущих сотрудников может не оказаться требуемых компетенций; даже при наличии требуемых компетенций в результате могут получиться политики и меры, которые будут крайне сложны и невозможны к внедрению. Такое обязательно произойдет, если у делегированного на проект информационной безопасности технического сотрудника недостаточно компетенций в области анализа, моделирования и внедрения новых бизнес-процессов, эффективной работы с внутренними заказчиками и инвесторами, проектного управления.
Например, сотрудник ИТ-отдела, получивший задачу создания и реализации политики ИБ, одним из пунктов политики фиксирует переход «на единый корпоративный защищенный мессенджер», в то время как в организации уже давно и эффективно все сотрудники коммуницируют при помощи Telegram / WhatsApp. Бездумное приведение в жизнь данного пункта вызовет коллапс большинства бизнес-процессов. В то время как для достижения большей степени информационной безопасности нужно было всего лишь определить типы документов и информации, которые должны передаваться только посредством корпоративной электронной почты либо на физических носителях.
Мы пошли по пути использования услуг сторонней организации. После проведения небольшого тендера получили предложения с разбросом цен в 10(!) раз и совершенно аналогичным набором услуг. Выбрать было непросто, поэтому мы настояли на пилотных бесплатных периодах с ТОП-3 подрядчиками, в ходе которого и было выбрано решение. Весь процесс занял около 3 недель. Из соображений безопасности (ведь наши недоброжелатели вполне могут сейчас читать эту статью), мы не будем сообщать о выбранном решении и методе защиты. Отметим лишь, что оно крайне эффективное и находится в рамках наших бюджетов на цифровые инструменты.
На мой взгляд, идеальный сценарий для бизнеса среднего размера — когда в компании есть служба безопасности, качественно интегрированная в бизнес-процессы организации. Она не должна препятствовать выполнению задач бизнеса своими необоснованно строгими требованиями. На стороне СБ должен быть выделен IT-специалист, который специализируется на информационной и цифровой безопасности предприятия. Данный специалист действует в координации с IT-департаментом и/или департаментом цифровой трансформации, а также внутренними заказчиками: руководителями подразделений, работающих с информацией, которая представляет собой коммерческую тайну. Так, например, устроена система в сети гибких офисов SOK.
В крупных компаниях для решения задач информационной безопасности создаются отдельные отделы и департаменты.
В малых бизнесах достаточно будет аутсорс-организации, с которой может взаимодействовать ИТ-директор либо иной руководитель. Подбор персонала для решения задач ИБ может проводить внутренняя HR-служба, но только при наличии достаточных компетенций по найму сотрудников IT-профиля и в тесной работе с руководителем службы ИБ и ИТ-директором. При отсутствии этих компетенций, данный процесс однозначно стоит делегировать профильным компаниям.
Существует мнение, что ИТ-сотрудников с опытом системного администрирования лучше не брать на позиции, касающиеся ИБ — я с данным мнением не согласен. На фоне острой нехватки ИТ-специалистов на рынке, и в особенности специалистов по ИБ, можно рассматривать любых кандидатов, подходящих по ключевым критериям, и вкладываться в их развитие.
Политика информационной безопасности
Политика информационной безопасности является одним из ключевых документов, который влияет на большинство бизнес-процессов организации. Здесь всегда действует правило: чем строже политика, тем сильнее усложняются процессы, но тем выше уровень безопасности, и наоборот. Например, во многих организациях доступ в «корпоративное» облако возможен только из локальной сети, либо при настроенном VPN и сертификатах безопасности. Для каких-то организаций это базовая необходимость, для других может стать излишеством, мешающим сотрудникам эффективно выполнять свои функции из любой точки планеты.
Организации, находящиеся на ранних этапах своего развития вплоть до «юности» (по классификации Адизеса), политика информационной безопасности может не требоваться вовсе или быть достаточно мягкой. Это легко объясняется: на начальных этапах важна скорость роста, простота процессов, гибкость, а слишком жесткие политики только все усложняют.
Модель жизненного цикла организации Ицхака Адизеса
При переходе в фазы расцвета и стабильности появление политики ИБ необходимо. Возложить функцию ее создания можно либо на профильного специалиста, либо на привлеченную стороннюю организацию. При любом сценарии, чтобы политика получилась сбалансированной, возможной к внедрению и эффективной — важно длительное погружение автора(ов) политики во все существующие бизнес-процессы, которые будут затронуты данным документом.
Важно: итоговый документ обязательно должен быть согласован перед принятием советом директоров, топ-менеджерами и генеральным директором организации.
Хорошей практикой является вынесение в отдельные подпроекты всех существенных изменений в бизнес-процессах, вызванных внедрением политики. Возьмем тот же пример с общекорпоративным мессенджером. Если это решение принято осознанно и взвешенно, простого приказа: «Теперь пользуемся таким-то решением!» и установкой его на все устройства будет недостаточно. Чем больше подразделений и сотрудников затрагивает процесс, тем более он инертен и сложен к изменению.
Отлично, если в компании существует процедура внедрения изменений. Если ее нет, проектный подход к каждому изменению обязателен, сколько бы это не заняло времени: с расчетом и выделением ресурсов, созданием рабочей группы, замерами метрик и пр. В противном случае политика ИБ рискует остаться просто документом, к которому будут прибегать от случая к случаю, а ущерб от кибератак, либо просто ненадлежащего обращения с коммерчески ценной информацией, будет максимальным.
Работа по обеспечению информационной безопасности сложная, часто недешевая и не слишком приятная, но все это, однозначно, меньшее зло, чем те финансовые, репутационные и операционные риски, которые компания может понести, если игнорировать угрозу. Надеяться «на авось» в этом случае уже невозможно. В случае с ИБ «предупредить легче, чем лечить» — позаботьтесь о ней сейчас, чтобы избежать проблем в будущем.