Блоги

Информационная безопасность и финансовые риски бизнеса



Пользователи данного сервиса участвуют в самых разнообразных проектах и стартапах. Продумывая риски проекта, лишь единицы задумываются о проблемах безопасности, а те, кто задумываются не всегда могут оценить необходимый уровень и квалификацию специалиста отвечающего за безопасность. Так чаще всего её оставляют на программистов и администраторов. И это делается по одной причине - недостаточной оценки рисков и возможных потерь, связанных с безопасностью проекта.

Что же такое аудит безопасности и чем это может вам грозить? Об этом чаще всего и спрашивают нас люди, впервые узнающие об угрозах в сфере информационных технологий. На сегодняшний день доступность информации делает «сеть» все более и более не безопасным местом. Угрозы заражения вирусами, взломы корпоративных и частных сайтов, кража коммерческой информации, конкурентная борьба – вот те сложности, с которыми вы сталкиваетесь как только в сети появляется хоть какое-то упоминание о вас. В компаниях, зачастую привыкли считать, что угрозы нет, пока этого не случилось с ними.

Чем же может для вас обернуться обычный взлом вашего сайта? Существуют очень сложные в реализации аферы, но и приносящие большой разовый доход. Например, одна из таких афер - это захват вашего интернет-бизнеса, когда злоумышленники меняют реквизиты и телефоны вашей компании на свои, вступая в контакт с вашими клиентами и получая оплату от них на фирмы-однодневки. Одна такая афера может окупить все расходы, которые включают профессионального оператора-психолога, способного «уболтать» клиента на всё что угодно. Все зависит лишь от рода Вашей деятельности, оборота и популярности.

Скажите это не про вас? Пример был приведен не просто так. Снизим уровень рисков до интернет-магазина с автоматической системой приема оплаты. Как часто вы проверяете свои платежные реквизиты? Мошенники могут подменить их в любой момент и получать оплату заказов на свои счета. Вам же останутся озлобленные клиенты, с которыми придется долго и со скандалами выяснять куда же ушли деньги.

У вас не интернет магазин, а информационный или развлекательный сайт? И тут вы находитесь в опасности корыстных умов. Возьмём два последних громких случая про взлом battle.net (популярных во всём мире игровых серверов) с которых было похищены данные игроков, а возможно и платёжные данные, до этого был аналогичный взлом Steam. И ещё один случай местного масштаба, когда злоумышленник предложил журналисту «Ведомостей» базу данных «скидочных сервисов», в которой разместились контакты 760 тысяч москвичей за $500. Более 16 тысяч контактов из этой базы хакер прислал в качестве образца. В скомпрометированной базе находились имена, фамилии и адреса электронной почты пользователей. Кроме того, 92 тыс. контактов содержали номера телефонов жертв. И даже если вы не храните данные о клиентах – ваш сайт всё равно может стать финансовой целью. Вашим посетителям будет показываться назойливая реклама, их могут направить на автоматические системы заражения компьютеров. Данная практика используется годами и посетителей сайтов уже давно продают как товар.

Задумайтесь над тем, как это может подорвать репутацию вашего сайта/портала/интернет-магазина/фирмы… Ограбленный клиент, зараженный вирусом или просмотревший огромный поток рекламы – потерян для вас навсегда. Ваш сайт может попасть в чёрные списки поисковых систем и надолго исчезнуть оттуда.

И это мы рассмотрели всего лишь варианты не таргетированной атаки. Продажа ваших баз данных конкурентам может принести несравненно большую прибыль. Такие «продажи» могут приносить от 100 до 10 000$ за базу. Все зависит только от вашей ценности в глазах конкурента. А уж дальше кто-то решит, как использовать полученную информацию. Ударить в самое больное место, или опубликовать информацию о клиентах в сети, а может в СМИ? Клиентам, наверняка, не понравится узнать о своих, допустим, интимных заказах из утренней прессы в криминальном разделе с громким заголовком.

Утечка данных может только казаться мелочью, но утечка бывает не только с интернет-сайта, но и из офисных компьютеров. Например - базы финансовых программ, документы, составляющие финансовую ценность, бизнес-проекты и инвестиции.

Опасность может появиться там, где ее не ждешь. От любопытного хакера, решившего попрактиковаться, или от конкурента, решившего побольше узнать о вашем бизнесе, а может быть от простого рассерженного клиента или бывшего сотрудника.

Информационная безопасность - это целая отрасль, имеющая много направлений и требующая, в каждом из направлений, специалистов способных изучать новые угрозы, а так же, разрабатывать методику защиты от них. Конечно, можно надеяться на своих программистов или администраторов, но лучше всегда заранее оценить возможные потери, а главное - понять, что никакие принимаемые после инцидента действия не вернут все «как было»…
19
4331
Комментарии
  • Черняк Дмитрий

    Инвестор
    Интересно, что об этой безопасности заботятся только крупные структуры. И занимаются ей очень сильные профессионалы. А вот спектр услуг для среднего и малого бизнеса, убытки которого в процентном соотношении оборот/убыток не ниже, чем у крупняка, ограничивается файерволом и дядей Васей на входе в офис.
    • Нищебродов Акакий

      Новатор
      Профиль пользователя удален по причине: Заведомо ложные данные профиля
      • Черняк Дмитрий

        Инвестор
        Вы о чем? Топикстартер писал о информационной безопасности. Причем здесь пиар? И какое отношение к информационной безопасности имеет локальная репутация компании?
        • Нищебродов Акакий

          Новатор
          Профиль пользователя удален по причине: Заведомо ложные данные профиля
          • Журавлёв Иван

            Новатор
            Дело не в каком-то сайте, вы правы, не всегда дело в репутации. Но есть сайты, который просто собирают данные, даже простая форма обратной связи с сохранением в базу данных. База потенциальных клиентов - это ценная информация для конкурентов.
            Ну а если говорить уж вообще серьёзно, думаю компании из мухосранска не могут быть потери больше их дохода, а их доход вообще не будет интересен конкурентам. Отсюда вывод, что таким компаниям нужно думать о бизнесе. А так вообще тема троллинга какая-то пошла.
            • Нищебродов Акакий

              Новатор
              Профиль пользователя удален по причине: Заведомо ложные данные профиля
              • 18.08.2012

                Инвестор
                например?
                • Нищебродов Акакий

                  Новатор
                  Профиль пользователя удален по причине: Заведомо ложные данные профиля
                  • Журавлёв Иван

                    Новатор
                    Ну конечно речь не про взлом пентагона или наса и даже не про получение доступа к ядерным боеголовкам, это не фильмы, это реальность. А она такова, что названная Вами организация имеет офисы, в которых точно такие же тесты на проникновения проводят, ставят специализированное сетевое оборудования, создают службу безопасности и службу технической поддержки, которых тоже обучают на персональных тренингах, а также они посещают разнообразные конференции, которые организовывают компании занимающиеся безопасностью.
                  • Черняк Дмитрий

                    Инвестор
                    " взломайте сайт Роснефти и попробуйте уронить ее акции или прибыль"
                    Ну ну. Взломайте сайт Роснефти, опубликуйте новость, что Роснефть проиграла суд бывшим владельцам Юкоса, и Вы увидите, как за 3-5 минут капитализация Роснефти полетит вниз, а севшие на волну инсайдеры заработают за эти 5 мин. миллионы.
                    Старый прием, которым иногда пользуются наши ньюсмейкеры, депутаты и пр. для пополнения своих карманов.
                    • Нищебродов Акакий

                      Новатор
                      Профиль пользователя удален по причине: Заведомо ложные данные профиля
    • Нищебродов Акакий

      Новатор
      Профиль пользователя удален по причине: Заведомо ложные данные профиля
      • Журавлёв Иван

        Новатор
        Это только кажется. Мой опыт говорит мне, что даже банки не все уделяют этому должное внимание.
      • 18.08.2012

        Инвестор
        подобные? ваша мега компания, за разглашение персональных данных в мухосранске заработает 500 уголоных дел от государства и еще 500 гражданских исков, по 1 000 000 каждый. как вам такой пиар? так что если вы можете легко отследить подобные вещи в ручном режиме, то думаю вам стоит обратиться на Баттл нэт и предложить им, потерявшим уйму денег, свой уникальный способ) бесплатно)))
        • Нищебродов Акакий

          Новатор
          Профиль пользователя удален по причине: Заведомо ложные данные профиля
        • Нищебродов Акакий

          Новатор
          Профиль пользователя удален по причине: Заведомо ложные данные профиля
          • 18.08.2012

            Инвестор
            Дмитрий, мне не нужно выигрывать 500 исков по 1 миллиону рублей, хотя я знаю, что мне заплатят сразу и без разговоров. Я просто расскажу в регионе, что ваша крупная компания нечиста на руку...и все...и весь ваш многомиллионный бюджет на проведение мероприятий по повышению лояльности - потратят на иски и хеджеринг) так что без зарплаты вы останетесь... я соглашусь с Иваном, когда в программное обеспечение вкладывают от 500 000 $ то это говорит о том, что крупные компании пекутся о своей безопасности в сети... и очень жаль что есть люди, которые считают этот вопрос не важным.
    • Журавлёв Иван

      Новатор
      Дмитрий, есть довольно таки большое уже количество компаний занимающихся разными направлениями безопасности и все они работают с разными сегментами бизнеса. Конечно, если речь про расследования (компьютерную криминалистику) тут цена не будет сильно меняться. А вот по этичному хакерству (тестирование на проникновение) будет более чем доступно большинству. Например наша компания оказывает услуги от 50т.р., на сколько мне известно есть ещё компании с такими же ценами в России.