Дайджест
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей
Подписываясь на дайджест, вы соглашаетесь с политикой конфиденциальности
По данным Тинькофф Бизнеса, 46% компаний малого и среднего бизнеса рискуют стать жертвой кибермошенников. Рассказываем, какие ошибки на сайтах и в базе данных приводят к атакам и как бизнес может их избежать
Антон Крюков, Александр Шилов
Эксперты информационной безопасности Тинькофф
Поделитесь статьей
Поделитесь статьей
По данным Тинькофф Бизнеса, 46% компаний малого и среднего бизнеса рискуют стать жертвой кибермошенников. Рассказываем, какие ошибки на сайтах и в базе данных приводят к атакам и как бизнес может их избежать
Антон Крюков, Александр Шилов
Эксперты информационной безопасности Тинькофф
Поделитесь статьей
В августе Тинькофф Бизнес собрал информацию о сайтах более 40 тысяч компаний малого и среднего бизнеса. Около половины из них оказались под угрозой. У компаний нашли ошибки, которые мошенники чаще всего используют, чтобы украсть данные о клиентах или как-то еще навредить бизнесу.
Собрали самые частые ошибки в одну статью: разобрались, как мошенники могут навредить бизнесу через сайт и как проверить ресурсы компании на кибербезопасность.
Какие сайты подвержены угрозам
По данным исследования, больше всего киберугроз у бизнеса в сфере консалтинга, розничной торговли и ИТ. По мнению экспертов Тинькофф, компании из этих сфер чаще других используют электронные сервисы, интегрированные с сайтом: CRM-системы, почты, базы данных, 1С.
Чем больше электронных сервисов использует компания, тем выше риск, что мошенники захотят его взломать. Каждая ошибка — это лазейка для киберпреступников к ее данным. Поэтому важно вовремя находить и исправлять ошибки, это значительно сокращает риск кибератаки.
Стать жертвой мошенников может любая компания. Кажется, что если у бизнеса всего один лендинг или небольшой информационный сайт, то вряд ли мошенникам будет до него дело. Но это не так. Взломать могут не только сайты крупных брендов или интернет-магазины. Кибератаки грозят и небольшим компаниям с обычными рекламными лендингами. Например, мошенник может украсть домен, то есть адрес сайта, чтобы потом попросить владельца его выкупить.
У пекарни есть сайт — primer-pekarnya.com. Адрес сайта указан на визитках, в рекламе, в рассылках для клиентов. Чтобы адрес сайта оставался у компании, его нужно продлевать раз в год. В этом году ответственный сотрудник компании забыл продлить домен. Мошенник это заметил и выкупил домен себе. Теперь он владелец сайта и может разместить на нем все что угодно. Например, какие-то выдуманные факты о компании или нецензурные фотографии, видео. От этого страдает репутация бизнеса. Чтобы пекарня могла вернуть адрес сайта себе, мошенник может вымогать деньги.
Сайты интернет-магазинов взламывают чаще. Здесь может храниться информация о продажах и клиентах: номера телефонов, имена, адреса. Мошенники могут украсть ее по заказу конкурентов.
Бывает, что у компании есть ошибка, из-за которой сайт сохраняет данные дебетовых и кредитных карт покупателей. В этом случае мошенники могут украсть и их, чтобы затем использовать в финансовых махинациях.
Иногда компании интегрируют внутреннюю CRM-систему с сайтом. В этом случае, если есть критическая ошибка, мошенник может получить данные о клиентах, сделках, оборотах, сотрудниках — обо всем, что хранится в CRM-системе компании.
Какие ошибки встречаются чаще всего
Есть три наиболее распространенные категории ошибок и рисков:
- Шифрование и блокировка доступов к данным компании.
- Кража данных о клиентах и продажах.
- Кража домена — адреса сайта.
Шифрование и блокировка доступа к данным. Шифрование данных означает, что мошенник получил к ним доступ и заблокировал их для компании или предпринимателя. Сотрудники не могут ими воспользоваться.
У крупного поставщика стройматериалов есть сайт. На сайте интегрирована электронная почта и CRM-система с данными о компании и клиентах. Мошенники заметили на сайте ошибку, которая открывает им доступ ко всем данным. Через нее они запустили вирус. Вирус заблокировал CRM-систему, почту и сам сайт. Теперь ни один сотрудник, у которого был доступ в эти сервисы, не может ими воспользоваться.
Часто цель такого шифрования — вымогание денег. Злоумышленник блокирует ресурсы компании и требует у владельца деньги, чтобы вернуть ему данные. Часто это сопровождается утечкой данных: преступники получают внутреннюю информацию о компании и могут выложить ее в открытый доступ. Например, информацию о сделках и партнерах.
Самая частая ошибка, которая помогает мошенникам получить доступ к данным и их зашифровать, — открытый служебный порт. По данным исследования, такая ошибка встречается на каждом десятом сайте.
Кража данных о клиентах и продажах. Почти у четверти компаний малого и среднего бизнеса база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки.
Киберпреступник может получить все данные, которые вводит клиент на разных этапах работы с сайтом компании: заполнение формы заявки на лендинге, регистрация на сайте, оформление доставки.
Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин. По сути, мошенник находит открытое окно и может украсть контакты клиентов за считаные минуты. Чтобы этого избежать, нужно узнать, какая именно ошибка открывает доступ к данным.
Кража домена — адреса сайта. Другая распространенная киберугроза — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании. Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.
Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, и получить на него права. А компания или предприниматель больше не смогут использовать этот адрес.
У ИП есть сайт с образовательными курсами. Предприниматель купил для сайта адрес primer-s-kursami.ru, но забыл подтвердить, что именно он владелец сайта с этим адресом. Мошенники заметили это и решили присвоить адрес себе. Для этого они взломали электронную почту владельца сайта и от его имени написали письмо в сервис, где ИП купил адрес. Такой сервис называется регистратором. Регистратор увидел, что владельца у этого сайта действительно нет, и отдал права мошенникам. ИП больше не сможет использовать
primer-s-kursami.ru и будет вынужден купить новый адрес.
Чтобы избежать кражи домена, нужно написать письмо регистратору, где вы купили адрес сайта. В письме сообщите, что права на адрес сайта принадлежат вам.
Чем грозит бизнесу утечка данных клиентов
Утечка или шифрование данных страшны для бизнеса потерей репутации и прибыли. К примеру, для интернет-магазина кибератака грозит сбоем в поставках и отменой заказов. Клиенты не могут покупать товары, поэтому каждый день, что сайт не работает, бизнес теряет деньги.
Партнеры компании или предприниматели, чьи электронные ресурсы атаковали мошенники, могут отказаться от сотрудничества или привлечь компанию к ответственности, если данные будут затрагивать их бизнес.
По закону бизнес должен защищать персональные данные клиентов от третьих лиц. Например, мошенники украли данные о клиентах и выложили их в открытый доступ. В этом случае компании или предпринимателю грозит штраф:
- для ИП — от 20 000 до 40 000 ₽;
- для руководителя ООО — от 8000 до 20 000 ₽;
- для организации — от 50 000 до 100 000 ₽.
На практике все зависит от того, какие клиентские данные утекли в сеть. Согласно закону о персональных данных, имя и телефон — это персональные данные, которые компаниям запрещено отдавать третьим лицам. Но благодаря соцсетям и форумам личные номера телефонов и имена людей уже давно есть в общем доступе. Так что найти источник, откуда они утекли, невозможно.
Однако бывает, что в открытый доступ попадают данные клиентов, в которых есть упоминание компании. Например, таблица с телефонами и именами клиентов конкретного ООО. В этом случае компания может получить штраф, потому что понять, кто допустил утечку данных, просто.
Как понять, есть ли на сайте ошибки
Заметить заранее, что злоумышленник проник к данным компании, практически невозможно. Сотрудники могут работать с базой клиентов и не знать, что параллельно преступники воруют их информацию. Чаще всего компания или предприниматель узнают о кибератаке уже по факту — после публикации об утечке данных в СМИ или если преступник сам об этом сообщит.
Кибератака дорого обходится бизнесу, хотя в большинстве случаев ее можно было предотвратить: проверить сайт и сервисы компании на ошибки.
Как правило, следить за ошибками и не допускать их — это задача системного администратора компании. Самые распространенные ошибки, которые приводят к рискам, устранить нетрудно. Главное — понять, с чем именно они связаны. Сделать это можно при диагностике инфраструктуры сайта.
Проверьте защиту вашего сайта от киберпреступников
Вы можете бесплатно проверить ваш сайт на ошибки. Для этого свяжитесь со специалистами Тинькофф Бизнеса по почте sme_infosite_feedback@tinkoff.ru. В течение двух недель вы получите список с наиболее критичными ошибками, описанными в статье, и рекомендациями по их исправлению. Чтобы устранить ошибки, покажите этот список вашему системному администратору или программисту.
Больше по теме
Все события бизнеса у вас в почте
Получайте первыми приглашения на вебинары, анонсы курсов и подборки статей
Подписываясь на дайджест, вы соглашаетесь с политикой конфиденциальности
