Что такое ransomware и как к этому подготовиться?

Вымогательское ПО — это вредоносная программа, которая может шифровать, красть данные или блокировать доступ к данным и системам вашего бизнеса. Если сказать проще, оно делает файлы нечитаемыми, мешает сотрудникам работать на компьютерах и нарушает повседневные процессы, пока системы не будут восстановлены.

Это важно, потому что малые и средние бизнесы часто являются более простыми целями, чем крупные компании. Многие зависят от нескольких ключевых устройств, общей файловой системы, электронной почты, облачных приложений и одного подключения к интернету. Если нарушится хотя бы одна из этих составляющих, могут замедлиться выставление счетов, планирование, обслуживание клиентов и зарплаты.

Подготовка не означает купить один продукт и забыть о нем. Это означает наличие нескольких уровней защиты: более безопасные входы, обновленные устройства, резервные копии, обучение персонала и понятный план реагирования. Если вам нужна помощь в поиске независимого поставщика управляемых IT-услуг, также называемого MSP, мы можем помочь вам найти его.

Вымогательское ПО — это не только технологическая проблема. Это проблема перерывов в бизнесе. В первую очередь владельцы обычно ощущают последствия из-за потери времени, задержек заказов, пропущенных встреч, напряженности в команде и растерянности клиентов.

Расходы могут возникать сразу по нескольким направлениям. У вас может быть простой, срочные работы IT, замена устройств, юридическая проверка, уведомления клиентов и потери продаж. Если затронуты конфиденциальные данные, некоторые отрасли также могут столкнуться с обязанностями по отчетности. Требования зависят от отрасли и региона.

Самое сложное в том, что ни один честный поставщик не обещает нулевой простой или сеть, которую невозможно взломать. Хорошая подготовка — это про снижение вероятности серьезного инцидента, ограничение распространения, если что-то случится, и повышение шансов восстановить работу без хаоса.

Многие атаки начинаются с обычного на вид письма, SMS или страницы входа, которые подталкивают человека к тому, чтобы кликнуть по ссылке, открыть файл или ввести пароль. Другие атаки стартуют из-за слабых паролей, повторного использования паролей, старого ПО, которое не обновляли, или средств удаленного доступа, которые доступны из интернета.

Поэтому владельцы часто слышат несколько терминов по безопасности. Многофакторная аутентификация (Multi-Factor Authentication, MFA) означает, что для входа пользователю нужна вторая ступень, например запрос в приложении или код. Патчинг (patching) — это установка обновлений программного обеспечения и операционной системы, которые исправляют известные проблемы. Endpoint (конечная точка) — это устройство, которое подключается к системам вашего бизнеса, например ноутбук, настольный ПК или телефон.

Также вы можете услышать про обнаружение и реагирование на угрозы на конечных устройствах (endpoint detection and response, EDR). Это ПО, разработанное, чтобы замечать подозрительную активность на устройствах и помогать сдерживать ее. Еще один распространенный термин — удаленный мониторинг и управление (remote monitoring and management, RMM). Это ПО, которое многие поставщики управляемых IT-услуг используют, чтобы следить за состоянием устройств, обновлениями и уведомлениями. Эти инструменты помогают, но сами по себе они недостаточны без корректной настройки и регулярного просмотра.

Хорошая подготовка к вымогательскому ПО по сути «скучная» — в хорошем смысле. Сотрудники знают, как сообщать о подозрительных письмах. Устройства обновляются по расписанию. Важные учетные записи защищены MFA. Резервные копии проверяют, а не просто предполагают, что они работают. У бизнеса есть короткий письменный план: кто и что делает, если системы выйдут из строя.

Сильная стратегия резервного копирования часто описывается как подход «3-2-1». Это означает хранение 3 копий важных данных на 2 разных типах носителей, при этом 1 копия хранится отдельно от основной среды. Для многих малых бизнесов это означает комбинацию локальных и облачных резервных копий, причем как минимум одна копия не должна легко изменяться или удаляться во время атаки.

Если вы работаете с поставщиком, спросите, как он выполняет патчинг, проверку резервных копий, защиту учетных записей и планирование реагирования. Также уточните, что входит в их соглашение об уровне сервиса, или SLA. SLA — это письменная часть сервисного договора, в которой описаны цели реагирования, охват и зоны ответственности. Некоторые бизнесы также хотят помощь в стратегическом планировании от виртуального директора по информационным технологиям (virtual chief information officer, vCIO), то есть внешнего консультанта, который помогает с IT-планированием и приоритетами.

Если вы пока осваиваете базовые понятия, наша страница ответов объясняет распространенные темы простыми словами. Если вы сравниваете варианты, страница услуг поможет понять, что обычно входит в управляемые IT-услуги.

Не нужно делать всё сразу. Начните с базовых вещей, которые снижают частые проблемы и упрощают восстановление. Для большинства малых бизнесов первые заметные улучшения дают безопасность учетных записей, обновления, резервные копии и простой план реагирования.

Держите план коротким и практичным. Кого в первую очередь должен вызывать персонал. Какие внешние контакты важны. Где документированы резервные копии. Какие системы наиболее критичны для работы бизнеса. Чек-лист на одной странице лучше, чем длинный документ, который никто не читает.

Если ваша команда перегружена, растет или распределена по нескольким локациям, возможно, пришло время привлечь помощь извне. Это же актуально, если вы работаете с платежными карточными данными клиентов, медицинской информацией или другими конфиденциальными данными. Правила по платежным картам часто ссылаются на PCI — Payment Card Industry data security requirements (требования к безопасности данных индустрии платежных карт). Правила конфиденциальности, связанные со здоровьем, часто ссылаются на HIPAA — Health Insurance Portability and Accountability Act (закон о переносимости и подотчетности медицинского страхования). Некоторые более крупные клиенты также могут спрашивать про SOC 2 — это распространенная аудиторская структура для того, как сервисные организации организуют безопасность и связанные контроли.

Поставщик управляемых IT-услуг может помочь вам поставить базовые меры на место и поддерживать их в рабочем состоянии. Стоимость часто строится по модели ежемесячной оплаты за пользователя или за устройство. Очень грубые ориентиры для малых бизнесов обычно начинаются примерно с $100–$250 за пользователя в месяц за постоянное управляемое IT, а выше — если вам нужны более продвинутые меры безопасности, поддержка по соблюдению требований, обслуживание в нерабочие часы или сложные системы. Это не коммерческие предложения (котировки). Реальная цифра зависит от численности персонала, количества устройств, требований по безопасности и региона.

NodeBridge IT — не IT-провайдер и не компания по кибербезопасности. Мы не управляем, не мониторим, не защищаем, не ремонтируем и не получаем доступ к вашим системам. Мы предоставляем общую образовательную информацию и бесплатный подбор, чтобы вы могли понять варианты и связаться с независимым поставщиком, который подходит вашему бизнесу. Если вам нужна такая помощь, пройдите подбор.