На какие сайты хакеры нападают чаще всего

Свой сайт сегодня есть у всех компаний, и каждая из них находится под угрозой нападения киберпреступников. Чем они опасны, и кому стоит защищаться от возможного нападения больше остальных, рассказал Рустэм Хайретдинов, вице-президент ГК InfoWatch

Поскольку веб-приложение доступно любому пользователю Сети из любой точки мира, среди миллиарда потенциальных пользователей, могут оказаться не только добросовестные, но и злонамеренные. Для защитников информации все веб-приложения, выглядят одинаково: есть запланированные функции приложения и запросы на их выполнение, а есть незапланированные разработчиками функции, которые называют уязвимостями.= Через них злоумышленники могут выполнить действия, которые не предусматривались разработчиками.

Как вредят киберпреступники
Делают приложение недоступным или труднодоступным для других пользователей.

Для этого используют разные способы:

— «Забивают» канал доступа к приложению ложными запросами из различных источников и этим исчерпывают мощности сервера или канала. Такие атаки называются DDoS — Distributed Denial of Service (отказ в обсуживании).

— «Положить» веб-сервер штатной командой или «подвесить» его, заставив делать какую-то сложную операцию. Также, киберпреступники могут инфицировать приложение зараженной ссылкой и тем самым добиться включения сайта в каталоги небезопасных сайтов. Тогда, при заходе на веб приложение, пользователь будет получать от браузера или антивируса предупреждение о небезопасности посещения ресурса и рекомендовать прервать доступ. Это может значительно сократить посещаемость сайта, и, как следствие, продажи компании.

— Похищают данные. Обслуживание клиентов подразумевает хранение большого количества клиентских данных: персональной информации, данных аутентификации, истории заказов и т.п. Все это можно похитить, если у сайта будут уязвимости или неправильные настройки. Да и сами пользователи своей беспечностью часто помогают злоумышленникам: например, используют нестойкие пароли. Также процветает воровство контента — одни тратят много времени на подробное и красочное описание товара, сопровождают его фотографиями или видео, в то время как другие просто выкачивают это описание и видеоряд, чтобы затем поставить на свои сайты.

— Меняют информацию на сайте. Обычно такие риски связывают с хулиганством или хактивизмом. Ну что за риск, если кто-то на сайте напишет неприличное слово, или в порядке самоутверждения демонстративно оставит что-то типа «your website was hacked by ...»? Хуже, если злоумышленники оставят экстремистский лозунг — за это можно получить штраф. Но есть и более чувствительные риски изменения информации — это подмена контактов. Если клиент после изучения товара решит его купить, то важно, чтобы он сделал это на вашем сайте. Бывали случаи, когда мошенники подменяли ссылки и трафик переадресовывался на другие сайты. Обидно платить за привлечения трафика, если монетизировать его будут другие.

Чем рискует бизнес

Все действия киберпреступников, которые мы рассмотрели выше — это процессные риски, то есть, варианты нарушения запланированных и запрограммированных процессов. Не каждое такое нарушение ведет к убыткам компании. Наиболее опасные бизнес-риски можно разделить на четыре группы:

— Регуляторные. Они влияют на саму возможность вести конкретный вид бизнеса. То есть, если ведение бизнеса онлайн требует наличия какого-то разрешения (лицензии, аттестата или сертификата на систему или ее компоненты), и в результате инцидента это разрешение будет отозвано, то это риск потерять весь бизнес, или, по меньшей мере, его онлайн часть.

— Прямые финансовые потери. Это те деньги, которые можно потерять в результате инцидента, включая штрафы от регуляторов, похищенные средства, компенсация потерь клиентам и контрагентам и т.п.

— Косвенные финансовые потери. Это сопутствующие потери, связанные, например, с удорожанием стоимости услуг контрагентов из-за повышенного риска, или с уходом существующих клиентов ввиду потери доверия к сервису.

— Репутационные риски. Это отсутствие новых клиентов и снижение конверсии от привлечения трафика.

Кому беспокоиться больше остальных

Все рассмотренные риски могут оказывать разное влияние на бизнес (в зависимости от функций сайта). Если веб-приложение — это всего лишь набор маркетинговой информации, электронная брошюра, то, скажем, утечка даже всей его информации никаких рисков не несет. Если сайт уже хранит информацию о клиентах и их транзакциях, то риск утечки многократно увеличивается, поскольку можно «налететь» и на отзыв лицензии, и на штрафы регуляторов, и на уход клиентов. А если на сайте проводятся финансовые транзакции, то и сами деньги (или их аналоги, например, бонусные баллы или мили) клиентов могут быть потеряны.

Также имеет важное значение конкретный набор сервисов, котороые используют клиенты в вашем веб-приложении, и насколько просто получить их на других сайтах.

Скажем, сайт, торгующий электроникой, очень чувствителен ко всем вышеперечисленным рискам, его простой очень легко считается. Клиент, который не смог купить товар на сайте по любой причине (то ли весь сайт не доступен, то ли платеж нельзя провести, то ли некорректно работает процесс заказа), купит его на другом сайте, потратив несколько минут.

Сайт банка уже менее чувствителен к рискам: даже если клиент будет недоволен сбоями при онлайн обслуживании, нужно его очень серьезно рассердить, чтобы он перенес свои деньги в другой банк. Все же банки мы выбираем не только из-за функциональности веб-сервисов. Кроме того, смена банка — не такое простое занятие, ведь в отличие от предыдущего примера, клиенту придется выходить в офф-лайн ( ехать в банк, писать заявление, ждать какое-то время, возможно — терять проценты и т.п.). То есть, бизнес-риск у банка и у магазина электроники от одного и того же технического риска разные.

Еще меньше бизнес-рисков от технологических сбоев у сайтов госуслуг — если вы не сможете заплатить через сайт штрафы или налоги, то вы вряд ли из-за этого смените страну проживания, то есть как пользователь сайта никуда не денетесь. Риски на госсайтах совсем другие — например, размещение «фейковых новостей» может дезинформировать население, что, особенно в чрезвычайных ситуациях, может привести к печальным последствиям. Так что сбои на государственных сайтах несут скорее риски для карьеры конкретных чиновников, отвечающих за конкретную функцию и гос-айтишников, которые отвечают за работу автоматизирующего эту функцию веб-приложения, чем для государства в целом или конкретного государственного органа.

Как себе помочь

Не все сайты одинаково подвержены рискам, которые порождают технические сбои ввиду кибер-атак. Поэтому перед выбором средств защиты и организации процесса их использования стоит посчитать, что действительно важно для вашего бизнеса или ведомства, сколько стоит простой вашего веб-приложения, какие данные на нем хранятся, каковы могут быть штрафные санкции от недоступности сервисов и штрафы регуляторов за ненадлежащую защиту персональных данных.

Не экономить на безопасности и защищать все всегда по максимуму — похвальная стратегия, но в период экономического кризиса иногда приходится экономить и на безопасности тоже, поэтому оптимизация бюджета должна быть ответственной, с учетом всех возможных рисков. Изучение функционала веб-приложения, анализ видов данных которое он обрабатывает, составление сценариев нарушения деятельности сайта с описанием возможных потерь и другие описанные выше оценки помогут вам минимизировать риски при снижении бюджетов на безопасность.

Материал подготовлен «‎РБК Pro»