Пользователи данного сервиса участвуют в самых разнообразных проектах и стартапах. Продумывая риски проекта, лишь единицы задумываются о проблемах безопасности, а те, кто задумываются не всегда могут оценить необходимый уровень и квалификацию специалиста отвечающего за безопасность. Так чаще всего её оставляют на программистов и администраторов. И это делается по одной причине - недостаточной оценки рисков и возможных потерь, связанных с безопасностью проекта.
Что же такое аудит безопасности и чем это может вам грозить? Об этом чаще всего и спрашивают нас люди, впервые узнающие об угрозах в сфере информационных технологий. На сегодняшний день доступность информации делает «сеть» все более и более не безопасным местом. Угрозы заражения вирусами, взломы корпоративных и частных сайтов, кража коммерческой информации, конкурентная борьба – вот те сложности, с которыми вы сталкиваетесь как только в сети появляется хоть какое-то упоминание о вас. В компаниях, зачастую привыкли считать, что угрозы нет, пока этого не случилось с ними.
Чем же может для вас обернуться обычный взлом вашего сайта? Существуют очень сложные в реализации аферы, но и приносящие большой разовый доход. Например, одна из таких афер - это захват вашего интернет-бизнеса, когда злоумышленники меняют реквизиты и телефоны вашей компании на свои, вступая в контакт с вашими клиентами и получая оплату от них на фирмы-однодневки. Одна такая афера может окупить все расходы, которые включают профессионального оператора-психолога, способного «уболтать» клиента на всё что угодно. Все зависит лишь от рода Вашей деятельности, оборота и популярности.
Скажите это не про вас? Пример был приведен не просто так. Снизим уровень рисков до интернет-магазина с автоматической системой приема оплаты. Как часто вы проверяете свои платежные реквизиты? Мошенники могут подменить их в любой момент и получать оплату заказов на свои счета. Вам же останутся озлобленные клиенты, с которыми придется долго и со скандалами выяснять куда же ушли деньги.
У вас не интернет магазин, а информационный или развлекательный сайт? И тут вы находитесь в опасности корыстных умов. Возьмём два последних громких случая про взлом battle.net (популярных во всём мире игровых серверов) с которых было похищены данные игроков, а возможно и платёжные данные, до этого был аналогичный взлом Steam. И ещё один случай местного масштаба, когда злоумышленник предложил журналисту «Ведомостей» базу данных «скидочных сервисов», в которой разместились контакты 760 тысяч москвичей за $500. Более 16 тысяч контактов из этой базы хакер прислал в качестве образца. В скомпрометированной базе находились имена, фамилии и адреса электронной почты пользователей. Кроме того, 92 тыс. контактов содержали номера телефонов жертв. И даже если вы не храните данные о клиентах – ваш сайт всё равно может стать финансовой целью. Вашим посетителям будет показываться назойливая реклама, их могут направить на автоматические системы заражения компьютеров. Данная практика используется годами и посетителей сайтов уже давно продают как товар.
Задумайтесь над тем, как это может подорвать репутацию вашего сайта/портала/интернет-магазина/фирмы… Ограбленный клиент, зараженный вирусом или просмотревший огромный поток рекламы – потерян для вас навсегда. Ваш сайт может попасть в чёрные списки поисковых систем и надолго исчезнуть оттуда.
И это мы рассмотрели всего лишь варианты не таргетированной атаки. Продажа ваших баз данных конкурентам может принести несравненно большую прибыль. Такие «продажи» могут приносить от 100 до 10 000$ за базу. Все зависит только от вашей ценности в глазах конкурента. А уж дальше кто-то решит, как использовать полученную информацию. Ударить в самое больное место, или опубликовать информацию о клиентах в сети, а может в СМИ? Клиентам, наверняка, не понравится узнать о своих, допустим, интимных заказах из утренней прессы в криминальном разделе с громким заголовком.
Утечка данных может только казаться мелочью, но утечка бывает не только с интернет-сайта, но и из офисных компьютеров. Например - базы финансовых программ, документы, составляющие финансовую ценность, бизнес-проекты и инвестиции.
Опасность может появиться там, где ее не ждешь. От любопытного хакера, решившего попрактиковаться, или от конкурента, решившего побольше узнать о вашем бизнесе, а может быть от простого рассерженного клиента или бывшего сотрудника.
Информационная безопасность - это целая отрасль, имеющая много направлений и требующая, в каждом из направлений, специалистов способных изучать новые угрозы, а так же, разрабатывать методику защиты от них. Конечно, можно надеяться на своих программистов или администраторов, но лучше всегда заранее оценить возможные потери, а главное - понять, что никакие принимаемые после инцидента действия не вернут все «как было»…
Ну а если говорить уж вообще серьёзно, думаю компании из мухосранска не могут быть потери больше их дохода, а их доход вообще не будет интересен конкурентам. Отсюда вывод, что таким компаниям нужно думать о бизнесе. А так вообще тема троллинга какая-то пошла.
Ну ну. Взломайте сайт Роснефти, опубликуйте новость, что Роснефть проиграла суд бывшим владельцам Юкоса, и Вы увидите, как за 3-5 минут капитализация Роснефти полетит вниз, а севшие на волну инсайдеры заработают за эти 5 мин. миллионы.
Старый прием, которым иногда пользуются наши ньюсмейкеры, депутаты и пр. для пополнения своих карманов.