Вскрыть систему ЭДО возможно за 4 шага. Как уберечь компанию от краха?

Девять из десяти информационных систем может вскрыть злоумышленник среднего уровня подготовленности всего за четыре шага, не прибегая к методам социальной инженерии [1]. Давайте разберемся, как обеспечить стабильную работу системы ЭДО, минимизировать риски кибератак, уберечь свой бизнес и пользоваться всеми преимуществами безбумажного воркфлоу.

События последних лет показали, насколько быстрыми, удобными и эффективными могут стать рабочие процессы, если перевести работу с документами в электронный вид. Действительно, ЭДО позволяет сберечь финансовые и временные ресурсы компании. За ЭДО будущее, но при одном условии: если вся цифровая система компании работает стабильно.

Что представляет собой система ЭДО?

Это обычное приложение, которое обрабатывает данные. ЭДО — это компонент большой инфраструктуры организации, с которой он функционирует как единый механизм. В электронном документообороте есть свои учетные записи, разграничение прав доступа, настраиваемые политики безопасности. При этом сама система может быть развернута как внутри компании, так и в облаке, то есть сервис ЭДО задействует ресурсы стороннего поставщика.

Можно ли быть уверенным в надежности сервисов ЭДО?

Популярные сервисы ЭДО вполне надежны, и саму систему компания может выбрать на свой вкус в зависимости от возможностей, которые предлагает разработчик. Но, как мы знаем, дьявол кроется в деталях.

В нашей сфере ИБ есть понятие «недопустимые события» — это кража данных организации, денежных средств, материальных ценностей, в целом параллизация деятельности компании, что обычно и является целями злоумышленников при взломе системы документооборота и любой другой системы.

В случае кражи данных сама система ЭДО вообще может не стать причиной их утечки. Предпосылкой здесь является сам факт интеграции системы документооборота в доменную среду, в качестве которой компании чаще выбирают Microsoft Active Directory. Взлом происходит через критическую уязвимость какого-либо сервера или узла в информационной системе. Хакер реализует вектор компрометации всей инфраструктуры, то есть захватывает домен и получает доступ ко всем учетным данным пользователей сети, в том числе административным. При проникновении во внутреннюю инфраструктуру компании и ее взломе уже становится возможным подобраться к документам, которые обрабатывает приложение. Злоумышленник уже достиг цели, даже не прикоснувшись к ЭДО.

Но система ЭДО становится объектом атаки, если злоумышленник стремится украсть деньги или товары. Например, в системе ЭДО компании согласуются заявки на оплату услуг подрядчиков или отгрузку товаров. Если злоумышленник завладел учетной записью в системе ЭДО, он инициирует от легитимного пользователя типовую заявку, но с подставными реквизитами или адресом. Другие сотрудники, не проверив детали, согласовывают заявку, и далее происходит кража. Основной причиной утечки учетных данных пользователей является человеческий фактор, который заключается в разработке ненадежной политики организации в отношении паролей и ИБ, а также простой неосторожности сотрудников. Приведем ряд примеров.

Мы знаем, что пароли от разных учетных записей должны быть сложными, разными и длинными — обычно администраторы именно такие и выдают, что пользователям не всегда удобно. Когда система ЭДО запускается из браузера, зачастую сотрудники сохраняют длинные пароли в кэше браузера для удобства ввода. Взломав инфраструктуру сторонних узлов, злоумышленник легко может посмотреть кэш и узнать пароль. Как правило, пароли от учетной записи пользователя на рабочем месте и от системы ЭДО все же разные и достаточно сложные, хотя могут совпадать.

Нередко администраторы сообщают пароль своим пользователям по почте в виде текста, и злоумышленник, прочитав почту, все понимает.

Отметим, что регулярная смена паролей от учетных записей, и ЭДО в том числе, едва ли станет превентивной мерой: опыт показывает, что среди паролей наступает путаница, и несколько сотрудников в итоге сменят пароль на простой. Если произошла утечка названий учетных записей, то с высокой вероятностью злоумышленник применит эффективную методику password spraying — подбор паролей к учетным записям по словарю часто используемых простых паролей. Если пароль, состоящий из года и имени, окажется валидным хотя бы к одной учетной записи из тысячи, взломщику этого будет достаточно.

Взлом ЭДО может стать отвлекающим маневром. Пока компания направляет усилия на восстановление работы ЭДО, злоумышленник проводит атаку на систему бухгалтерско-финансового отчета, через которую также возможно украсть денежные средства.

Отдельными факторами уязвимость сервисов ЭДО являются страна их происхождения и востребованность на рынке.

В современных реалиях мы с коллегами считаем заведомо уязвимыми западные аналоги ЭДО, и лучше от них уйти в пользу российских — сейчас есть из чего выбрать. Западные приложения в России не обновляются либо обновляются обходными путями через VPN и офшорные зоны, что усложняет своевременное обновление, а значит, повышает риск проникновения через известные хакерам уязвимости. Немаловажные момент: неизвестные пользователям закладки в зарубежном ПО, внедренные самим разработчиком, которые были заведомо введены по заказу иностранных спецслужб. Такое явление встречается и дает возможность иноагентам в нужный момент подключаться к системам обработки данных в своих целях, что, безусловно, нежелательно в случае использования ЭДО госорганами или госкомпаниями.

Использование востребованного сервиса ЭДО хорошо для компании с точки зрения разнообразия настроек, гибкости, техподдержки и в целом развития системы разработчиком в будущем. Удобная, но не слишком востребованная система ЭДО может закрыться как проект, что повлечет для потребителя такие неудобства, как подбор новой системы, ее внедрение, обучение сотрудников и возможную потерю клиентов. Но высокий спрос на систему ЭДО таит в себе и определенную опасность: популярный продукт — лакомый кусок для злоумышленников. Среди клиентов сервиса встречаются крупные игроки, а значит, можно поизучать систему на предмет наличия уязвимостей, ведь на кону большой куш.

Подведем небольшой итог. Выбор востребованного отечественного приложения ЭДО, учет логики злоумышленников, разработка качественной парольной политики и ее соблюдение позволят обеспечить определенную уверенность в сохранности данных и документов компании. Но не все так просто. Об этом поговорим далее.

Как обеспечить безопасность данных организации в системе ЭДО и за ее пределами?

Безопасность всей инфраструктуры компании и сохранность документов складывается из ряда взаимодополняющих компонентов.

В борьбе за соблюдение парольной политики и бдительность сотрудников напрашивается хорошее решение — треннинги по информационной безопасности. ИБ-ликбез способствует предотвращению разного рода атак, причем обязательно стоит работать с лицами, принимающими управленческие и финансовые решения. Но есть и другая сторона медали: треннинги не помогают на 100%, даже среди ИТ- и ИБ-сотрудников. Компания Intel Security, в прошлом McAfeel, протестировала 19 000 человек в 140 странах, и только 3% из них выявили все фишинговые емейлы в выборке из 10 сообщений, и 80% не нашли ни одного. Для проведения фишинговой атаки достаточно одного клика.

Немаловажно удобство использования учетных записей сотрудниками при обеспечении максимально возможной безопасности. На мой взгляд, в ИБ стоит провести аналогию с дорожной безопасностью: мы не должны многократно обучать сотрудников, как вести себя на дорогах. Сама ИБ-инфраструктура должна уберегать от ошибки даже самого неподготовленного сотрудника, как лежачий полицейский ограничивает скорость. Двухфакторная аутентификация по ключу, QR-коду или коду из СМС во всех критических точках входа — надежное решение, ведь от ошибки человека оградит сама система.

Еще одно удачное решение, особенно в случае облачного хранения ЭДО, — использование парольных менеджеров, которые могут быть представлены в виде расширения в браузере или выносной программы на рабочем столе. Такие программы хранят в себе пароли от всех остальных сервисов, входящих в воркфлоу компании, и являются очень надежными и также подразумевают двухфакторную аутентификацию. Предпочтительно выбирать отечественных производителей. Таким образом пароль не хранится в кэше браузера, который очень просто достать. Отметим, что использование парольного менеджера надежнее, чем хранение пароля в кэше, но менее безопасно, чем применение второго фактора.

И все же секрет настоящих победителей — это непрерывный внутренний мониторинг кибератак. В основе этого современного подхода лежит постулат, что система, любой ее узел, уже взломан, пока не доказано обратное. Организации стоит фокусироваться на своевременном обнаружении и грамотном реагировании на атаку в зародыше, пока она не привела к недопустимому событию. И именно в рамках описанного выше подхода к ИБ создаются SOC-и, то есть центры мониторинга и реагирования на киберугрозы. Стоит изначально признать, что даже самые подкованные в ИБ сотрудники могут совершить ошибку, неправильно что-то настроить или перейти по фишинг-ссылке. Нельзя гарантировать невозможность проникновения, поэтому своевременная проверка систем безопасности — основа неприступности вашей цифровой крепости.

Чек-лист других приемов, позволяющих укрепить цифровую инфраструктуру компании

• Своевременное обновление ПО и установка сертифицированных антивирусов, предпочтительно отечественного производства. 
• Использование балансира запросов к серверу или ограничения по взаимодействию с пользователями, что позволит предотвратить DoS и DDoS атаки и, соответственно, отказ в обслуживании.
  
• Наличие системы резервного бэкапирования и плана по восстановлению системы. Система бэкапирования — это известная практика, которая применяется в случае обрушения информационной системы по внутренним архитектурным причинам или вследствие вторжения и позволяет восстановить работоспособность системы, настройки и конфигурации, максимально актуальные данные из резервной копии. Здорово, если в организации существует еще и система действий при восстановлении данных — как правило, это люди и процессы, которые, уже используя ПО бэкапирования, производят восстановление данных. Ключевой здесь является квалификация сотрудников, оперативность и точность их решений, что позволяет сберечь время восстановления как ЭДО, так и любой системы в целом.
  
• Межсетевое экранирование траффика также будет полезно в случае использования системы ЭДО на веб-ресурсе: это позволит лишний раз обезопасить себя от атак, направленных на клиентскую или серверную часть.
  
• Применение комбинации достаточных вычислительных ресурсов для обычной нагрузки на систему и средств защиты системы от чрезмерной нагрузки, которые чистят трафики, ограничивают число обращений к серверу и защищают систему от атак типа DoS.
  
• Использовать отказоустойчивые инфраструктуры — такие, которые многократно задублированы, и выпадение какого-либо элемента не останавливает работу всей системы.
  
• Зарекомендовала себя методика «белый список программ», построенная по принципу списка гостей на мероприятия. Чем оценивать каждую программу с точки зрения вредоносности, предпочтительнее использовать белый список, который разрешает установку только проверенного ПО.

Таким образом, рассматривать безопасность системы ЭДО возможно только вместе с всесторонней защищенностью организации. Если компания в целом обеспечена двухфакторной аутентификацией, отделом мониторинга, квалифицированными ИТ-кадрами, парольная политика проработана и соблюдается, а также с сотрудниками проводится всесторонняя работа по ИБ, в сохранности вашего бизнеса от кибератак и их последствий можно быть уверенным.

[1]  Социальная инженерия — любые действия мошенников, подталкивающие жертву совершить ошибку. Например, манипуляции сознанием, в результате чего жертва передает злоумышленнику коды, пароли доступа к информационным системам или сама запускает вредоносное ПО или ПО, помогающее злоумышленнику получить доступ к телефону, компьютеру жертвы. Также примерами может служить фишинг, подбрасывание вредоносной флешки.