Хакерские атаки — постоянный фон цифровой жизни. Утечки данных, атаки, взломы - постоянные "герои" новостей. На этом фоне всё больше руководителей НКО начинают задумываться: а насколько защищены мы. Анна Ладошкина, основатель нашей студии, обсуждает с Агентством социальной информации, какие цифровые угрозы реально актуальны для НКО, как выстроить систему профилактики и здоровой работы сайта.
То, что вы делаете хорошее дело - не делает вас невидимыми или неинтересными для хакеров. Сайты благотворительных и гуманитарных организаций так же уязвимы, как сайты малого бизнеса, СМИ или образовательных проектов. А иногда - даже больше: потому что безопасность в некоммерческом секторе часто откладывается “на потом”. И это делает такие сайты удобной мишенью - не по персональному умыслу, а потому что они оказались в зоне риска .
Есть ли риск, что сайты НКО начнут взламывать?
Правильнее сказать - не начнут, а продолжают. Сайты НКО прекрасно взламывали, взламывают и продолжат взламывать. Это не страшилка из будущего (когда все другие сайты переломают возьмутся за НКО), а вполне современная сегодняшняя реальность.
Причины атак - разные. Но можно обратить внимание как минимум на три:
Причины атак - разные. Но можно обратить внимание как минимум на три:
Технологические. Существуют автоматические средства - сканеры, боты, которые ищут уязвимости по миллионам сайтов. Им всё равно, кому принадлежит сайт. Уязвимость - это просто точка входа. Бот находит ее, запускает вредоносный код и ему все равно кто вы и что вы собой представляете.
Экономические. Сайт - это ресурс. Его могут использовать для установки майнеров, вымогательства, размещения ссылочного мусора, скрытых редиректов или включения в ботнет. НКО в этих сценариях - не субъект, а “сырьё”. В конце концов вас могу взломать просто для того чтобы потренироваться или проинструктировать новичка, но вам от этого легче не станет.
Политические. В силу социальной, географической и любой другой принадлежности, сайты НКО могут подвергаться взлому по политическим мотивам. Для той или иной организации, группировки или даже кибер-армии это просто дело принципа или “борьбы” за какие-то свои цели. Вы и ваша работа не имеет к этому отношения, но им все равно.
Экономические. Сайт - это ресурс. Его могут использовать для установки майнеров, вымогательства, размещения ссылочного мусора, скрытых редиректов или включения в ботнет. НКО в этих сценариях - не субъект, а “сырьё”. В конце концов вас могу взломать просто для того чтобы потренироваться или проинструктировать новичка, но вам от этого легче не станет.
Политические. В силу социальной, географической и любой другой принадлежности, сайты НКО могут подвергаться взлому по политическим мотивам. Для той или иной организации, группировки или даже кибер-армии это просто дело принципа или “борьбы” за какие-то свои цели. Вы и ваша работа не имеет к этому отношения, но им все равно.
Мы в Бюро видели всякое: шифрование с вымогательство в социальном СМИ, китайскую порнографию на сайте музея истории, мошеннические атаки на инфраструктуру монастыря и спам-атаки на благотворительный фонд. Примерно каждый проект обновления устаревших сайтов начинается с того, что приходится разгребать последствия подобных “запустений”, о которых владельцы ресурсов бывает что и не подозревают.
Можно ли как-то защититься?
Вопрос в такой формулировке - сам по себе ловушка.
Он рождается из вполне понятного когнитивного искажения: безопасность кажется абстрактной и необязательной, пока не произошло что-то плохое. Пока не взломали, не украли данные, не заблокировали. И тогда мы начинаем действовать в панике - а паника плохой помощник. Она ведёт к чрезмерным или неудобным мерам, которые потом саботируются или просто не приживаются. И далее все опять по кругу.
Безопасность - это не что-то что можно достать из кармана, когда припекло. Это среда, в которой становится удобнее и естественнее работать защищено, чем “как бог даст”. И именно так она и должна быть устроена: чтобы не-безопасно становилась неудобным.
Отсюда мой призыв к руководителям всех рангов всех мастей - Сделайте безопасное - нормой. Стройте процессы безопасности также, как и все другие процессы - постоянно, системно, постепенно.
Он рождается из вполне понятного когнитивного искажения: безопасность кажется абстрактной и необязательной, пока не произошло что-то плохое. Пока не взломали, не украли данные, не заблокировали. И тогда мы начинаем действовать в панике - а паника плохой помощник. Она ведёт к чрезмерным или неудобным мерам, которые потом саботируются или просто не приживаются. И далее все опять по кругу.
Безопасность - это не что-то что можно достать из кармана, когда припекло. Это среда, в которой становится удобнее и естественнее работать защищено, чем “как бог даст”. И именно так она и должна быть устроена: чтобы не-безопасно становилась неудобным.
Отсюда мой призыв к руководителям всех рангов всех мастей - Сделайте безопасное - нормой. Стройте процессы безопасности также, как и все другие процессы - постоянно, системно, постепенно.
Какие базовые правила стоит соблюдать?
Самый частый сбой в этом разговоре - ожидание волшебного чек-листа, который “всё исправит, но ничего не потребует”. И вы, скорее всего, сейчас его ждете - это нормально. Но безопасная цифровая среда строится не на “разовых решениях”, а на системе, встроенной в повседневную работу.
Какие компоненты может включать такая система применительно к сайту ?
Ответственный за сайт
Кто-то должен понимать: где зарегистрированы домен, хостинг, подключённые сервисы и зачем они нужны; у кого есть доступы, почему, и где они хранятся; куда обращаться, если сайт не работает или “ведёт себя странно”.
Если нет такого человека - определите его, поставьте ему эту задачу, узнать, зафиксировать, навести порядок и дальше - контролировать, что все сообразно с этим порядком происходит. Спрашивайте с него периодический отчет - о том что происходит с сайтами, все ли с ними в порядке, что им нужно для нормальной работы.
Почему это работает: Ответственность за состояние сайта перестает быть формальной, а становится рабочей рутиной, которой занят конкретный человек. Меньше хаоса при инцидентах, быстрее восстановление, понятные действия в разных в том числе критичных ситуациях.
Структура доступов
Несколько хороших практик
- У всех, работающих с сайтом, должны быть индивидуальные логины. Один общий аккаунт - нельзя.
- Адрес входа в админку и саму админку необходимо защищать дополнительно и не использовать стандартные настройки (например у WordPress это страница wp-login.php)
- Ввести в организации использование менеджера паролей (например, KeePass - бесплатный и без облака).
- Сторонние подрядчики или волонтеры получают доступ временно и под задачу.
Почему это работает: сложнее использовать взломанные или утекшие данные, чтобы навредить сайту, сложнее обнаружить или подобрать вход на сайт, если взломают одного сотрудника, это не сможет существенно навредить сайту.
Инструктаж для сотрудников
Введите внутренние правила цифровой гигиены и проверяйте как она выполняется несмотря на сопротивления сотрудников (оно будет):
- Антивирус на рабочих устройствах.
- Пароли хранятся в менеджере, не в заметках, не в стикерах, не в письмах.
- По возможности - двухфакторная аутентификация во всех рабочих сервисах.
- Простые правила “проверки доверия” в коммуникации: сверка по телефону,
- Осторожность с вложениями и ссылками - общее правило не открывать их от незнакомых людей и контрагентов без предварительной проверки, что это за письмо и не является ли оно потенциально спамом.
Почему это работает: большинство взломов начинаются не с сайта, а с почты, мессенджера или незаметной халатности.
Надежная инфраструктура
- Хостинг выбран осознанно, с поддержкой и средствами защиты
- Подключены средства защиты на хостинге - файервол, анти-DDoS, мониторинг
- Сайты (если их несколько) - изолированы, средствами хостинга или вплоть до размещения на разных аккаунтах
- Бэкапы - автоматизированы, если нет собственных специалистов - пользуйтесь средствами хостинга, не экономьте на этом.
Почему это работает: Инфраструктура существенно влияет на степень защищенности сайта, когда вы ее арендуете, вы арендуете в том числе и практики безопасности - пользуйтесь ими, это выходит часто экономичнее и эффективнее, чем пытаться создать собственные системы.
Аудит и обновления
Рекомендуем выстроить регулярную работу с сайтом
- Проверять на наличие проблем с безопасностью 1-2 раза в год
- Обновлять CMS и плагины - по плану, а не когда сломалось или прилетело уведомление
- Периодически очищать мусор и удалять неиспользуемые модули или сервисы
Почему это работает: 80% взломов - через известные уязвимости. Не упрощайте хакерам жизнь добровольно.
Что можно сделать прямо сейчас?
Поговорите со своим подрядчиком. Используйте информационный повод, который до вас дошел - например об очередном громком взломе, как вопрос “что нам стоит улучшить сегодня”, наверняка получится список из 1-2-3-5 пунктов. Создайте и внедрите план этих исправлений. Возможно вы не решите всех проблем сразу - но постепенно движение и делает ситуацию лучше и надежнее.
Если подрядчика нет - спросите у нас, бюро ))) Бюро Анны Ладошкиной. Это может быть короткий разговор, но он даст вам наиболее необходимые шаги.
Итого
Подозреваю, что все, о чем мы говорили выше, - не новость. Вы это уже где-то слышали. Может быть, даже пробовали. И, скорее всего, сейчас ждали волшебной таблетки. Простого списка, после которого можно было бы выдохнуть и снова “не думать об этом”.
Простите, если я вас разочаровала.
Но если вдруг очередной громкий взлом, о котором пишут в новостях, станет для вас поводом что-то поменять - пусть так и будет. Это просто отлично. Не стоит добровольно упрощать хакерам жизнь )))
Полный комментарий и рекомендации читайте на сайте Агентства социальной информации
