Стратегиялық маңызды инвестиция

Қазақстандағы және әлемдегі ірі компанияларға жасалған кибершабуылдардан кейін бизнестегі алыптар ақпараттық қауіпсіздікке белсенді түрде инвестиция сала бастады, бұл ақпараттың ағуын азайтты, алайда шабуылдар азаятын емес. Хакерлердің нысаны ірі компаниялардан шағын және орта бизнеске ауысуда. Мұның бірнеше себебі бар: 1. шағын компанияға «сәтті» шабуыл жасалса, оның ірі клиенттеріне қол жеткізуге болады; 2. шағын компаниялардың қауіпсіздікті қамтамасыз етуге ресурстары жетіспей жатады әрі олар өздерін «хакерлерге қызықсызбыз» деп санайды.

Ranking.kz мәліметінше, 2025 жылғы қаңтар-наурызда Қазақстанда 30 мыңға жуық киберқылмыс тіркелген, бұл өткен жылдың сәйкес кезеңімен салыстырғанда екі есе көп. Ботнет қылмысы көш бастап тұр, бір жыл бұрын 1,7 мың жағдай орын алса, биыл 17,6 мың жағдай болған. Вирустар, желілік құрттар, трояндар сынды зиянды бағдарламалар ұйымдарға да, азаматтарға да шабуылын тоқтатпай отыр (8 мыңға жуық). Интернеттегі фишингтік шабуылдар 37,2%-ға өскен.

Ал дегеніне жеткен бір шабуыл компанияға бірнеше миллион теңге шығын әкеліп, тіпті негізгі процестерді тоқтатып, толық күйреуге жеткізуі мүмкін. Aon компаниясының 2025 жылғы кибертәуекелдер туралы жаһандық есебіне сәйкес шабуылдардың салдары IT саласынан әлдеқайда жоғары екенін көрсетеді. Дүниежүзіндегі 1400-ден астам кибероқиғаларды зерттей отырып, сарапшылар егер шабуыл жұртшылық пен инвесторлардың назарын аударатын болса компания акцияларының құны төмендейді (27%-ға дейін) деген қорытындыға келген. Демек киберқауіптер бизнес үшін қаржылық шығын, беделмен қатар стратегиялық тәуекел факторына да айналады.

Кибершабуыл қалай жасалады?

Ең танымалы ботнеттерден келетін ddos шабуылдары, нысандарына flood-трафигін жаппай бағыттау арқылы желілік деңгейде өтеді. Оларға қарсы тұру оңай емес, бірақ ең аз шығынмен немесе қиындықсыз жеңуге көмектесетін көптеген анти-ddos қызметтері бар. Біз оларға тоқталмаймыз, біздің мақсат құпия ақпаратқа қол жеткізу үшін жасалатын күрделі кибершабуылдарды егжей-тегжейлі қарастыру. Әдетте олар үш кезеңнен тұрады: қорғанысты бұзу, жүйеге тереңдеп ену және деректерді ұрлау немесе бүлдіріп-жою.

Бірінші кезеңде шабуылдаушы барлау жүргізеді және желіге немесе құрылғыға кіру үшін осал тұстарын табуға және соны пайдалануға тырысады. Хакер ашық ақпарат көздерінен мәліметтер жинап, күдік тудырмастан компанияның ақпараттық инфрақұрылымын мұқият зерттейді. Әлеуметтік желілер, компания сайттары, ашық мәліметтер базасын қарап, қызметкерлердің аты-жөнін, лауазымдарын, электрондық пошта мекенжайларын жинайды. Техникалық барлау үшін порттық, сервистік және осалдық сканерлері, DNS және IP талдау құралдары қолданылады. Жиналған ақпарат негізінде хакер қайдан шабуылдау керектігін шешеді.

Енудің ең танымал әдістерінің бірі — фишинг. Бұл зиянды бағдарламаларды орнату немесе логиндер мен құпиясөздерді ұрлау үшін компания қызметкерлерін алдау тәсілі. Шабуыл электрондық пошта мен мессенджерлер арқылы жүзеге асырылады. Зиянды файлдар немесе сілтемелер еш күдік тудырмайтындай етіп хатпен жолданады. Мысалы, бағдарламаны орнатуды сұрайтын «техникалық қолдау» хаты немесе корпоративтік құпиясөзді енгізу арқылы нысанды толтыруды талап ететін «басшының» хаты секілді.

Мұндай шабуылдардан қорғану үшін қызметкерлерді фишингтік хаттарды тануға үйрету маңызды. Ол үшін семинарлар, тренингтер өткізіп, тест режимінде фишингке ұқсас сілтемелер жіберіп дағдыларын тексеруге болады. Қызметкерлер сілтемені басқаннан кейін қауіпті байқап, ықтимал фишинг туралы хабарлағаны үшін марапталатын мәдениетті қалыптастырып, сақтау да маңызды.

Жүйеге енудің тағы бір танымал нүктесі — сырттан қолжетімді бағдарламалық жасақтаманың белгілі осалдықтарын пайдалану. Бұл тұста тәуекелдерді қалай азайтамыз:

• Сырттан қолжетімді барлық қосымшалар мен жүйелік компоненттердің тізімін жасаңыз (веб-қосымшалар, API, шекаралық желілік құрылғылар).
• Олардың қайсысы сыртқы қолжетімділік үшін қажет екенін анықтап, санын оңтайландырыңыз.
• Патчтар мен қауіпсіздік жаңартуларын уақытында орнатыңыз. Пайдаланылмаған қызметтер мен хаттамаларды өшіріп, жойыңыз.
• Сыртқы қызметтерге қол жеткізуді тек қажетті IP мекенжайларымен немесе ауқымдарымен шектеңіз. Осал тұстарды пайдалану әрекеттерін бақылап, блоктау үшін веб-экранды және шабуылды анықтау жүйелерін орнатыңыз.
• Сыртқы инфрақұрылымның осалдығын тексеріп, сырттан ену бойынша сынақтарды жүйелі түрде өткізіңіз.

Жоғарыда айтылғандай құпиясөздің жайылып кетуі жыл сайын артып келеді. Әдетте пайдаланушылар әртүрлі сервистер үшін, соның ішінде жұмыс сервистері үшін бір құпиясөзді пайдаланады. Forbes Advisor сауалнамасына сәйкес, пайдаланушылардың 78%-ы бірнеше есептік жазбалар үшін бірдей құпиясөзді қолданады. Мұны қылмыскерлер пайдаларына жаратып жүр, олар жасырын ресурстардан бұрын бұзылған құпиясөздерді (мысалы, жеке поштадан) сатып алады, содан кейін сол құпиясөзді ұйым жүйелеріне қол жеткізу үшін қолданады.

Қалай қорғанамыз?

• Құпиясөздерді үнемі өзгертуді қажет ететін саясатқа жүгініңіз (мысалы, 90 күнде бір рет). Пайдаланушылардан бірегей құпия сөздерді жасауды талап етіңіз. Ескі құпиясөздерді қайта пайдалануға тыйым салып, құпиясөзді бұрынғы базадан тексеріңіз. Пайдаланушы қарапайым құпиясөзді орната алмайтындай етіп жүйелерді реттеңіз.
• Сәтсіз кіру әрекеттерінен кейін есептік жазбаны бұғаттау үшін арнайы жүйелерді орнатыңыз (мысалы, белгілі бір уақыт ішінде 3–5 әрекет).
• Көп факторлы аутентификацияның көмегі көп. Екінші аутентификация факторын қосыңыз (мысалы, SMS коды, токен қосымшасы, аппараттық кілт). Бұл құпиясөзді табу, ауыстыру шабуылдарының тиімділігін төмендетеді.
• Бір IP мекенжайынан немесе қысқа мерзімде бірнеше рет кіру әрекеттері жасалған кезде CAPTCHA немесе басқа тексеру әдістерін қолданыңыз.
• Жиі сәтсіз кіру әрекеттері орын алатын IP мекенжайларын блоктаңыз.

Шабуыл сәтті жасалса не істейміз?

Егер шабуылдаушы еніп үлгерсе, ол екінші кезеңге өтеді — жүйеде тіршілігін кеңейте бастайды. Осы уақытта шабуылдаушы желі ішінде бақылауды қолға алып, дымын білдірместен құнды ресурстарға қол жеткізуге тырысады. Қосымша зиянды құралдарды орнатып, басқа есептік жазбалар жасайды.

Жоғарыда айтылғандарға қосымша қорғаныс шаралары:

• Желілеріңізді оқшауланған аймақтарға бөліңіз. Құпия деректері бар жүйелерді инфрақұрылымның қалған бөлігінен бөлек сақтаңыз. Шабуылдаушы еркін әрекет етпеуі үшін аймақтар арасындағы трафиктің қозғалысын шектеңіз. Желілік трафикті басқару және шектеу үшін VLAN (виртуалды жергілікті желілер), ACL (кіруді басқару тізімдері) және басқа желілік құралдарды пайдаланыңыз.
• Күнделікті тапсырмалар үшін артықшылығы бар есептік жазбаларды (мысалы, әкімші) пайдаланбаңыз.
• Құрылғылар, жұмыс станциялары мен серверлерді қорғау құралдарын қолданыңыз. Антивирустық бағдарламаны үнемі жаңартып отырыңыз.
• Файлдар мен дерекқорлардағы өзгерістерді бақылау үшін нұсқаны басқару және аудит жүйелерін пайдаланыңыз.
• АТ-инфрақұрылымындағы барлық пайдаланушылар мен әкімшілердің әрекеттерін журналға жазыңыз. Пайдаланушылар мен құрылғылардың мінез-құлқын талдау жүйелерін қолданыңыз. Нақты уақыттағы журналдарды талдау және күдікті әрекеттерді анықтау үшін SIEM жүйесін енгізіңіз (мысалы, әдеттен тыс кірістер, пайдаланушы атынан жат әрекеттер). Жүйелер мен желілердің конфигурацияларындағы өзгерістерді қадағалаңыз. Өзгерістерді автоматты түрде тексеру және бақылау үшін құралдарды пайдаланыңыз.
• Сыртқы әрекеттерден бөлек компанияның жергілікті желісіндегі осалдықтарды тексеріп, ену сынақтарын жасап тұрыңыз. АТ-инфрақұрылымындағы, сервистердің логикасындағы және конфигурациядағы әлсіз жерлерді анықтаңыз. Табылған осалдықтарды тез арада жойыңыз.
• Фишингке, жалпы киберқауіпсіздік бойынша қызметкерлерге арналған тренингтерді үнемі өткізіп отырыңыз.

Үшінші кезең — деректерді жүктеп алу не бүлдіру, құпия ақпаратты алу немесе жою дегенге саяды. Шабуылдаушының мақсатына қарай бұл қашықтағы серверге деректерді жүктеу, төлемді алу үшін ақпаратты шифрлау, деректерді жою немесе өзгерту тұрғысында болуы мүмкін. Сондай-ақ деректерді «қара нарықта» сату не одан әрі шабуыл жасау ү.шін пайдалану. Осы кезеңде қарсылық танытуыңыз керек:

• Маңызды деректердің тұрақты түрдегі сақтық көшірмесін жасаңыз. Көшірмелерді негізгі желіден оқшауланған жүйелерде сақтаңыз. Оқшауланған және негізгі жүйелерді басқару функцияларын бөлектеңіз. Сақтық көшірмелерден қалпына келтіру мүмкіндігін әлсін-әлсін тексеріңіз (тоқсанына 1 рет).
• Сенімді желі ішінде де сақтау және тасымалдау кезінде сезімтал деректерді шифрлауға тырысыңыз.
• Ұйымнан тыс құпия ақпараттың берілуін блоктау үшін деректердің бұзылуын анықтау жүйелерін орнатыңыз. Email, USB, бұлтты қызметтер және т. б. арқылы деректерді жолдауды бақылау ережелерін орнатыңыз.
• Шабуылдарға жауап беру жоспарын (IRP) әзірлеп, үнемі тексеріп отырыңыз. Сақтық көшірмелер мен қалпына келтіру сценарийлері арқылы шабуылдан кейін жылдам қалпына келтіруді қамтамасыз етіңіз.

Тобықтай түйін

Кибершабуылдар бүгінде тек корпорацияларға ғана емес, шағын және орта бизнеске де қауіп төндіруде. Көптеген компаниялар үшін бір рет жасалған «сәтті» шабуыл тек шығындарды ғана емес, бизнестің тоқтауын да білдіруі мүмкін. Сондықтан киберқауіпсіздік техникалық мәселе ретінде емес, тұрақтылық жолындағы стратегиялық инвестиция деп қарастырылуы керек. Бүгінде деректерді қорғауға және қызметкерлерді оқытуға күш және ресурстар салатындар ертең клиенттердің сеніміне ие, бәсекеге қабілетті болып қала береді. Цифрлық дәуірде ақпаратты қорғау қабілеті нарықтағы жаңа сенім валютасына айналғаны дұрыс.