Экономия, которая дорого обходится, или теневая сторона пиратского ПО
Во время работы с разными компаниями я неоднократно сталкивался с тем, что они в повседневной работе используют пиратский софт и устаревшие решения. Когда я задавал вопрос, почему вы не используете лицензии, то чаще всего в ответ слышал: «А зачем платить, если можно не платить». Эту логику и подход легко понять. Это, например, как сказать: «Зачем лететь куда-то, если можно остаться дома и посмотреть телевизор». Формально ты экономишь, но на самом деле просто отказываешься от возможностей и берешь на себя скрытые риски. А это по стандарту ISO/IEC 27001 есть осознанное принятие неконтролируемого риска.
Пиратский софт: опасная экономия
Многие компании и пользователи выбирают пиратский Micrisoft Windows, Office, Adobe Photoshop и другие популярные программы, чтобы сэкономить, ссылаясь на то, что все используют и у всех все нормально работает. На первый взгляд кажется, что экономия оправдана, но на практике такая «бережливость» создает огромные риски. Приведу пару примеров. Пиратские версии операционной системы Windows не получают обновлений безопасности, уязвимости остаются открытыми для хакеров. В популярном офисном редакторе Microsoft Office документы могут быть заражены троянами, а макросы использоваться для скрытого контроля. В дизайнерских программах Adobe много источников вредоносных вставок и возможностей для кражи данных. И тоже самое касается любых других программных продуктов. Пиратский софт любого вида может иметь встроенные backdoor, кейлоггеры и майнеры.
Backdoor, утечка данных и репутация
Backdoor — это вредоносная программа, а иногда намеренно оставленная лазейка в коде программы, которая предоставляет удаленный доступ к устройству для несанкционированных действий. Backdoor в точности соответствует своему названию (от англ. back door — «черный ход»). Он скрытно впускает злоумышленника в систему, наделяя правами администратора. Пиратский софт часто содержит скрытые функции: сбор паролей, данных банковских карт, учетных записей, личные фото и документы. Компании рискуют утратой конфиденциальной информации, утечкой клиентских данных и потерей репутации. Даже самый мелкий «софтовый вирус» может привести к штрафам, потере клиентов и судебным разбирательствам.
Решения? Просто!
Переход на легальное и лицензионное программное обеспечение от Microsoft, Adobe и других разработчиков обеспечивает своевременные обновления, антивирусную защиту и контроль за установкой сторонних плагинов. Сегодня многие вендоры перешли на подписочные модели: Microsoft 365 предоставляет доступ ко всему пакету Office по ежемесячной подписке, а Adobe Creative Cloud — к Photoshop, Illustrator, Premiere и другим программам без единовременной крупной покупки. Это делает использование легального программного обеспечения гибким и бюджетным. Платить можно по мере необходимости, без больших стартовых затрат.
Дорого? Бесплатные альтернативы, которые спасают бизнес
Для малого и среднего бизнеса и домашних пользователей есть проверенные бесплатные альтернативы: LibreOffice, OpenOffice, GIMP, Linux Mint, Ubuntu, Chrome OS и т.д.
А зачем платить? Да кому мы нужны? Нас никто не взломает!
Подход «пиратский софт безопасен, пока я осторожен» — иллюзия. Пиратский софт — это идеальная точка входа для атак. Хакеры целятся именно в пиратские версии, потому что пользователь добровольно скачивает вредоносный файл и настойчиво устанавливает его, обходя антивирусы и системные предупреждения. Чем крупнее организация, тем выше риски! Данные клиентов, бухгалтерия, личная информация сотрудников — все в зоне атаки. Малый и средний бизнес часто недооценивает риск, думая, что их «не тронут». На практике же злоумышленники нацелены на любые открытые уязвимости, и им не важно, крупная это компания или частное лицо.
При подготовке документации по информационной безопасности я почти всегда учитываю реальную среду, а не теорию. И очень часто эта среда включает использование «крекнутого» ПО. В таких случаях я прямо фиксирую в требованиях: только лицензионное программное обеспечение, никакого «кряка», обхода защиты и устаревшего программного обеспечения. Реакция руководства предсказуема: «Зачем? Кому мы нужны? Нас никто не будет взламывать! У нас нечего красть!». Это и есть зона комфорта, в которой большинство инцидентов и начинается. Атаки почти никогда не происходят потому, что у компании есть что-то ценное. Они происходят потому, что есть удобная точка входа. Хакеру не важно, кто вы. Ему важны ваши ресурсы и данные.
Отдельно отмечу, что требование использовать лицензионное ПО — это не моя личная прихоть и не перестраховка. Оно прямо вытекает из международных стандартов информационной безопасности, в частности ISO/IEC 27001 Information Security Management, ISO/IEC 27002 Information Security Controls (включая управление ПО и уязвимостями) и связанных с ним контролей. В этих стандартах программное обеспечение без официальной поддержки и контроля обновлений рассматривается как неконтролируемый риск. Кряки, активаторы и модифицированные сборки нарушают целостность системы, создают скрытые каналы доступа и автоматически выводят организацию за рамки базового соответствия требованиям безопасности.
Стандарт ISO/IEC 27001
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Он задает требования к созданию, внедрению, поддержке и постоянному улучшению системы управления информационной безопасностью (ISMS). Основной целью стандарта является защита конфиденциальности, целостности и доступности информации, минимизация рисков утечки данных, кибератак и несанкционированного доступа.
Стандарт требует, чтобы компании идентифицировали и оценивали риски для информации; внедряли меры контроля и процедуры для их снижения; документировали процессы и соблюдали их; регулярно проверяли эффективность системы и улучшали ее. Использование крякнутого или нелицензионного ПО противоречит ISO/IEC 27001, так как оно создает неконтролируемые уязвимости и выводит организацию за рамки базовых требований безопасности.
Практика и соответствие стандартам в Азербайджане
Крупные организации в Азербайджане ориентируются на международные стандарты. Например, лидирующий мобильный оператор Азербайджана Azercell официально заявляет о соблюдении международных стандартов безопасности, включая элементы, совместимые с ISO/IEC 27001. В своей IТ-инфраструктуре компания применяет процессы управления активами, контроля версий, обновлений и мониторинга, что снижает риски, связанные с уязвимостями программного обеспечения и угрозами безопасности.
Мобильное приложение Международного Банка Азербайджана ABB mobile было сертифицировано по стандарту ISO:IEC 27001:2022. Этот сертификат, подтверждающий соответствие системы управления информационной безопасностью, был выдан после тщательной оценки приложения по ряду ключевых критериев.
Заключение
Берегите свои данные так же тщательно, как вы берегли бы свой паспорт и имя. В своих корпоративных письмах и документации я всегда отмечаю что безопасность компании — это ответственность каждого!
Турал Рагимли, специалист по IТ-инфраструктуре и кибербезопасности для малого и среднего бизнеса
