Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важную техническую документацию новейшего ПО захватят кибервымогатели, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, какие типичные ошибки в информационной безопасности допускают сотрудники компаний, порталу Biz360.ru рассказал эксперт компании «Сёрчинформ» Алексей Дрозд.
Алексей Дрозд – эксперт по киберпреступлениям, начальник отдела информационной безопасности компании «Сёрчинформ». По основной специальности – физик, позже прошёл профессиональную переподготовку по программе «Информационная безопасность». Автор публикаций и учебных программ по администрированию и практике применения DLP-систем для специалистов по информационной безопасности. Модератор и спикер профильных форумов и конференций.
Распространённая проблема во многих компаниях – сотрудники ведут рабочую коммуникацию в личных мессенджерах и почте. Это само по себе провоцирует риски информационной безопасности, так как выходит за защищённый контур компании. А значит, может привести к следующим последствиям:
-
конфиденциальная информация будет доступна сотруднику даже после увольнения;
-
«серые» схемы (откаты и боковики) не будут замечены службой безопасности;
-
сотрудники могут стать жертвами почтового фишинга, в результате которого злоумышленники завладеют аккаунтом и получат доступ к конфиденциальной информации.
Кейс. Наш клиент из металлургической отрасли столкнулся с тем, что сотрудник использовал личную почту на рабочем ПК для откатных схем. Специалист отдела снабжения получал на личный имейл коммерческие предложения от поставщиков и там же обсуждал с ними бонусы за сделку. Через несколько дней поставщики отправляли коммерческое предложение на корпоративную почту снабженца уже с завышенной стоимостью.
Социальная инженерия по-прежнему остаётся инструментом номер один для киберпреступников. Согласно отчету IBM, на долю фишинговых атак приходится порядка 30% всех кибер-инцидентов. Перед фишинговой атакой уязвимы как обычные юзеры, так и бизнес, в том числе и крупнейшие компании с собственными ИБ-отделами.
Фишинг (от английского phishing, созвучного с fishing – «рыбная ловля, выуживание») – вид интернет-мошенничества, при котором злоумышленники пытаются выманить конфиденциальные сведения: логины, пароли, реквизиты банковской карты, доступы к корпоративным сервисам. Обычно для этого используют поддельные сайты, письма или сообщения, которые выглядят как настоящие. Задача – заставить человека перейти по ссылке, ввести данные и тем самым передать их мошенникам.
Например, сотрудник получает сообщение якобы от службы безопасности о том, что один из корпоративных аккаунтов в скором времени будет деактивирован, и чтобы избежать этого, пользователю нужно повторно авторизоваться в системе, чтобы не потерять доступ к аккаунту.
Кейс. Злоумышленники взломали один из банков и крупную сумму со счетов его клиентов. Оказалось, что сотрудник не смог распознать фишинговое письмо и запустил вредоносное ПО в систему банка. В результате хакеры получили доступ к ИТ-инфраструктуре банка и завладели средствами клиентов.
Статистика показывает, что пользователи не сильно пекутся о надёжности своих паролей, не говоря уже о паролях к корпоративным сервисам. По данным NordPass, самый популярный пароль среди пользователей – «123456», его используют миллионы пользователей. И это несмотря на многочисленные истории взломов и краж почтовых аккаунтов и других онлайн-сервисов.
Из-за сотрудников, которые используют лёгкие пароли, конфиденциальная информация и корпоративные аккаунты (соцсети, блоги и другие активы) оказываются под угрозой. Если произойдёт взлом, то злоумышленники получат доступ во внутреннюю сеть компании или завладеют корпоративными аккаунтами.
Кейс. Показательный инцидент произошел с одной из страховых компаний. Хакеры взломали сервер компании, доступ к которому был закрыт паролем «password». За доступ к зашифрованному серверу преступники потребовали от компании многомиллионный выкуп.
Случайное разглашение конфиденциальной информации – одно из типичных нарушений со стороны сотрудников. По данным «СёрчИнформ», в 67% случаев сотрудники допускают утечку из-за незнания базовых правил кибергигиены.
Происходят подобные инциденты обычно из-за невнимательности или в спешке. Сотруднику нужно срочно ответить на письмо и он по ошибке нажимает «Ответить всем» или отправляет письмо однофамильцам. Если в результате такой оплошности данные о партнёрах и масштабах поставок, ценах и предоставляемых скидках окажутся в открытом доступе, то компания понесёт финансовый и репутационный ущерб. Кроме того, случайными каналами утечки информации из компаний становятся и бумажные документы, использованные как черновики или не уничтоженные должным образом.
Кейс. Бухгалтер на небольшом предприятии регулярно собирала для руководства отчёты об условиях работы с поставщиками комплектующих, используемых на производстве. Однако невнимательность сотрудницы привела к тому, что очередной отчёт она отправила одному из поставщиков, а не руководителю. В результате ошибки подрядчик узнал, с кем и на каких условиях работает предприятие. Инцидент привёл к финансовым потерям: подрядчик отказался сотрудничать на прежних условиях, ужесточив требования.
Облачные сервисы для совместной работы, как и некорпоративная почта, уязвимы перед хакерскими атаками. Во время работы в таких сервисах сотрудники могут раскрывать доступ к чувствительным данным. Если сервис окажется взломан, то злоумышленники получат доступ к корпоративной информации компании.
Кейс. Поисковая система «Яндекс» проиндексировала документы пользователей Google Docs. Для многих это стало сюрпризом, особенно для сотрудников известных компаний. Для поиска открылись и текстовые документы, и электронные таблицы. Некоторые из них содержали маркетинговые планы или зарплатные ведомости, которыми сотрудники обменивались с коллегами.
Практика показывает, что в информационной безопасности выигрывает всегда тот, кто подумал о проблеме заранее.
Защитите ИT-инфраструктуру
-
Разделяйте данные по категориям (секретные, конфиденциальные, важные, бухгалтерские и т.д.) и храните их в определённых местах – сетевых папках или сетевых хранилищах с разграниченными по пользователям правами доступа.
-
Для передачи данных используйте только шифрованные каналы: https, ftps, VPN.
-
Регулярно обновляйте ПО – устаревшие программы могут содержать критические уязвимости и стать точкой входа для внешних злоумышленников.
-
Регулярно производите резервное копирование. Настройте копирование по расписанию, например, один бэкап в день.
Исключите случайные ошибки сотрудников
-
Вводите регламенты и подписывайте соглашения о неразглашении данных.
-
Установите программу для контроля персонала. Базовый вариант – тайм-трекер. В идеале – автоматизированные инструменты контроля (DLP-система), которые фиксируют все коммуникации и пересылку информации в компании.
-
Используйте встроенные в средства защиты информации – вендоры постепенно добавляют подобный функционал в свои решения. Например, при попытке отправить письмо с подозрительным содержимым сотрудник получит уведомление от ИБ-службы о запрете действий.
-
Обучите сотрудников основам информационной безопасности. Если сотрудники знают базовые правила кибергигиены, то реже ошибаются в работе с данными и ведутся на уловки хакеров. Если у вас в компании не хватает собственных ресурсов на проведение обучения, то привлекайте профильных специалистов и внешних экспертов. Некоторые компании предлагают бесплатные курсы повышения ИБ-грамотности.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
