Ликбез про кибербез

Как привить сотрудникам навыки элементарной цифровой гигиены

Российский бизнес, а также госструктуры постоянно подвергаются кибератакам – в 2023 году специалисты МТС RED SOC выявили более 50 тысяч инцидентов – на 43% больше, чем за 2022 год. Больше всего высококритичных инцидентов было зафиксировано в промышленности (23%), ИТ-компаниях (21%), ретейле и банках (по 15%). Все это приводит к значительным финансовым и репутационным издержкам. При этом компании тратят миллионы на цифровую безопасность, но зачастую не уделяют внимания самому главному – человеческому фактору, который и обеспечивает успех противоправным действиям злоумышленников. Разбираем, как собственные сотрудники могут стать причиной успешной атаки на компанию и утечки данных, и как этого избежать.

Как возникают условия для кибератак

Слишком простые пароли

Простой пароль, например, составленный последовательным нажатием соседних клавиш типа 123456 или qwerty, – одна из причин, по которой наиболее часто взламывают аккаунты пользователей. Подобрать такую комбинацию злоумышленникам не стоит труда. Более того, у них собраны целые цифровые профили пользователей, содержащие в том числе информацию о логинах и паролях от аккаунтов. Источником для обогащения профилей служат слитые базы данных и фишинговые сайты.

В любом случае надежный пароль – это уже как минимум половина гарантии безопасности.

При этом стоит соблюдать несложное правило: один пароль – одно устройство/программа. Ведь использование одной и той же комбинации на всех гаджетах и сервисах в случае утечки данных пользователя ставит под угрозу все его аккаунты с аналогичным паролем. Причем проникновение в систему путем подбора пароля обнаруживается не сразу – это довольно сложно в отличие от взлома аккаунта пользователя, что заметят средства защиты.

Так что для почты, CRM-системы и любых других приложений пароли стоит придумать разные и сложные. Это могут быть комбинации случайных слов или только вам памятная дата, цитата или адрес. Можно воспользоваться специальным генератором паролей – их точно не подберет ни один взломщик. А для хранения большого количества паролей есть специализированные сервисы. Это правильная альтернатива пересылке паролей самому себе в мессенджерах или записи на стикерах.

Чтение подозрительных писем

Фишинговые атаки – еще один способ получить конфиденциальные данные пользователей. Для этого обычно используется рассылка по электронной почте под видом официальных писем от имени известных ведомств или компаний с якобы важным вложенным файлом или ссылкой для перехода. Человек неискушенный часто открывает такое послание, скачивает файл или переходит на подставной сайт, в результате чего на компьютер устанавливается вредоносная программа или он просто блокируется с требованием выкупа. Нередки в последние время такие атаки в мессенджерах – фишинг в Telegram или WhatsApp приходит в виде предложений о сотрудничестве от незнакомцев или сообщений о розыгрыше призов.

Определить, что письмо фишинговое, несложно, если быть внимательными. Как правило, такие сообщения составлены с ошибками, с чередованием заглавных и прописных букв, со странными символами – это позволяет им обойти защиту от спама. Обязательно стоит обращать внимание на адрес отправителя – у официальной организации или компании всегда свой домен. Например, mts.ru. Это же относится и к ссылкам на сайт – поддельная страница всегда содержит подменные символы, скажем, mtc.ru. Обращения в них обезличены – «Дорогой друг», они сообщают о неотложной срочности дела или даже начинаются с запугивания.

Около 80 процентов всех киберинцидентов, согласно исследованиям МТС RED, вызваны человеческим фактором. При этом ежегодно наблюдается 45-процентный рост объема получаемых пользователями фишинговых писем с применением вирусов-шифровальщиков.

Невнимание к оповещениям системы безопасности

Регулярное обновление программного обеспечения и особенно антивируса – залог полноценной защиты компьютера. В каждой новой версии программы разработчики устраняют содержащиеся в любом ПО уязвимости. Использование устаревшего варианта – это как добровольное приглашение к взлому. Поэтому, если система сигнализирует, что пришло время ее обновить, то необходимо это обязательно сделать – или самостоятельно, или сообщить об этом системному администратору.

Работа в незащищенной сети Wi-Fi с корпоративного ноутбука или смартфона

Общедоступные сети Wi-Fi в метро и на вокзалах, в отелях и библиотеках, медицинских учреждениях и ресторанах обычно имеют низкую степень защиты – к ним так же легко могут подключиться злоумышленники и скачать вашу важную информацию, в том числе логины и пароли, переписку, фотоснимки, клиентскую базу и корпоративные документы.

Это не значит, что не стоит вообще использовать эту услугу, просто не надо через общественный Wi-Fi подключаться к рабочим аккаунтам: скачивать файлы, вести переписку в рабочих чатах и т.п. Если же других вариантов нет, использовать публичный Wi-Fi можно только c применением технологий безопасного подключения к сети интернет.

Игнорирование двухфакторной аутентификации

Двухфакторная аутентификация — это вход в аккаунт с помощью комбинации двух различных и независимых друг от друга компонентов. Например, с помощью пароля для входа и специального одноразового кода, полученного на смартфон. Сегодня такой способ защиты используют практически все банковские системы, ее легко подключить и к личным устройствам, при входе в рабочую почту или CRM-систему.

Возможны два варианта двухфакторной аутентификации — настроить получение одноразового кода на указанный номер телефона (смс или push-уведомление) или на электронную почту. Можно также использовать специальное приложение-аутентификатор – каждый раз оно самостоятельно генерирует новый код для входа. Любой из этих вариантов – отличный способ защиты от взлома.

Как избежать кибератак

Эффективным способом снижения успешности кибератак и предотвращения утечек корпоративной информации из-за человеческого фактора является профилактика.

Руководитель направления Security Awareness МТС RED Илья Одинцов отмечает: «Самая легкая цель для атак на компании сегодня – это ее сотрудники, незнакомые с основами киберграмотности. Не понимая, с кем и чем на самом деле имеет дело, сотрудник может неосознанно выдать злоумышленнику свои учетные данные от корпоративных систем, сведения об используемых в компании ИТ — ресурсах, средствах защиты и прочую ценную информацию, которая поможет хакеру успешно развить атаку на компанию. Поэтому необходимо регулярно повышать осведомленность сотрудников в вопросах кибербезопасности: обучать теории и практике киберзащиты, проверять усвоенные знания. В этом компаниям может помочь наш сервис Security Awareness».

Сервис МТС RED Security Awareness основан на программной платформе, включающей комплекс теоретических курсов по основным темам, связанным с кибербезопасностью, и практический блок, позволяющий закрепить знания с помощью тренировок по отработке навыков киберграмотности. Обучение начинается с выявления слабых сторон сотрудника – для этого собирается информация о действиях сотрудников из систем безопасности компании, а также проводятся тренировочные фишинговые рассылки. Так определяется, что сотрудник делать не умеет. Например, создавать надежные пароли и распознавать фишинговые письма. На основе этих данных человек проходит интерактивный курс, осваивая недостающие навыки. На всех этапах обучения его сопровождают специалисты сервиса.

Этапы работы сервиса

Аналитический: на данном этапе изучается специфика компании и собираются данные о бизнес-процессах и сотрудниках.

Имитационный: моделируется атака фишинговыми шаблонами, составленными на основе аналитических данных. Эти письма рассылаются сотрудникам, что позволяет определить их текущий уровень киберграмотности.

Обучающий: на этом этапе сотрудники направляются через сервис на индивидуальные курсы, по итогам которых они проходят тестирование и при необходимости проходят их повторно.

Контрольный: для каждого сотрудника выстраивается трек с теоретическим и практическим обучением навыкам киберграмотности. Собирается статистика, на основе которой заказчик получает отчет.

Сервис интегрируется в систему заказчика бесшовно – он не вытесняет уже установленные системы безопасности, а наоборот, усиливает их. При этом данные о действиях сотрудников передаются из систем безопасности в облако по защищённым с помощью сервиса ГОСТ VPN каналам.

В состав учебных курсов сервиса входят 15 блоков по самым актуальным темам информационной безопасности от антивирусной защиты до противодействия социальной инженерии.

По данным провайдера, уже в первый месяц после начала обучения с сервисом МТС RED Security Awareness количество инцидентов безопасности, связанных с фишингом, снижается на 70 процентов.