Обучение персонала: закрываем каналы утечки данных
Изображение: recraft
Вместе с активными темпами цифровизации мира, не отставая, растет и число проблем безопасности. Абсолютно каждая IT-компания сталкивается с инцидентами в сфере ИБ, и 9 из 10 реализованных киберугроз связаны с непрофессиональными действиями сотрудников. Именно поэтому так важно вовремя обучить их правильному поведению в ситуациях, когда любой неверный шаг может привести к фатальным последствиям для компании. Андрей Меркулов, консультант по информационной безопасности RTM Group, расскажет, что нужно делать, чтобы закрыть каналы утечки данных через самое слабое звено.
Человеческий фактор как уязвимость в ИБ
Какие бы деньги организация ни тратила на дорогостоящие межсетевые экраны, антивирусные средства и другие средства защиты, это поможет, если сотрудник не сможет распознать фишинговое сообщение. Уязвимость человеческого восприятия реальности является самой непредсказуемой и тяжёлой для устранения.
Исследования в этой области показывают устрашающую статистику: 30% сотрудников с радостью откроют письмо и перейдут по вредоносной ссылке, а больше половины из них ещё и предоставит конфиденциальные данные. И хотя во всех основных стандартах по ИБ (ISO/IEC 27001, GDPR, NIST и тд.) осведомлённость персонала выносится на первый план, организации часто этим пренебрегают (или ограничиваются базой).
Теперь к последствиям, к которым могут привести действия сотрудников, прибавилось и серьезное «наказание рублем». Так, изменения в КоАП в части утечки персональных данных многократно увеличили сумму штрафов. Теперь верхний порог – 500 миллионов рублей, и не каждый бизнес способен выжить после такого.
Основными причинами инцидентов с участием сотрудника принято считать:
— отсутствие защиты на конечных точках (банальный пример – принудительное выключение антивирусного средства, которое мешает установить столь желанную программу);
— случайное удаление важных файлов (некорректно названные или размещённые файлы с важными данными могут быть удалены сотрудником «за ненадобностью»). Из всех опрошенных, кто так или иначе терял важную информацию, 25% заявили, что одной из причин стало непреднамеренное удаление файлов;
— незаблокированный рабочий стол (работник, работающий в открытом пространстве, отходит «на 5 минуток», оставляя всю конфиденциальную информацию на экране). Смотри, что хочешь! И эта ситуация очень распространённая – более трети сотрудников признаются в том, что иногда оставляют ПК незаблокированным;
— вынос информации за пределы организации. А ведь хорошая идея – скопировать файлы на флэшку и дома всё спокойно доделать, если, конечно, не потерять ее. Нередко персонал отправляет конфиденциальную информацию через мессенджеры. По утверждению ГК «Солар», 35% от рассмотренных происшествий возникли по причине использования мессенджеров в качестве каналов передачи информации.
Всё это может происходить по разным причинам – невнимательность, халатность, нехватка знаний и опыта. Однако результат всегда один – убытки для организации.
Виды инцидентов с участием сотрудников
К самым популярным видам таких инцидентов в организациях принято относить:
— фишинговые атаки;
— социальную инженерию;
— нарушение политик ИБ.
Фишинговые атаки подразумевают мошеннические действия в целях получения конфиденциальных данных сотрудников и организации в целом. Это некое «выуживание» информации из жертвы путём «закидывания наживки», от этого и название, в переводе с английского означающее «рыбалка».
Фишинговые атаки являются очень актуальными среди злоумышленников. Так, по сообщению директора ЦМУ ССОП, за 2024 год было заблокировано 22 тысячи фишинговых сайтов, а количество угроз такого типа по сравнению с 2023 годом выросло на 425%.
Отчёт «Лаборатории Касперского» содержит пугающие цифры: система «Антифишинг» предотвратила почти 900 миллионов попыток перехода на фишинговые сайты через ссылки, направленные злоумышленниками.
Существует большое количество типов фишинга, отличающихся методами реализации. Например:
— Смишинг (smishing) – нападение через СМС-сообщения. В сентябре 2020 года компания Tripwire выявила волну таких атак, в ходе которых киберпреступники маскировались под американскую почтовую службу USPS. Злоумышленники отправляли пользователям SMS-сообщения с уведомлением о необходимости проверить статус доставки посылки по специальной ссылке. Однако переход по ней перенаправлял жертв на поддельные сайты, созданные для кражи учётных данных аккаунтов Google.
— Вишинг (voice phishing) – атака с использованием звонков. Сегодня это очень распространённый вид мошенничества ввиду его высокой эффективности. Профит достигается за счёт умения злоумышленника виртуозно запутать потенциальную жертву. Этого он может достигнуть, применяя различные методы, – уговоры, угрозы, ложные факты. Бедный абонент даже не успевает понять, что происходит, и именно этим пользуется мошенник. Существует тысячи историй о том, как пожилые люди переводили миллионы рублей на «безопасные счета» после таких звонков (и откуда у них столько денег?).
— Уэйлинг (Whaling) – целевая атака на высшее руководство компании. В 2020 году ее жертвой стал соучередитель хедж-фонда Levitas Capital. Он не заметил, что ссылка, которую он открыл, – поддельная, и после внедрения вредоноса фонд чуть не лишился 8,7 миллионов долларов. Правда, даже вынести фактический финансовый ущерб в виде 800 тысяч долларов и репутационные потери в виде расторжения партнёрства с клиентом не удалось – компания закрылась.
Фишинговой атакой может быть рекламная спам-рассылка с заражённым файлом/ссылкой, направленная на широкий круг лиц. Обычно их легко вычислить. Даже самому невнимательному сотруднику будет понятно, что сообщение на электронной почте с контекстом «Вы выиграли 1 миллион рублей, введите 3 цифры с оборота банковской карточки» выглядит весьма подозрительно.
Однако намного чаще злоумышленники проворачивают более искусные атаки, минимизируя риск быть обнаруженным. Среди таких – отправка деструктива от лица компании и её сотрудников, имитация информационного сообщения от банка и другие.
Социальная инженерия – комплекс мероприятий, направленный на то, чтобы заставить жертву добровольно совершить действия, необходимые злоумышленнику. Стоит сказать, что этот тип атак включает в себя и упомянутый выше фишинг. Однако социальная инженерия – более широкий термин. Например, сюда относится физические атаки – проникновение на частную территорию, представившись курьером, получение информации от имени другого человека и так далее.
Нарушение политик информационной безопасности организации также нельзя оставить в стороне. В любой уважающей себя компании обязательно присутствуют внутренние документы, регламентирующие, в том числе, поведение персонала в обычное время и во время непредвиденных ситуаций. Они могут включать в себя профилактику инцидентов, обязательные к исполнению предписания (например, своевременную смену пароля), периодичность проведения оценки знаний и прохождения внешнего и внутреннего обучения.
Но зачастую сотрудники не хотят тратить своё «драгоценное» время на ознакомление с политикой безопасности компании, что нередко приводит к действиям «на ощупь» в той или иной ситуации. В купе с халатностью, невнимательностью и доверчивостью, сотрудник становится очень удобной и лёгкой мишенью для злоумышленника.
Регулярное обучение как средство противодействия
Помочь в заполнении пробелов в знаниях персонала может только целенаправленное предоставление информации о правилах осуществления безопасной работы! Для этого можно организовать внутреннее обучение сотрудников, приобрести внешний курс или найти бесплатный. Выбирать источник знаний для обучения персонала в сфере необходимо очень тщательно.
Важно, чтобы каждый сотрудник получил исчерпывающую информацию о следующих темах:
— Специфика действий мошенников в Интернете: какие основные действия выдают злоумышленника, как распознать фишинговые письма и мошеннические сайты. Например, сейчас очень популярной является схема обмана путём отправки жертве видеосообщения в Телеграм. Одним из таких случаев стало вымогательство денег у родителей через использование «кружочков» из аккаунта их детей;
— Безопасное использование мессенджеров: какие файлы можно, а какие строго запрещено пересылать другу/коллеге с рабочего места, какой информацией делиться и тд. Например, в 2018 году в крупной технологической компании один из сотрудников похвастался другу новым продуктом, который был ещё на этапе разработке. Последний, в свою очередь, выложил его на одном из технологических форумов, что по факту привело к утечке конфиденциальных сведений и срыву плана продаж;
— Правила работы с конфиденциальной информацией, включая хранение и обработку секретной информации, безопасный обмен данными между сотрудниками и клиентами;
— Создание и хранение паролей: как выглядит надёжный пароль, почему важно хранить аутентификационные данные в секрете и как правильно это делать.
Ещё одним необходимым условием обучения является проверка знаний сотрудников и их закрепление. Идеальный вариант – тестирование, которое даст сотруднику некоторые практические навыки в определении и предупреждении инцидентов безопасности информации. Многие компании проводят практические занятия без предупреждения – например, рассылают «фишинговые» письма, пробуют проникнуть в здание или системы посредством социальной инженерии и т.д.
Специальные курсы повышения осведомленности предлагает множество организаций, например, АИС, Лаборатория Касперского, Солар, Мегафон и другие. Они же предоставляют доступ к платформам для повышения осведомленности сотрудников в сфере информационной безопасности, однако чаще всего не бесплатно.
Если компания ограничена в средствах, мы рекомендуем организовать проведение мероприятий в рамках повышения осведомленности персонала самостоятельно. Если в штате есть специалисты, обладающие соответствующими знаниями, можно привлечь их для написания учебных материалов и проведения тестирований. Также есть специальные платформы для обучения персонала, включая Kaspersky ASAP, StopPhish, Secure-T, MEDOED (с бесплатным модулем повышения осведомленности). Такие ресурсы помогают сформировать базовое понимание основных вопросов обеспечения информационной безопасности и предлагают тестирование персонала после просмотра обучающих материалов.
Заключение
При построении эффективной системы информационной безопасности в организации необходимо начинать с самого опасного и непредсказуемого фактора – человеческого поведения. Не представляется возможным адекватное и безопасное будущее компании без сотрудников, в число компетенций которых должны входить не только профессиональные знания, но ещё и способность мыслить критически, знать своего Интернет-врага в лицо и возможность ему противостоять.
