Обучение кибербезопасности может предотвратить крах компании

Люди ищут в сети ответы на вопросы кибергигиены, заказывают учебные курсы, обновляют программное обеспечение. Зачем все это?

Значительная часть современной жизни уже переместилась в интернет, но многие именно последний год провели целиком и полностью за компьютером. Виртуальными стали все коммуникации с миром, включая работу, учебу и покупки.

А значит, небывалым образом выросла и численность потенциальных жертв кибератак, как и необходимость самостоятельно заботиться о кибергигиене. Однако для этого необходимо, чтобы люди знали, что нужно делать, на что обращать внимание.

Согласно ежегоднику Департамента государственных инфосистем (RIA), в 2019 году в Эстонии было зарегистрировано 24 369 киберинцидентов, то есть в среднем три сообщения об атаке в час. Заметно больше, чем в 2018 году, когда набралось 17 440 обращений. В прошлом году ожидалось, что результат 2020 года станет новым рекордом.

Агентство кибербезопасности ЕС и Интерпол отметили рост интенсивности кибератак в связи с распространением коронавируса. Мы не знаем реальных цифр этих атак, потому что не каждая из них сопровождается сообщением, а многие пользователи даже не замечают, что отправляют в корзину очередное фишинговое письмо.

Здесь важно, что примерно 80–90% успешных кибератак обеспечен помощью самого целевого бренда или его сотрудника, в основном случайной. Таким образом, можно сделать вывод, что большинство подобных атак можно предотвратить.

По поводу потенциальных кибератак у людей часто возникает вопрос: зачем кому-то понадобится меня атаковать? Ответов много, но злоумышленникам потенциально интересен любой пользователь, хоть юный, хоть пожилой. Обычно атаки совершают в корыстных целях – ради информации о банковской карте, кражи и/или продажи данных, даже прямого запроса денег.

И в то же время целью попытки причинить вред может быть даже развлечение – путем распространения личной информации или интеллектуальной собственности. Мотивом может послужить и желание воспользоваться компьютером жертвы для продолжения атаки с высокой для владельца компьютера вероятностью вмешательства полиции.

Автором атаки может быть шутник, профессионал или даже государство. Ее целью может стать каждый, тем более персонал компаний – в качестве и частных лиц, и сотрудников.

Многие компании, как и составляющие их люди, не ощущают потенциальной угрозы или верят, что их системы безопасности и так достаточно хороши. Если что-то смущает, с помощью интернета всегда можно найти материалы и освоить что угодно. Если вдобавок вспомнить, что в организации может быть несколько тысяч сотрудников, стоимость такого обучения кажется колоссальной.

Однако реальность такова, что каждая организация хочет защитить свои данные и наработки, а за передовую линию киберзащиты отвечает именно рядовой работник, и многие проблемы возникают по двум причинам: небрежность и сопротивление.

Во многих случаях бездумный клик по сомнительной ссылке или файлу запускает программу-вымогатель или другое вредоносное ПО, а порой и отправку вредоносного сообщения. Все это невнимательность, то есть легко поправимо.

Во-первых, для этого нужен не слишком напряженный рабочий ритм, однако и самому работнику следует знать, на что обращать внимание. Как отличить фишинговое письмо от настоящего и проверить ссылки? Многие и не задумываются о том, что каждая сессия передачи данных, каждый клик мышкой, каждое действие на компьютере оставляют след, создающий потенциальную опасность. Здесь полезны примеры из жизни, связанные с опытом и специализацией сотрудника, а такая информация обычно доступна только в рамках обучения.

Во-вторых, стоит помнить о том, что люди хотят как лучше. Стараются отвечать на вопросы клиента, пойти навстречу коллеге и всем помочь. А это означает, что они легко могут стать жертвой фишинга, при котором электронное письмо пытается выудить данные организации или что-нибудь в них изменить. Для предотвращения таких ситуаций персонал тоже нужно обучать.

Повседневная кибербезопасность – забота каждого, однако ИТ-персонал организации должен заниматься ею больше и с других позиций. Считается, что представителям этой профессии дополнительная информация не нужна, но опыт показывает, что айтишникам тоже нужна помощь в вопросах кибергигиены, хотя бы в том, чтобы учиться думать как обычный пользователь.

Системным администраторам, консультантам по информационной безопасности и тому подобным сотрудникам нередко требуется специализированное обучение, посвященное решению их конкретных задач и системных проблем. Например, как сделать так, чтобы контактная информация клиента не могла быть изменена в системе по телефонному звонку, даже если об этом очень просит звонящий клиент, у которого нет при себе документа. Ответ заключается в блокировке системы от внесения изменений при недостаточном наборе данных.

Кроме того, они могут и не задумываться о некоторых специфических угрозах, таких как разрешенное неконтролируемое автоматическое перенаправление на сайте или возможность ввести в поле авторизации код, чтобы войти на сайт. Самостоятельно руководитель по ИТ может не только не найти подобных вещей, но и не подозревать о них.

Это требует подготовки по распознанию потенциальных угроз и, по возможности, стороннего тестирования системы организации. Подобные учебные курсы и «работают» лучше всего при одновременном тестировании безопасности. Свежий взгляд, как и новые знания со стороны, придают направление мыслям специалистов по безопасности.

Высшее руководство любой организации, а в случае крупной компании – и менеджеры среднего звена должны проходить отдельное дополнительное обучение. Логично, чтобы руководители получали наиболее широкую картину текущей ситуации и базовые знания по кибергигиене, однако есть и другие причины для дополнительного обучения.

Во-первых, решения по кибербезопасности во многих компаниях принимает именно высшее руководство, которому для этого требуется четкое представление о ключевых тенденция в отрасли и аналогичных организациях. Однако не менее важно и то, что руководство – очевидная мишень для кибератак. Фишинговые атаки сейчас вообще очень распространены, но влиятельные люди становятся их жертвами чаще, чем остальные, и обычно эти атаки лучше продуманы. Чтобы их распознавать, нужно обсудить конкретику со специалистами и создать систему самозащиты. Заказной тематический тренинг тоже помогает уточнить представление о том, что стоит сделать для защиты данных организации.

Сэр Джон Соерс, избранный в 2009 году главой британской разведслужбы МИ-6, отправился в отставку еще до того, как вступил в должность, пишет Daily Mail. Причина тому была очень современной – публичный аккаунт его жены в Facebook содержал информацию о месте жительства, детях и родственниках семьи. В ленте, среди прочего, появились праздничные фотографии, и весь интернет узнал, как замечательно идут новому директору полосатые плавки. А заодно выяснилось, что известный отрицатель Холокоста Дэвид Ирвинг – родственник свежеизбранного директора, что не слишком сочетается с этой должностью. Так что МИ-6 пришлось искать себе нового главу.

В 2012 году система LinkedIn была взломана с помощью информации сотрудника этой компании, найденной злоумышленниками в той же социальной сети. Это предоставило им доступ к данным тысяч людей, одним из которых был сотрудник Dropbox. Тогда его данные были использованы для доступа в Dropbox и оттуда далее. Что при этом заметно облегчило задачу хакеру, так это склонность пользователей задавать для разных адресов один и тот же пароль. Тогда единственная утечка открывает доступ к другим системам – просто вводи пароль и входи.

В 2020 году была взломана база данных пациентов частной клиники Vastamo в Финляндии. Данные этой базы были строго конфиденциальными, поскольку профиль клиники – психиатрия. Хакеры связались с пациентами и стали их шантажировать, требуя заплатить под угрозой публикации медицинских сведений в интернете. В конце концов большая часть этих данных попала на черный рынок, а в начале этого года было объявлено банкротство клиники Vastamo: расходы на последствия взлома уже во много раз превысили активы компании.