Технологии защиты данных совершенствуются с каждым годом. И только человек остаётся прежним. Поэтому именно он, а не оборудование и ПО становится для взломщиков простой добычей. Беспечность, халатность, некомпетентность и любопытство сотрудников – вот 4 всадника апокалипсиса для любой, даже весьма надёжной корпоративной системы безопасности.
Ключевые ошибки персонала при соблюдении мер по информационной безопасности
Даже если у вас толковый сисадмин, защита корпоративной информации не гарантирована. Пока он возводит надёжную оборону вокруг ключевых элементов сети, остальные сотрудники выступают активными вредителями и, сами того не осознавая, создают множество «лазеек» для кибер злоумышленников. Если на бытовом уровне они самостоятельно расплачиваются за свои ошибки при несоблюдении мер по информационной безопасности, в корпоративном сегменте репутационные и финансовые издержки терпит, прежде всего, компания.
Способов создать брешь в системе информационной безопасности у рядового сотрудника не меньше, чем инструментов для взлома у среднего хакера. Но большинство из них связано с 4 аспектами:
• Пароли. Пока системный администратор покоряет передовое защитное ПО, какой-нибудь менеджер наверняка использует «qwertyqwerty» в качестве пароля на всех аккаунтах. А бухгалтер, хоть и выбрал пароль понадёжней, хранит его в текстовом файле на рабочем столе. Завладеть их аккаунтами не просто, а очень просто. И вот у взломщика уже есть доступ к вашей внутренней сети.
• Личные ноутбуки. Компании выгодно: сокращаются затраты на оборудование. Сотруднику удобно: рабочая станция всегда под рукой, не надо переключаться между разными ПК, да и продолжить проект дома не составит труда. С точки зрения безопасности всё не так радужно: скачивание сериалов, игр и прочего контента чревато вирусами. Которые будут доставлены прямиком в общую сеть.
• Внешние накопители. То, что они аккумулируют в себе вирусы со всех ПК, с которыми контактировали, еще полбеды. Куда опасней заряженные вредоносным ПО флешки, «потерянные» злоумышленниками вблизи офиса. Каждый второй нашедший не только подключает такие накопители к домашнему или рабочему ПК, но и открывает имеющиеся на них файлы, что хакерам и нужно.
• Фишинг. Приходящие по email и в мессенджерах ссылки на правдоподобно выглядящие фальшивые ресурсы – лучший способ выудить учётные данные. Многие не задумываясь кликают, а затем вводят логин и пароль на фишинговых сайтах, принимая это за сбой настроек авторизации.
Последний пункт неразрывно связан с социальной инженерией. Цель этой методики – узнать о компании как можно больше, чтобы мошенничество было более правдоподобным. Ваш сайт предоставит ФИО сотрудников, онлайн-ресурсы по поиску работы – данные о вакансиях, государственные источники – о тендерах и даже судебных тяжбах, в которых участвуете. Этой открытости не избежать, но имейте в виду: всё, что вы скажете, может быть использовано против вас.
Цена безграмотности в сфере информационной безопасности
При несоблюдении мер по информационной безопасности убытки неизбежны, вопрос лишь в их объёме. А ещё в том, что именно вы потеряете в первую очередь:
• Финансы. Речь не только о случаях, когда хакеры получают доступ к банковским счетам. Похищение интеллектуальной собственности может в перспективе обернуться ещё большими утратами. Да и сорвавшиеся из-за действий хакеров сделки – классический пример недополученной прибыли.
• Репутация. Если на сайте компании размещена дезинформация – это проблема. Если она ещё и выставляет вас в нелепом свете – ещё хуже. Даже сам факт взлома, став достоянием общественности, бьёт по имиджу. Количество желающих тесно сотрудничать с компанией, чья внутренняя сеть превратилась в проходной двор, резко поубавится.
• Время. Допустим, вам повезло, и за кибератакой стоят не специально нанятые профессиональные злоумышленники, а, так сказать, мимо проходившие хакеры. И после взлома поживиться им ничем не удалось. Но, обозлившись из-за этого, они могут лишить вас доступа к вашим же аккаунтам. И неизвестно, сколько потребуется человеко-часов, чтобы восстановить статус-кво.
Решение проблемы
Главная ошибка – подойти к вопросу формально. Напомнить сотрудникам о важности информационной безопасности и собрать подписи – план, заранее обречённый на провал. Идея поручить сисадмину проведение тематической лекции немногим лучше. Даже если он вполне компетентен.
Во-первых, красноречивый системный администратор – большая редкость. Во-вторых, на любом предприятии остальные сотрудники традиционно считают его «бездельником, весь день сидящим у монитора» и вряд ли к нему прислушаются. В-третьих, информационная безграмотность возьмёт своё – и многие не уловят всех тонкостей.
Поэтому предпочтите теории практику. Ничто не расскажет о хакерской атаке лучше, чем она сама. Вернее, её имитация. Именно поэтому по всему миру специалисты в сфере информационной безопасности предпочитают сухому аудиту своего рода игру во взлом. Со всеми «фишками» из арсенала хакеров, но без печальных последствий.
Если вкратце, то всё происходит так. Вы даете «белым» хакерам полную свободу действий или устанавливаете определённые рамки. Но в любом случае получаете гарантию неразглашения конфиденциальных данных, заключив договор. А далее специалисты пустят в ход уже упомянутую социнженерию, и выяснят всё о компании в целом и сотрудниках в частности. К каждому подберут «ключ» и атакуют различными способами. Все попадания в ловушку регистрируются, а в отчёте вы увидите картину целиком.
Работа над ошибками при соблюдении информационной безопасности – вот что научит персонал больше не допускать их. Вы же одним выстрелом инвестируете в двух зайцев: и в развитие сотрудников, и в безопасность компании.