Цифровая трансформация в экономике заставляет многие предприятия пересматривать бюджет на IT-операции. Руководители фирм понимают, что недостаточно приобрести дорогостоящее программное обеспечение. Важно инвестировать и в киберграмотность сотрудников.
Как человеческий фактор влияет на безопасность в IT?
В конце прошлого года исследователи обнаружили, что 80% случаев утечек данных происходят из-за сотрудников. В основном инциденты возникают, когда информация направляется не тому адресату либо данные теряются. 70% офисных сотрудников пользуются корпоративными ноутбуками в личных целях, а 69% заходят в рабочие аккаунты с собственных компьютеров. 30% штата (которые работают на аутсорсе) передают гаджет другим людям, даже если там содержится ценная информация.
Да, можно установить брандмауэры следующего поколения, чтобы предотвратить хакерскую атаку. Но для полноценной защиты нужно внедрять информационную безопасность в корпоративную культуру фирмы. Ведь осторожность и осведомленность уберегут сотрудников от многих проблем.
Подписывайтесь на Telegram-канал delo.uaКакие же темы должен включать в себя тренинг по кибербезопасности для работников любой коммерческой организации?
Что такое социальная инженерия?
Среди хакеров распространено мнение, что легче взломать человека, чем систему. Есть даже целая наука о том, как получить доступ к аккаунту, ПК или сети, манипулируя человеческими слабостями. Хакер наводит справки о пользователе, узнает его интересы. Может написать на почту или в социальной сети, завести разговор. Хакер может заинтересовать пользователя скидками, притвориться потенциальным спонсором, предложить новую работу. При этом будет задавать определенные вопросы, чтобы узнать персональные данные пользователя. Эти сведения впоследствии пригодятся хакеру для взлома аккаунта.
Вопросы обычно незатейливые. Невзначай хакер поинтересуется, как зовут работодателя, узнает год и место рождения пользователя. А может быть, спросит имя собаки. Как вы, наверное, уже догадались, многие юзеры используют имена домашних любимцев, членов семьи и годы, в которые в их жизни произошли значимые события, в качестве паролей. Поэтому, опираясь на сведения, полученные в переписке, хакер (который при этом является еще и неплохим психологом!) получит доступ к чужому аккаунту. Такая разновидность киберпреступлений называется социальной инженерией.
На тренинге по кибербезопасности стоит акцентировать внимание сотрудников на том, что хакеры часто используют в своих целях ту информацию, которую работники публикуют в социальных сетях. Предположим, один работник сообщает на своей странице, что работает над важным проектом. Пишет, когда ожидается релиз. Вдается в детали. Хакер понимает, с чем имеет дело, и составляет персонализированное письмо якобы от спонсора. Может предложить инвестировать в проект или заказать рекламу. Такое письмо выглядит достаточно убедительно, потому что содержит подробности проекта и пишется по существу. Но письмом дело не ограничивается, и в конце хакер предлагает ознакомиться с медиакитом или любым другим документом, доступным по ссылке или в прикрепленном файле. И это ловушка! Открыв файл или ссылку, сотрудник получит вирус либо ценные данные попадут в аккаунт хакера. Такой вид социальной инженерии называют фишингом, от английского “рыбная ловля”. Сравнение с рыбалкой не случайно, ведь все действия направлены на то, чтобы сотрудник попался на удочку хакера.
Единственный способ защиты от социальной инженерии и фишинга — внимательность.
- Не открывайте ссылки и файлы, которые прислали вам незнакомые люди.
- Если получили письмо с документами от коллег, лучше переспросите лично и только после этого переходите по ссылкам и загружайте файлы на компьютер.
- Не сообщайте рабочую информацию в соцсетях.
- При переписке не отвечайте на вопросы, призванные раскрыть ваши персональные данные. Так, не стоит сообщать отчество, год и место рождения, информацию о родственниках и работодателях, дополнительные аккаунты.
Как защититься от DDoS-атак?
Коммерческие организации часто сталкиваются с DDoS — так называется атака с целью довести систему до отказа. Хакеры направляют на сайт вирусный трафик в таком количестве, с которым онлайн-платформа не справляется. При этом посетители видят на экране сообщение об ошибке и думают, что это временные неполадки. Владелец сайта часто не может сразу понять, что дело в DDoS, и думает, что сайт долго грузится из-за проблем с интернет-соединением.
DDoS-атаки часто случаются, когда сайт проводит распродажу. Часто DDoS заказывают конкуренты, чтобы отвлечь внимание целевой аудитории от выгодных приобретений. Ведь сегодня пользователи не любят ждать дольше трех секунд, и если сайт “ложится”, юзеры переключаются на платформу конкурентов.
Поэтому всем сотрудникам фирм, чья деятельность так или иначе связана с продажами, необходимо объяснить, какие признаки отличают DDoS, как предотвратить атаку, а также что делать, если атака уже состоялась.
Во-первых, на тренинге стоит рассказать о том, что лучшая атака — та, которой не было. Чтобы избежать DDoS, стоит взять за правило выходить в сеть, подключившись к VPN-соединению. Как объясняется в гайде о работе VPN, виртуальная приватная сеть маскирует реальный IP-адрес, шифрует трафик и создает своего рода туннель между компьютером и сетью. Таким образом, онлайн-активность сотрудников фирмы скрыта от посторонних глаз. И хакер не сможет идентифицировать местоположение пользователя и реальный IP, а значит, провести DDoS будет невозможно.
Но, предположим, сотрудники не выполнили меры предосторожности и обнаружили следующие признаки.
- На электронную почту вашим сотрудникам приходит слишком много спама.
- Серверы замедляют работу. Например, отвечают в течение минуты (при обычном времени ответа 3-4 секунды).
- ПК медленно выполняет привычные действия, так как перегружен вирусным трафиком.
- Сайт недоступен.
- Требуется слишком много времени, чтобы зайти на сайт.
- Вы видите большой скачок трафика, но для этого нет оснований (то есть вы не публиковали суперпредложение или не проводили "Черную пятницу").
Если есть возможность сразу же обратиться к специалисту по кибербезопасности, нужно это сделать немедленно. Если мгновенно отреагировать на инцидент не удается, сотрудникам стоит предпринять несколько мер.
- Чтобы не потерять данные, нужно поставить сайт в режим обслуживания.
- Стоит сообщить о произошедшем руководству, интернет-провайдеру и любым третьим лицам, которые отвечают за предоставление услуг и периметр безопасности.
- Также нужно постараться зафиксировать время начала DDoS, длительность инцидента, статистику по трафику, логи с ошибками сервера и отметить любые изменения, происходящие в системе во время DDoS.
Если сотрудники выполнят эти несложные действия, техническому специалисту будет легче решить проблему и восстановить данные.
Как защитить финансы клиентов?
Если ваша организация проводит расчет через POS-терминал, на тренинге по кибербезопасности также стоит поговорить еще об одном киберпреступлении. Хакеры планируют атаку на POS, чтобы завладеть персональными и финансовыми данными клиентов, спровоцировать утечку информации. Известно, что именно с POS-атакой столкнулась крупнейшая американская компания Target. Хакеры “инфицировали” вирусными программами POS-терминалы бренда. Внесли в POS-системы такие настройки, чтобы при проведении оплаты перехватывать данные чужих карт и сообщать мошенникам. Подобные атаки непосредственно влияют на финансовую безопасность целевой аудитории бизнеса.
Но, к счастью, большинства POS-атак можно избежать. Для этого стоит использовать сквозное шифрование, устанавливать программное обеспечение, которое гарантирует, что клиентские данные не видны хакерам. Хорошая идея — инсталлировать антивирус на POS-девайс, который определит проблемные файлы и удалит их с девайса.
Кроме того, на тренинге по кибербезопасности стоит рассказать сотрудникам о том, что хакеры часто инфицируют системы удаленно. Поэтому девайсы, подключенные по внешней сети, более подвержены атакам. Решение простое: старайтесь пользоваться корпоративной сетью, проводя и обрабатывая оплаты.
Наконец, проинформируйте сотрудников, как работает PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт). Необходимо проверить, чтобы этому стандарту соответствовали все кардридеры, сети, роутеры, серверы, карты для онлайн-покупок.