Цифрова трансформація в економіці змушує багато підприємств переглядати бюджет на ІТ-операції. Керівники фірм розуміють, що недостатньо придбати дороге програмне забезпечення. Важливо інвестувати і в кіберграмотність працівників.
Як впливає людський фактор на безпеку в IT?
Наприкінці минулого року дослідники виявили, що 80% випадків витоків даних трапляються через співробітників. В основному, інциденти виникають, коли інформація надсилається не тому адресату, або дані губляться. 70% офісних співробітників користуються корпоративними ноутбуками в особистих цілях. А 69% заходять у робочі облікові записи з власних комп'ютерів. 30% штату (які працюють на аутсорсі) передають гаджет іншим людям, навіть якщо там міститься цінна інформація.
Так, можна встановити брандмауери наступного покоління, щоб запобігти атаки хакерів. Але для повноцінного захисту необхідно впроваджувати інформаційну безпеку в корпоративну культуру компанії. Адже обережність та поінформованість убережуть співробітників від багатьох проблем.
Підписуйтеся на YouTube-канал delo.uaЯкі ж теми повинен включати тренінг з кібербезпеки для працівників будь-якої комерційної організації?
Що таке соціальна інженерія?
Серед хакерів поширена думка, що легше зламати людину, ніж систему. Є навіть ціла наука про те, як отримати доступ до облікового запису, ПК або мережі, маніпулюючи людськими слабкостями. Хакер наводить довідки про користувача, дізнається про його інтереси. Може написати на пошту або у соціальній мережі, завести розмову. Хакер може зацікавити користувача знижками, прикинутись потенційним спонсором, запропонувати нову роботу. При цьому ставитиме певні питання, щоб дізнатися персональні дані користувача. Ці відомості згодом стануть у нагоді хакеру для злому акаунту.
Питання зазвичай невигадливі. Ненароком хакер поцікавиться, як звати роботодавця, дізнається рік і місце народження користувача. А може, запитає ім'я собаки. Як ви, напевно, вже здогадалися, багато користувачів застосовують імена домашніх улюбленців, членів сім'ї та роки, в які в їхньому житті відбулися значні події, як паролі. Тому, спираючись на відомості, отримані в листуванні, хакер (який є ще й непоганим психологом!) отримає доступ до чужого акаунту. Такий різновид кіберзлочинів називається соціальною інженерією.
На тренінгу з кібербезпеки варто акцентувати увагу співробітників на тому, що хакери часто використовують у своїх цілях інформацію, яку працівники публікують у соціальних мережах. Припустимо, що один працівник повідомляє на своїй сторінці, що працює над важливим проєктом. Пише, коли очікується реліз. Вдається до деталей. Хакер розуміє, з чим має справу, і складає персоналізований лист нібито спонсора. Може запропонувати інвестувати у проєкт або замовити рекламу. Такий лист виглядає досить переконливо, бо містить подробиці проєкту та пишеться по суті. Але листом справа не обмежується, і наприкінці хакер пропонує ознайомитися з медіакітом або будь-яким іншим документом, доступним за посиланням або прикріпленим файлом. І це пастка! Відкривши файл або посилання, співробітник отримає вірус або цінні дані потраплять в обліковий запис хакера. Такий вид соціальної інженерії називають фішингом, від англійського "рибний лов". Порівняння з риболовлею не випадкове: адже всі дії спрямовані на те, щоби співробітник попався на вудку хакера.
Єдиний спосіб захисту від соціальної інженерії та фішингу – уважність.
- Не відкривайте посилання та файли, які надіслали вам незнайомі люди.
- Якщо отримали лист із документами від колег, краще перепитайте особисто і лише після цього переходьте за посиланнями та завантажуйте файли на комп'ютер.
- Не повідомляйте робочу інформацію у соцмережах.
- При листуванні не відповідайте на запитання, покликані розкрити ваші особисті дані. Так, не варто повідомляти по батькові, рік та місце народження, інформацію про родичів та роботодавців, додаткові акаунти.
Як захиститись від DDoS-атак?
Комерційні організації часто стикаються з DDoS. Так називається атака з метою довести систему до відмови. Хакери спрямовують на сайт вірусний трафік у такій кількості, з якою онлайн-платформа не справляється. При цьому відвідувачі бачать на екрані повідомлення про помилку і думають, що це тимчасові неполадки. Власник сайту часто не може відразу зрозуміти, що справа в DDoS, і думає, що сайт довго вантажиться через проблеми з інтернет-з'єднанням.
DDoS-атаки часто трапляються, коли сайт проводить розпродаж. Часто DDoS замовляють конкуренти, щоб відвернути увагу до цільової аудиторії від вигідних придбань. Адже сьогодні користувачі не люблять чекати довше трьох секунд, і якщо сайт "лягає", користувачі перемикаються на платформу конкурентів.
Тому всі співробітники фірм, чия діяльність так чи інакше пов'язана з продажами, необхідно пояснити, які ознаки відрізняють DDoS, як запобігти атаки, а також що робити, якщо атака вже відбулася.
По-перше, на тренінгу варто розповісти про те, що найкраща атака — та, якої не було. Щоб уникнути DDoS, варто взяти за правило виходити до мережі, підключившись до VPN-з'єднання. Як пояснюється в гайді про роботу VPN, віртуальна приватна мережа маскує реальну IP-адресу, шифрує трафік і створює свого роду тунель між комп'ютером та мережею. Таким чином, онлайн- активність співробітників фірми прихована від сторонніх очей. І хакер не зможе ідентифікувати розташування користувача та реальний IP, а значить, провести DDoS буде неможливо.
Але, припустимо, співробітники не виконали запобіжних заходів і виявили такі ознаки.
- На електронну пошту вашим співробітникам надходить багато спаму.
- Сервери уповільнюють роботу. Наприклад, відповідають протягом хвилини (за звичайного часу відповіді 3-4 секунди).
- ПК повільно виконує звичні дії, оскільки перевантажений вірусним трафіком.
- Сайт недоступний.
- Потрібно надто багато часу, щоб зайти на сайт.
- Ви бачите великий стрибок трафіку, але для цього немає підстав (тобто ви не публікували суперпропозицію або не проводили "Чорну п'ятницю").
Якщо є можливість одразу ж звернутися до фахівця з кібербезпеки, потрібно зробити це негайно. Якщо миттєво відреагувати на інцидент не вдається, співробітникам варто вжити кількох заходів.
- Щоб не втратити дані, потрібно встановити сайт у режим обслуговування.
- Варто повідомити про керівництво, інтернет-провайдер і будь-які треті особи, які відповідають за надання послуг та периметр безпеки.
- Також потрібно постаратися зафіксувати час початку DDoS, тривалість інциденту, статистику з трафіку, логи з помилками сервера та відзначити будь-які зміни, що відбуваються у системі під час DDoS.
Якщо працівники виконають ці нескладні дії, технічному фахівцю буде легко вирішити проблему та відновити дані.
Як захистити фінанси клієнтів?
Якщо ваша організація проводить розрахунок через POS-термінал, на тренінгу з кібербезпеки також варто поговорити про ще один кіберзлочин. Хакери планують атаку на POS, щоб заволодіти персональними та фінансовими даними клієнтів, спровокувати витік інформації. Відомо, що саме із POS-атакою зіткнулася найбільша американська компанія Target. Хакери "інфікували" вірусними програмами POS-термінали бренду. Внесли в POS-системи такі налаштування, щоб під час оплати перехоплювати дані чужих карт і повідомляти шахраям. Подібні атаки безпосередньо впливають на фінансову безпеку цільової аудиторії бізнесу.
Але, на щастя, більшість POS-атак можна уникнути. Для цього варто використовувати наскрізне шифрування, встановлювати програмне забезпечення, яке гарантує, що дані клієнта не видно хакерам. Хороша ідея - інсталювати антивірус на POS-девайс, який визначить проблемні файли та видалить їх з девайсу.
Крім того, на тренінгу з кібербезпеки варто розповісти співробітникам, що хакери часто інфікують системи віддалено. Тому девайси, підключені по зовнішній мережі, більш схильні до атак. Рішення просте: намагайтеся користуватися корпоративною мережею, проводячи та обробляючи оплати.
Нарешті проінформуйте співробітників, як працює PCI DSS (Payment Card Industry Data Security Standard – стандарт безпеки даних індустрії платіжних карток). Необхідно перевірити, щоб цьому стандарту відповідали всі картридери, мережі, роутери, сервери, карти для онлайн-покупок.