12 ноября в России отмечают день специалиста по безопасности. Безусловно, с каждым годом актуальность профессии возрастает, ведь хакеры и инсайдеры постоянно совершенствуются.
За 2017 год мировые потери от активности хакеров составили около 1 трлн долларов, а в этом году размер ущерба от утечек и вовсе ожидают в районе 1,5 трлн. Чтобы не пополнить эту печальную статистику бизнесу необходимо учить сотрудников правильно работать с информацией. В помощь специалистам по безопасности эксперты компании Falcongaze рассказали, как с помощью обучения существенно повысить кибербезопасность компании.
Что такое фишинг и почему ваши сотрудники должны знать о нем? Это рассылка мошеннических писем по электронной почте, через мессенджеры или соцсети, нацеленная на «выуживание» конфиденциальной информации, как правило, логина и пароля. Часто такие письма маскируются под сообщения государственных организаций, банков или судов. Еще одним маркером фишингового сообщения могут быть пометки «срочно», «обязательно к рассмотрению» в теме письма. Необходимо научить сотрудников не открывать подозрительные сообщения и уж тем более не переходить по ссылкам в них. И, конечно, обо всей подозрительной почте обязательно сообщать специалистам службы безопасности или руководству компании.
Например, бухгалтеру приходит письмо «на ваше имя оформлен кредит — введите паспортные данные, чтобы узнать подробности». Как только это будет сделано — авторизационные данные попадут в руки мошенников.
Безопасной может быть только установка программы, которую производит системный администратор. Его задача — обеспечить оптимальную работу системы. Неопытный пользователь может случайно установить вредоносную программу вместо полезной. Стоит рассказать сотрудникам об опасности самостоятельного скачивания и установки программ из источников, найденных в интернете. Особенно это касается взломанных версий лицензионных программ. Зачастую такой софт кроме полезного функционала таит в себе вирусы-вымогатели, трояны и прочие неприятности.
Самостоятельная установка программы может закончиться в лучшем случае бесконечным показом рекламы в браузере, а в худшем — установкой вредоноса вместо искомого ПО.
Что делать, если в компании нет системного администратора? Устанавливать только лицензионные программы с официальных сайтов разработчика. Не стоит рисковать, скачивая взломанную версию софта, ведь кроме ключа безопасности хакеры могут интегрировать в нее все что угодно. Если не хочется платить, лучше поискать бесплатный аналог дорогой программы.
Между хакерами и разработчиками идет непрерывная гонка: одни выпускают продукт — другие ищут в нем уязвимости, чтобы использовать в преступных целях. Разработчики тоже не спят и патчат недостатки в безопасности, после чего выпускают обновления, чтобы не допустить уязвимости нулевого дня (случай, когда хакеры нашли уязвимость первыми, и атака произошла раньше, чем брешь была закрыта). На самом деле, на компьютерах большинства пользователей есть программы с уязвимостями. Вот почему системный администратор должен настроить автоматическое обновление популярных программ, так сотрудники будут использовать актуальные версии, в которых разработчики уже исправили уязвимости.
Например, в начале 2018 г. уязвимость в Adobe Flash Player активно использовалась хакерами APT37 против пользователей из Южной Кореи. После появления сообщений об атаках, Adobe через несколько дней выпустила обновление. Однако многие пользователи не обновили программу и стали жертвами злоумышленников.
Антивирус защищает наш компьютер, но иногда он может тормозить работу или заблокировать установку обновления ПО. Большинство относится к этому как этому как к данности, но некоторые сотрудники отключают антивирус на время, чем подвергают свои рабочие компьютеры большому риску. Необходимо донести до работников важность постоянного мониторинга компьютеров антивирусными программами — это существенно повысит устойчивость компании к кибератакам.
Антивирус нужен всегда. Даже если компьютер не используется для работы в интернете и не хранит ценной информации. Достаточно один раз перенести информацию с зараженного внешнего носителя и в систему проникнут опасные вирусы.
Новых сотрудников обязательно стоит обучать принятым в компании стандартам безопасности. Не лишним будет раз в год провести базовый семинар по кибербезопасности для всех работников. Кроме того, руководителю стоит обращать внимание на ежедневную деятельность сотрудников, иногда просто наблюдая можно увидеть, как нарушаются политики безопасности.
Например, сотрудники привыкли брать в местное кафе для чтения за обедом служебные документы или отдел кадров вывешивает списки сотрудников с телефонам в общем с другими компаниями коридоре.
Необходима проверка знаний. Речь идет не о сдаче экзамена, а о проверке действий сотрудников имитацией реальной угрозы. Регулярные тренировки помогут сотрудникам правильно отреагировать на реальную угрозу.
Например, офицеры безопасности могут разослать сотрудникам письма, имитирующие фишинговые. И с теми, кто попался на удочку, провести дополнительную работу.
В любой компании существует информация, которая требует особой защиты — конфиденциальные данные. Сотрудники должны понимать, какие данные имеют особую ценность (из тех, с которыми работают), знать, что атаки на такую информацию ведутся целенаправленно, и помнить, что за разглашение предусмотрено наказание. Юридически правильно оформляйте статус такой информации и уведомляйте об этом сотрудников под подпись. Это поможет поднять уровень ответственности при работе с ценными данными.
Например, через соцсети к сотрудникам могут стучаться незнакомые люди, которые в процессе общения пытаются обманом или уговорами выудить конфиденциальную информацию (социальный инжиниринг).
Что еще нужно сделать для защиты данных? Безусловно, ограничиваться только общением с сотрудниками, как минимум, самонадеянно. Стоит использовать специальные программы для предотвращения утечек информации — DLP-системы. Они позволят в реальном времени увидеть, если кто-то пытается унести конфиденциальные данные или нарушает политики безопасности. К тому же, они в целом укрепят периметр безопасности компании.