— Светлана Ивановна, мы получили из прокуратуры e-mail. В нем написано: «Вам необходимо провести аудит соответствия вашей компании требованиям по защите КИИ в соответствии с Федеральным законом... В случае отказа к вам могут применяться статьи...» Куда его?
— Перешлите мне, распечатайте, учтите во входящих. И да, перешлите безопасникам, юристам и ... Что такое КИИ?
— Судя по ФЗ это критическая инфраструктура
— О! Тогда разошлите членам Совета.
— Хорошо!
Все получившие письмо открыли его. Ну а как же, письмо-то из прокуратуры! Перешли по ссылке. А в это время где-то отославший его злоумышленник улыбался, потирая руки. Атака удалась! Злонамеренное программное обеспечение получил не только секретарь директора. На такую удачу никто и не рассчитывал. Запустить? Нет, не стоит, запустим позже, а пока... пока пусть спит зловред. Запустим на выходных или после Нового года, когда у всех голова будет болеть после праздников.
В типичной переписке между подразделениями начали появляться сотрудники и руководители компании, и всем стало казаться, что работа уже ведется... Сотрудники стали выдавать всякие перечни, отчеты и данные в «прокуратуру». Атака удалась!
А вы проверяете получаемые письма? И даже под праздники? Неужели?