Человеческий фактор: что мешает цифровой безопасности малого и среднего бизнеса
Это реальная и вполне обычная история из практики «Лаборатории Касперского» (анонимность объясняется пикантностью ситуации). Как показывают ее международные опросы, наибольшей угрозой системе информационной безопасности в каждой второй компании считают свой же персонал. И дело не только в чьей-то непорядочности или злонамеренности. Многие сотрудники легко ловятся на фишинговые ссылки и письма, зачастую используют небезопасные пароли, пытаются самостоятельно, но безуспешно, бороться с вирусами-шифровальщиками и т. д.
Во время пандемии и перехода на удаленку активность киберпреступников резко возросла. Так, в апреле эксперты «Лаборатории Касперского» выявили в России более 18 млн атак методом перебора паролей на устройства, поддерживающие протокол удаленного подключения к компьютеру, — в четыре-пять раз больше, чем в январе или феврале. При этом персонал компаний стал чаще использовать для работы личные устройства, которые могут быть хуже защищены, просматривать с рабочих компьютеров взрослый контент — распространенный носитель вирусов, а также использовать онлайн-сервисы, которые не были одобрены IT-отделами — мессенджеры, сервисы для передачи и совместного использования файлов, платформы для видеоконференций. Между тем только за первый квартал 2020 года «Лаборатория Касперского» выявила свыше 1300 файлов с нежелательными приложениями и вредоносными кодами, в которых использовались названия популярных сервисов для онлайн-конференций. Таким способом распространялось 200 видов угроз (хорошо, что в основном не деструктивных — приложения, которые показывают излишнюю рекламу или загружают рекламные модули).
«Среди небольших компаний распространено мнение, что они и их бизнес злоумышленникам неинтересны, — рассказывает Елена Молчанова, представитель направления для повышения цифровой грамотности Kaspersky Security Awareness. — Поэтому многие фирмы экономят на ресурсах информационной безопасности, как программных, так и человеческих, при этом не задумываясь о киберграмотности своих сотрудников». Исследование, которое «Лаборатория Касперского» провела совместно с B2B International, показало: за минувший год с утечками данных столкнулись 27% российских компаний, число сотрудников в которых не превышает 50 человек (почти двукратный рост по сравнению с 2018 годом). В 29% таких компаний на момент утечки не было подходящих защитных решений, и столько же респондентов сообщили, что их IT-специалисты не обладали достаточной квалификацией, а сотрудники были не слишком хорошо осведомлены о правилах информационной безопасности. Но и для крупного бизнеса, замечает Молчанова, где уровень программной защиты выше, а количество профильных специалистов больше, вопрос цифровой грамотности персонала остается актуальным. В повышении такой грамотности нуждаются даже топ-менеджеры, ошибки которых могут обойтись бизнесу гораздо дороже, чем ошибка рядового сотрудника.
С помощью «Лаборатории Касперского» рассмотрим типичные пробелы в киберграмотности и способы их преодоления.
* На правах рекламы
Директор оставил код доступа на стикере
У сотрудников микрофинансовой организации имелся помесячный план — выдать займы на определенную сумму. Кто выполнит, тот получает премию. Всех потенциальных клиентов, разумеется, проверяли, причем доступ к программе проверки был только у директора. Как-то он ушел на весь день, а стикер с паролями остался висеть на мониторе его компьютера. Через месяц директор обнаружил, что некоторые сотрудники, списав пароли, вошли в его аккаунт, согласовали все заявки без разбора, а после получения премии поспешили уволиться. Компания понесла значительные убытки, поскольку многие заемщики и не собирались возвращать кредиты.
Надежность самого сложного пароля моментально сводится к нулю с помощью записи на стикере или его передаче коллегам. Выход? «Пользуйтесь каким-либо мнемоническим правилом для запоминания или установите на своем ПК сертифицированный менеджер паролей, — советует Андрей Данкевич, эксперт «Лаборатории Касперского» по киберугрозам в малом бизнесе. — Для руководителя и сотрудников можно сделать различные права доступа к материалам в программе — с возможностью редактирования и только просмотра соответственно».
Сотрудник уволился и стер каталог на сайте
Работодатель (речь идет о торговой фирме) не выплатил разработчику сайта премию, и тот уволился. Но у него остался доступ к системе управления контентом (попросту говоря, админке), и в отместку он удалил раздел с каталогом продуктов. Компания несколько дней не могла работать с покупателями. Кажется удивительным, но такое до сих пор встречается: начальники отделов и даже IT-директора забывают дать указание закрыть доступ к корпоративным ресурсам, когда ответственный сотрудник увольняется.
«Один из законов информационной безопасности гласит: уровень защиты всей сети равен уровню защиты самого слабого узла, — подчеркивает Елена Молчанова. — Таким узлом может стать любой, кто допущен к работе с IT-инфраструктурой организации». Наибольшая опасность — когда вероятность угрозы недооценивают руководители компании и ее отделов, а также сотрудники, имеющие доступ к конфиденциальной информации — бухгалтеры, юристы и т. д. Компании часто открывают поставщикам и партнерам доступ к внутренней информации, чтобы те могли выполнять обязательства по контрактам. И этим могут воспользоваться злоумышленники. По данным «Лаборатории Касперского», подобный тип утечки данных входит в топ-3 самых дорогостоящих киберинцидентов в мире: средняя сумма ущерба от него составляет $2,57 млн. Даже самых надежных защитных решений может быть недостаточно, если вдруг срабатывает человеческий фактор. Тренинговая платформа по основам кибербезопасности Kaspersky Automated Security Awareness Platform (Kaspersky ASAP) была создана для того, чтобы помочь компаниям устранить такой риск.
Пришло извещение якобы о налоговых льготах
Рабочий день бизнесмена Владимира начался, как обычно, очень рано — со свежих бизнес-новостей и электронной почты. На экране своего ноутбука он увидел сообщение: «От: Федеральная налоговая служба. Тема: налоговые льготы малому бизнесу в условиях кризиса». Владимир вздохнул и удалил письмо. Будучи человеком с высокой цифровой грамотностью, он быстро смог определить, что это подделка, а ссылка, скорее всего, фишинговая и ведет на шпионский сайт, где хакеры могут перехватить персональные данные и таким образом вывести деньги предпринимателя или организации.
Пользователю, независимо от того, заходит он с личного устройства или с защищенного корпоративным антивирусом рабочего компьютера или смартфона, стоит быть бдительным, чтобы не попасться на уловки фишеров: внимательно проверять адрес отправителя на предмет несоответствия официальным адресам компании, не открывать письма и не проходить по ссылкам от незнакомых адресатов, если это частное лицо, не верить «громким» предложениям, например, получить выигрыш в лотерею.
За последние полгода эксперты «Лаборатории Касперского» наблюдают резкий рост объема фишинговых писем, особенно в русскоязычном сегменте интернета. Так, всего за одну неделю после того, как стало известно о подготовке государственной программы поддержки бизнеса, было зафиксировано около 1600 фейковых посланий якобы от nalog.ru. «Для атак на корпоративных пользователей киберпреступники часто используют фишинговые ссылки, — рассказывает Елена Молчанова. — В этих случаях сообщения в электронной почте максимально похожи на официальные письма: к получателю обращаются по имени, в подписи фигурирует название реальной компании и якобы имя и должность ее сотрудника, тема письма соответствует профилю работы организации».
Киберпреступники очень изобретательны и чутко подстраиваются под ситуацию. Например, в ходе одного из своих опросов «Лаборатория Касперского» выяснила, что 18% сотрудников различных компаний получали фишинговые письма, связанные с COVID-19. Поэтому компаниям стоит постоянно повышать осведомленность персонала о киберугрозах. О способах распознавания фишинга можно подробно узнать на тренингах по основам кибербезопасности Kaspersky ASAP.
Компании пообещали «операционные выплаты»
Как вы отреагируете, если в своей рабочей почте увидите сообщение, что на ваш бухгалтерский счет зачислена сумма в размере нескольких сотен тысяч рублей — компенсация от эквайринг-провайдера? Причем в письме будет присутствовать ссылка на документ в легитимном хранилище? Вероятно, заинтересуетесь и поспешите пройти по этой ссылке. Вы увидите уведомление, с которого идет переадресация на ресурс, где вам предложат завести личный кабинет, задать к нему пароль, ввести фамилию и имя. Все продумано так, чтобы создать видимость легальности. Мошеннический сайт даже симулирует процессы авторизации или создания пароля. В итоге пользователя просят за прохождение идентификации заплатить комиссию — как правило, всего-навсего 390 рублей. Ловля на живца окончена.
За январь-июнь 2020 года эксперты «Лаборатории Касперского» обнаружили в пять раз больше скам-ресурсов, обещающих какие-либо компенсационные выплаты, чем за аналогичный период 2019 года. Для получения некоей суммы денег нужно оплатить «комиссию» или сделать «закрепительный платеж», обычно небольшой. Разумеется, никаких денег пользователь не получит, а «комиссия» уйдет злоумышленникам. Активно распространяется мошенническая схема с «операционными выплатами», нацеленная на малый и средний бизнес. Ежедневно такие предложения от имени некоей финансовой организации, зачастую якобы от известного эквайринг-провайдера, получают тысячи адресатов. Мошенники постоянно меняют тематику скам-страниц, но подход с компенсациями и выигрышами остается у них излюбленным.
«Прежде, чем переходить по ссылкам в сообщениях о крупном выигрыше или выплате, не пожалейте немного времени на проверку фактов: поищите информацию об упомянутой в письме организации, новости о компенсациях и выплатах и так далее, — рекомендует Андрей Данкевич. — Не создавайте личные кабинеты на непроверенных ресурсах: даже если деньги не будут потеряны, может произойти утечка логина и пароля, а также действующего электронного адреса. Мошенникам будет намного сложнее провести сотрудников, если регулярно повышать их цифровую грамотность и осведомленность о киберугрозах».
Киберпреступникам согласились заплатить
Сотрудник получил письмо вроде бы от отдела кадров — со ссылкой на аттестационный тест для повышения зарплаты. Хотя в компании было принято обсуждать такой вопрос лично, он все же прошел по ссылке, выполнил задания и отправил результаты. На следующий день на мониторах этой фирмы появилась заглушка с требованием заплатить выкуп за передачу ключей расшифровки. Работать было невозможно, ничего не открывалось. Компания перевела деньги злоумышленникам, но ключи не получила. Пришлось восстанавливать все базы и документы.
По подсчетам «Лаборатории Касперского», создатели одной только программы-шантажиста WannaCry за три года получили на свой электронный кошелек средства как минимум 500 пользователей, которые заплатили выкуп в биткойнах, чтобы избавиться от вируса. WannaCry распространяется, используя ранее устраненные уязвимости, и только через компьютеры с отложенными обновлениями безопасности и с прямым доступом в сеть. Пока абсолютно все пользователи в сети не обновят свои устройства, WannaCry может продолжать свою вредоносную деятельность.
«К сожалению, жертвы вирусов-шантажистов не верят, что данные можно вернуть другим путем, и платят киберпреступникам, надеясь вновь увидеть свои файлы, — говорит Елена Молчанова. — Беда в том, что никаких ключей для расшифровки данных они обычно не получают. Кибершантаж — не то поле деятельности, где выполняют обещания».