Все больше компаний уделяют внимания вопросам кибербезопасности – проводят обучение сотрудников, усиливают контроль и внедряют технические решения. Однако каким бы совершенным не был используемый технический инструментарий, человеческий фактор был и остается наиболее уязвимым звеном безопасности. Директор Департамента управления рисками компании «Делойт» Владимир Ремыга и старший менеджер Ернар Суербаев рассказали о том, как уберечь свою компанию от подобных инцидентов.
Комплексный подход
По данным исследования Cyberint, 77% организаций не имеют плана реагирования на кибератаки, и только 16% руководителей говорят, что их организация полностью подготовлена для управления подобными рисками. При этом 95% кибератак происходят из-за ошибок сотрудников. Здесь основные проблемы кроются в недостаточной осведомленности работников, а также в отсутствии у них должных навыков для распознавания элементов социальной инженерии. В одном из исследований IBM указывается, что среднемировая цена потерь компании от утечки данных в 2020 году составила 3,86 млн долларов. И это намного больше, чем компании могли бы потратить на обучение персонала. В чем причина такой непредусмотрительности? Скорее всего, некоторые владельцы бизнеса считают, что их организация слишком мала и не интересна злоумышленникам. На самом деле это не так: 43% кибератак нацелены именно на малый бизнес. Поэтому все организации должны предпринимать меры для защиты своей инфраструктуры.
Здесь важен комплексный подход. Провести тренинг о фишинговых атаках один раз недостаточно. Необходимо закрепить результат и провести ее симуляцию среди сотрудников. Более того, подобные проверки необходимо проводить периодически. Нужно заботиться и о безопасности внешнего и внутреннего периметра компании. Такие помещения, как серверная, кроссовая и архив должны иметь дополнительный уровень контроля доступа.
Соблюдение кибергигиены в офисе также играет большую роль. Например, существует риск того, что при проникновении в офис злоумышленник сможет найти конфиденциальные документы на столах сотрудников, пароли, записанные на стикерах, украсть оставленную на столе флешку или рабочий ноутбук. Также утечка может произойти при неправильной утилизации документов или при несоблюдении кибергигиены при работе с принтером.
Поэтому для обеспечения полного контроля рисков необходимо проводить глобальную оценку всех уровней безопасности.
Примеры из нашего опыта – анализ физической безопасности
Для компании Х была проведена проверка на возможность физического проникновения в офис. Во время проверки был получен доступ к конфиденциальным документам, оставленным на сетевом принтере. Для этого с городского номера телефона был заказан гостевой пропуск для посещения другой организации, расположенной в одном здании с компанией Х. На подходе к лифтовым кабинам у «злоумышленника» не проверили пропуск, он получил возможность посетить все этажи здания и похитил документы с конфиденциальными данными, оставленные на сетевых принтерах.
Также была проверена возможность физического проникновения в несколько офисов финансовой организации Х. Представившись новым сотрудником организации, «злоумышленник» получил физический доступ в один из офисов и подключился к его IT-инфраструктуре.
Еще один яркий пример: представившись сотрудником административно-хозяйственного департамента, «злоумышленник» получил доступ к офису компании А. Сотрудники разрешили ему использовать камеру для фиксации инвентарных номеров рабочих станций. Во время съемки были зафиксированы стикеры с данными учетной записи и пароль.
Примеры из нашего опыта – симуляция фишинговых рассылок
Отметим, что для проведения симуляции фишинговой атаки преступники проводят сбор данных: адреса корпоративной электронный почты и другую информацию, которая поможет составить убедительное фишинговое письмо. После анализа создается список рассылки электронных писем для целевой аудитории.
Так, в одной из организаций, для которых проводилось подобное тестирование, первое сообщение о полученной фишинговой рассылке было получено от сотрудника только через час. За это время 5 из 147 сотрудников успели передать данные своей учетной записи. Особенность такой атаки была в том, что ссылка в фишинговом письме направляла сотрудника на фейковую страницу организации, что может запутать пользователя и убедить его в правдивости письма.
В другой организации 8 из 26 сотрудников передали данные своей учетной записи. В этом случае для убедительности в фишинговом письме был приложен документ, который содержал печать организации и подпись директора, которые удалось найти на просторах интернета.
Еще в одной компании 3 из 38 сотрудников передали данные своей учетной записи. Эта атака была осуществлена не только по электронной почте, но и по телефонному звонку.
У одного из клиентов удалось получить доступ к данным 102 сотрудников, в том числе директора по маркетингу. Учитывая, что руководители часто имеют доступ к конфиденциальным данным, организация не должна пренебрегать тренингами для руководителей.
Заключение
При халатном отношении к мерам безопасности злоумышленникам будет несложно найти уязвимые места и совершить кибератаку. Также нужно понимать, что политики и правил кибербезопасности, а также тренингов может быть недостаточно. Для того чтобы минимизировать риски кибератак, необходимо регулярно проводить аудит на выявление уязвимостей.