В период эпидемиологических ограничений огромное количество работников перешло на удаленный режим работы. В той или иной мере почти каждая компания столкнулась с необходимостью изменения подходов к организации труда. Теперь вопросы безопасности стали еще больше зависеть от сознательности и осведомленности работников. Известно, что октябрь в мировой практике традиционно является месяцем повышения осведомленности среди людей в области кибербезопасности. Как обеспечить безопасность домашней сети, интернет-подключения и используемых устройств? Что могут сделать работники для того, чтобы обезопасить себя, свои личные и корпоративные данные? Об этом рассказали эксперты из Департамента управления рисками компании «Делойт», каспийского региона - директор департамента Владимир Ремыга и старший менеджер Ернар Суербаев.
Риски удаленной работы
Не секрет, что домашние сети защищены гораздо слабее, чем корпоративные. Это делает подключенные к ним устройства источником серьезных потенциальных угроз. Если при этом сотрудник использует для рабочих целей личный ноутбук или смартфон, на которых не установлены корпоративные средства защиты (антивирус, файрвол) или не установлены последние обновления безопасности операционной системы, то потенциальные риски возрастают многократно. Например, шифровальщик, находящийся на зараженном устройстве, при подключении к инфраструктуре компании перекинется на корпоративную сеть. Также устройством могут пользоваться другие домочадцы, которые не проходили соответствующих инструктажей и не несут никакой ответственности за свои действия перед компанией.
В домашней обстановке люди могут становиться менее бдительными. Персональный компьютер используется для выполнения рабочих и личных задач одновременно, вкладки с конфиденциальной информацией часто остаются незакрытыми. Все это повышает риск случайных утечек информации. Также можно непреднамеренно отправить конфиденциальную информацию через общедоступные мессенджеры или оставить незаблокированным ноутбук без присмотра. Представьте, что с этим ноутбуком захочет поиграть ребенок. Это также может привести к реализации риска утечки информации.
Еще один фактор риска – использование публичных облачных сервисов. Необходимо помнить, что использование бесплатной персональной подписки не гарантирует ни сохранности данных, ни их конфиденциальности. Поэтому не рекомендуется пользоваться такими сервисами в рабочих целях.
К чему может привести реализация вышеперечисленных рисков
В основном это утечка конфиденциальной информации и нарушения в работе информационных систем. При этом в случае высокой зависимости от доступности и производительности IT-ресурсов возможна полная остановка рабочих процессов. Ущерб при этом может быть как материальным, так и нематериальным. Это потеря дохода, судебные иски, отток клиентов, потеря потенциальных инвесторов, ну и, конечно же, угроза репутации компании, потеря доверия к бренду и т.д.
Виды угроз
Самая классическая угроза - это вредоносные программы. Их целью является получение несанкционированного доступа к ресурсам устройства или к информации, хранимой на этом устройстве. К подобным программам можно отнести: вирусы, «червей», трояны, программы-вымогатели. Так, вирусы внедряются в программный код других приложений без согласия пользователя, нарушая при этом их работу. «Черви» распространяются по сети от системы к системе и удаляют данные или файлы. Трояны маскируются под безвредное легитимное приложение, однако вместо заявленной функциональности делают то, что нужно злоумышленнику – к примеру, похищают конфиденциальные данные или используют ресурсы компьютера для майнинга. Программы-вымогатели блокируют устройство или шифруют данные, а затем требуют выкуп за восстановление доступа.
Более хитрым видом угрозы является так называемая социальная инженерия. Это психологическое манипулирование людьми с целью принуждения их к совершению определенных действий или разглашению конфиденциальной информации. Злоумышленники не пытаются проникнуть в корпоративную сеть через системные уязвимости. Их атаки направлены на людей. И те сами делятся конфиденциальной информацией, которая дает доступ в офисные помещения, системы или сети.
Одним из наиболее распространенных видов социальной инженерии является фишинг. Это интернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователя. Например, логину, паролю, номеру платежной карты или другой конфиденциальной информации. При фишинге пользователь переходит по ссылке на поддельный сайт, где вводит свои данные. Ссылку пользователь может получить по электронной почте, наткнуться на нее на веб-сайте, получить личное сообщение внутри социальной сети. Сообщение может прийти якобы от имени банка, друга или коллеги. При этом ссылка может вести на сайт, внешне не отличимый от настоящего. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Иногда мошенники применяют методику «man-in-the-middle» или «атака посредника». Здесь злоумышленник перехватывает и, при необходимости, искажает информацию, передаваемую между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Атака является методом компрометации канала связи, при котором взломщик, подключившись к каналу между участниками взаимодействия, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию. Простыми словами, злоумышленник «пропускает» через себя трафик жертвы. Например, то время пока жертва считает, что работает напрямую с веб-сайтом своего банка, трафик проходит через промежуточный узел злоумышленника, который таким образом получает все отправляемые пользователем данные (логин, пароль, ПИН-код и т. п.).
Порой атака производится непосредственно на веб-сервер или другую вычислительную систему с целью вывода ее из строя. В этом случае речь идет о Dos/DDos атаках, в которых перекрывается доступ пользователей к ресурсу. Веб-серверы имеют определенные ограничения пропускной способности. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта их обрабатывать. Часто это мера экономического давления на компанию с целью вымогательства или шантажа, недобросовестной конкуренции или просто развлечения.
Одними из наиболее опасных угроз являются инсайдерские угрозы. Они исходят от нынешних или бывших сотрудников организации, у которых есть доступ к внутренним системам. В удаленном режиме работы сложнее контролировать действия работников. Многие из них получили потенциальную возможность безнаказанно сливать конфиденциальные данные, в том числе с использованием личной техники. Плюс использование публичных сервисов, передача рабочих документов в мессенджерах и соцсетях, хранение в личных облаках. Все это риски случайных и преднамеренных утечек.
Постоянная серьезная угроза
И еще один вид кибератаки - так называемая постоянная серьезная угроза (Advanced persistent threats). Это термин кибербезопасности, означающий злоумышленника, обладающего высоким уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных целенаправленных атак на конкретную организацию. Такая атака превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. Взлом целевой инфраструктуры осуществляется посредством эксплуатации программных уязвимостей и методов социальной инженерии.
Рекомендации
Безопасность домашней сети
- Обновляйте прошивку роутера. Новые версии прошивки содержат исправление прежних недочетов роутера и обновления безопасности.
- Создайте гостевую сеть. Таким образом, у ваших гостей будет доступ к интернету, но не будет доступа к вашим данным.
- Бережно относитесь к паролю. Не храните пароль на видимом месте (например, на стикере, наклеенном на роутер), а также создавайте уникальные пароли.
- Отключите функции WPS (UPnP). Есть вероятность, что на домашнем роутере есть дыра в UPnP, чтобы перестраховаться, просто отключите этот протокол в настройках роутера.
Безопасность компьютера
- Проверяйте внешние устройства. Будьте осторожны, используя флешки, CD/DVD и другие подключаемые устройства. Отключите их автозапуск и проверяйте на вирусы.
- Используйте Кенсингтонский замок (Kensington lock). Это позволит предотвратить кражу ноутбука. Особенно актуально, если вы работаете удаленно из кафе или из общественных коворкингов.
- Используйте корпоративные устройства. Воздержитесь от использования личных устройств в рабочих целях, особенно если на них не установлены корпоративные средства защиты.
- Устанавливайте только лицензированные приложения, загруженные из безопасных и проверенных источников.
- Установите пароль и обновляйте BIOS. Установка пароля защитит систему от несанкционированного доступа. Обновление BIOS не сделает ваш компьютер быстрее, но позволит повысить защиту от потенциальных хакерских атак и вирусов.
Безопасность операционной системы
- Установка ОС. Используйте только лицензированные версии ОС, избегайте пиратские и взломанные версии. Они могут быть не полностью безопасны. Также на нелицензионное ПО невозможно устанавливать обновления.
- Обновление ОС. Регулярно обновляйте ОС до последней доступной версии и устанавливайте обновления безопасности. Это позволит своевременно исправлять имеющиеся уязвимости.
- Установка брандмауэра. Установите системный брандмауэр. Это поможет заблокировать нежелательные доступы к системе.
Безопасность интернет-соединения
- Используйте корпоративный VPN. Это позволит вам безопасно подключаться к корпоративной сети и передавать данные, используя интернет.
- Доверяйте данные только «https»-сайтам. При заполнении различных форм доверяйте свои личные данные и данные банковской карты только тем сайтам, которые используют протокол «https».
- Используйте WPA2/WPA3 (AES) шифрование. Данная опция шифрования сети является наиболее безопасной. Выбирайте именно эту опцию стандарта безопасности в настройках роутера.
- Избегайте публичных сетей Wi-Fi. Старайтесь не подключаться к публичным сетям Wi-Fi, при необходимости используйте раздачу интернета со смартфона через точку доступа (hot spot).
Безопасность смартфона
- Регулярно обновляйте ОС вашего смартфона, а также используемых приложений до последней доступной версии. Обновления содержат исправления уязвимостей.
- Не включайте root-права на вашем устройстве. Это повышает риск заражения устройства троянами и вирусами.
- Скачивайте приложения только из проверенных источников. Это гарантирует, что приложения являются законными и не содержат внутри себя вредоносный код.
- Храните конфиденциальные данные во внутренней памяти устройства, так как информация на SD-картах по умолчанию не зашифрована.
Общие рекомендации
- Используйте программное обеспечение безопасности (антивирус, антиспам и т.д.) на своем мобильном устройстве и компьютере от надежного поставщика и регулярно обновляйте его.
- Устанавливайте разные пароли для разных аккаунтов, иначе злоумышленник, получив доступ к одному из ваших аккаунтов, может получить доступ и к другим вашим аккаунтам.
- Не используйте корпоративную электронную почту для регистрации на сторонних сервисах.
- Обдумывать каждый клик по ссылке и понимайте, с кем ведете диалог в сети. Важно понимать, что с фишингом может столкнуться каждый, и будьте предельно аккуратным.
- Будьте внимательны со всплывающими окнами. Никогда не вводите личную информацию во всплывающем экране. Будьте осторожны со всем, что в интернете является «бесплатным сыром».
- Помните, что ответственность за обеспечение безопасности ложится на плечи не только ИТ-специалистов и сотрудников службы ИБ, но и простых работников.