Снова в школу. Как и зачем повышать киберграмотность в компании

В этом материале вместе с екатеринбургской компанией «Айдеко» объясняем, какие ошибки сотрудники компаний совершают чаще всего, к чему это приводит, и как с этим бороться.

За первые четыре месяца 2023 года эксперты F.A. C.C.T. зафиксировали 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года.Жертвами же оказались крупнейшие финансовые и страховые компании, а также государственные структуры.

Интересно, что в этом году злоумышленники вернулись к тактике «заработка», продавая данные или прибегая к шантажу для получения выкупа. В прошлом же году хакеры выкладывали похищенные базы в публичный доступ бесплатно, стараясь нанести наибольший ущерб бизнесу. Всего в 2022 году на андеграундных форумах и тематических Telegram-каналах оказались 311 баз данных российских компаний, суммарно обнорадовав личную информацию 1,4 млрд их клиентов. Это в 10 раз больше, чем население России.

Наибольшее число атак приходится на крупные предприятия топливно-энергетического сектора, финансовой отрасли и телеком-индустрии. Среди них — «Газпром», «Лукойл», «Норникель», «Сибур», Сбербанк и др. Впрочем, малый и средний бизнес не остается незамеченным.

По данным центра противодействия кибератакам Solar JSOC, в 2022 году почти 40% атак было реализовано с помощью вредоносных программ, большая часть которых доставлялась на компьютер с помощью фишинговой рассылки на корпоративную почту. Кроме писем со ссылками и вложениями, киберпреступники применяли QR-коды для обхода антиспам-фильтров и других защитных средств, поскольку они распространяются в качестве изображения и не содержат подозрительных ссылок. Более того — в последнее время злоумышленники не просто посылают письма со сторонних ресурсов, а выдают себя за контрагентов, сотрудников отдела кадров и даже представителей ИТ-службы.

По данным Ideco Security — бесплатного сервиса самостоятельной проверки безопасности сети от компании «Айдеко» — также эффективными методами доставки вирусов и эксплойтов на машину жертвы являются торрент-файлы из недоверенных источников и рекламные баннеры как новостного, так и развлекательного характера.

Главной же причиной успеха всех этих кибератак эксперты называют низкий уровень осведомленности людей о таких угрозах и способах защиты от них.

Какие бизнес-подразделения больше всего уязвимы перед атаками

В зависимости от рода деятельности, уровень киберграмотности сотрудников компании может быть разным.

В исследований проекта «Код Дурова» были опрошены сотни сотрудников крупных федеральных компаний. Согласно статистике, больше половины (51,4%) из них готовы дать свой пароль коллегам или же вовсе делают это регулярно. 67% опрошенных используют рабочий компьютер в личных целях, а среди тех, кто работает за личным компьютером, каждый 10-й делит его с членами семьи без создания для них отдельной учетной записи. При этом половина респондентов (51,9%) признались, что хранят на личных устройствах корпоративные данные, помимо мессенджера и почты.

Чем опасна для бизнеса низкая киберграмотность сотрудников

Небрежность со стороны сотрудников порой приводит к утечке конфиденциальной информации или внесению вредоносного программного обеспечения на корпоративные системы. А дальше — за пару часов можно потерять все то, что бизнес нарабатывал годами: клиентскую базу, проектные работы, конструкторские документации, данные бухгалтерского, складского и финансового учета и так далее.

Для бизнеса такой инцидент может обернуться критическими последствиями, вроде:

• утечки пользовательских и корпоративных данных;
• утраты доступа к критически важной информации;
• потери репутации;
• полной остановкой работы.

Самые распространенные ошибки сотрудников

• Небрежное отношение к письмам и ссылкам, которые приходят на почту. Сотрудники часто не обращают внимание на подозрительные сообщения, открывая их без предварительной проверки.
• Использование слабых паролей. Люди часто используют или одни и те же пароли везде, или выбирают стандартные вариации потому что запоминать еще один набор цифро-буквенных комбинаций порой кажется уже невыносимо. По статистике компании-диспетчера паролей NordPass, которая проанализировала пароли в 30 странах, слово password стало самым популярным, среди тех, что люди использовали в 2022 году для защиты аккаунтов. Также в топе — цифровые комбинации «123456789», «12345678», «111111» и «12345», а также буквенная — qwerty.
• Использование общих учетных записей. И вроде бы «чего такого», мы ведь тут все в одной компании, однако эксперты говорят, что одна учетка на нескольких пользователей регулярно приводит к утечке данных, так как отношения в коллективе имеют свойство меняться не в лучшую сторону.
• Неправильное использование съемных носителей. С годами актуальность этой проблемы снижается, но не во всех сферах бизнеса.

Как защитить компанию от цифровых атак

С недавнего времени к этим «человеческим» факторам риска добавилась необходимость срочно перейти на отечественное ПО. «Переезд» компании делали быстро, забывая рассказать персоналу, как безопасно использовать новые для них IT‑продукты и как выставить правильные настройки.

Но все усилия по выстраиванию киберзащиты будут напрасными, если не позаботиться о сотрудниках и их уровне знаний в этой сфере. Например, можно использовать последние технические средства защиты, вроде Ideco UTM, но не внедрить парольную политику. Или создать свод корпоративных правил кибербезопасности, но сформулировать его слишком сложным, формальным языком, который сотрудники будут расценивать как излишнюю бюрократию.

«Риск стать жертвой злоумышленника очень высок. Поэтому наряду с технической защитой необходимо регулярное информирование пользователей о фишинге и способах противодействия ему», — отмечает дирекор «Айдеко» Дмитрий Хомутов.

Важно, чтобы все работники понимали, что могут стать легкой добычей хакеров, и от их действий пострадают не только они сами, но их коллеги и бизнес в целом. Для этого стоит не только непрерывно обучать сотрудников безопасной работе в цифровой среде, но и делать это комплексно. Процесс можно организовать силами собственной ИТ-службы, с помощью готовых решений или привлечения внешней команды экспертов.

Подходы к обучению могут быть совершенно разными. Например, технологические решения, интегрированные в бизнес-процессы. Это системы, которые мониторят поведение сотрудников (использование повторяющихся паролей, переход по подозрительным ссылкам и т.п.), и на основе этих данных выстраивают индивидуальные подходы к повышению осведомленности. Или, например, системы обучения с различными образовательными форматами: от брошюр до интерактивных видеороликов.