Корпоративная цифровая гигиена: что нужно знать сотрудникам компаний, чтобы не попасть в ловушку мошенников

Максим Рубан

CISO платформы корпоративных коммуникаций и мобильности eXpress

Восстановление после атаки на информационную инфраструктуру может стоить бизнесу миллионы рублей. Еще дороже обойдется потеря репутации: утрата доверия клиентов и партнеров всегда приводит к долгосрочным негативным последствиям. Специально для Cyber Media Максим Рубан, CISO платформы корпоративных коммуникаций и мобильности eXpress, расскажет, что нужно делать, чтобы не случилось недопустимое событие и какие правила цифрового поведения нужно соблюдать, с учетом корпоративной цифровой гигиены.

Эффективный способ противодействия злоумышленникам

В отношении сотрудников компаний злоумышленники сегодня обычно используют следующие сценарии атак:

• Поддельные запросы на авторизацию. Пользователю приходит сообщение с просьбой «подтвердить» вход в систему.
• Фишинговые рассылки или «fakeboss». Сообщения, имитирующие доверенные источники или отправителя.
• Вредоносные вложения. Файлы, маскирующиеся, например, под документы или презентации.

Попасть в одну из таких ловушек – это риск создать ситуацию, которая повлечет реализацию атаки и в итоге приведет к убыткам компании: судебные иски, штрафы, компрометация корпоративной сети, потеря данных, остановка производства и другие.

И напротив, соблюдая несложные правила цифровой гигиены, сотрудник может в разы снизить эти риски. Например, аккуратность и бдительность: это все, что нужно, чтобы не попасться на фишинг. С помощью этой всем известной схемы злоумышленники завладевают важными коммерческими данными – сведениями о клиентах, продажах, закупочных тендерах. Веерные рассылки не так страшны, как таргетированная атака на компанию, когда злоумышленник пишет от лица руководителя учитывая особенности поведения и опираясь на другие рабочие аспекты.

Основные правила цифровой гигиены для пользователей

Большинство проблем возникает не потому, что распознать мошенника невозможно — ведь люди в момент атаки теряются и забывают о мерах предосторожности. Поэтому важно помнить правила безопасного поведения во всех корпоративных каналах рабочего общения.

Правило 1. Свой или чужой? Проверяем отправителя до начала коммуникации

Доверие в корпоративной среде выше, чем в публичной, и обратная сторона этого – люди становятся более уязвимыми. Даже если ссылку отправил кто-то из коллег внутри корпоративного периметра, перейдя по ней, можно попасть на поддельный сайт и позволить злоумышленникам похитить данные.

«Fakeboss», это когда с жертвой по видеосвязи разговаривает «руководитель», все чаще используется при атаках на российский бизнес. Дипфейки становятся все более правдоподобными и они способны легко усыпить бдительность даже самого внимательного работника.

При асинхронных коммуникациях вовремя узнать мошенника проще. Кто бы ни запросил в чате конфиденциальные сведения или документы, содержащие персональные данные, нужно удостовериться, что аккаунт, с которого поступил запрос, нее является дублем настоящего. У подтвержденного и поддельного аккаунта будут совпадать никнейм и аватар, но они будут отличаться по ID пользователя. Золотое правило – позвонить адресату по прямому телефону и уточнить, действительно ли это он обратился к вам в мессенджере.

Правило 2. Вначале проверяем, после переходим по ссылкам

Не переходить по подозрительным ссылкам и QR-кодам, не открывать вложения от неизвестных отправителей. Любопытству нет места там, где есть риск потерять ценную информацию. Нельзя открывать подозрительные файлы, какими бы интересными они не казались, равно как и отвечать на звонки с незнакомых номеров. В современном мире слишком смелое цифровое поведение всегда чревато неожиданными неприятностями.

Правило 3. Сразу сообщаем отделу ИБ о подозрительном письме/сообщении

Обратиться нужно к руководителю и работнику отдела защиты информации, не открывая содержимое файлов и не совершая переходов по ссылкам.

Правило 4. Не переходим в ходе беседы из корпоративного мессенджера в личный

Если собеседник в определенный момент диалога предлагает перейти в личный мессенджер и продолжить беседу там, делать этого не следует. За пределами корпоративной коммуникационной платформы сотрудник компании становится гораздо более уязвим, и этим часто пользуются злоумышленники.

Правило 5. Не афишируем свои рабочие действия или детали работы

Наличие в интернете разнообразной информации о людях становится настоящей проблемой. Проверив профиль пользователя социальных сетей, злоумышленник может узнать слишком много. Особенный риск – фото или видео с рабочих мест. Если в кадр попал, например, блокнот с паролями, это может привести к фатальным последствиям. Сотрудников на удаленке контролировать сложнее, и они должны быть максимально сознательными.

Правило 6. Никогда не используем корпоративные аккаунты и оборудование для личных и бытовых целей

Корпоративные и бытовые процессы надо совершенно четко разделять. Работу следует осуществлять со специально выделенного для этого рабочего места, а при работе вне офиса проверять доменные имена и адреса электронной почты, а также применять корпоративный VPN. Использовать один и тот же пароль для доступа к корпоративным системам и личным аккаунтам нельзя.

Конечно, помнить про правила цифровой гигиены нужно не только на работе. Вот еще несколько рекомендаций, которые подходят и для корпоративных коммуникаций, и для личного нерабочего взаимодействия:

• хранить пароли в менеджерах паролей;
• регулярно обновлять пароли;
• загружать и использовать ПО только из проверенных источников;
• иметь необходимый набор средств защиты на личном оборудовании (антивирус).
• не использовать публичные онлайн-сервисы для редакции или обработки как конфиденциальной корпоративной информации, так и критичных личных данных.

Как бизнесу контролировать соблюдение правил цифровой гигиены

Чтобы быть уверенным, что сотрудники вовремя узнали и хорошо усвоили правила цифрового поведения, бизнес обычно использует два сценария.

Сценарий 1. Внедрение цифровых продуктов с достаточной зрелостью по уровню защиты информации

Например, платформы коммуникаций, как и ВКС, в настоящее время должны обладать базовым набором функций:

• уведомления и предупреждения пользователей о подозрительных отправителях;
• настройка прав и ролей доступа, ограничивающая потоки информации;
• контроль и антивирусная проверка файлов.

Сценарий 2. Обучение пользователей и киберучения

Каждый сотрудник должен знать, какие угрозы актуальны, какой ущерб они несут и что следует делать, чтобы их избежать. Для такого информирования хорошо подходят регулярные рассылки в мессенджерах, дайджесты, вебинары, очные тематические встречи, информирование во время онбординга.

Результативность тренингов обязательно надо проверять посредством проведения симуляций. Например, разослать специально подготовленное фишинговое письмо случайной выборке сотрудников. Иногда проводится генерация крупных атак – так можно попытаться получить конфиденциальную информацию и понять, насколько просто это может сделать злоумышленник.

Кроме того, фейковые атаки дают статистический срез по реакции пользователей. С учетом этих сведений можно провести повторное или дополнительное обучение, а после еще раз сымитировать атаку.

Так пользователи постепенно нарабатывают личный опыт, от которого в вопросах цифровой аккуратности зависит очень многое. Если сотруднику в ходе тренингов несколько раз показали QR-код, который содержит угрозу, он с большой вероятностью сообщит о полученном в реальной переписке QR-коде в службу безопасности. Если же о такой угрозе он слышал только в теории, вероятность машинально перейти на страницу злоумышленника гораздо выше.

Безопасность компании зависит от каждого ее сотрудника

Эксперты в области ИБ нередко говорят о том, что будущее информационной безопасности – это битва ИИ, один из которых стоит на защите бизнеса, а другой, оружие хакеров, пытается эту защиту пробить. В такой ситуации бизнесу, какими бы сильными ни были штатные ИБ-специалисты, без ИИ-помощника противостоять информационной атаке будет практически невозможно.

Сегодня же соблюдение перечисленных выше правил – это необходимый вклад каждого сотрудника в общее дело защиты бизнеса от мошенников, а значит, поддержания его устойчивости и благополучного развития. Скажу больше: цифровая гигиена сегодня – это культура, которую необходимо внедрять на всех уровнях организации на базе удобных и функциональных средств корпоративных коммуникаций.