Новые виды киберугроз появляются каждый день. Может показаться, что хакеры и мошенники охотятся только за гигантами рынка. Но это не так. 63% всех атак нацелены CYBER THREATSCAPE REPORT на малый бизнес, а 60% небольших компаний закрываются после кибернападения. Более того, жертвы атак — это не обязательно стартапы из Силиконовой долины. Генпрокуратура РФ зафиксировала Информационная опасность: как защитить себя и бизнес от киберпреступников 180 153 киберпреступлений за первые шесть месяцев 2019 года. И это на 70% больше, чем в 2018 году.
Даже если у вас есть целый IT‑отдел и на всех компьютерах установлены антивирусы, этого недостаточно для надёжной защиты. К тому же всегда остаётся человеческий фактор: неправильные действия сотрудников могут привести к цифровой катастрофе. Поэтому важно разговаривать со своей командой о киберугрозах и объяснять им, как обезопасить себя. Мы собрали семь ситуаций, в которых неосмотрительность одного человека может дорого стоить вашей компании.
1. Переход по вредоносной ссылке
- Ситуация: на почту сотрудника приходит email, который выглядит как обычная рассылка от знакомого адресата. В письме есть кнопка, которая ведёт на сайт, не вызывающий у человека подозрений. Сотрудник переходит по ссылке и перенаправляется на сайт мошенников.
Описанный механизм — это так называемая фишинговая атака. Исследование Microsoft говорит Исследование Microsoft: за 2018 год число фишинговых атак выросло на 350% , что это одна из самых распространённых мошеннических схем. За 2018 год число таких атак выросло на 350%. Фишинг опасен тем, что в него включены элементы социальной инженерии: злоумышленники рассылают письма по email от имени компании или человека, которому жертва точно доверяет.
Мошеннические схемы постоянно усложняются: атаки проходят в несколько этапов, имейлы рассылают с разных IP‑адресов. Фишинговое письмо может быть замаскировано даже под сообщение от руководителя компании.
Чтобы не попасться, нужно вдумчиво читать все письма, замечать расхождения в одну букву или символ в адресе, а в случае любых подозрений — связываться с отправителем, прежде чем что‑то делать.
Помимо регулярных ИБ‑ликбезов, нужно также проводить «полевые учения» — выполнять контролируемую фишинговую рассылку и фиксировать, сколько людей читают сообщения, переходят ли они по ссылкам внутри письма и открывают ли вложенные документы. Например, в составе Microsoft Office 365 есть инструмент Attack Simulator. Он позволяет провести такую рассылку в несколько кликов мыши и получить отчёт с точными данными.
2. Скачивание заражённого файла
- Ситуация: сотруднику нужен новый софт для работы. Он решает скачать программу в открытом доступе и попадает на сайт, где вредоносные программы выдают себя за полезное ПО.
Вирусы в интернете часто маскируются под рабочий софт. Это называется спуфинг — фальсификация назначения программы с целью навредить пользователю. Как только сотрудник открывает скачанный файл, его компьютер попадает в зону риска. Более того, некоторые сайты автоматически загружают вредоносный код на компьютер — даже без вашей попытки что‑то скачать. Такие атаки называются drive‑by download.
Дальнейшие последствия зависят от типа вируса. Раньше были распространены программы‑вымогатели: они блокировали работу компьютера и требовали от пользователя выкуп за возврат к нормальному функционированию. Сейчас чаще встречается ещё один вариант — злоумышленники используют чужие компьютеры для майнинга криптовалют. При этом другие процессы тормозят, а производительность системы падает. Кроме того, имея доступ к компьютеру, мошенники могут в любой момент заполучить конфиденциальные данные.
Именно из‑за таких сценариев важно интегрировать в рабочие процессы автоматическую проверку репутации веб‑сайта и загружаемых приложений. Например, продукты Microsoft проводят репутационный анализ через сервис SmartScreen. В нём используются данные киберразведки, которые мы получаем на основе обработки почти 8 триллионов сигналов в облаке Microsoft ежедневно.
Сотрудники компании должны знать, что рабочий софт нельзя скачивать из интернета. Люди, которые выкладывают программы в Сеть, не несут никакой ответственности за сохранность ваших данных и устройств.
Это не только безопасно, но ещё и удобно: с пакетом Office 365 вы сможете пользоваться всеми приложениями Office, сихронизировать электронную почту Outlook с календарём и держать всю важную информацию в облаке OneDrive на 1 ТБ.
3. Передача файлов по незащищённым каналам
- Ситуация: сотруднику нужно поделиться с коллегой рабочим отчётом с конфиденциальной информацией. Чтобы сделать это быстрее, он отправляет файл в соцсети.
Когда сотрудникам неудобно пользоваться корпоративными чатами или другим офисным софтом, они ищут обходные пути. Не для того, чтобы специально навредить, а просто потому, что так проще. Эта проблема настолько распространена, что для неё есть даже специальный термин — shadow IT (теневые ИТ). Так описывают ситуацию, когда сотрудники создают свои информационные системы вопреки тем, которые предписывает ИТ‑политика компании.
Очевидно, что передача конфиденциальной информации и файлов через соцсети или каналы без шифрования несёт в себе высокий риск утечки данных. Объясняйте сотрудникам, почему важно придерживаться протоколов, которые контролирует ИТ‑отдел, — в случае проблем работники не будут нести личную ответственность за утерю информации.
Передавать файл в мессенджере или соцсетях, потом получать его с комментариями от нескольких коллег и поддерживать все эти экземпляры в актуальном состоянии не только небезопасно, но и неэффективно. Гораздо проще разместить файл в облачном хранилище, предоставить всем участникам уровень доступа, соответствующий их ролям, и работать над документом онлайн. Помимо этого, можно установить время действия документа и автоматически отзывать у соавторов права на доступ, когда время выйдет.
4. Устаревшее ПО и отсутствие обновлений
- Ситуация: сотрудник получает оповещение о выходе новой версии ПО, но всё время откладывает апдейт системы и работает на старой, потому что «некогда» и «куча работы».
Новые версии ПО — это не только устранённые баги и красивые интерфейсы. Это ещё и адаптация системы под возникшие угрозы, а также перекрытие каналов утечки информации. Отчёт компании Flexera показал, что можно уменьшить уязвимость системы на 86%, просто устанавливая актуальные обновления ПО.
Киберпреступники регулярно находят более замысловатые способы для взлома чужих систем. Например, в 2020 году для кибератак применяется искусственный интеллект, растёт число взломов облачных хранилищ. Невозможно предусмотреть защиту от риска, которого не существовало, когда программа вышла. Поэтому единственный шанс повысить безопасность — всё время работать с последней версией.
Аналогичная ситуация складывается с нелицензионным программным обеспечением. В таком софте может отсутствовать важная часть функций, а за его корректную работу никто не отвечает. Намного проще оплачивать ПО с лицензией и поддержкой, чем рисковать важной корпоративной информацией и ставить под угрозу работу всей компании.
5. Использование публичных сетей Wi‑Fi для работы
- Ситуация: сотрудник работает с ноутбука в кафе или аэропорте. Он подключается к общей сети.
Если ваши сотрудники работают удалённо, проинструктируйте их об опасностях, которые скрывает общественный Wi‑Fi. Сама сеть может быть фейком, через который мошенники воруют данные с компьютеров при попытке подключения. Но даже если сеть настоящая, могут возникнуть другие проблемы.
Основные угрозы при пользовании публичным Wi‑Fi — это прослушивание трафика между пользователем и веб‑сайтом. Например, соцсетью или корпоративным приложением. Вторая угроза — это когда злоумышленник выполняет атаку man in the middle и перенаправляет трафик пользователя (например, на свою копию веб‑сайта, который имитирует легальный ресурс).
В результате такой атаки может быть украдена важная информация, логины и пароли. Мошенники могут начать рассылать сообщения от вашего имени и компрометировать вашу компанию. Подключайтесь только к проверенным сетям и не работайте с конфиденциальной информацией через публичный Wi‑Fi.
6. Копирование важной информации в общедоступные сервисы
- Ситуация: сотруднику приходит письмо от иностранного коллеги. Чтобы точно всё понять, он копирует письмо в переводчик в браузере. В письме содержится конфиденциальная информация.
Крупные компании разрабатывают собственные корпоративные редакторы текста и переводчики и предписывают сотрудникам пользоваться только ими. Причина проста: у общедоступных онлайн‑сервисов свои правила хранения и обработки информации. Они не несут ответственность за приватность ваших данных и могут передавать их третьим лицам.
Не стоит загружать важные документы или фрагменты корпоративной переписки на публичные ресурсы. Это касается в том числе сервисов для проверки грамотности. Случаи утечки информации через эти ресурсы уже были. Необязательно создавать свой софт, достаточно установить надёжные программы на рабочие компьютеры и объяснить сотрудникам, почему важно использовать только их.
7. Игнорирование многофакторной аутентификации
- Ситуация: система предлагает сотруднику связать пароль с устройством и отпечатком пальца. Сотрудник пропускает этот шаг и использует только пароль.
Если ваши сотрудники не хранят пароли на стикере, приклеенном на монитор, — это уже здорово. Но недостаточно, чтобы исключить риск потери. Связки «пароль — логин» мало для надёжной защиты, особенно если используется слабый или недостаточно длинный пароль. По данным Microsoft, если в руки злоумышленников попадает одна учётная запись, то в 30% случаев им требуется примерно десять попыток, чтобы подобрать пароль к другим аккаунтам человека.
Используйте многофакторную аутентификацию, которая добавляет к паре «логин — пароль» другие проверки. Например, отпечаток пальца, Face ID или дополнительное устройство, с которого подтверждается вход. Многофакторная аутентификация защищает One simple action you can take to prevent 99.9 percent of attacks on your accounts от 99% атак, нацеленных на кражу данных или на использование вашего устройства для майнинга.
Длинные и сложные пароли особенно неудобно вводить на смартфонах. И здесь многофакторная аутентификация поможет сделать доступ намного более простым. Если использовать специальные приложения‑аутентификаторы (например, Microsoft Authenticator), можно вообще не использовать пароль на смартфоне. Но при этом, если нужно, оставить ввод пароля обязательным для ноутбуков и ПК.
Чтобы обезопасить бизнес от современных кибератак, в том числе фишинга, взлома учётных записей и заражения через электронную почту, нужно выбирать надёжные сервисы для организации совместной работы. Технологии и механизмы эффективной защиты должны быть интегрированы в продукт изначально, чтобы использовать его было максимально удобно, а вам при этом не приходилось идти на компромиссы в вопросах цифровой безопасности.
Именно поэтому Microsoft Office 365 включает целый ряд интеллектуальных средств безопасности. Например, защиту учётных записей и процедуры входа от компрометации с помощью встроенной модели оценки рисков, многофакторную аутентификацию, для которой не нужно приобретать дополнительные лицензии, или беспарольную аутентификацию. Сервис обеспечивает динамический контроль доступа с оценкой рисков и учётом широкого спектра условий. Также Office 365 содержит встроенные средства автоматизации и аналитики данных, а ещё позволяет контролировать устройства и защищать данные от утечки.
Узнать больше об Office 365
