Жажда нажима: почему сотрудники офисов не думают о кибербезопасности

Уровень обеспечения собственной безопасности у российских компаний не соответствует требованиям времени, следует из данных исследования «МТС Линк» и Superjob. Каждый пятый сотрудник российских офисов никогда не проходил тренингов и инструктажей по информационной безопасности. При этом зачастую утечки корпоративных данных происходят не из-за масштабных хакерских атак, а из-за недостаточной бдительности пользователей, предупреждают эксперты. Что должен знать офисный сотрудник и как часто стоит тренироваться — в материале «Известий».

Как часто проводят тренинги

В 10% российских компаний никогда не проводились тренинги по информационной безопасности, а в прошлом году такие инструктажи и курсы организовывали лишь в половине. Это следует из данных исследования компании-разработчика экосистем сервисов для бизнес-коммуникаций «Вебинар Технологии» (бренд «МТС Линк») и портала по поиску работы Superjob, в котором участвовали представители 1 тыс. компаний.

Зачастую утечки корпоративных данных происходят не из-за масштабных хакерских атак, а из-за недостаточной бдительности пользователей, напомнил директор бизнес-юнита «Встречи» «МТС Линк» Олег Пашукевич.

— Киберпреступники очень изобретательны: новые способы социальной инженерии появляются буквально каждую неделю, — сказал он. — В ход идут современные технологии, в частности — искусственный интеллект и дипфейки. Именно поэтому критически важно регулярно информировать персонал о рисках.

Он также отметил, что особенно уязвимы в такой ситуации компании с дистанционным или гибридным режимом работы.

Согласно опросу офисных сотрудников, который также проведен в рамках исследования, лишь 36% из них проходили инструктаж по защите информации менее шести месяцев назад. Каждый пятый заявил, что у него никогда не было подобного корпоративного обучения. Еще 7% опрошенных вспомнили, что проходили тренинг более года назад, а 3% — более двух лет назад.

Киберзащита компании — это не только задача профильных специалистов, но и ответственность всех сотрудников, отметил директор по цифровой трансформации и технологическим инновациям Школы управления «Сколково» Анатолий Стояновский.

— Потеряли ноутбук или телефон, использовавшиеся по работе, — ваша компания под угрозой, — сказал он. — Вам позвонили и представились сотрудниками спецслужб (не предоставив подтверждающих документов) — вы сообщили секретные сведения злоумышленникам. Увы, с современным технологиями подделки голоса и изображения зачастую нельзя быть уверенным, что с вами разговаривает настоящий коллега, а не хакер.

Он также напомнил, что одной из серьезных проблем времени стала подделка корпоративных сервисов.

— Стоит только всем сотрудникам получить поддельное письмо якобы от руководства компании с требованием срочно зайти на якобы корпоративный сайт (по факту поддельный, но выглядящий как настоящий) и ввести свой рабочий пароль — и немалая доля сотрудников могут сделать это, не задумываясь, передавая таким образом свой пароль злоумышленникам, — констатировал эксперт.

Любая компания в любой отрасли может стать мишенью для кибератаки, но особенно чувствительна эта тема для организаций, аккумулирующих персональные данные большого числа людей в медицине, банковском секторе, ритейле, предупредила генеральный директор IT-провайдера MightyCall Юлия Черноуцян.

— Отсутствие регулярных тренингов может ослабить бдительность персонала перед фишинговыми ссылками или риском утечки данных, — сказала она. — Последствия такого легкомыслия весьма серьезны: утечка коммерческой информации может нанести финансовый ущерб и подорвать доверие клиентов. А если речь идет о нарушении законодательства о защите персональных данных, здесь возможны юридические проблемы и крупные штрафы, которые, в зависимости от объема утечки, могут превышать десятки миллионов рублей.

Во многих атаках, направленных на юридические лица, «слабым звеном» является человек, который по незнанию или доверчивости может стать пособником злоумышленников, уверен и генеральный директор SafeTech Lab Александр Санин.

— Мы уже несколько лет наблюдаем рост мошеннических схем с атакой на конечного пользователя, — сказал он. — И очень важно, чтобы пользователь был хорошо осведомлен о механизмах таких мошенничеств и о том, что нужно и что не нужно делать. И это касается не только схем, направленных на граждан. Вспомнить хотя бы атаки против юрлиц прошлого и позапрошлого года, когда фейковые звонки и сообщения от якобы руководства компании побуждали главбухов компаний переводить на счета злоумышленников миллионы.

Директор по инновациям «Меркатор Холдинг» Павел Теплов констатировал, что «старый добрый сисадмин уже не решит всех проблем, если персонал и руководство предприятия этих навыков лишены».

— Системы становятся всё сложнее, и правильное их функционирование лежит на плечах не только узких специалистов, сказал он. — От уровня подготовки всех пользователей, особенно ключевых, от их способности понимать текущие риски и стратегию их снижения очень многое зависит.

Базовые правила кибербезопасности интуитивно очевидны (никому не сообщать пароли или коды подтверждения операций, которые приходят в SMS, не оставлять разблокированный компьютер в чужом помещении, не доверять подозрительным письмам), но обычного человека несложно запутать, когда речь идет о цифровых сервисах, отметил Анатолий Стояновский.

— Это связано с тем, что мы тысячелетиями учились контролировать физическое пространство и безопасность в нем, а цифровые технологии относительно новы, требуют другого понимания вещей, и поэтому люди склонны к искажениям здравого смысла в подозрительных ситуациях, — сказал он. — Не менее важный аспект — в цифровом мире стирается граница между нашим личным и рабочим, офисным пространством. С одного и того же смартфона люди могут управлять и личным банковским счетом, общаться с друзьями, а также делают какие-то рабочие операции. Ваш пароль от соцсети может совпадать с рабочим — и тогда ее взлом станет проблемой компании.

Что должен знать офисный сотрудник

В первую очередь работник должен понимать, какие виды мошенничеств и атак используют злоумышленники, что такое социальная инженерия, фишинг, как надо относиться к своим паролям и зачем нужна двухфакторная аутентификация, сказал Александр Санин.

— И главное, необходимо понимать, каковы будут последствия, если сотрудник не выполнит предписания и атака будет успешной, — сказал он, добавив, что тренинги необходимо проводить не реже, чем раз в год.

Такую же периодичность рекомендовала и эксперт направления повышения цифровой грамотности Kaspersky Security Awareness Татьяна Шумайлова. Она отметила, что использование слабых паролей остается одной из основных проблем. Так, в прошлом году команда Kaspersky Digital Footprint Intelligence проанализировала 193 млн паролей, обнаруженных в публичном доступе в даркнет-ресурсах, и выяснила, что почти половину из них мошенники смогут подобрать менее чем за минуту.

— И в целом корпоративным пользователям важно быть бдительными: перепроверять информацию, критически относиться к необычным запросам, особенно, если в них давят на срочность, — сказала она. — Не стоит переходить по ссылкам или скачивать файлы, если в сообщении что-либо настораживает. Сотрудники должны знать, что делать, если они совершили ошибку или заметили какую-либо подозрительную активность у себя на компьютере или смартфоне.

Офисным работникам нужно знать базовые правила информационной безопасности, включая создание сложных паролей, распознавание фишинговых писем и подозрительных ссылок, а также правила работы с генеративными системами искусственного интеллекта, которые также усиливают риски утечки конфиденциальных данных, добавила Юлия Черноуцян. Она рекомендовала проводить тренинги по кибербезопасности хотя бы раз в квартал, учитывая скорость, с которой появляются новые технологии и типы угроз.

Сотрудники должны знать перечень действий, которые они должны выполнить в случае обнаружения возможной атаки, обратил внимание руководитель направления по развитию стратегии информационной безопасности IT-интегратора «Телеком биржа»‎ Александр Блезнеков.

— И важно в обязательном порядке проводить практические тренинги, к примеру, осуществлять фишинговую рассылку, для закрепления теоретических знаний. Работник должен на рефлекторном уровне отличать атаки данного вида, понимать, на какие ресурсы заходить не стоит, и незамедлительно реагировать, — сказал он.

Татьяна Шумайлова отметила, что программу обучения и список необходимых тем нужно выбирать в зависимости от профиля риска сотрудника: является ли он оператором на производстве или имеет дело с персональными данными, есть ли у него права администратора на рабочем ПК.

— Если это, например, сотрудники из IT-отдела или разработки, то для них должны быть организованы специализированные тренинги, — сказала она.

Александр Блезенков добавил, что чем к большему количеству информационных ресурсов имеет доступ работник, тем наиболее серьезными могут стать последствия для компании.

— К примеру, если администратор открыл полученный вредоносный файл, была допущена утечка его авторизационных данных, дальше по цепочке злоумышленник может получить доступ к контроллеру домена, сбросить пароли от учетных записей, получить доступ к критичным ресурсам и зашифровать конфиденциальную информацию, удалить, скачать, — привел он пример.

Руководитель направления Security Awareness ГК «Солар» Александр Соколов призвал уделять внимание обучению всех сотрудников, вне зависимости от их должности. И далее в обучении необходимо объединять теорию и практику.

— Из теоретических основ важно, как минимум, иметь знания в следующих темах: «Парольная политика», «Безопасность мобильных устройств», «Безопасный поиск в интернете», «Как защитить социальные сети», «Методы социальной инженерии и фишинговые атаки», «Безопасность конфиденциальных данных», «Основные правила безопасности при удаленной работе», — перечислил он.

Эксперт заявил, что компаниям необходимо проводить не только теоретические тренинги, но и практические тренировки по противодействию различным социотехническим методам злоумышленников — в частности, делать рассылки, имитирующие фишинговые письма.

— Именно такие тренировки снижают риск возникновения киберинцидента по вине сотрудника компании, — сказал он. — Если мы чего-то не используем в своей практике, то навык теряется. Поэтому следует подходить к вопросу повышения навыков киберграмотности циклично и непрерывно. Периодичность следует выбрать следующую: рассылка фишинга — один раз примерно в 1,5 месяца.

При этом фишинг, по его словам, должен быть таргетированным на определенные группы пользователей (с разведением групп рассылок по времени), а не одно одинаковое письмо для всех сотрудников компании сразу.