Обучение кибербезопасности может предотвратить крах компании

    Катлин Кирна, консультант по кибербезопасности CGIФото: CGI Eesti AS

    Собственная кибергигиена и киберзащита – важнейшие вопросы, в которых, однако, делают ошибки даже руководители мировых спецслужб и их семьи. Интенсивность кибератак на компании и организации с каждым годом растет, и коронавирус только усугубил положение, пишет Катлин Кирна, консультант по кибербезопасности CGI.

    Люди ищут в сети ответы на вопросы кибергигиены, заказывают учебные курсы, обновляют программное обеспечение. Зачем все это?
    Значительная часть современной жизни уже переместилась в интернет, но многие именно последний год провели целиком и полностью за компьютером. Виртуальными стали все коммуникации с миром, включая работу, учебу и покупки.
    А значит, небывалым образом выросла и численность потенциальных жертв кибератак, как и необходимость самостоятельно заботиться о кибергигиене. Однако для этого необходимо, чтобы люди знали, что нужно делать, на что обращать внимание.

    Так что же происходит?

    Согласно ежегоднику Департамента государственных инфосистем (RIA), в 2019 году в Эстонии было зарегистрировано 24 369 киберинцидентов, то есть в среднем три сообщения об атаке в час. Заметно больше, чем в 2018 году, когда набралось 17 440 обращений. В прошлом году ожидалось, что результат 2020 года станет новым рекордом.
    Агентство кибербезопасности ЕС и Интерпол отметили рост интенсивности кибератак в связи с распространением коронавируса. Мы не знаем реальных цифр этих атак, потому что не каждая из них сопровождается сообщением, а многие пользователи даже не замечают, что отправляют в корзину очередное фишинговое письмо.
    Здесь важно, что примерно 80–90% успешных кибератак обеспечен помощью самого целевого бренда или его сотрудника, в основном случайной. Таким образом, можно сделать вывод, что большинство подобных атак можно предотвратить.
    По поводу потенциальных кибератак у людей часто возникает вопрос: зачем кому-то понадобится меня атаковать? Ответов много, но злоумышленникам потенциально интересен любой пользователь, хоть юный, хоть пожилой. Обычно атаки совершают в корыстных целях – ради информации о банковской карте, кражи и/или продажи данных, даже прямого запроса денег.
    И в то же время целью попытки причинить вред может быть даже развлечение – путем распространения личной информации или интеллектуальной собственности. Мотивом может послужить и желание воспользоваться компьютером жертвы для продолжения атаки с высокой для владельца компьютера вероятностью вмешательства полиции.
    Автором атаки может быть шутник, профессионал или даже государство. Ее целью может стать каждый, тем более персонал компаний – в качестве и частных лиц, и сотрудников.

    Зачем обучать рядовой персонал?

    Многие компании, как и составляющие их люди, не ощущают потенциальной угрозы или верят, что их системы безопасности и так достаточно хороши. Если что-то смущает, с помощью интернета всегда можно найти материалы и освоить что угодно. Если вдобавок вспомнить, что в организации может быть несколько тысяч сотрудников, стоимость такого обучения кажется колоссальной.
    Однако реальность такова, что каждая организация хочет защитить свои данные и наработки, а за передовую линию киберзащиты отвечает именно рядовой работник, и многие проблемы возникают по двум причинам: небрежность и сопротивление.
    Во многих случаях бездумный клик по сомнительной ссылке или файлу запускает программу-вымогатель или другое вредоносное ПО, а порой и отправку вредоносного сообщения. Все это невнимательность, то есть легко поправимо.
    Во-первых, для этого нужен не слишком напряженный рабочий ритм, однако и самому работнику следует знать, на что обращать внимание. Как отличить фишинговое письмо от настоящего и проверить ссылки? Многие и не задумываются о том, что каждая сессия передачи данных, каждый клик мышкой, каждое действие на компьютере оставляют след, создающий потенциальную опасность. Здесь полезны примеры из жизни, связанные с опытом и специализацией сотрудника, а такая информация обычно доступна только в рамках обучения.
    Во-вторых, стоит помнить о том, что люди хотят как лучше. Стараются отвечать на вопросы клиента, пойти навстречу коллеге и всем помочь. А это означает, что они легко могут стать жертвой фишинга, при котором электронное письмо пытается выудить данные организации или что-нибудь в них изменить. Для предотвращения таких ситуаций персонал тоже нужно обучать.

    Зачем обучать ИТ-персонал?

    Повседневная кибербезопасность – забота каждого, однако ИТ-персонал организации должен заниматься ею больше и с других позиций. Считается, что представителям этой профессии дополнительная информация не нужна, но опыт показывает, что айтишникам тоже нужна помощь в вопросах кибергигиены, хотя бы в том, чтобы учиться думать как обычный пользователь.
    Системным администраторам, консультантам по информационной безопасности и тому подобным сотрудникам нередко требуется специализированное обучение, посвященное решению их конкретных задач и системных проблем. Например, как сделать так, чтобы контактная информация клиента не могла быть изменена в системе по телефонному звонку, даже если об этом очень просит звонящий клиент, у которого нет при себе документа. Ответ заключается в блокировке системы от внесения изменений при недостаточном наборе данных.
    Кроме того, они могут и не задумываться о некоторых специфических угрозах, таких как разрешенное неконтролируемое автоматическое перенаправление на сайте или возможность ввести в поле авторизации код, чтобы войти на сайт. Самостоятельно руководитель по ИТ может не только не найти подобных вещей, но и не подозревать о них.
    Это требует подготовки по распознанию потенциальных угроз и, по возможности, стороннего тестирования системы организации. Подобные учебные курсы и «работают» лучше всего при одновременном тестировании безопасности. Свежий взгляд, как и новые знания со стороны, придают направление мыслям специалистов по безопасности.

    Курс для руководства

    Высшее руководство любой организации, а в случае крупной компании – и менеджеры среднего звена должны проходить отдельное дополнительное обучение. Логично, чтобы руководители получали наиболее широкую картину текущей ситуации и базовые знания по кибергигиене, однако есть и другие причины для дополнительного обучения.
    Во-первых, решения по кибербезопасности во многих компаниях принимает именно высшее руководство, которому для этого требуется четкое представление о ключевых тенденция в отрасли и аналогичных организациях. Однако не менее важно и то, что руководство – очевидная мишень для кибератак. Фишинговые атаки сейчас вообще очень распространены, но влиятельные люди становятся их жертвами чаще, чем остальные, и обычно эти атаки лучше продуманы. Чтобы их распознавать, нужно обсудить конкретику со специалистами и создать систему самозащиты. Заказной тематический тренинг тоже помогает уточнить представление о том, что стоит сделать для защиты данных организации.

    Подведем итоги

    Обучение кибернетической гигиене и безопасности становится все более доступным и адаптируется к реальным потребностям. Поэтому важно ознакомиться с предложениями, задать дополнительные вопросы, а порой и прибегнуть к помощи экспертов, чтобы выбрать правильное решение.

    Три истории из реальной жизни:

    Не публикуйте в социальных сетях все подряд!
    Сэр Джон Соерс, избранный в 2009 году главой британской разведслужбы МИ-6, отправился в отставку еще до того, как вступил в должность, пишет Daily Mail. Причина тому была очень современной – публичный аккаунт его жены в Facebook содержал информацию о месте жительства, детях и родственниках семьи. В ленте, среди прочего, появились праздничные фотографии, и весь интернет узнал, как замечательно идут новому директору полосатые плавки. А заодно выяснилось, что известный отрицатель Холокоста Дэвид Ирвинг – родственник свежеизбранного директора, что не слишком сочетается с этой должностью. Так что МИ-6 пришлось искать себе нового главу.
    Нельзя всюду использовать один пароль!
    В 2012 году система LinkedIn была взломана с помощью информации сотрудника этой компании, найденной злоумышленниками в той же социальной сети. Это предоставило им доступ к данным тысяч людей, одним из которых был сотрудник Dropbox. Тогда его данные были использованы для доступа в Dropbox и оттуда далее. Что при этом заметно облегчило задачу хакеру, так это склонность пользователей задавать для разных адресов один и тот же пароль. Тогда единственная утечка открывает доступ к другим системам – просто вводи пароль и входи.
    Взлом, ставший причиной банкротства
    В 2020 году была взломана база данных пациентов частной клиники Vastamo в Финляндии. Данные этой базы были строго конфиденциальными, поскольку профиль клиники – психиатрия. Хакеры связались с пациентами и стали их шантажировать, требуя заплатить под угрозой публикации медицинских сведений в интернете. В конце концов большая часть этих данных попала на черный рынок, а в начале этого года было объявлено банкротство клиники Vastamo: расходы на последствия взлома уже во много раз превысили активы компании.
Инвесторы оценивают последствия покушения на Трампа. Биткойн уже вырос
Инвесторы считают, что после покушения на Дональда Трампа вероятность его победы на президентских выборах в США в ноябре стала еще выше. Первые признаки этого уже видны на рынке криптовалют.
Инвесторы считают, что после покушения на Дональда Трампа вероятность его победы на президентских выборах в США в ноябре стала еще выше. Первые признаки этого уже видны на рынке криптовалют.
Делов-то: компетентен ли Михал, Rail Baltic – мертворожденный проект? И почему жители Эстонии политиков в грош не ставят?
В свежем выпуске подкаста «Делов-то!» журналисты ДВ обсуждают нового премьер-министра и его предложение затянуть пояса госбюджета на три года, кризис в СМИ, раздувание бюджета и откладывание сроков Rail Baltic, а также отчет ОЭСР, где говорится, что жители Эстонии не доверяют нашим политикам и подозревают их в коррупции.
В свежем выпуске подкаста «Делов-то!» журналисты ДВ обсуждают нового премьер-министра и его предложение затянуть пояса госбюджета на три года, кризис в СМИ, раздувание бюджета и откладывание сроков Rail Baltic, а также отчет ОЭСР, где говорится, что жители Эстонии не доверяют нашим политикам и подозревают их в коррупции.
10 лет назад RMK тайком «ухаживал» за фирмой Кирьянена. Слабо повторить фокус публично?
Менеджеров Центра управления лесным хозяйством (RMK), в 2013-2014 годах заключавших непубличные соглашения с Graanul Invest Рауля Кирьянена ради строительства нового крупного предприятия, хочется одновременно обругать за непрозрачность работы и похвалить за эффективное «ухаживание» за строптивым инвестором, считает журналист ДВ Алексей Шишкин.
Менеджеров Центра управления лесным хозяйством (RMK), в 2013-2014 годах заключавших непубличные соглашения с Graanul Invest Рауля Кирьянена ради строительства нового крупного предприятия, хочется одновременно обругать за непрозрачность работы и похвалить за эффективное «ухаживание» за строптивым инвестором, считает журналист ДВ Алексей Шишкин.
Мальчик, мечтавший о жизни рантье, стал self-made миллионером
Двадцать лет постоянных инвестиций, разнообразных профессий и использования всех возможностей для заработка сделали из молодого человека, мечтавшего о жизни рантье, инвестора с портфелем в десять миллионов евро.
Двадцать лет постоянных инвестиций, разнообразных профессий и использования всех возможностей для заработка сделали из молодого человека, мечтавшего о жизни рантье, инвестора с портфелем в десять миллионов евро.