Финансисты – легкая добыча для киберпреступников

Фишинг – это набирающий тревожные масштабы обман, при котором мошенник при коммуникации выдает себя за вашего начальника или коллегу. Его сообщение может выглядеть примерно следующим образом: «Здравствуйте! Прошу бухгалтерию срочно перевести 2000 евро на счет XXX. Я в отъезде, пришлю вам счет на следующей неделе». Или: «Привет, Анна. Могла бы ты выплатить мне 300 евро в счет зарплаты? У меня заболела мама, нужно купить ей лекарства».

Ваши действия во многом зависят от корпоративной культуры и организации процессов в компании. Стоит заметить, что фишинговые письма могут быть нацелены и на других сотрудников и изображать просьбу бухгалтера вернуть часть выплаченной заработной платы и тому подобное.

Стали уже знаменитыми и звонки «из банка» с сообщением о якобы выводе или отмывании денег. Вам грозят заблокировать счет, если вы не выполните предписываемые действия. Другой повод для звонка – предложение кредитной карты с нулевой процентной ставкой. Конечная цель такого звонка состоит в том, чтобы заполучить ваш логин / пароль / пин-код / номер кредитной карты и CVR. А далее следует ограбление банковского счета. Обратите внимание, что финансовые учреждения (и другие поставщики услуг) никогда не запрашивают ваш пароль. Они могут запросить ваш логин / идентификационный код / имя, но не вторую часть идентификатора.

Департамент по защите данных, киберполиция, биржевой надзор... В зависимости от вашего вида деятельности, кибербезопасность регулируется множеством законов и нормативных актов: GDPR, PCI / DSS, Закон Сарбейнза — Оксли, HIPAA и т. д.

Одновременно на национальном уровне вводятся свои, еще более строгие правила. Обеспечение соблюдения международных правил становится экстерриториальным (например, наложение штрафа на компанию согласно GDPR применяется и за пределами ЕС). И штрафы только растут.

Для бухгалтерии это означает постоянную бдительность и соблюдение правил и законов.

Во-первых, оценка безопасности должна проводиться регулярно: финансовые системы сейчас в самом центре мишени киберпреступности.

Во-вторых, всегда есть слабости, то есть человеческий фактор. Обучите свой отдел и организацию вопросам кибербезопасности. Научите людей создавать безопасные пароли и всегда делать резервные копии.

В-третьих, никогда не открывайте файл, приложенный к странному письму. Любой адрес электронной почты, который выглядит нестандартным, странноватым и т. п., должен включать в голове сигнал тревоги. Позвоните отправителю, чтобы убедиться, что он действительно отправил вам это письмо. Если нет, немедленно свяжитесь с ИТ-отделом. Кроме того, никому не доверяйте: идентификаторы вашего друга, брата, сестры или коллеги могут быть взломаны и использоваться для киберпреступлений.

В-четвертых. Пользуйтесь USB-накопителем только после его очистки ИТ-специалистом. Подключение к ноутбуку зараженной USB-карты памяти (даже если ее дал вам коллега или друг) может вызвать всевозможные проблемы. Иногда преступники просто оставляют USB-накопители на видном месте, надеясь, что кто-то подберет и попытается из любопытства открыть.

В-пятых – участвуйте в обеспечении кибербезопасности. Как понять, что происходит? Вы доверяете специалистам, которые обеспечивают круглосуточный мониторинг информационной безопасности? Кроме того, у ИТ-отдела, отвечающего за безопасность, всегда не хватает бюджета. Помогите им помочь себе. Никто хочет оплачивать страховку, то есть вкладываться в кибербезопасность. Но без надлежащих партнеров по ИТ-безопасности ваш бизнес будет превращаться в птичник под открытым небом посреди растущей популяции лисиц. Помните: расходы на ИТ-безопасность нужны для вашей же защиты. J

Как и остальные, руководители не верят, что риск кибератаки на их компании вполне реален. Очень подходящая современная параллель – поведение тех, кто не верит, что коронавирус действительно убивает людей по всему миру, говорит Владимир Елов, руководитель по работе с ключевыми клиентами бренда Cyber.

Далее следует интервью с Еловым.

В том, что многие люди, включая руководителей высшего звена, не верят в реальность угрозы. Подходящая современная параллель – поведение тех, кто не верит, что коронавирус действительно существует и действует убийственно. Такое же отношение определяет поведение людей в цифровом мире, как и то, насколько серьезной проблемой может стать даже небольшой киберинцидент. Улучшению ситуации мешает простая нехватка информации: если у меня что-то случилось, мой эстонский менталитет диктует не рассказывать об этом другим, но тогда они не будут учиться на моих ошибках. Кроме того, цифровое, согласно его брендбуку, государство не уделяло особого внимания обучению своих граждан кибербезопасности в течение 20 лет. Парадоксально, но сами государственные органы при этом, наученные атакой 2007 года, достаточно хорошо защищены после и очень серьезно относятся к кибербезопасности. А вот рядовые граждане остались в положении «бедных родственников».

Фальсификация счетов в Восточно-Таллиннской центральной больнице показала, насколько легко манипулировать людьми и что происходит, когда процедуры информационной безопасности понятны не всем сотрудникам. Атака на сайты «Äripäev» и «Деловые ведомости» продемонстрировала, насколько легко оказаться жертвой и сколько времени нужно, чтобы восстановить нормальную работу. И еще один хороший пример – из Англии, где авиакомпания British Airways, акции которой котируются на Лондонской фондовой бирже, была оштрафована Европейским Союзом на 22 миллиона евро за недостаточное внимание к информационной безопасности в контексте Общего регламента о защите данных (GDPR). Если однажды наша собственная Инспекция по защите данных (AKI) получит такие же полномочия и ресурсы для своей работы, как инспекции по защите данных в других странах ЕС, это станет «неприятным сюрпризом» для многих компаний и учреждений Эстонии.

Это всего один принцип: нельзя ничего оставлять доверию. Если вы не уверены на 100%, просто не платите, не комментируйте и не предоставляйте информацию. Попросите, чтобы вам прислали информацию по электронной почте или перезвоните сами на общий номер компании, чтобы узнать, существует ли такая организация. А если что-то произошло или кажется, что происходит, обязательно обратитесь к специалисту по информационной безопасности, в RIA, полицию или AKI. Если киберпреступники начинают «прощупывать» конкретную компанию, важно убедиться, что все «окна и двери» по-прежнему должным образом закрыты.

Несомненно. В домашнем офисе чаще всего полно всевозможных отвлекающих факторов, плохо влияющих на внимание. Кроме того, дома существует риск, что доступ к рабочему компьютеру получат посторонние, то есть члены семьи, которые могут сделать с ним что-то не то. Я искренне надеюсь, что бухгалтеры большинства эстонских компаний проходят обучение кибергигиене хотя бы раз в год. Однако это вряд ли относится к 12-летнему сыну бухгалтера, который привык иногда пользоваться компьютером матери или отца. И еще один нюанс: многие компании не принимают во внимание безопасность домашнего интернета сотрудников, потому что это кажется им невыполнимой задачей.