Финансисты – легкая добыча для киберпреступников

Возможно, это не самый смешной анекдот, но не очень смешна и сама сегодняшняя реальность. Специализирующиеся на кибербезопасности компании, такие как Cybers (официально известная как Security Software), видят растущий интерес киберпреступников к финансовым отделам организаций. Разумеется, для этого есть несколько веских причин. Во-первых, коллеги бухгалтерам доверяют (а заодно их и побаиваются). Во-вторых, бухгалтеры контролируют самые ценные данные – финансовую отчетность компании, сотрудника, клиента. А еще бухгалтеры известны своим консерватизмом – многие из них до сих пор начисляют зарплату, выставляют счета и т.п. с помощью откровенно старого программного обеспечения.

И, к сожалению, эти погруженные в свои финансовые данные сотрудники зачастую упускают из виду кибербезопасность. Кроме того, в число наиболее атакуемых организаций входят малые и средние компании, у которых просто нет такого бюджета на кибербезопасность, как у крупных корпораций.

Программы-вымогатели (разновидность вредоносных программ), установленные на компьютер, могут использоваться для блокировки всей системы. Не поможет ни перезагрузка, ни вмешательство штатного ИТ-специалиста. Если это произошло, возможны два сценария: или вы теряете все данные на своем компьютере, или платите преступникам от 2000 до 50 000 евро, чтобы они его разблокировали. При этом сумма выкупа со временем растет. Все ваши таблицы, годовые отчеты, шаблоны ... пропали!

Существует много способов заразить компьютер такой программой, но самые распространенные – это файл, приложенный к электронному письму, и USB-накопитель. Другой частый канал утечки – семья. Если вы позволяете детям играть со своим телефоном / планшетом / ноутбуком, киберпреступники могут атаковать вас через их социальные сети и игры.

Мы привыкли видеть дурацкие счета или запросы на перевод из Нигерии, но эта тенденция выглядит все хуже. Совсем недавно в Эстонии, в Восточно-Таллиннской центральной больнице, был оплачен фиктивный счет. Счет был выставлен за действительные услуги реальной компании, вот только одно «но»: что преступники подделали номер банковского счета в PDF-документе.

А значит, на уровне стран Балтии есть местная группа киберпреступников, которая анализирует местные сделки с целью мошенничества.

Фишинг – это набирающий тревожные масштабы обман, при котором мошенник при коммуникации выдает себя за вашего начальника или коллегу. Его сообщение может выглядеть примерно следующим образом: «Здравствуйте! Прошу бухгалтерию срочно перевести 2000 евро на счет XXX. Я в отъезде, пришлю вам счет на следующей неделе». Или: «Привет, Анна. Могла бы ты выплатить мне 300 евро в счет зарплаты? У меня заболела мама, нужно купить ей лекарства».

Ваши действия во многом зависят от корпоративной культуры и организации процессов в компании. Стоит заметить, что фишинговые письма могут быть нацелены и на других сотрудников и изображать просьбу бухгалтера вернуть часть выплаченной заработной платы и тому подобное.

Стали уже знаменитыми и звонки «из банка» с сообщением о якобы выводе или отмывании денег. Вам грозят заблокировать счет, если вы не выполните предписываемые действия. Другой повод для звонка – предложение кредитной карты с нулевой процентной ставкой. Конечная цель такого звонка состоит в том, чтобы заполучить ваш логин / пароль / пин-код / номер кредитной карты и CVR. А далее следует ограбление банковского счета. Обратите внимание, что финансовые учреждения (и другие поставщики услуг) никогда не запрашивают ваш пароль. Они могут запросить ваш логин / идентификационный код / имя, но не вторую часть идентификатора.

Департамент по защите данных, киберполиция, биржевой надзор... В зависимости от вашего вида деятельности, кибербезопасность регулируется множеством законов и нормативных актов: GDPR, PCI / DSS, Закон Сарбейнза — Оксли, HIPAA и т. д.

Одновременно на национальном уровне вводятся свои, еще более строгие правила. Обеспечение соблюдения международных правил становится экстерриториальным (например, наложение штрафа на компанию согласно GDPR применяется и за пределами ЕС). И штрафы только растут.

Для бухгалтерии это означает постоянную бдительность и соблюдение правил и законов.

Во-первых, оценка безопасности должна проводиться регулярно: финансовые системы сейчас в самом центре мишени киберпреступности.

Во-вторых, всегда есть слабости, то есть человеческий фактор. Обучите свой отдел и организацию вопросам кибербезопасности. Научите людей создавать безопасные пароли и всегда делать резервные копии.

В-третьих, никогда не открывайте файл, приложенный к странному письму. Любой адрес электронной почты, который выглядит нестандартным, странноватым и т. п., должен включать в голове сигнал тревоги. Позвоните отправителю, чтобы убедиться, что он действительно отправил вам это письмо. Если нет, немедленно свяжитесь с ИТ-отделом. Кроме того, никому не доверяйте: идентификаторы вашего друга, брата, сестры или коллеги могут быть взломаны и использоваться для киберпреступлений.

В-четвертых. Пользуйтесь USB-накопителем только после его очистки ИТ-специалистом. Подключение к ноутбуку зараженной USB-карты памяти (даже если ее дал вам коллега или друг) может вызвать всевозможные проблемы. Иногда преступники просто оставляют USB-накопители на видном месте, надеясь, что кто-то подберет и попытается из любопытства открыть.

В-пятых – участвуйте в обеспечении кибербезопасности. Как понять, что происходит? Вы доверяете специалистам, которые обеспечивают круглосуточный мониторинг информационной безопасности? Кроме того, у ИТ-отдела, отвечающего за безопасность, всегда не хватает бюджета. Помогите им помочь себе. Никто хочет оплачивать страховку, то есть вкладываться в кибербезопасность. Но без надлежащих партнеров по ИТ-безопасности ваш бизнес будет превращаться в птичник под открытым небом посреди растущей популяции лисиц. Помните: расходы на ИТ-безопасность нужны для вашей же защиты. J

Как и остальные, руководители не верят, что риск кибератаки на их компании вполне реален. Очень подходящая современная параллель – поведение тех, кто не верит, что коронавирус действительно убивает людей по всему миру, говорит Владимир Елов, руководитель по работе с ключевыми клиентами бренда Cyber.

Далее следует интервью с Еловым.

В том, что многие люди, включая руководителей высшего звена, не верят в реальность угрозы. Подходящая современная параллель – поведение тех, кто не верит, что коронавирус действительно существует и действует убийственно. Такое же отношение определяет поведение людей в цифровом мире, как и то, насколько серьезной проблемой может стать даже небольшой киберинцидент. Улучшению ситуации мешает простая нехватка информации: если у меня что-то случилось, мой эстонский менталитет диктует не рассказывать об этом другим, но тогда они не будут учиться на моих ошибках. Кроме того, цифровое, согласно его брендбуку, государство не уделяло особого внимания обучению своих граждан кибербезопасности в течение 20 лет. Парадоксально, но сами государственные органы при этом, наученные атакой 2007 года, достаточно хорошо защищены после и очень серьезно относятся к кибербезопасности. А вот рядовые граждане остались в положении «бедных родственников».

Фальсификация счетов в Восточно-Таллиннской центральной больнице показала, насколько легко манипулировать людьми и что происходит, когда процедуры информационной безопасности понятны не всем сотрудникам. Атака на сайты «Äripäev» и «Деловые ведомости» продемонстрировала, насколько легко оказаться жертвой и сколько времени нужно, чтобы восстановить нормальную работу. И еще один хороший пример – из Англии, где авиакомпания British Airways, акции которой котируются на Лондонской фондовой бирже, была оштрафована Европейским Союзом на 22 миллиона евро за недостаточное внимание к информационной безопасности в контексте Общего регламента о защите данных (GDPR). Если однажды наша собственная Инспекция по защите данных (AKI) получит такие же полномочия и ресурсы для своей работы, как инспекции по защите данных в других странах ЕС, это станет «неприятным сюрпризом» для многих компаний и учреждений Эстонии.

Это всего один принцип: нельзя ничего оставлять доверию. Если вы не уверены на 100%, просто не платите, не комментируйте и не предоставляйте информацию. Попросите, чтобы вам прислали информацию по электронной почте или перезвоните сами на общий номер компании, чтобы узнать, существует ли такая организация. А если что-то произошло или кажется, что происходит, обязательно обратитесь к специалисту по информационной безопасности, в RIA, полицию или AKI. Если киберпреступники начинают «прощупывать» конкретную компанию, важно убедиться, что все «окна и двери» по-прежнему должным образом закрыты.

Несомненно. В домашнем офисе чаще всего полно всевозможных отвлекающих факторов, плохо влияющих на внимание. Кроме того, дома существует риск, что доступ к рабочему компьютеру получат посторонние, то есть члены семьи, которые могут сделать с ним что-то не то. Я искренне надеюсь, что бухгалтеры большинства эстонских компаний проходят обучение кибергигиене хотя бы раз в год. Однако это вряд ли относится к 12-летнему сыну бухгалтера, который привык иногда пользоваться компьютером матери или отца. И еще один нюанс: многие компании не принимают во внимание безопасность домашнего интернета сотрудников, потому что это кажется им невыполнимой задачей.