Как пропадают наши персональные данные? Казалось бы, их воруют профессиональные хакеры, которые знают, как взломать любую систему. Однако, по данным ноябрьского отчета EY, 88% утечек данных пользователей в нашей стране происходит по вине сотрудников. В этом материале мы с командой специалистов из компании EveryTag разберем семь распространённых заблуждений сотрудников о защите конфиденциальной информации, которые приводят к катастрофическим последствиям.
Миф 1. Защита конфиденциальной информации от утечек – это не моя проблема
Конечно, забота об информационной безопасности компании – это, в первую очередь, проблема для специалистов из службы безопасности и IT-отдела. Но, к сожалению, они не могут предусмотреть абсолютно все. Из истории войн известно, что ни одна неприступная крепость не оставалась неприступной вечно – орудия нападения всегда развивались быстрее орудий защиты. А порой города брали хитростью – чего стоит одна история с троянским конем.
В кибервойне те же правила. Открывали когда-нибудь на автомате письмо от незнакомого адресата? Сообщали пароль от своего компьютера коллеге? А может, работали в кафе, подключившись к первой попавшейся сети Wi-fi? Поздравляем, вы – потенциальный источник утечки информации. И этот фактор специалисты по защите корпоративных данных предусмотреть не могут.
Между прочим, по статистике Egress, 79% IT-специалистов компаний убеждены, что именно рядовые сотрудники намеренно или случайно сливают важную информацию.
А ведь подобные казусы влетают в копеечку. Виновному может грозить как серьезное административное наказание, так и крупный штраф. Не хотите оказаться в числе дорого заплативших за свою легкомысленность? Тогда полагайтесь не только на кудесников из IT-отдела, но и на себя.
Миф 2. Стать жертвой фишинга не так-то просто
Что такое фишинг? Фишингом называют отправку зараженных электронных писем из якобы проверенных источников. Обычно целей всего три:
- установить на компьютер программу, предоставляющую мошенникам удаленный доступ к системе;
- собрать личные данные – например, пароли;
- получить другую информацию, необходимую для проведения атаки.
По данным Microsoft, популярность фишинга стремительно растет: за 2018 год среднемесячный показатель числа атак вырос на 350%! А Proofpoint в своем отчете отметил, что в прошлом году число компаний, скомпрометированных фишинговыми атаками, увеличилось на 65%, а количество взломов учетных записей выросло более чем на 70%. Кроме того, специалисты компании Positive Technologies в своем недавнем исследовании выяснили, что порядка 75% российских банков уязвимы для фишинга.
Что наглядно показала и практика – в октябре 2019 года личные данные пяти тысяч клиентов Сбербанка безвозвратно утекли в руки злоумышленников.
Как показывает статистика, фишинговые атаки — крайне распространенная угроза в последние годы, и стать ее жертвой может каждый. Не рекомендуем недооценивать опасность фишинга.
Миф 3. Компания, в которой я работаю, слишком мала для кибератак
Думаете, что хакеры преследуют только крупных игроков рынка, а до вашей компании никому не будет дела?
А знаете ли вы, что в 58% случаев мошенники атакуют именно серверы малого бизнеса?
Почему?
Все просто — из условного взлома Сбербанка можно выжать больше, чем от похищения данных небольшой фирмы, но и взломать более дорогую и продвинутую систему защиты значительно сложнее. Поэтому для хакеров куда эффективнее массово атаковать плохо защищенные серверы малых фирм, а не тратить силы на взлом серверов крупных корпораций. Не заблуждайтесь – совершенно неважно, насколько популярна ваша фирма и сколько в ней сотрудников, любому бизнесу угрожают кибератаки.
Миф 4. У меня есть один надежный пароль. Я использую его везде и всегда
Везде используете один и тот же универсальный пароль? Можем поздравить – вас любят. Хакеры. Вы так облегчаете им жизнь! Подобрал пароль к почте, а дальше перед мошенником открыты все просторы – хочешь, зайди в другую почту, хочешь – в соцсетях чужих поройся.
Статистика просто потрясает — согласно недавнему отчету Verizon, более 70% сотрудников используют одинаковые пароли. Также установлено, что 81% успешных кибератак состоялись благодаря краже или взлому легких паролей. Причем подавляющее большинство респондентов (91%) понимает, что использовать одинаковые пароли опасно, но 59% населения это не останавливает. А виной всему банальная человеческая лень.
Любой специалист по кибербезопасности подтвердит – даже самый сложный и продвинутый пароль поддается взлому. Вот почему важно соблюдать два правила:
- использовать разные пароли для разных аккаунтов, разделяя работу и личное;
- регулярно менять пароли – хотя бы раз в несколько месяцев. Процедура простая и быстрая, зато существенно снижает риск взлома.
Миф 5. Если слить данные через личную почту или скрин экрана, меня не вычислят
Случаются и примеры намеренного слива информации от сотрудников. Помимо популярного способа пересылки документов через личную почту, активно растет количество утечек, совершаемых через фотографирование экрана (с 1-2% до 10% в 2019 году).
Есть мнение, что если пересылать информацию такими способами, можно уйти от ответственности. Видимо, так считал и сотрудник AXA Insurance, который фотографировал данные клиентов и пересылал их через WhatsApp служащим другой страховой компании. В итоге он и трое его сообщников получили от 9 до 17 месяцев тюрьмы и репутацию воров на всю жизнь.
В большинстве компаний для борьбы с утечками уже установлены DLP-системы, с помощью которых можно контролировать исходящую информацию — интернет-трафик, распечатку документов и их копирование.
Однако что делать, если злоумышленник вывел на экран нужный документ и сфотографировал его? Или отправил на печать, а потом забрал копию с собой? В этом случае поможет технология ILD (information leaks detection).
В основе работы программы — запатентованный алгоритм, который автоматически подменяет любой документ и любое отображение веб-интерфейса (CRM, биллинговые системы и т.д.) для каждого сотрудника на уникальную копию: немного сдвигает строки и слова, меняет размеры полей и межстрочные интервалы и т.д. Человеческий глаз не в силах отследить такие изменения, зато система в случае утечки легко определит, кому принадлежит изображение информации из внутренней системы организации, всплывшее у конкурентов, в СМИ или в соцсетях. ILD-систему уже используют госструктуры, крупные корпорации и промышленные гиганты.
Хотите рискнуть и попытаться подзаработать на промышленном шпионаже? Пеняйте на себя.
Миф 6. Моя личная техника не подпадает под общие правила информационной безопасности компании
Если вы пользуетесь личным смартфоном или ноутбуком для работы (дома или в офисе – без разницы), то ваша техника подпадает под все правила информационной безопасности. Таким образом, если ваш смартфон с рабочими данными утерян или его украли, ответственность ложится на ваши плечи. Если вы подключились к незащищенной сети в кафе, а важные данные перехватили или устройство взломали, ответственность на вас.
Например, сотрудника ирландского дома престарелых обязали выплатить 15 000 фунтов стерлингов за то, что его ноутбук похитили из дома во время ограбления, а данные пациентов и врачей оказались не зашифрованы. Украли воры, а расплачивается сотрудник. Какой вывод? Работая в общественных местах, будьте внимательнее и осторожнее. И ставьте на надежную защиту как свои устройства, так и двери дома.
Миф 7. Мне не нужно обучение и тестирование, я уже знаю все правила кибербезопасности
Что ж, проблему недостатка культуры информационной безопасности недооцениваете не только вы, но и многие российские предприниматели. А зря — по данным отчета EY, количество утечек персональных данных, слитых по вине сотрудников, в России на 32% выше, чем в мире.
Откуда же взялась такая разница в цифрах? Дело в том, что сотрудники многих западных компаний не только хорошо знакомы с правилами кибербезопасности, но и регулярно проходят обучающие курсы по защите данных. Думаете, это скучно? Ничуть, если обучение построить на ролевых играх и видеотренингах, как сделала Саманта Дэвисон, менеджер по безопасности Uber, чья компания использует геймификацию.
Один из тренингов, к слову, провели по мотивам «Игры престолов».
Кроме того, обучение может быть и выгодным — к примеру, компания Talking Rain вручает награды тем, кто дает 100% правильных ответов на тестировании по кибербезопасности. А самое важное – обучение и тестирование сотрудников помогает бороться с фишингом, ответственным сегодня за более чем 90% попыток взлома корпоративных серверов.
Итог
Какие можно сделать полезные выводы? Для начала, не стоит верить популярным мифам о кибербезопасности. Не стоит думать, что эта проблема коснется кого угодно на свете, но не вас. Рекомендуем ставить надежные пароли на личные и рабочие устройства, дважды подумать перед тем, как подключаться к незащищенному каналу Wi-fi. Будьте внимательнее, когда читаете письма, пришедшие на почту – не исключено, что вас атакуют фишингом. А если вы решили заняться информационных шпионажем, то будьте готовы к тому, что современные технологии быстро вас вычислят, а стоить подобная выходка может очень дорого – как для вашей репутации и денег, так и для вашей свободы.
