Jak jeden pracownik może zniszczyć Twoją firmę: 7 przykładów cyfrowego analfabetyzmu

Każdego dnia pojawiają się nowe rodzaje cyberzagrożeń. Może się wydawać, że hakerzy i oszuści ścigają tylko gigantów rynku. Ale tak nie jest. 63% wszystkich ataków jest ukierunkowanych RAPORT ZAGROŻENIA CYBER małe firmy, a 60% małych firm zamyka się po ataku cybernetycznym. Co więcej, ofiarami ataków niekoniecznie są startupy z Doliny Krzemowej. Biuro Prokuratora Generalnego Federacji Rosyjskiej odnotowało Zagrożenie informacyjne: jak chronić siebie i swoją firmę przed cyberprzestępcami 180153 cyberprzestępstwa w pierwszych sześciu miesiącach 2019 roku. A to o 70% więcej niż w 2018 roku.

Nawet jeśli masz cały dział IT, a oprogramowanie antywirusowe jest zainstalowane na wszystkich komputerach, to nie wystarczy do niezawodnej ochrony. Ponadto zawsze występuje czynnik ludzki: niewłaściwe działania pracowników mogą doprowadzić do katastrofy cyfrowej. Dlatego ważne jest, aby porozmawiać ze swoim zespołem o cyberzagrożeniach i wyjaśnić im, jak się chronić. Zebraliśmy siedem sytuacji, w których niedyskrecja jednej osoby może drogo kosztować Twoją firmę.

1. Podążanie za złośliwym odsyłaczem

• Sytuacja: na pocztę pracownika wysyłany jest e-mail, który wygląda jak zwykła wysyłka od znajomego adresata. List zawiera przycisk, który prowadzi do strony, która nie wzbudza podejrzeń u osoby. Pracownik podąża za linkiem i zostaje przekierowany na stronę oszusta.

Opisany mechanizm to tzw. Atak phishingowy. Badania firmy Microsoft mówią Microsoft Research: liczba ataków phishingowych wzrosła o 350% w 2018 rokuże jest to jeden z najczęstszych oszukańczych systemów. W 2018 roku liczba takich ataków wzrosła o 350%. Phishing jest niebezpieczny, ponieważ zawiera elementy inżynierii społecznej: atakujący wysyłają e-maile pocztą elektroniczną w imieniu firmy lub osoby, której ofiara z pewnością ufa.

Fałszywe schematy stają się coraz bardziej złożone: ataki odbywają się w kilku etapach, a wiadomości e-mail są wysyłane z różnych adresów IP. Wiadomość phishingową można nawet zamaskować jako wiadomość od dyrektora firmy.

Aby nie dać się złapać, należy uważnie przeczytać wszystkie litery, zauważyć rozbieżności w jednej literze lub symbolu w adresie, aw przypadku jakichkolwiek podejrzeń - skontaktować się z nadawcą, zanim coś zrobisz.

Artem Sinitsyn

Dyrektor Programów Bezpieczeństwa Informacji w Europie Środkowo-Wschodniej, Microsoft.

Oprócz regularnego analfabetyzmu w zakresie bezpieczeństwa informacji konieczne jest również prowadzenie „ćwiczeń terenowych” - przeprowadzanie kontrolowanych wysyłek phishingowych oraz zapisz, ile osób czyta wiadomości, czy podąża za linkami w liście i otwiera załączniki dokumenty. Na przykład Microsoft Office 365 zawiera narzędzie Attack Simulator. Pozwala na wykonanie takiego mailingu kilkoma kliknięciami myszki i uzyskanie raportu z dokładnymi danymi.

2. Pobieranie zainfekowanego pliku

• Sytuacja: pracownik potrzebuje nowego oprogramowania do pracy. Decyduje się pobrać program z domeny publicznej i trafia do witryny, w której złośliwe oprogramowanie udaje przydatne oprogramowanie.

Wirusy w Internecie są często udawane jako działające oprogramowanie. Nazywa się to spoofingiem - fałszowaniem celu programu w celu wyrządzenia szkody użytkownikowi. Gdy tylko pracownik otworzy pobrany plik, jego komputer jest zagrożony. Co więcej, niektóre witryny automatycznie pobierają złośliwy kod na Twój komputer - nawet bez próby pobrania czegoś. Ataki te nazywane są pobieraniem drive-by.

Dalsze konsekwencje zależą od rodzaju wirusa. Ransomware było kiedyś powszechne: blokowało komputer i żądało okupu od użytkownika za powrót do normalnego działania. Teraz inna opcja jest bardziej powszechna - atakujący używają komputerów innych osób do wydobywania kryptowalut. Jednocześnie inne procesy spowalniają, a wydajność systemu spada. Ponadto, mając dostęp do komputera, oszuści mogą w każdej chwili uzyskać poufne dane.

Artem Sinitsyn

Dyrektor Programów Bezpieczeństwa Informacji w Europie Środkowo-Wschodniej, Microsoft.

Właśnie z powodu tych scenariuszy ważne jest, aby zintegrować automatyczne witryny internetowe i pobrane testy reputacji z przepływami pracy. Na przykład produkty firmy Microsoft przeprowadzają analizę reputacji za pośrednictwem usługi SmartScreen. Wykorzystuje dane z cyber-wywiadu, które otrzymujemy z prawie 8 bilionów sygnałów przetwarzanych codziennie w chmurze Microsoft.

Pracownicy firmy powinni mieć świadomość, że działającego oprogramowania nie można pobrać z Internetu. Osoby publikujące programy w Internecie nie ponoszą żadnej odpowiedzialności za bezpieczeństwo danych i urządzeń.

3. Przesyłanie plików przez niezabezpieczone kanały

• Sytuacja: pracownik musi udostępnić współpracownikowi raport z pracy zawierający poufne informacje. Aby przyspieszyć, przesyła plik do mediów społecznościowych.

Gdy pracownicy czują się niekomfortowo przy korzystaniu z firmowych czatów lub innego oprogramowania biurowego, szukają obejścia. Nie po to, aby celowo szkodzić, ale po prostu dlatego, że jest to łatwiejsze. Ten problem jest tak rozpowszechniony, że istnieje nawet specjalne określenie na jego temat - shadow IT (shadow IT). Tak opisują sytuację, w której pracownicy tworzą swoje systemy informatyczne niezgodnie z zaleceniami polityki IT firmy.

Oczywiste jest, że przekazywanie poufnych informacji i plików za pośrednictwem sieci społecznościowych lub kanałów bez szyfrowania niesie ze sobą wysokie ryzyko wycieku danych. Wyjaśnij pracownikom, dlaczego ważne jest przestrzeganie protokołów kontrolowanych przez dział IT, aby w przypadku problemów pracownicy nie byli osobiście odpowiedzialni za utratę informacji.

Artem Sinitsyn

Dyrektor Programów Bezpieczeństwa Informacji w Europie Środkowo-Wschodniej, Microsoft.

Przesyłanie pliku do komunikatora lub sieci społecznościowych, a następnie otrzymywanie go z komentarzami od kilku współpracowników i aktualizowanie wszystkich tych kopii jest nie tylko niebezpieczne, ale także nieskuteczne. Znacznie łatwiej jest umieścić plik w chmurze, zapewnić wszystkim uczestnikom poziom dostępu odpowiedni do ich ról i pracować nad dokumentem online. Ponadto możesz ustawić czas trwania dokumentu i automatycznie odebrać prawa dostępu współautorom, gdy skończy się czas.

4. Przestarzałe oprogramowanie i brak aktualizacji

• Sytuacja: pracownik otrzymuje powiadomienie o wydaniu nowej wersji oprogramowania, ale cały czas odkłada aktualizację systemu i pracuje na starej, bo nie ma „czasu” i „dużo pracy”.

Nowe wersje oprogramowania to nie tylko poprawki błędów i piękne interfejsy. To także dostosowanie systemu do pojawiających się zagrożeń, a także nakładanie się kanałów wycieku informacji. Raport Flexera pokazałże można zmniejszyć podatność systemu o 86%, po prostu instalując najnowsze aktualizacje oprogramowania.

Cyberprzestępcy regularnie znajdują bardziej wyrafinowane sposoby włamywania się do systemów innych osób. Na przykład w 2020 roku do cyberataków wykorzystywana jest sztuczna inteligencja, a liczba włamań do pamięci masowej w chmurze rośnie. Niemożliwe jest zapewnienie ochrony przed ryzykiem, które nie istniało w momencie zamykania programu. Dlatego jedyną szansą na poprawę bezpieczeństwa jest dalsza praca z najnowszą wersją.

Sytuacja wygląda podobnie w przypadku nielicencjonowanego oprogramowania. W takim oprogramowaniu może brakować ważnej części funkcji i nikt nie jest odpowiedzialny za jego prawidłowe działanie. O wiele łatwiej jest zapłacić za licencjonowane i obsługiwane oprogramowanie niż zaryzykować ważne informacje korporacyjne i zagrozić działaniu całej firmy.

5. Korzystanie z publicznych sieci Wi-Fi w pracy

• Sytuacja: pracownik pracuje z laptopem w kawiarni lub na lotnisku. Łączy się z siecią publiczną.

Jeśli Twoi pracownicy pracują zdalnie, poinformuj ich o zagrożeniach, które są publiczne Wi-Fi. Sama sieć może być fałszywa, za pomocą której oszuści wykradają dane z komputerów, gdy próbują znajomości. Ale nawet jeśli sieć jest rzeczywista, mogą pojawić się inne problemy.

Andrey Beshkov

Dyrektor ds. Rozwoju biznesu w Softline.

Główne zagrożenia związane z korzystaniem z publicznych sieci Wi-Fi to podsłuchiwanie ruchu między użytkownikiem a witryną internetową. Na przykład sieć społecznościowa lub aplikacja korporacyjna. Drugie zagrożenie występuje, gdy osoba atakująca przeprowadza atak typu man in the middle i przekierowuje ruch użytkownika (na przykład na jego kopię witryny, która symuluje legalny zasób).

W wyniku takiego ataku mogą zostać skradzione ważne informacje, loginy i hasła. Oszuści mogą zacząć wysyłać wiadomości w Twoim imieniu i zagrozić Twojej firmie. Łącz się tylko z zaufanymi sieciami i nie pracuj z poufnymi informacjami przez publiczne Wi-Fi.

6. Kopiowanie ważnych informacji do służb publicznych

• Sytuacja: pracownik otrzymuje list od zagranicznego kolegi. Aby wszystko dokładnie zrozumieć, kopiuje list do tłumacza w przeglądarce. List zawiera informacje poufne.

Duże firmy opracowują własne korporacyjne edytory tekstu i tłumaczy oraz instruują pracowników, aby korzystali tylko z nich. Powód jest prosty: publiczne usługi online mają własne zasady przechowywania i przetwarzania informacji. Nie odpowiadają za prywatność Twoich danych i mogą przekazywać je osobom trzecim.

Nie należy przesyłać ważnych dokumentów lub fragmentów korespondencji korporacyjnej do zasobów publicznych. Dotyczy to również usług testowania umiejętności czytania i pisania. Przypadki wycieku informacji przez te zasoby już miały miejsce byli. Nie trzeba tworzyć własnego oprogramowania, wystarczy zainstalować niezawodne programy na komputerach roboczych i wytłumaczyć pracownikom, dlaczego ważne jest, aby ich używać.

7. Ignorowanie uwierzytelniania wieloskładnikowego

• Sytuacja: system prosi pracownika o skojarzenie hasła z urządzeniem i odciskami palców. Pracownik pomija ten krok i używa tylko hasła.

Jeśli Twoi pracownicy nie przechowują haseł na naklejce przyklejonej do monitora, to świetnie. Ale to nie wystarczy, aby wyeliminować ryzyko utraty. Pakiety „hasło - login” nie wystarczają do niezawodnej ochrony, zwłaszcza jeśli używane jest słabe lub niewystarczająco długie hasło. Według Microsoft, jeśli jedno konto wpadnie w ręce cyberprzestępców, to w 30% przypadków potrzebują oni około dziesięciu prób odgadnięcia hasła do innych kont ludzkich.

Użyj uwierzytelniania wieloskładnikowego, które dodaje inne kontrole do pary login / hasło. Na przykład odcisk palca, Face ID lub dodatkowe urządzenie potwierdzające logowanie. Uwierzytelnianie wieloskładnikowe chroni Jedna prosta czynność, którą możesz wykonać, aby zapobiec 99,9% ataków na swoje konta przed 99% ataków mających na celu kradzież danych lub wykorzystanie urządzenia do wydobywania.

Artem Sinitsyn

Dyrektor Programów Bezpieczeństwa Informacji w Europie Środkowo-Wschodniej, Microsoft.

Długie i złożone hasła są szczególnie niewygodne do wprowadzania na smartfonach. W tym miejscu uwierzytelnianie wieloskładnikowe może znacznie ułatwić dostęp. Jeśli korzystasz ze specjalnych aplikacji uwierzytelniających (na przykład Microsoft Authenticator), nie musisz w ogóle używać hasła na smartfonie. Ale jednocześnie, jeśli to konieczne, pozostaw wpisanie hasła obowiązkowe dla laptopów i komputerów PC.