Безграмотные сотрудники опасны для компании. Они могут наломать таких дров, что те придётся вывозить составами. Это справедливо для любой отрасли и должности и информационной безопасности это касается в полной мере: щелчок по вложению или принесённая из дома заражённая флешка — и всё, в сеть компании проникает шифровальщик-вымогатель, работа парализована, ИТ-отдел разыскивает актуальные резервные копии, чтобы восстановить зашифрованные вирусом диски компьютеров, а финдир подсчитывает убытки от простоя.
При этом в соответствии с известным эффектом Даннинга-Крюгера неграмотные сотрудники остаются полны уверенности в том, что делают всё правильно или, по крайней мере, не делают ничего страшного. И именно это часто приводит к катастрофическим последствиям.
По сути, практически любые системы защиты оказываются бесполезными, если сотрудники не владеют хотя бы основами информационной безопасности. Такие сотрудники становятся главными уязвимостями в компьютерной системе вашей компании.
Прекрасно понимая такое положение дел, киберпреступники все чаще используют для своих атак сотрудника компании-жертвы в качестве уязвимой точки. Воспользоваться неграмотностью человека значительно проще, чем найти уязвимость в корпоративной сети. Из-за ИБ-неграмотности даже одного сотрудника организация рискует потерять деньги, данные и репутацию, получить судебные претензии или лишиться оборудования.
Специалисты Trend Micro рассказали о видах атак, которым подвергаются сотрудники: компрометация устройств, фишинг и вредоносные сувениры.
Компрометация устройств
Использование для работы в компании собственных гаджетов и ноутбуков (Bring Your Own Device, BYOD) — модная тенденция, особенно популярная среди стартапов. Кажется, что такая организация процесса — воплощение принципа Win-Win: компании не приходится тратиться на приобретение и обслуживание рабочего места, а сотрудник работает на ноутбуке, который сам выбрал и настроил. Если ему захочется поработать дома, не придётся копировать рабочие файлы, а доступ к корпоративным системам уже настроен. Расходы на приобретение устройства компенсируются возможностью подольше поспать или даже остаться дома, работая удалённо.
С точки зрения информационной безопасности использование одного устройства для решения рабочих и домашних задач — источник серьёзных рисков, особенно если сотрудник не слишком прилежен в изучении основ ИБ.
После напряжённого рабочего дня хочется отвлечься. Скачивание фильмов и музыки, поиск игр или пиратских программ может привести к тому, что на компьютер попадёт что-то вредоносное. А потом при подключении к корпоративной сети под угрозой окажутся все данные компании.
Если забежать в кафешку и подключиться к корпоративной сети через публичный вайфай, чтобы закончить отчёт за чашкой кофе, учётные данные могут перехватить и воспользоваться ими для кражи конфиденциальной информации. А ещё ноутбук или планшет могут украсть или отнять по дороге из дома в офис. Вместе с ноутбуком утекут и содержащиеся на нём данные.
Многоликий фишинг
Традиционный способ организации рабочего процесса в виде стационарных компьютеров частично снимает риски, характерные для BYOD, но и в этом случае недостаточный уровень ИБ-грамотности может стать роковым для организации. Все сотрудники используют электронную почту, а значит, являются потенциальными жертвами фишинга — мошеннических писем, замаскированных под письма от служб доставки, контрагентов, технической поддержки или руководства.
Используя фишинг, киберпреступники могут заставить жертву запустить приложенное к письму вредоносное ПО, ввести свои учётные данные для входа в сеть или даже провести платёж по реквизитам мошенников вместо настоящего контрагента.
Особую опасность представляет целевой фишинг (spear phishing), при котором киберпреступники предварительно собирают данные об организации, её структуре, сотрудниках и рабочих процессах, а затем готовят письма, содержащие реальные фамилии и должности, оформленные в соответствии с принятыми в организации стандартами. Распознать эти письма сложнее, поэтому эффективность таких рассылок значительно выше.
Фишинговые письма могут не содержать никаких вредоносных вложений и выглядеть совершенно безобидно, если речь идёт о такой разновидности фишинга, как компрометация деловой переписки (Business Email Compromise, BEC). В этом случае мошенники начинают переписку с одним из руководителей компании от имени другой организации и постепенно убеждают его в необходимости перевести деньги на свой счёт. Несмотря на всю фантастичность описанного сценария, именно таким образом весной 2018 года злоумышленники выманили у нидерландского подразделения французской кинокомпании Pathé 19 млн евро.
Девайсы с сюрпризом
Злоумышленники не стоят на месте. Мы будем свидетелями новых форм атак, нацеленных на наивных пользователей и не все они будут распространяться через интернет. Одним из примеров может служить атака через бесплатную флешку. На партнёрских мероприятиях, презентациях, конференциях, да и просто в подарок сотрудники нередко получают флешки с рабочими материалами. Не знающий азов ИБ сотрудник наверняка сразу по прибытии в офис вставит флешку в компьютер — и может получить вредоносный сюрприз. Иногда организаторы мероприятия даже и не знают, что компьютер, с которого на флешку записывали рекламные материалы, был чем-то заражен.
Такой прием может быть использован и для намеренного заражения компьютера жертвы. В 2016 году в Университете Иллинойса провели эксперимент, разбросав 300 «заряженных» флешек по кампусу, чтобы проверить, сколько человек воспользуются ими и как скоро это произойдёт. Итоги эксперимента удивили исследователей: первую флешку подключили к компьютеру уже через 6 минут, а всего найденными флешками воспользовались 48% нашедших, причём все они открыли на ней как минимум один файл.
Один из масштабных примеров реальной атаки (DarkVishnya), когда сотрудники службы безопасности банков не заметили скрытый девайс, подключенный в сеть. Для проведения атаки злоумышленники проникали в офисы банков под видом курьеров или посетителей, а затем незаметно подключали к локальной сети банка мини-компьютер Bash Bunny, замаскированный под флешку, недорогой нетбук или одноплатный компьютер на базе Raspberry Pi, оснащённый 3G/LTE-модемом. Устройство маскировалось под окружающую обстановку, чтобы его было сложнее обнаружить. Далее злоумышленники удалённо подключались к своему устройству, сканировали сеть банка на предмет уязвимостей, проникали в неё и похищали деньги. По итогу пострадали несколько банков Восточной Европы, и ущерб от атак DarkVishnya составил несколько десятков миллионов долларов.
Впечатляющая результативность атаки с потерянными флешками показывает, насколько легкомысленно люди относятся к безопасности и как важно обучать пользователей правильному поведению в таких ситуациях.
Что с этим делать?
Несмотря на обилие на рынке программных и аппаратных средств защиты, стоит часть бюджета отвести на противодействие атакам, нацеленным на сотрудников. Приведем наиболее важные рекомендации:
— Обучать. Все сотрудники должны понимать, что незнание принципов ИБ не освобождает от ответственности, а значит, быть заинтересованы в том, чтобы повысить свою осведомлённость в этом вопросе. Со стороны компании расходы на организацию и проведение обучающих семинаров по информационной безопасности стоит рассматривать как инвестиции в снижение рисков и предотвращение ущерба.
— Тренировать. Теоретические знания быстро вытесняются из памяти более востребованной информацией. Закрепить навыки на практике помогут учебные атаки. С их помощью вы сможете выявить сотрудников, которые не усвоили информацию и провести для них повторное обучение.
—Внедрить политику «See something, say something». Столкнувшись с киберугрозой, сотрудник может молчать об этом до последнего, опасаясь увольнения или пытаться устранить её самостоятельно. Между тем своевременное оповещение об инциденте позволяет предотвратить распространение вредоноса по всей корпоративной сети. Исходя из этого, важно выстроить служебные регламенты таким образом, чтобы сотрудник, сообщивший об атаке, получал благодарность, а служба информационной безопасности могла зафиксировать угрозу и начать её устранять.
Заключение
Любая компьютерная система уязвима, причём самым слабым звеном в ней, как правило, оказывается человек. Задача каждого руководителя бизнеса состоит в том, чтобы свести к минимуму риски в сфере информационной безопасности, связанные с атаками на сотрудников. В решении этой задачи помогут обучение, тренинги и правильная организация процесса обработки киберинцидентов. В идеале же обязательное владение основами кибербезопасности должно стать частью корпоративной философии.