В нашем быстро меняющемся мире системы постоянно совершенствуются. К сожалению, это касается и мошеннических схем. Чтобы обезопасить данные своей компании от киберугроз, уже недостаточно просто поставить антивирус. Какие безобидные действия ваших сотрудников могут привести к утечке данных и другим неприятностям, совместно с «Лабораторией Касперского» разбиралась «Лента.ру»
Давайте смоделируем ситуацию. Вы стали биг боссом в компании «Высокие технологии». Вы шли к этой должности долго и упорно, на пути было много конкурентов. Но вы выиграли гонку интеллектов. Дела у компании идут отлично, но вам кажется, что по части кибербезопасности еще есть куда расти. Почти все сотрудники работают удаленно, и вы решаете прибегнуть к помощи вашего незаменимого помощника Супертелепорта.
Заручившись согласием сотрудников понаблюдать за их работой часок-другой, вы мгновенно материализуетесь на их рабочих местах. Ваша цель — выяснить, насколько хорошо они подкованы в вопросах кибербезопасности. Посмотрите, какие ошибки могут совершить сотрудники на удаленке и к чему это может привести.
Первый пункт — логово менеджера по логистике Виталия Альбертовича. Через 15 минут у него видеоконференция, а программа для нее не скачана! Он находит программу, впопыхах ставит все галочки, соглашаясь со всеми условиями. Скачивание началось!
Что не так?
ПО от непроверенного издателя может содержать шпионские программы, которые останутся на вашем компьютере даже после удаления изначального приложения. Не надо ставить галочки где попало, внимательно ознакомьтесь с тем, что вам предлагают. И ни в коем случае не отключайте антивирус, если программа требует «отключить его для завершения установки». Скачивайте только официальное, проверенное ПО.
На очереди — финансовый директор Карина Рамилевна.
Карина Рамилевна который день трудилась над проектом бюджета 2022 года. Сегодня наконец все готово! Файл тяжелый, и его никак не отправить по почте. Смекалистый финдир выкладывает файл в облако и скидывает ссылку в общий чат.
Что не так?
Бухгалтер поступает недальновидно, ведь финансовые документы и бюджеты компании категорически нельзя выкладывать на сторонние ресурсы, только в корпоративное облачное хранилище, которое надежно защищено. Конфиденциальные документы лучше хранить только на сервере компании, а не выкладывать в сеть, где их могут увидеть посторонние.
Шифровать (или хотя бы архивировать с паролем) — отличная практика!
Особенно для важных документов и при загрузке на внешние носители информации (флешки).
Вы вошли в азарт, и вот вы уже в гостях у менеджера по продажам Антона (просто Антон, он новенький). Антон заполняет CRM-аккаунт. У него отличная статистика по холодным звонкам. Вдруг у него звонит телефон и человек на другой стороне представляется (о, боги) вами!!! Антон диктует пароль от своего аккаунта.
Что не так?
Паролем делиться вообще нельзя, тем более, когда речь идет явно о конфиденциальных данных и почти наверняка — о персональных тоже. И вообще, сотруднику следует убедиться, тот ли человек ему звонит, за кого он себя выдает. В этой ситуации будет корректно попросить босса сделать официальное обращение с запросом по корпоративной почте или предложить личную встречу в офисе.
Наконец-то вы добрались в гости к лучшему и незаменимому работнику компании. Главбух! Главбух! Главбух! В это время он всегда занимается проверкой почты. Он видит письмо с незнакомой электронной почты с пометкой «важно» и темой «годовой отчет», и тут же, недолго думая, переносит письмо в спам.
Что не так?
Главбух явно перестраховался. Однако прежде чем кидать письмо в спам, надо внимательно проверить, кто отправитель. Если отправитель вам известен, но вы все равно сомневаетесь, можно связаться с ним и уточнить, посылал ли он вам это письмо. Связаться с отправителем желательно по другому каналу, не компьютерному, потому что почту и мессенджер могут хакнуть на одном и том же устройстве. Но если отправитель вам неизвестен, конечно, открывать это письмо не следует, а тем более загружать никакие вложения из письма.
А вот и молодой сотрудник IT-отдела — программист Петя. Надежда и опора вашей компании. У Пети внезапно заглючил комп (о да, с программистами такое тоже случается). Прежде чем отнести орудие своего труда в ремонт, Петя решает зашифровать содержимое дисков.
Что не так?
Петя поступил абсолютно правильно: он же все-таки айтишник, поэтому в теме. А может быть, он просто вспомнил историю про сына американского президента Джо Байдена. Парень отнес компьютер в ремонт, а в результате его личная переписка и видео были опубликованы в прессе.
Перед вами секретарша Соня Мармеладова. Почти все работают по домам, а она приехала в офис, чтобы ответить на письма в системе электронного документооборота (ЭДО). Вы видите, что она хочет подключить свой телефон к корпоративной сети и звонит для этого сисадминам.
Что не так?
Тут все хорошо, Сонечка умничка! Ее наверняка как следует натаскали на предмет безопасных соединений. На самом деле Сонин девиз — «не путать личное с общественным», и он прекрасно работает и в том случае, когда надо подключать личные девайсы к корпоративным системам. Любые действия подобного рода должны совершаться с одобрения профессионалов и под их контролем.
Вдоволь напившись чаю в гостях, вы возвращаетесь в офис. А там не так уж и безлюдно! В соседнем кабинете ваша лучшая продажница Олеся. Вот это героизм! Она собирается работать даже в отпуске, и для этого решает скачать на свой жесткий диск базу из корпоративной CRM-системы.
Что не так?
А вот Олесе надо брать пример с осторожной Сонечки. Личный жесткий диск вообще нельзя подключать к рабочему компьютеру, ведь никто точно не знает, насколько он безопасен, не заражен ли вирусом или шпионской программой. Такое вполне возможно, поскольку домашние компьютеры, как правило, защищены слабее корпоративных. По этой же причине нельзя тащить CRM-ку домой — если компьютер не защищен, может произойти утечка данных. Однозначно Олесе стоит посоветоваться с айтишниками. Возможно, они найдут решение для того, чтобы Олеся безопасно пользовалась CRM-системой из дома.
Перед нами — вечно занятой менеджер склада Максим Исаев. Только что ему пришло уведомление о том, что необходимо обновить антивирус. Максу было некогда, и он отложил это дело на потом. Вспомнит он про обновление или нет — большой вопрос.
Что не так?
Конечно, такое поведение опасно. Обновления выпускаются не просто так, а чтобы антивирус смог отразить какую-то новую угрозу. Макс фактически сделал свой компьютер уязвимым. Обязательно устанавливайте апдейты оперативно, а еще лучше предусмотрите автоматическое обновление ПО. Если очень нужно, можно отложить установку на несколько часов, но не затягивайте.
И не забывайте перезагружать компьютер и перезапускать браузер. Браузеры обновляются автоматически, но апдейты вступают в действие только после перезапуска.
Опа, в офис приехал Максим Леонидович, ваш незаменимый завхоз. Сегодня должны привезти новые стулья, сотрудники давно просили их заменить. Леонидыч в ожидании мебельщиков садится за компьютер, чтобы почитать новости. И тут ему на почту приходит письмо от незнакомого контакта со ссылкой на видео с недавнего корпоратива компании. Леонидыч припоминает, что вроде бы недавно взяли новенького с каким-то похожим именем, и в предвкушении щелкает по заветной ссылке…
Что не так?
Конечно же, переходить по этой ссылке не стоит. И тем более пересылать ее кому-то. Для начала стоит проверить, что ссылка пришла от действительно знакомого вам вам отправителя, и открывать ее, только если вы ожидали это письмо.
А вот и ваш личный помощник Юрий.
Юрий спит, потому что всю ночь провозился с вашим Супертелепортом. Его котик Жмых прыгает на клавиатуре заблокированного рабочего ноутбука.
Что не так?
Юрий сделал все правильно — он заблокировал клавиатуру, и тем самым уберег свой компьютер от случайностей, ведь котик лапками мог «натыкать» что угодно, даже переформатирование жесткого диска. Но в данном случае единственный ущерб от действий котика Юрия — это шерсть на клавиатуре.
Если вы хотя бы отдаленно подозреваете, что ваши сотрудники могли действовать таким же образом, как некоторые наши вымышленные герои, нельзя сказать, что ваша компания надежно защищена.
Нет, ваши айтишники наверняка молодцы, а вот простым работникам стоит провести ликбез по безопасному поведению и обращению с конфиденциальной информацией.
Без цифровой грамотности сотрудников даже продвинутая защита может оказаться неэффективной. Человек — самое слабое звено в цепочке кибербезопасности.
Число продвинутых киберугроз непрерывно растет, одной лишь защиты рабочих мест теперь недостаточно. «Лаборатория Касперского» предлагает решение — Kaspersky Optimum Security, в составе которого есть тренинги Kaspersky Security Awareness.
В экстраординарной ситуации защитят навыки безопасного цифрового поведения. Если эти навыки есть.
Вырабатываем навыки с помощью Security Awareness тренингов.