Кибербезопасность, 17 дек 2021, 10:40

Александр Осипов: «Персонал должен уметь узнавать цифровых мошенников»

Читать в полной версии
Фото: пресс-служба «МегаФона»
Почему сотрудники все чаще становятся причиной утечки данных, какие методы социальной инженерии применяют хакеры и почему важно инвестировать не только в средства защиты, но и в обучение информационной безопасности?

Об эксперте: Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям ПАО «МегаФон». С 2017 года занимается вопросами формирования продуктовой стратегии бренда на рынке цифровых сервисов в сегментах b2b и b2g.

У сотрудников недостаточно знаний о цифровой безопасности

Утечки данных — одна из самых актуальных проблем в области кибербезопасности. Цифровизация ускоряется, данных становится больше, как и обрабатывающих их корпораций: в онлайн уходят практически все. Постепенно ужесточаются и законодательные требования, а регуляторы уделяют больше внимания тому, чтобы компании им соответствовали. Правда, пока в России штрафы не настолько суровы, как, например, в ЕС, где действуют требования GDPR (общий регламент по защите персональных данных, принятый в ЕС в 2018 году. — РБК).

В основном злоумышленники стараются получить доступ во внутреннюю сеть атакуемой компании и ищут две категории данных. Первая — это личные данные ее клиентов, включая информацию о средствах для совершения платежей, которые потом продаются на черном рынке. Вторая — логины и пароли корпоративных учетных записей для еще более глубокого проникновения в системы внутреннего контура. Тут причин еще больше: от желания зашифровать данные, чтобы затем потребовать выкуп, до самого настоящего промышленного шпионажа.

Очень важно понимать, что в 70% случаев причиной утечки становятся сотрудники самих компаний. Но дело не в злом умысле, а в изощренных методах злоумышленников. В ход идут все средства социальной инженерии.

Как противостоять социальной инженерии и защититься от онлайн-мошенников
Индустрия 4.0 

Методы мошенников становятся все изощреннее

Самая популярная уловка — фишинг. Сотрудникам компании рассылаются письма, имитирующие настоящие почтовые рассылки популярных сервисов или даже внутренние корпоративные сообщения. Люди кликают по ссылкам, переходят на подставные сайты со скопированным интерфейсом «отправителей», вводят данные, и они тут же уходят к мошенникам. С этим можно бороться, только повышая грамотность персонала — для этого у «МегаФона» есть обучающая платформа Security Awareness с модулем имитации фишинговых атак, которая предоставляется по подписке.

Но нужно учить людей распознавать и более изощренные атаки. Мошенники могут связаться со службой поддержки: они узнают, как работают отделы, и получают контакты нужных людей для того, чтобы будто бы решить срочный вопрос. А затем совершается целевая атака методом того же фишинга, чтобы завладеть логином и паролем сотрудника с привилегированным доступом во внутренние системы — бухгалтера или кого-то из ИТ-службы. Встречаются и совсем хитроумные подходы: злоумышленник может выйти на сотрудника компании через сервис знакомств. Затем он как бы невзначай просит провести его в офис и незаметно оставляет на рабочих столах зараженные флешки. Кто-то непременно решит посмотреть, что же там такое, и в этот момент хакер получит доступ к одному из рабочих ПК, подключенных к внутренней сети предприятия.

Что такое фишинг: как не стать жертвой хакеров
Индустрия 4.0 

Не забывать про современные технические средства защиты

Помимо обучения сотрудников важно использовать и современные средства защиты. Например, DLP — программно-аппаратный комплекс для противодействия утечкам, который «МегаФон» тоже может подключить любому заказчику по модели подписки. Идея в том, что система контролирует все ключевые каналы, по которым люди обычно передают информацию: мессенджеры (включая корпоративные), социальные сети, электронную почту, облачные хранилища, браузеры, а также внешние носители, офисную VoIP-телефонию (голосовая и видеосвязь через интернет. — РБК) и даже процесс печати документов. Как только происходит подозрительное событие, администратор получает уведомление и, главное, может детально разобраться в каждом инциденте — сохраняется вся цепочка передачи файла.

Не стоит забывать и о VDI (инфраструктура виртуальных рабочих столов. — РБК). Мы до сих пор видим большой спрос на это решение в рамках нашей сервисной модели. Его суть в том, что все вычислительные ресурсы сервера компании делятся на несколько (обычно сотни или тысячи) «рабочих мест», каждое из которых присваивается определенному сотруднику. Подключиться к нему он может с любого компьютера, даже если он полон вирусов и работает под управлением пиратской версии операционной системы. Свой рабочий стол он будет видеть в отдельном окне в режиме трансляции — именно поэтому он называется «виртуальным». Перетаскивать файлы оттуда на личный ПК и наоборот нельзя, а все операции в окне во время работы по факту выполняются на максимально защищенном сервере в центре обработки данных. Главный плюс VDI — высокий уровень безопасности, главный минус — внедрять решение долго и дорого, но модель подписки позволяет сгладить этот нюанс. Например, мы предоставляем VDI как сервис пользователям платформы «МегаФон Облако», для клиента это удобно, и мы видим востребованность такого решения.

Как компании построить киберзащиту: подкаст «Что изменилось? Бизнес»
Экономика инноваций 

Что делать с сотрудником, по вине которого случилась утечка? Если это злой умысел, то вопрос регламентируется законом. Если это ошибка, то все зависит от должности и функционала сотрудника, соответствия его действий внутренним регламентам и инструкциям и величины ущерба. Не соблюдающий цифровую гигиену системный администратор — это проблема несоответствия требуемой квалификации, а «попавшийся» на фишинг бухгалтер скорее проблема недостатка знаний. И как раз знания — один из ключей к минимизации количества утечек: важно не думать о том, как поступить с провинившимися, а сделать так, чтобы персонал был достаточно грамотным и легко распознавал трюки мошенников. А второй ключ — продуманный подход к информационной безопасности, соответствующий всем современным требованиям и тенденциям.

Кибербезопасность Корпоративное образование IT Человек будущего
Главное