Эксперт рассказал, как обычный сотрудник может подвергнуть риску целый бизнес

Человеческий фактор — основная причина киберрисков. Компании часто недооценивают риски для кибербезопасности, которые исходят от их сотрудников — простых пользователей интернета. Бизнес создает сложные системы защиты от хакерских атак, приобретает программное обеспечение для профилактики взломов. А «взломщики» просто атакуют ноутбук обычного работника на удаленке и получают доступ к базам данных целых корпораций. Об основных ошибках и о том, как их не допускать, «Газете.Ru» рассказал Антон Бочкарев, член экспертного совета проекта «Кибериспытание».

Источник: Kandinsky

«Киберзлоумышленники постоянно совершенствуют свои инструменты в поисках идеальных способов. Особым вниманием с их стороны пользуются рядовые сотрудники, как самое слабое звено в киберзащите компаний. Достаточно “хакнуть” обычного пользователя, который работает в корпорации, чтобы нанести существенный ущерб бизнесу. Через его ноутбук преступники могут добраться до корпоративной почты и IT-систем и нанести бизнесу непоправимый ущерб: украсть персональные данные сотрудников и клиентов, остановить производство или продажи или зашифровать компанию. Поэтому бизнесу крайне важно выстраивать киберзащиту и постоянно оценивать свой уровень защищенности, в том числе — уделять внимание сотрудникам и обучать их правилам кибербезопасности», — объяснил он.

Серьезные IT-риски для компаний создает практика удаленной работы. Сотрудникам это удобно, но бизнес должен прорабатывать техническую сторону вопроса. Слишком много опасностей для корпоративной IT-инфраструктуры. Если сотрудники работают на своих ноутбуках и имеют доступ к корпоративной почте и базам данных, то IT-системы компании автоматически становятся уязвимыми. Сам сотрудник может скачать вредоносное приложение на свой телефон и ноутбук, и оно навредит корпоративной IT-инфраструктуре.

«Компьютеры удаленщиков могут быть уже заражены вирусами, либо же хакеры попробуют использовать их для атаки на IT-системы бизнеса. Ведь защита на обычных устройствах не всегда достаточно сильная. Чтобы такого не произошло, нужно обучать сотрудников “информационной гигиене” и использовать единые системы контроля пользовательских устройств, unified endpoint management (UEM). Также можно создавать виртуальные рабочие места. Тогда сотрудники смогут работать на своих ноутбуках и гаджетах, но вся рабочая информация будет храниться на сервере, который принадлежит компании и надежно защищен», — отметил он.

Мошенники все чаще используют социальную инженерию, чтобы добиваться своих целей. В случае с ИТ главная ценность — пароли для доступа к конфиденциальной информации. По телефону можно убедить человека не только расстаться с деньгами, но и открыть пароли к корпоративным базам данных. Кроме того, сотрудник может отдать мошеннику ключи доступа, общаясь в личных мессенджерах якобы с гендиректором своей компании. Его фотографии легко найдут в общем доступе и в утечках. Еще один способ кибермошенничества: пользователь получает фишинговое письмо, проходит по незнакомой ссылке и выдает данные доступа к личной информации и корпоративным ресурсам. Чтобы снизить этот риск, нужно проводить обучение внутри компании, рассказывая сотрудникам о значении информационной безопасности.

«Работникам также важно обучаться правилам создания и использования паролей. У многих есть привычка пользоваться на разных сервисах и устройствах одинаковыми паролями. Это прямо противоречит основам информационной безопасности. Особенно важно не использовать один и тот же код для доступа к корпоративным программам и личным соцсетям. Данные различных сервисов часто утекают в открытый доступ. Злоумышленники могут таким образом подобрать ключи к корпоративной почте, ведь на личных страницах многие указывают актуальное место работы, или, например, будет указан тот же личный номер телефона, или эти базы можно будет совместить по иным признакам. Поэтому лучший способ позаботиться о своих сотрудниках — единый корпоративный менеджер паролей, где сотрудники будут хранить уникальные пароли, а сами помнить только один — пароль для входа в менеджер», — рекомендовал эксперт.

Если заранее знать о рисках, проще их предупреждать. Пуская «на самотек» информационную безопасность компании, не обучая сотрудников и не давая им безопасные инструменты для работы, можно допустить утечки корпоративных данных, а это чревато репутационными и финансовыми потерями, резюмировал он.