В гибридных условиях, когда часть персонала работает дистанционно, IT-службы обеспечивают непрерывность процессов в новом режиме. Расскажем, как защитить компанию от кибератак злоумышленников.
Как только сотрудники перешли в онлайн, мошенники активизировались, а число киберугроз возросло. Прежний продуманный периметр IT-структуры расширился, в том числе за счет домашних устройств. На языке информационной безопасности это означает «размытие внутреннего контура». Иными словами, данные стало сложнее держать под контролем.
Обмен информацией внутри ФЭС и компании в целом, когда часть персонала продолжает работать на удаленке, порождает особые риски. Расскажу о приемах интернет-мошенников и способах защиты бизнеса от внезапных потерь.
Почему инцидентов на удаленке стало больше
Почти любой рабочий процесс, например электронный документооборот, в удаленном формате может быть таким же безопасным, как и из офиса. Но если бизнес-процесс пришлось организовывать с нуля и в спешке, риски возрастают. В этом случае IТ-служба может не успеть продумать и обеспечить безопасность доступа, предусмотреть криптозащиту канала и т. д.
Тенденция
В апреле 2020 года число кибератак в мире, по данным компании Check Point, увеличилось с нескольких сотен до пяти тысяч в день. Фишинговые атаки в России в этот период, по данным компании «Интернет-розыск», участились в четыре раза
Риск ИБ дополняют риски отказоустойчивости IT-систем. В период карантина также участились взломы корпоративной почты. Приведу банальный пример. В апреле—мае сотрудники многих компаний получали рассылки с информацией по цифровым пропускам, оформленным якобы работодателями. Однако ссылки из этих сообщений вели на «подставные» сайты, что приводило к проблемам.
Потеря бдительности в спешке. В условиях начала карантина, когда принципиально важно было обеспечить непрерывность процессов, вопросы безопасности отошли на второй план.
При экстренной «эвакуации» в хоум-офисы IT-специалистам было важно, чтобы все «хотя бы работало». Всем казалось, что карантин ненадолго, и сотрудники допускали «временные» решения.
Работа на личных устройствах. На удаленке на одном компьютере в семье могли работать сотрудники и учиться их дети. Персонал все чаще применяет в работе собственные гаджеты. Но любое устройство за периметром корпоративной IT-защиты перестает быть надежным для компании и создает дополнительный риск.
Недостаточный контроль. В офисе за работой исполнителей следят начальники, коллеги и камеры наблюдения. На удаленке эти ограничения исчезли, что привело к росту в том числе внутрикорпоративного мошенничества.
Самая известная bec‑атака в РФ
Рассылка писем от имени FinCERT, специального отдела Центрального банка. Для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали базу контактов. Письма отправлялись с адреса info@fincert.net
Взрывной рост времени в Сети. Сотрудники чаще начали применять в работе небезопасные внешние сервисы: мессенджеры, площадки онлайн-конференций, облачные хранилища и др.
Перегрузка IT-служб. В компаниях, где персонал работает дистанционно, IT-служба работает в стрессовом режиме: регулярно мониторит критичные задачи, IT-ресурсы, внедряет новые профили VPN и т. д.
Эффект неожиданности. В офисе подозрения в кибератаке можно проверить достаточно быстро. При удаленной работе времени для перепроверки требуется больше, а уровень подозрительности падает, поэтому вопросами ИБ часто пренебрегают.
К каким уловкам прибегают мошенники
Злоумышленники и раньше закидывали бухгалтерии подставными счетами на небольшие суммы. Особо находчивые выясняли имена и фамилии ответственных лиц. В тексте поясняли, что направляют счет по заявке сотрудника компании. Обычно по внутренним регламентам компаний платежи на мелкие суммы проходят по упрощенной процедуре. Например, мошенники передавали счет на закупку канцтоваров, по которой договор был необязателен. Но на удаленке злоумышленники применяли сразу весь свой арсенал.
Фишинговые письма. Термин произошел от английского fishing — рыбная ловля. Наживка — ключевой элемент фишинга. Любое СМС либо письмо со ссылкой или вложением, которые на первый взгляд вызывают доверие, может быть вредоносным — заразит компьютер программой-шпионом или вирусом-шифровальщиком.
70 процентов
компаний на удаленке не имеют объективной картины внутренних инцидентов по информационной безопасности
BEC-атаки. Business email compromise означает, что почтовый ящик скомпрометирован. Злоумышленники используют информацию об адресате, чтобы войти в доверие. Они взламывают почту контрагентов или самой компании и, зная историю переписки, имитируют продолжение разговора в собственных интересах так, чтобы выманить деньги.
Взлом почты приводит к оплате на подставные реквизиты
В Белоруссии злоумышленники получали несанкционированный доступ к почте предприятий-жертв, изучали переписку с иностранными поставщиками о сроках оплаты товаров или услуг. Мошенники создавали электронный почтовый ящик, схожий по названию с адресом поставщика, но с отличием на один символ. Сотрудники предприятия принимали адрес за подлинный. С поддельного почтового ящика от имени поставщика мошенники предоставляли покупателям сведения о «новом» банковском счете для оплаты.
Пользователи не учитывают, что к публичному облаку проще получить несанкционированный доступ, и часто ошибаются в настройках приватности.
Фейковые страницы. Это вариация фишинговой атаки. Такой сайт полностью идентичен настоящему, поскольку технические средства позволяют копировать дизайн оригинала один в один. «Фишеры» копируют оригинальные сайты банков, интернет-магазинов, госучреждений и т. д. Подделку можно выявить по адресу.
Выгодное предложение от «представителя завода»
В Татарстане бизнесмен перечислил мошенникам свыше 6 млн руб. за изопропиловый спирт для изготовления антисептиков. Объявление о продаже пришло на рабочую почту.
Бизнесмен вступил в переписку, собеседник представился ведущим экономистом отдела сбыта завода. Предприниматель слишком поздно изучил официальный сайт завода, где было предупреждение о мошенниках, действующих от имени предприятия.
Злоумышленники научились копировать страницы, но вот «поднять» их в поисковых системах, чтобы те предлагали фальшивый сайт при поиске по названию, сложнее. Поэтому стоит вбить название компании в поисковую строку и сверить адрес сайта.
Меры для IT-безопасности в финансовой службе
С опасными ситуациями мы сталкиваемся постоянно. Например, когда пользуемся публичными Wi-Fi-сетями или «расшаренным» интернетом. Единственный способ уберечься от атак киберпреступников и социальных инженеров — критически относиться к поступающей информации и регулярно повышать осведомленность сотрудников о приемах мошенников.
Решение
Административные меры и провокации для тренировки реакции
Когда компании комбинируют форматы работы, полезно пересмотреть рабочие процессы не только с технической, но и с административной точки зрения. Внедрять меры безопасности IT-службам и ФЭС предстоит совместно. Избежать киберугроз можно, если сформировать культуру работы с данными и выстроить в компании железную дисциплину.
Попробуйте устроить проверку: разошлите поддельное письмо cотрудникам ФЭС и проконтролируйте, кто из них прислушался к предупреждениям, а кто все равно открыл письмо, перешел по ссылке или скачал вложение.
Пересмотрите правила ИБ под новые условия: как пересылать документы, использовать мессенджеры и личные гаджеты для работы. Создайте памятки с e-mail-адресами руководства, крупных клиентов и регуляторов. Так сотрудники вовремя распознают фишинговое письмо или ссылку на фейковую страницу.
VPN-канал (virtual private network). Дистанционное соединение с внутренними сервисами: почтой, 1С, CRM-системой, а также удаленное взаимодействие с банковскими и корпоративными сервисами надо проводить с использованием только двухфакторной аутентификации и по VPN-каналу. Без VPN любой может перехватить трафик вместе с платежными данными и паролями с помощью элементарных технических средств.
Для работы должен быть организован терминальный доступ, так работодатель сможет контролировать, как именно сотрудник обращается с корпоративными данными на личном устройстве. Кроме того, сотрудник работает с привычными сервисами и не загружает собственный ПК, так как все «тяжелые» вычисления проходят на сервере.
Двухфакторная аутентификация. Дополнительная защита необходима, ведь сотрудник может случайно раскрыть логин или пароль от учетных данных в почте либо в других сервисах постороннему или при временной необходимости другому сотруднику компании и просто забыть поменять пароль
Если работает двухфакторная аутентификация, добытой информации мошеннику будет недостаточно, так как система потребует код подтверждения из СМС.
Запрет на доступ к BIOS ноутбука. Если для удаленной работы используется корпоративный ПК, то IT-служба должна ввести запрет на доступ к BIOS. Эта программа обеспечивает базовый запуск операционной системы, что позволяет в обход программ контроля красть информацию.
Был случай, когда сотрудник потерял ноутбук, в котором не было такого запрета. Преступник зашел в программу, загрузил с флешки операционную систему, получил доступ к жесткому диску и скачал закрытые данные.
Шифрование и бэкап данных. На выносимых за пределы офиса компьютерах должно быть включено шифрование дисков (Windows BitLocker или аналоги) и настроен бэкап данных. Без резервного копирования все наработки сотрудника могут пропасть в результате повреждения жесткого диска или в случае заражения вирусом-шифровальщиком. В одной компании сотрудница открыла файл с вирусом-шифровальщиком, и значительная часть документов оказалась зашифрованной. К счастью, на компьюторе был настроен бэкап. Компании удалось восстановить файлы, и не пришлось платить вымогателю выкуп.
DLP-системы. Эти программы обеспечивают контроль активности пользователей и защиту данных. В одной компании обнаружили, что топ-менеджер пересылает конфиденциальные документы по почте, и предотвратили утечку данных конкурентам.
Программа также фиксирует продуктивноcть работы. Например, финдир холдинга жаловался на плохую коммуникацию с дочерней компанией. Когда «сняли» данные из DLP-системы, выяснили, что сотрудники «дочки» свели работу к минимуму: выходили на связь с центральным офисом с 8 до 10 утра, готовили и передавали отчет, ждали уточняющих вопросов и заканчивали работу до 13.00
Важно
Шесть правил работы с личного устройства
1. Выясните у IT-службы, как обеспечен ваш личный доступ к корпоративным сервисам. Важно, чтобы работодатель мог контролировать действия с вашего устройства и при возможном инциденте с данными вы были вне подозрений.
2. Проверьте, как настроен VPN для вашей работы вне офиса и предусмотрена ли двухфакторная авторизация для доступа ко всем корпоративным сервисам компании.
3. Убедитесь, что IТ-служба настроила резервное копирование, так называемый бэкап, в том числе документов на вашем устройстве. Тогда, если личный компьютер выйдет из строя или окажется заражен вирусом-шифровальщиком, на сервере сохранятся копии ваших документов.
4. Проверяйте не реже одного раза в месяц, установлены ли обновления операционной системы, программ; работает ли в штатном режиме антивирусный пакет. Будьте бдительны к IT-угрозам.
5. Защитите сервисы паролями и меняйте их не реже одного раза в месяц при условии, что они длинные, сложные и разные для каждого сервиса.
6. Выполняйте рекомендации поставщиков IT-услуг: ДБО или ЭЦП. Эти правила «написаны кровью» и обобщают опыт финансовых потерь тысяч клиентов.
Ставьте 👍, подписывайтесь по желанию.
У нас уютно и очень полезно
А если вас пытается съесть или обмануть акула, а может даже стая акул, обращайтесь в "Векави", щелкнем их по носу и отстоим ваши интересы:
Векави для бизнеса публикует здесь
Бытовые лайфхаки и интересные случаи здесь
Новости от Векави (рекомендую!) здесь
👉 Нужно разблокировать счёт и отменить судебный приказ? Получите на почту заявление с вашими данным! https://шаблоны.векави.рф/
Наш сайт и наши победы https://векави.рф/
Наш Телеграмм-канал https://t.me/vekavi_group
Мы в VK https://vk.com/vekavi_group
Нужен юрист или любая экспертиза по России? Оставляй заявку в https://t.me/vekavi_groupp_bot
