Правила цифровой гигиены на рабочем месте

Собрали экспертный ликбез по цифровой безопасности на рабочем месте — почитайте, как превратить сотрудников из «слабого звена» в первую линию обороны от фишинг-атак, мошенников в чате и других киберугроз.

Shutterstock/FOTODOM

Что называют цифровой гигиеной

В корпоративном понимании, это совокупность ежедневных привычек и правил, которые обеспечивают информационную безопасность как для работодателя, так и для самих сотрудников. Цифровая гигиена касается не только корпоративных систем, но и личных аккаунтов в мессенджерах, облачных сервисах, Wi-Fi-сетях.

Например, сотрудник подключается к корпоративной почте с личного смартфона без антивируса — и становится уязвимым звеном. Один клик по вредоносной ссылке — и доступ к данным компании уже в руках злоумышленников.

Павел Карасев Бизнес-партнер компании «Компьютерные технологии»

Особенно уязвимы финансовые, HR- и маркетинговые отделы, где работают с персональными или платежными данными, а также управленческая прослойка, где у людей есть доступ к стратегически важной информации.

Уже на этапе трудоустройства ответственный руководитель становится оператором персональных данных и должен обеспечить сохранность личной информации работников: фамилии, паспортных данных, СНИЛС, номера телефона, email и других сведений.

Анна Полякова Руководитель московского отделения независимого профсоюза «Новый труд», предприниматель, бывший координатор федерального проекта по кибербезопасности нацпрограммы «Цифровая экономика»

Полякова советует каждому работодателю ознакомиться с положениями пяти федеральных законов:

• 63-ФЗ «Об электронной подписи» — важность защиты этих данных невозможно переоценить, особенно когда речь идет о главных должностях в компании
• 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — сюда относятся организации в сфере здравоохранения, науки, обороны, связи, транспорта, энергетики, финансов и части промышленности
• 149-ФЗ вводит основные термины и поясняет, какая информация считается конфиденциальной, а какая — общедоступной
• 152-ФЗ регулирует работу с персональными данными. Например, обязывает работодателя получать от сотрудника согласие на их обработку.
• 98-ФЗ определяет понятие «коммерческая тайна», порядок ее охраны и ответственность за разглашение. При этом бизнес сам утверждает перечень документов, которые к ней относятся.

Очень часто брешь в цифровой защите образуется из-за сотрудников, которые умышленно или случайно сливают информацию компании или становятся для злоумышленников точкой входа в инфраструктуру.

Читайте по теме: Как общаться с коллегами, чтобы не бояться утечки данных

Угрозы и риски

Основные угрозы для сотрудников при кибератаке — потерять аккаунт, личную информацию, данные банковских карт. Для работодателя — утечка чувствительной информации, финансовые и репутационные потери. В последнее время участились случаи направленного мошенничества с предварительной подготовкой почвы, отмечают эксперты.

Так, например, злоумышленники могут заранее в Telegram найти сотрудника интересующей их компании, с помощью социальной инженерии втереться в доверие, узнать адрес электронной почты и подробности о работе. После этого мошенники проводят целенаправленную фишинговую атаку, в результате которой, например, «угоняют» аккаунт в мессенджере. Учитывая предварительную разведку, вероятность успеха в такой атаке очень высокая.

Евгений Перов Директор по продукту в корпоративном мессенджере Compass

Одна из распространенных схем — «фальшивый начальник». Аферисты копируют профиль руководителя компании и пишут сотрудникам с просьбой отправить важные документы или провести оплату подрядчику.

Найти работу / Найти сотрудника

Уязвимые точки, которые открывают ворота киберпреступникам:

- слабые пароли, их повторное использование

- нет двухфакторной аутентификации

- передача данных в незащищенных каналах — например, через личные мессенджеры

- фишинг, то есть поддельные письма и ссылки

- работа с нелицензионным ПО

Беспечные сотрудники, пренебрегающие цифровой гигиеной, совершают одни и те же ошибки — передают логины и пароли коллегам «на время», скачивают файлы из сомнительных источников, работают в незащищенных сетях Wi-Fi, игнорируют системные обновления.

Павел Карасев Бизнес-партнер компании «Компьютерные технологии»:

Мы сталкивались с реальными кейсами, когда компрометация началась с неосторожного скачивания PDF-файла, якобы от клиента. А в файле был «троян». Итог — утечка части CRM-базы и экстренное отключение доступа.

Как защититься

Прежде всего, соблюдайте базовый чек-лист по кибербезопасности на рабочем месте:

✔️Используйте разные пароли для разных сервисов и регулярно их обновляйте

✔️Подключите двухфакторную аутентификацию ко всем важным аккаунтам

❌Никогда не открывайте вложения и ссылки из подозрительных писем

❌Не передавайте пароли коллегам — даже временно

✔️Работайте только через защищенные соединения (VPN, HTTPS)

❌Никогда не храните корпоративные документы на личных устройствах без защиты

✔️Регулярно обновляйте операционную систему и антивирусное ПО

❌Не используйте несертифицированные внешние накопители

✔️Настройте автоматическую блокировку устройства при бездействии

✔️При малейших сомнениях — обращайтесь в IT или службу безопасности

Хорошая идея — ввести регламентированную политику информационной безопасности.

Мы регулярно проводим плановые обновления данных и смену паролей. Например, две недели назад у нас была обязательная ротация паролей для всех сотрудников без исключения. Это касается не только корпоративных почт, но и персональных кабинетов вспомогательных сервисов.

Инна Алексеева Генеральный директор коммуникационного агентства PR Partner

Также в агентстве внимательно следят за рабочими файлами — все данные хранятся только на облачном сервисе. Сотрудники имеют удаленный доступ к нужным документам, поэтому никто не использует внешние накопители или личные хранилища.

Организуйте для команды регулярные короткие обучения, внутренние памятки, делитесь примерами из практики. Особенно хорошо, когда примеры нарушений и их последствий — реальные, а не абстрактные. Не стоит надеяться на «всемогущие» антивирусы — они иногда пропускают в корпоративную почту письма с фишинговыми сайтами. И если письмо от малоизвестных компаний заставит насторожиться, то, например, заманчивое предложение от лидера рынка притупляет внимательность.

Чтобы этого избежать, советую регулярно проводить обучения — пусть люди научатся распознавать признаки фишингового письма. Самый простой способ — проанализировать email, с которого пришло письмо. Например, адрес может быть искаженным. Его легко пробить в Яндексе — сразу увидите, действительно ли он принадлежит компании, от которой получили письмо.

Нина Конюшева Генеральный директор аутсорсинговой компании MiXBS

Читайте по теме: Сотрудник раскрыл коммерческую тайну. Что делать?

Как не скатиться в цифровой тоталитаризм

Опасная крайность — кошмарить людей жесткими регламентами без объяснений. Компании, где безопасность — не запрет, а часть культуры, защищены гораздо лучше. Формируйте устойчивые цифровые привычки так же, как обучаете новым инструментам. Четыре экспертных совета, как внедрить правила цифровой гигиены в корпоративную культуру:

• объяснять не «почему нельзя», а «что может случиться»
• не обвинять, а обучать
• геймифицировать обучение — используйте викторины, сертификаты, конкурсы
• поддерживать открытый диалог — сотрудник должен знать, кому и как сообщить о потенциальной угрозе

Ставьте 👍, сохраняйте в закладки и подписывайтесь на нашу рубрику «Руководство» — там много полезного для управленцев, HR и собственников бизнеса