Полюби своего безопасника: печальный опыт и базовые правила кибергигиены
Ваш безопасник в очередной раз зовет всех на обучение по кибергигиене, а вы, откровенно говоря, и не понимаете, зачем оно вам, это обучение? Наш спикер Роман Панин рассказал о важности темы и об основных правилах техники безопасности, которые необходимо знать абсолютно каждому пользователю сети.
Информационная безопасность: зачем она?
Информационная безопасность — это система мер, которая защищает личные данные пользователей. К ней относятся различные ПО типа антивирусов, различные способы шифрования информации, технические устройства, свод правил и требований (у каждой организации он свой).
В наш век личные данные пользователей — эта ценный ресурс, за который злоумышленники готовы дорого платить. Возьмём, к примеру, недавний случай с утечкой данных сервиса доставки «Яндекс. Еда», наверно, вы о нем слышали. В сеть попали адреса, номера телефонов, имена, дата, время и стоимость заказов. Казалось бы, ну что такого страшного — ну узнают, что я два дня назад заказал «Филадельфию» в офис.
Официальный ответ руководителя Яндекс.Еды об утечке данных
Этот слив — крупный удар по репутации компании и возможность вынести очень ценные уроки. После мартовских событий «Яндекс» разрешил удалять данные о сделанных заказах. Рядовой пользователь на эти атаки повлиять никак не может: ежедневно тысячи компаний и организаций по всему миру подвергаются нападкам со стороны злоумышленников. Часто объектом повышенного интереса становятся компании, связанные с производством продуктов питания. К примеру, компания «Мираторг» этой весной подверглась атаке, из-за которой на время были нарушены цепочки поставки. Компании вкладывают огромные средства в разработку защитных ПО и всегда ищут новые способы обезопасить данные.
Хакерская атака «Мираторга»
ТБ на страже рабочей документации
Целью кибервора могут стать не только личные данные человека, но и его рабочая информация, корпоративные данные о сотрудниках. Иногда задачи мошенника — подменить имеющуюся информацию на ошибочные данные или получить постоянный доступ к внутренним ресурсам организации.
Несмотря на все меры предосторожности, которые принимают компании, невзирая на труды безопасников, которые без устали проводят тренинги и напоминают о внутренних курсах по ТБ, рабочая информация нет-нет да появляется в сети. Основная причина — невнимательность сотрудников, которая и приводит к ошибкам.
К примеру, на почту пришло письмо от кадровика с просьбой авторизоваться в новой программе и внести данные об отпуске. Письмо оформлено по всем правилам, с прописанной темой, имя почты совпадает с инициалами сотрудника — всё в порядке. Человек ни о чём не подозревает, переходит по ссылке, оставляет данные — и всё, мошенник торжествует. Стоило быть чуть внимательней и заметить, что почта отличается на одну букву, буквально на символ от почты вашего кадровика.
Некоторые мошенники, чьей целью стала определённая компания, вполне могут подделать оформление корпоративного сайта, сделать максимально похожую айдентику, прикрутить красивые и, казалось бы, рабочие кнопки, по которым так хочется нажать. Увы, такие письма могут привести на фишинговый сайт. Данные о совершенных сделках, адреса, паспортные данные — вся та информация, что вы предоставляли работодателю, может стать предметом интереса злоумышленника.
Иногда и сами сотрудники делают всё возможное, чтобы их персональные данные стали публичными. Представим ситуацию: погожий день, работа удалённая, почему бы не потрудиться над задачами в кофейне? Пользователь подключается к интернету через публичную незащищённую сеть Wi-Fi и в этот же момент мошенник получает доступ ко всем документам на компьютере человека, включая и рабочие — таблицы, базы данных, сканы.
Безопасник, всегда будь на стрёме
Сотруднику отдела информационной безопасности стоит помнить, что каждый сотрудник ежедневно контактирует с конфиденциальной информацией, которая зачастую является целью злоумышленника. Поэтому важно заниматься не только защитой самих систем, но и обучать сотрудников компании кибер-гигиене.
Зачастую злоумышленнику проще воспользоваться социальной инженерией — методами психологического и социального давления на человека — или быть рядом в момент, когда сотрудник ошибётся. В этот момент можно получить доступ ко всей необходимой информации через самого человека или с помощью его рабочих аккаунтов.
И, конечно, всегда стоит заботиться о том, чтобы правильно выстраивать систему защиты информации в своей компании. Начинайте с безопасного периметра, в котором живут все данные и сервисы, заканчивайте системами обнаружения и предотвращения вторжений.
Правила, единые для всех
Сотруднику однозначно стоит ознакомиться с обучением по кибергигиене на корпоративном портале компании — эту информацию можно получить у вашего безопасника. Некоторые моменты мы выделим отдельно: они универсальны и помогут абсолютно любому человеку обезопасить личные данные:
Соблюдайте парольную политику: составляйте сложные пароли, которые нельзя так просто взломать и подобрать.
Регулярно меняйте пароль.
Используйте криптостойкие пароли: такие, которые нельзя взломать с помощью специальной программы.
Не используйте пароли, установленные по умолчанию.
Храните ваши пароли в безопасности, не публикуйте личную информацию в общий доступ.
Используйте многоступенчатую аутентификацию, включающую звонок или SMS-сообщение.
Блокируйте рабочий компьютер, когда вы от него отходите.
Загружайте файлы на рабочий компьютер только из проверенных источников.
Не используйте публичные сети wifi.
Соблюдать эти правила или нет и насколько строго — это ваш выбор. С одной стороны, не стоит отнекиваться и вовсе не заботиться о безопасности ваших устройств, с другой — совсем уж усердствовать и панически менять пароли каждый день тоже не рекомендуем. Будьте внимательны и помните, что за сохранность информации в большинстве случаев отвечает её владелец.
5 сентября стартует курс по основам информационной безопасности для всех. Ведущий — Роман Панин, руководитель направления по архитектуре ИБ в компании МТС. На курсе вы научитесь безопасном ведению проекта на всех его этапах, узнаете о типах и видах атак, сможете использовать ключевые средства защиты информации. Узнайте больше о курсе и запишитесь на него по ссылке: https://slurm.club/3nLhMbC
