Почему ваш сотрудник опаснее хакера

За первые шесть месяцев 2018 года произошло около 2,4 миллиарда утечек данных из компаний — и только 35,5% из них инициировали хакеры. Остальные 64,5% — дело рук сотрудников, 53,5% из них — действующие сотрудники. В первую очередь страдают пользовательские данные — 69% утечек, на втором месте — платежная информация с долей в 21,3%.

Часть сотрудников продает информацию, использует ее для продвижения по карьерной лестнице или шантажа. Но есть и те, кто допускает утечки из-за халатности. Рассказываем, что делать с такими работниками и как предотвратить убытки по их вине.

Обучение персонала

Компания Verizon выяснила, что 23% опрошенных пользователей открывают фишинговые сообщения, даже зная о возможной опасности. Из них 11% переходят по ссылке и открывают вложение. Другой пример: исследователи из Ассоциации CompTIA ради эксперимента оставили 200 флешек в общественных местах пяти городов США. Прохожие подобрали и вставили в свой компьютер приблизительно 40 из них, причем часть пользователей перешла по ссылкам в текстовых файлах.

HR-менеджер открывает фишинговые письма с «резюме» от соискателей и загружает таким образом вредоносное ПО, бухгалтер делает это через макросы в счетах-фактурах, а PR-специалист — через письма от журналистов с вложениями. Сотрудники могут занести вирус с личного компьютера на сервер компании или, например, скопировать конфиденциальный отчет на смартфон для работы в командировке.

Проведите оценку рисков и просчитайте все возможные уязвимости в вашей инфраструктуре. Разработайте инструкции, которые должен соблюдать персонал. Они должны касаться любых событий, которые могут повлиять на безопасность компании. Например:

• Не позволяйте сотрудникам использовать незащищенное вайфай-соединение для работы с документами компании. Это касается не только офиса: штатные единицы иногда работают из дома и проводят встречи с клиентами в кафе.

• Расскажите служащим, что делать в случае утери или кражи личных или рабочих устройств. Даже если на них не было конфиденциальной информации, третьи лица могут получить ее через облачные сервисы, историю переписок, после восстановления данных. Покажите сотрудникам, как удаленно стереть данные и зашифровать жесткий диск.

• 25% опрошенных производителем офисного оборудования Shred-it сотрудников компаний по кибербезопасности признались, что в течение рабочего дня оставляют свой компьютер включенным и без присмотра. Данные с него может похитить даже случайный человек, проходящий мимо. Введите правило: блокировать компьютер и клавиатуру, если человек покидает место.

Тренинги по компьютерной безопасности в формате лекций и тестирования показывают малую эффективность. Зато помогает положительная мотивация и соревновательный дух. Например, раз в год Фейсбук проводит Hacktober: в течение месяца тестирует своих сотрудников, имитируя киберугрозы. Тем, кто лучше всех справился с ними, компания вручает призы.

После обучения проводите периодические проверки. К примеру, можно рассылать письма с вымышленных аккаунтов с просьбой открыть ссылку. Отслеживайте количество и источники переходов по ней, а провинившихся наказывайте и отправляйте на дополнительное обучение. Обозначьте личную ответственность за нарушение мелких правил, даже если оно не привело к утечке данных.

И наконец, каждый сотрудник должен знать, кому позвонить в случае оплошности. Это может быть его руководитель, работник службы безопасности или другого отдела. Объясните, что замалчивание проблемы для компании чревато более тяжкими потерями.

Если вы не уверены, что для полноценного обучения вам хватит специалистов и времени, передайте обучение на аутсорс.

Технологии

Используйте инструменты сетевой безопасности, которые помогут предотвратить несанкционированный доступ к данным, в том числе возникший из-за ошибки сотрудника.

• Используйте лицензированные программные продукты и регулярно обновляйте их. Также обновляйте плагины, браузеры и приложения. В каждой новой версии разработчики исправляют баги и уязвимости, поэтому актуальное ПО защищает от утечек.

• Используйте системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), системы контроля трафика. Они помогут предотвратить и отследить факты неавторизованного доступа в инфраструктуру компании.

• Настройте двухфакторную аутентификацию в системе, на рабочих и личных устройствах сотрудников. Это предохранит информацию от попадания в третьи руки.

• Проверяйте аккаунты сотрудников на предмет взлома. Например, в списке украденных Breach Alarm ищите пароли, в have I been pwned? — адреса электронной почты. Так вы сможете узнать, была ли скомпрометирована информация и если да, то какая и когда.

• Используйте VPN, прокси-сервера и межсетевые экраны. Инструменты помогают ограничить доступ к определенным сайтам, защищают от рекламы, регистрируют действия пользователей, защищают от несанкционированного доступа в сеть, повышают скорость доступа и экономят трафик.

• Проверяйте, куда ведет сокращенная ссылка. Даже если вы знаете отправителя, на том конце сети может оказаться злоумышленник, который отправил фишинговую ссылку. Сервисы Where Goes и Redirect Detective указывают, на какой сайт вы перейдете по клику на нее, а URL2PNG, Browser Shots и Shrink The Web делают удаленные скриншоты сайта. Virus Total, ScanURL и URL Query помогут узнать, был ли незнакомый сайт замечен в фишинге.

• Найдите слабые места в защите. Проведите аудит безопасности, в том числе тест на проникновение.

Особый доступ

Если сотрудник имеет доступ к коммерческой тайне, к обучению нужно привлечь и членов его семьи. Они должны понимать, что можно и нельзя делать — практика показывает, что такие вещи не всегда очевидны. Например, в 2017 году инженера Apple уволили после того, как его дочь выложила обзор на айфон X за неделю до официального выхода. Девушка пришла в кампус корпорации на обед с отцом, увидела устройство и решила показать его подписчикам своего канала на Ютубе. Когда в компании хватились, было поздно: видео уже разошлось по интернету и попало в новости.

Проблемы с партнерами

Случается и так, что компании страдают из-за халатности сотрудников — но не своих, а партнеров. Например, в августе 2018 года персональные данные почти 10 тысяч клиентов производителя банковских карт TCM Bank оказались скомпрометированы из-за неправильной конфигурации оборудования подрядчика.

Совет — обращать внимание на меры безопасности партнеров и подрядчиков. Особенно тех, которые имеют доступ к вашим чувствительным данным или персональной информации ваших клиентов. Интересуйтесь, какие меры компания принимает против утечки информации, в том числе по вине халатных сотрудников. Условия хранения данных у партнеров нужно прописать в договоре.

Итог

• Обучайте информационной грамотности весь персонал. Подумайте, какую угрозу может представлять каждый из сотрудников, какие его случайные действия повлекут за собой катастрофу. Затем объясните ему, как вести себя, чтобы не допускать подобного.

• Проводите интерактивные тренинги. Подавайте информацию интересно, а не в формате скучных лекций. Дайте возможность работникам проявить себя и посоревноваться друг с другом, назначьте приз для победителя.

• Используйте технологии для снижения рисков утечек.

• Не останавливайтесь на проверке безопасности собственной компании. Спрашивайте у партнеров и подрядчиков, какие превентивные меры они используют против возможных утечек. В худшем случае вы заранее узнаете о рисках, в лучшем — получите пару советов и будете спать спокойно.