7 способів знищити бізнес за один клік

Один шкідливий email і наївний співробітник можуть коштувати вашій компанії грошей або репутації. Разом з Microsoft розповідаємо, про які правила кибергигиены потрібно поговорити зі своєю командою.

Ще більше порад, як захиститися від цифрових загроз, ви знайдете тут.

Нові види кіберзагроз з’являються щодня. Може здатися, що хакери і шахраї полюють тільки за гігантами ринку. Але це не так. 63% всіх атак націлені CYBER THREATSCAPE REPORT на малий бізнес, а 60% невеликих компаній закриваються після кібернападів. Більш того, жертви атак — це не обов’язково стартапи з Силіконової долини. Генпрокуратура РФ зафіксувала Інформаційна небезпека: як захистити себе і бізнес від кіберзлочинців 180 153 кіберзлочинів за перші шість місяців 2019 року. І це на 70% більше, ніж у 2018 році.

Навіть якщо у вас є цілий IT‑відділ і на всіх комп’ютерах встановлені антивіруси, цього недостатньо для надійного захисту. До того ж завжди залишається людський фактор: неправильні дії працівників можуть призвести до цифрової катастрофи. Тому важливо розмовляти зі своєю командою про кіберзагрози і пояснювати їм, як убезпечити себе. Ми зібрали сім ситуацій, в яких необачність однієї людини може дорого коштувати вашій компанії.

1. Перехід шкідливої посиланням

  • Ситуація: на пошту співробітника приходить email, який виглядає як звичайна розсилка від знайомого адресата. У листі є кнопка, яка веде на сайт, не викликає підозр у людини. Співробітник переходить по посиланню і перенаправляється на сайт шахраїв.

Описаний механізм — це так звана фишинговая атака. Дослідження Microsoft говорить Дослідження Microsoft: за 2018 рік число фішингових атак зросла на 350% , що це одна з найпоширеніших шахрайських схем. За 2018 рік число таких атак зросла на 350%. Фішинг небезпечний тим, що в нього включені елементи соціальної інженерії: зловмисники розсилають листи по email від імені компанії або людини, яким жертва точно довіряє.

Шахрайські схеми постійно ускладнюються: атаки проходять у декілька етапів, імейли розсилають з різних IP‑адрес. Фішінговий лист може маскуватися навіть під повідомлення від керівника компанії.

Щоб не попастися, потрібно вдумливо читати всі листи, помічати розходження в одну букву або символ в адресі, а в разі будь-яких підозр — зв’язуватися з відправником, перш ніж щось робити.

7 sposob v znischiti b znes za odin kl k 1 - 7 способів знищити бізнес за один клік
Артем Синіцин

Директор програм ІБ в Центральній і Східній Європі, Microsoft.

Крім регулярних ІБ‑лікнепів, потрібно також проводити «польові навчання» — виконувати контрольовану фішингову розсилку й фіксувати, скільки людей читають повідомлення, переходять вони з посиланнями всередині листа і відкривають чи вкладені документи. Наприклад, у складі Microsoft 365 інструмент Attack Simulator. Він дозволяє провести таку розсилку в кілька кліків миші та отримати звіт з точними даними.

2. Завантаження зараженого файлу

  • Ситуація: працівнику потрібен новий софт для роботи. Він вирішує завантажити програму у відкритому доступі і потрапляє на сайт, де шкідливі програми видають себе за корисне.

Віруси в інтернеті часто маскуються під робочий софт. Це називається спуфінга — фальсифікація призначення програми з метою нашкодити користувачеві. Як тільки співробітник відкриває скачаний файл, його комп’ютер потрапляє в зону ризику. Більш того, деякі сайти автоматично завантажують шкідливий код на комп’ютер — навіть без вашої спроби щось скачати. Такі атаки називаються drive‑by download.

Подальші наслідки залежать від типу вірусу. Раніше були поширені програми‑викрадачі: вони блокували роботу комп’ютера і вимагали від користувача викуп за повернення до нормального функціонування. Зараз частіше зустрічається ще один варіант — зловмисники використовують чужі комп’ютери для майнінг криптовалют. При цьому інші процеси гальмують, а продуктивність системи падає. Крім того, маючи доступ до комп’ютера, шахраї можуть у будь-який момент отримати конфіденційні дані.

7 sposob v znischiti b znes za odin kl k 1 - 7 способів знищити бізнес за один клік
Артем Синіцин

Директор програм ІБ в Центральній і Східній Європі, Microsoft.

Саме із‑за таких сценаріїв важливо інтегрувати в робочі процеси автоматичну перевірку репутації веб‑сайту і завантажуваних додатків. Наприклад, продукти Microsoft проводять репутаційний аналіз через сервіс SmartScreen. У ньому використовуються дані киберразведки, які ми отримуємо на основі обробки майже 8 трильйонів сигналів в хмарі Microsoft щодня.

Співробітники компанії повинні знати, що робочий софт можна скачувати з інтернету. Люди, які викладають програми в Мережу, не несуть ніякої відповідальності за збереження ваших даних і пристроїв.

3. Передача файлів по незахищеним каналам

  • Ситуація: працівнику потрібно поділитися з колегою робочим звітом з конфіденційною інформацією. Щоб зробити це швидше, він відправляє файл в соцмережі.

Коли співробітникам незручно користуватися корпоративними чатами або іншим офісним софтом, вони шукають обхідні шляхи. Не для того, щоб спеціально нашкодити, а просто тому, що так простіше. Ця проблема настільки поширена, що для неї є навіть спеціальний термін — shadow IT (тіньові ІТ). Так описують ситуацію, коли співробітники створюють свої інформаційні системи всупереч тим, які пропонує ІТ‑політика компанії.

Очевидно, що передача конфіденційної інформації і файлів через соцмережі або канали без шифрування несе в собі високий ризик витоку даних. Пояснюйте співробітникам, чому важливо дотримуватися протоколів, які контролює ІТ‑відділ, — в разі проблем працівники не будуть нести особисту відповідальність за втрату інформації.

7 sposob v znischiti b znes za odin kl k 1 - 7 способів знищити бізнес за один клік
Артем Синіцин

Директор програм ІБ в Центральній і Східній Європі, Microsoft.

Передавати файл в месенджері або соцмережах, потім отримувати його з коментарями від кількох колег і підтримувати всі ці примірники в актуальному стані не тільки небезпечно, але і неефективно. Набагато простіше розмістити файл в хмарному сховищі, надати всім учасникам рівень доступу, відповідний їх ролями, і працювати над документом онлайн. Крім цього, можна встановити час дії документа, автоматично відкликати у співавторів права на доступ, коли час вийде.

4. Застаріле ПЗ та відсутність оновлень

  • Ситуація: працівник отримує сповіщення про вихід нової версії, але весь час відкладає апдейт системи і працює на старій, тому що «колись» і «купа роботи».

Нові версії ПЗ — це не тільки виправлені баги і красиві інтерфейси. Це ще й адаптація системи під виникли загрози, а також перекриття каналів витоку інформації. Звіт компанії Flexera показав, що можна зменшити вразливість системи на 86%, просто встановлюючи актуальні оновлення.

Кіберзлочинці регулярно знаходять більш хитромудрі способи для злому чужих систем. Наприклад, в 2020 році для кібератак застосовується штучний інтелект, зростає кількість зломів хмарних сховищ. Неможливо передбачити захист від ризику, якого не існувало, коли програма вийшла. Тому єдиний шанс підвищити безпеку — весь час працювати з останньою версією.

Аналогічна ситуація складається з неліцензійним програмним забезпеченням. У такому софт може бути відсутня важлива частина функцій, а за його коректну роботу ніхто не відповідає. Набагато простіше оплачувати ЗА ліцензією і підтримкою, ніж ризикувати важливою корпоративною інформацією і ставити під загрозу роботу всієї компанії.

5. Використання публічних мереж Wi‑Fi для роботи

  • Ситуація: працівник працює з ноутбука в кафе або аеропорту. Він підключається до загальної мережі.

Якщо ваші працівники працюють віддалено, проінструктуйте їх про небезпеки, які приховує громадський Wi‑Fi. Сама мережа може бути фейком, через який шахраї крадуть дані з комп’ютерів при спробі підключення. Але навіть якщо мережа справжня, можуть виникнути інші проблеми.

7 sposob v znischiti b znes za odin kl k 4 - 7 способів знищити бізнес за один клік
Андрій Бешков

Керівник напрямку розвитку бізнесу компанії Softline.

Основні загрози при користуванні публічним Wi‑Fi — це прослуховування трафіку між користувачем і веб‑сайтом. Наприклад, соцмережею або корпоративним додатком. Друга загроза — це коли зловмисник виконує атаку man in the middle і перенаправляє трафік користувача (наприклад, на свою копію веб‑сайту, який імітує легальний ресурс).

В результаті такої атаки може бути вкрадена важлива інформація, логіни і паролі. Шахраї можуть почати розсилати повідомлення від вашого імені і компрометувати вашу компанію. Підключайтеся тільки до перевірених мереж і не працюйте з конфіденційною інформацією через публічний Wi‑Fi.

6. Копіювання важливої інформації на загальнодоступні сервіси

  • Ситуація: працівнику приходить лист від іноземного колеги. Щоб точно все зрозуміти, він копіює лист до перекладач у браузері. У листі міститься конфіденційна інформація.

Великі компанії розробляють власні корпоративні редактори тексту і перекладачі і наказують співробітникам користуватися лише ними. Причина проста: у загальнодоступних онлайн‑сервісів свої правила зберігання та обробки інформації. Вони не несуть відповідальність за конфіденційність ваших даних і можуть передавати їх третім особам.

Не варто завантажувати важливі документи або фрагменти корпоративної переписки на публічні ресурси. Це стосується в тому числі сервісів для перевірки грамотності. Випадки витоку інформації через ці ресурси вже були. Необов’язково створювати свій софт, досить встановити надійні програми на робочі комп’ютери і пояснити співробітникам, чому важливо використовувати лише їх.

7. Ігнорування багатофакторної аутентифікації

  • Ситуація: система пропонує працівникові зв’язати пароль з пристроєм і відбитком пальця. Співробітник пропускає цей крок і використовує тільки пароль.

Якщо ваші співробітники не зберігають паролі на стікері, приклеєному на монітор, — це вже здорово. Але недостатньо, щоб виключити ризик втрати. Зв’язки «пароль логін» мало для надійного захисту, особливо якщо використовується слабкий або недостатньо довгий пароль. За даними Microsoft, якщо в руки зловмисників потрапляє одна обліковий запис, то в 30% випадків їм потрібно приблизно десять спроб, щоб підібрати пароль до інших акаунтів людини.

Використовувати багатофакторну аутентифікацію, яка додає до парі «логін — пароль» інші перевірки. Наприклад, відбиток пальця, Face ID або додатковий пристрій, з якого підтверджується вхід. Багатофакторна аутентифікація захищає One simple action you can take to prevent 99.9 percent of attacks on your accounts від 99% атак, націлених на крадіжку даних або на використання вашого пристрою для майнінг.

7 sposob v znischiti b znes za odin kl k 1 - 7 способів знищити бізнес за один клік
Артем Синіцин

Директор програм ІБ в Центральній і Східній Європі, Microsoft.

Довгі та складні паролі особливо незручно вводити на смартфонах. І тут багатофакторна аутентифікація допоможе зробити доступ набагато простішим. Якщо використовувати спеціальні програми‑аутентификаторы (наприклад, Microsoft Кодів), можна взагалі не використовувати пароль на смартфоні. Але при цьому, якщо потрібно, залишити введення пароля обов’язковим для ноутбуків і ПК.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

code