Секрети кібербезпеки: як захистити співробітників від кібератак?
Як працівники стають жертвами хакерів?
Компанії стають жертвами кіберзлочинців не лише через вишуканість методів, які використовують останні для викрадення корпоративних даних, але й в результаті порушення працівниками правил безпечної роботи із корпоративними ресурсами. Одним із найбільш поширених методів, до яких вдаються хакери для отримання доступу до корпоративної інформації, є фішингові атаки, основною метою яких є злам корпоративних баз даних або пристроїв. Задля цього хакери надсилають електронні повідомлення або телефонують працівникам компаній під виглядом керівництва або їх колег. Як правило, перед вчиненням такої атаки хакери збирають інформацію про компанію, яка може знаходитись у відкритому доступі, і формують правдоподібні причини для початку комунікації із працівниками. Наприклад, прикидаючись технічним директором, хакери надсилають повідомлення працівникам із вимогою надіслати паролі від своїх облікових записів з метою їх перевірки. Як наслідок, не підозрюючи загрози, працівники стають жертвами типової кібератаки і наражають свою компанію на серйозні безпекові загрози. У березні 2021 р. Служба Фінансового Контролю Каліфорнії зазнала фішингової атаки, в результаті якої ідентифікаційні дані 9000 людей опинились у руках хакера. Йому вдалось на понад 24 години отримати доступ до електронної пошти одного з працівників компанії, коли останній перейшов по посиланню у фішинговому листі, після чого ввів свій ID та пароль у відповідні поля. Перед вчиненням атаки хакер тривалий збирав інформацію про цільового працівника.
Працівники можуть надати доступ хакерам до корпоративних ресурсів, завантаживши неперевірені або небезпечні додатки, помилково вважаючи, що усі додатки на плеймаркетах є безпечними. Такі додатки можуть вимагати від користувача надання доступу до контактних даних, електронних листів, медіа-файлів або навіть паролів. Отримуючи доступ до такої інформації, кіберзлочинці можуть викрасти корпоративні таємниці або увійти у бази даних компанії за допомогою викрадених паролів. Водночас, маючи доступ до мікрофона або камери працівника, хакери можуть прослуховувати таємні корпоративні розмови або ж отримати інформацію про конкретне приміщення чи територію, особливо якщо мова йде за військові об’єкти. Окрім цього, користувачі небезпечних додатків, надаючи останнім права адміністратора, стають легкою ціллю для стеження, оскільки усі їхні пересування стають видимими хакерам. Встановлення шкідливого програмного забезпечення може бути й зовсім непомітним для працівника. Наприклад, у період пандемії коронавірусу поширеною формою кібератак стало використання кіберзлочинцями профілів мережі LinkedIn. Хакери надсилали своїм жертвам пропозицію роботи, і назва надісланого файлу відповідала теперішній посаді людини. Відкриваючи цю пропозицію, працівник запускав процес встановлення шкідливо програмного забезпечення “more_eggs”, за допомогою якого хакер отримував віддалений контроль над пристроєм жертви для доступу до файлів. Антивірусні програми, встановлені на пристроях, неспроможні виявити даний вид шкідливого програмного забезпечення.
Працівники компаній часто стикаються із зламом своїх пристроїв після відвідин веб-сайтів у пошуках інформації. У сучасному цифровізованому міжнародному бізнесі, основним джерелом інформації є саме веб-ресурси. Більшість компаній нехтує важливістю складання списку небезпечних веб-ресурсів, доступ працівників до яких одразу блокується. Як наслідок, зайшовши на небезпечний веб-ресурс, працівник може, не замітивши цього, завантажити вірусне програмне забезпечення або відкрити доступ кіберзлочинцям до усієї інформації, яка міститься на пристрої.
Одним із найбільш поширених методів отримання корпоративної інформації хакерами є доступ до корпоративного Wi-Fi. Отримавши доступ до нього за допомогою методів соціальної інженерії або іншим чином, хакери можуть моніторити увесь трафік компанії для визначення ресурсів, якими найчастіше користуються працівники. Створивши фальшиві аналоги найпопулярніших веб-сайтів, хакери, фактично, змусять працівників перейти на небезпечні ресурси як з метою збору інформації, так і для подальшого поширення шкідливого програмного забезпечення.
І навіть у випадку неспроможності хакерів зламати пристрої працівників та їх облікові записи за допомогою перерахованих вище способів, хакери можуть зрештою отримати усю необхідну інформацію, користуючись людською цікавістю. Наприклад, працівник, побачивши біля офісу флешку із емблемою своєї компанії, з високою імовірністю спробує подивитись, що на ній зберігається, під’єднавши її до корпоративного комп’ютера. Саме це й потрібно хакерам, оскільки, на флешці вже міститься шкідливе програмне забезпечення. Фактично, навіть такий примітивний спосіб кібератаки може принести хакерам необхідний результат. Загалом, можна дійти висновку, що кіберзлочинці мають змогу зламати пристрої працівників для отримання доступу до корпоративної інформації, не використовуючи при цьому високотехнологічних методів, а, натомість, вдаючись переважно до тактики психологічного впливу.
Мене зламали! Ризики та дії з боку працівників
Отримавши доступ до пристроїв працівників та їх облікових записів, хакери мають змогу заволодіти майже усією наявною на них корпоративною інформацією, оскільки компанії, як правило, не застосовують механізм кодування даних для запобігання їх викраденню. У середньому, лише 4% усієї інформації, яка опиняється у руках хакерів є надійно закодованою. Основним ризиком, пов’язаним із викраденням даних через необачні дії працівників є втрата компанією репутації на ринку. Інформація про вдалу кібератаку одразу розповсюджується у медіа, і існуючі клієнти компанії починають розглядати можливість переходу до більш надійних конкурентів, а привабливість компанії в очах потенційних клієнтів стає мінімальною.
Для подолання репутаційної кризи компанія повинна розробляти нові стратегії комунікації із клієнтами та партнерами, залучаючи для цього додаткових фахівців або звертаючись до послуг професійних PR-агенцій. Водночас, фокусуючи свою увагу на подоланні репутаційних збитків, внутрішні PR-фахівці компанії змушені відкладати запуск інших маркетингових кампаній, втрачаючи таким чином темп публікації нових матеріалів, що негативно впливає на популярність компанії.
Нехтування працівниками компаній правил безпечної роботи із корпоративними даними та пристроями матиме негативні юридичні і, як наслідок, фінансові наслідки для компаній. Наприклад, відповідно до Загального регламенту про захист даних (GDPR), який діє у межах Європейського Союзу та Європейської Економічної Зони, на компанію, яка не змогла захистити дані клієнтів, можуть накладатись штрафні санкції у розмірі 20 млн євро або 4% від річного доходу, залежно від того, яка сума є більшою. Окрім цього, клієнти, чиї дані опинились у руках хакерів, можуть подавати індивідуальні позови у суд для отримання фінансової компенсації. В такому випадку, компанія буде змушена оплатити також усі судові витрати. Загалом, внаслідок порушення або недотримання працівниками правил цифрової безпеки компанії втрачають свою конкурентоспроможність на ринку.
У випадку виявлення зламу своїх пристроїв чи облікових записів або їх неналежної роботи, першочерговим завданням для працівників є повідомити внутрішніх спеціалістів компанії з питань кібербезпеки про інцидент. Ні в якому разі працівники не повинні слідувати вказівкам хакерів і надсилати жодних коштів. Усю інформацію про дії, які могли б призвести до зламу пристроїв чи облікових записів, слід у повному обсязі передати відповідним спеціалістам. Наступним важливим кроком є оцінка масштабів кібератаки та пошук систем, які було пошкоджено. Компанія повинна проінформувати інших працівників та клієнтів, чиї дані могли опинитись у руках хакерів. Необхідно відключити зламані пристрої від загальної мережі для зупинення поширення небезпечного програмного забезпечення та деактивувати облікові записи, через які хакери можуть мати доступ до корпоративних ресурсів. Компанія, у свою чергу, повинна повідомити про інцидент правоохоронні та регуляторні органи. Повернення до звичного режиму роботи можливе лише за повної перевірки усього програмного забезпечення та заміни паролів. Загалом, лише дотримуючись чіткого алгоритму дій у випадку виявлення зламу своїх пристроїв чи облікових записів працівники зможуть мінімізувати масштаб потенційних збитків для компанії в результаті кібератаки.
Як захистити співробітників від кібератак?
Розуміючи усі можливі наслідки від зламу хакерами облікових записів та пристроїв працівників, компанії повинні вжити належних заходів для запобігання таким випадкам у майбутньому. Якщо компанія зазнала кібератаки, ефективним методом її запобігання буде аналіз факторів, які її уможливили, та їх усунення. Основним завдання компанії є навчання працівників базовим правилам безпечної роботи із корпоративними та особистими пристроями і обліковими записами. Працівники повинні надійно зберігати паролі до своїх пристроїв та облікових записів і не розголошувати їх у будь-якій формі нікому, навіть у випадку отримання від інших працівників листів із такою вимогою. Важливим способом запобігання масштабування потенційного взламу є встановлення різних паролів для кожного пристрою чи облікового запису. Як наслідок, отримавши у певний спосіб один пароль, хакер не зможе з його допомогою отримати доступ до декількох ресурсів.
Однак, в силу різних обставин, досвідченим хакерам, як правило, вдається зламати один або декілька облікових записів працівників компаній. У такому разі, одним із найбільш ефективних методів запобігання викрадення великого масиву даних є контроль доступу. Працівники повинні мати доступ лише до тих файлів та функціоналу, які необхідні для виконання ними своїх професійних обов’язків. Саме компанія повинна регулювати права доступу працівників. Як наслідок, у випадку зламу облікового запису конкретного працівника, хакери отримають доступ лише до обмеженого масиву інформації.
Компанії стають жертвами фішингових атак в результаті того, що хакери знаходять у вільному доступі особисту інформацію їх працівників і, таким чином, легко можуть увійти в довіру співробітників при переписці чи спілкуванні, представившись керівником або іншим спеціалістом компанії. Для уникнення таких випадків працівники повинні не розголошувати надто багато даних про себе, які можуть бути використані в злочинних цілях, стороннім чи підозрілим особам. Під час роботи в Інтернеті працівникам слід уникати переходів по підозрілим посиланням та не завантажувати жодних сумнівних файлів. У випадку невпевненості працівнику слід проконсультуватись із внутрішнім спеціалістом із кібербезпеки, щоб переконатись, що конкретний ресурс, сторінка чи дія є безпечними. У випадку використання особистих пристроїв для робочих цілей, працівники повинні регулярно оновлювати захисне програмне забезпечення. Запорукою захищеності працівників від зламу пристроїв чи облікових записів є чітке дотримання алгоритму цифрової безпеки, розробленого компанією.
У свою чергу, компаніям слід регулярно перевіряти рівень захищеності своїх пристроїв, баз даних та облікових записів, звертаючись до послуг професійних консультантів з питань кібербезпеки. Компанія Hacken пропонує своїм клієнтам перевірку рівня захищеності їх корпоративних ресурсів за допомогою імітації кібератак, які реалізуються методом психологічної атаки. Окрім цього, спеціалісти компанії Hacken надають послуги із перевірки рівня захищеності хмарних корпоративних ресурсів. Співпрацюючи із компанією Hacken у забезпеченні безпечної роботи працівників із корпоративними ресурсами підприємства різних секторів економіки зможуть підвищити свою стійкість до існуючих та потенційних цифрових загроз.
