Как сотрудники компаний открывают дверь хакерам

497

Мы сделали вольный перевод статьи с паблика secjuice на портале medium, автором которой является Джон Сантави, сотрудник компании Wuvavi. Компания специализируется на обеспечении кибербезопасности компании в отношении сотрудников.
Этой статьей мы открываем серию материалов по кибербезопасности, которые будем публиковать на протяжении этих двух недель. Как писал наш главный редактор в своей колонке, мы решили каждые две недели писать статьи на определенную тематику. И тематика этих недель  – кибербезопасность.
В этой статье киберпреступники называются хакерами, хоть это слово на самом деле имеет более широкий смысл, мы сохраняем это название в оригинале, так как большинство людей используют именно его. Итак, поехали.
Позволяют ли сотрудники компаний преступникам совершать преступления? С низким уровнем знаний и хитростью плохих парней – да, позволяют. Вот несколько способов того, как они это делают, и как сделать так, чтобы работники активно участвовали в предотвращении этого.

хакер
© Митчел Фокс

 
Неосторожность в открытии писем на электронной почте
Сотрудники компаний проводят много времени за проверкой электронной почты. И хакеры знают об этом. Это делает электронную почту главной точкой входа для киберпреступников.
Сотрудники должны относиться к своему электронному ящику с осторожностью, чтобы они могли обнаружить признаки атаки и снизить риски.
К общим признакам атаки относятся поддельные адреса электронной почты (xxx@amaz0n.com), непрофессиональные сюжетные линии, плохая грамматика / опечатки и создание чувства неотложности для ответа на письмо.
Сотрудники должны быть способными увидеть потенциальную угрозу и сообщать IT-отделу.
В таких письмах они не должны нажимать на ссылки (в том числе отказаться от подписки), отправлять какую-либо информацию, открывать вложения или отвечать на такое сообщение.
Вы можете устроить своим сотрудникам тестирование и выявить сотрудников с высоким уровнем риска с помощью имитируемой фишинг-атаки.
 
Выдавать пароль по телефону / Утечка паролей
«Привет, это Билл, из IT-отдела. Мы заметили, что срок действия вашего сертификата истекает, поэтому мне нужен пароль для сброса».
Как на это отреагируют ваши сотрудники?
Они должны знать, что IT-специалист никогда не попросит вас ввести пароль или другую конфиденциальную информацию: номер социального страхования, адрес или общий вопрос и ответ для сброса пароля.
Конечно, для непосредственного входа в систему можно использовать пароль, но для доступа к системе/сброса пароля может использоваться другая информация. Это называется социальной инженерией.
Еще я чаще всего замечаю, что люди записывают пароли в блокноте или на компьютере. На этой неделе я был в местном магазине и заметил, что их пароль был записан на клавиатуре, таким образом у любого есть возможность войти в систему.
телефон
© NeONBRAND

 
Потеря мобильного телефона
Легко потерять устройство с конфиденциальной информацией. Однажды ночью я оставил рабочий телефон в такси, а еще у меня был компьютер, который был украден с машины, пока тот был припаркован в гараже в центре города.
Вещи потерять легко. И дело не в том, что потерять, а в том, когда потерять.
И тогда возникает вопрос: как сократить потерю информации? Два наиболее важных шага для этого:
— Автоматическая блокировка телефона и запрос пароля для доступа;
— Возможность удаленно стереть данные на устройстве.
Здесь важную роль играет и сами работники. Разумеется, они не должны терять свое устройство. Но прежде всего, они должны знать о связанных с этим рисках и немедленно сообщать, даже пусть это будет поздним пятничным вечером. Это позволяет вашим IT-специалистом среагировать вовремя: стереть информацию на устройстве и предотвратить потерю данных.
Убедитесь, что сотрудники знают, с кем связаться в такой ситуации: менеджер, определенный человек из IT-отдела или кто-то другой. И еще: дайте им понять, что они не будут наказаны за то, что потеряли устройство и в случае инцидентов, сообщили об этом немедленно. Все могут быть в зоне большого риска, если из-за страха наказания сотрудник попытаются скрыть инцидент.
 
Слабые пароли
Я знаю, что… у каждого списка есть пароли.
Я попытаюсь дать кое-какой инсайт, о котором, возможно, вы еще не догадывались.
Некоторые (или все) сотрудники обычно используют один и тот же пароль для своих социальных сайтов, входа и пароля для работы. Это плохо? Да.
Что, если их банк взломает и произойдет утечка их паролей, или хакер взломает их страницу в любимой социальной сети и у злоумышленника теперь есть их пароль?
Думаете, что преступник хочет получить доступ к странице ваших сотрудников в Facebook, чтобы опубликовать смешной мем от их имени? Сомневаюсь. Он хочет войти в вашу базу данных.
У вас должна быть политика компании, которая требует от сотрудников использования не связанного пароля для всех учетных записей компаний и регулярного обновления этих паролей.
 
Некорректная ликвидация
Надлежащее удаление информации часто игнорируется.
В конце недели, в пятницу, у сотрудника появляются несколько свободных минут, он решает очистить свой стол. Слон на доске – стопка бумаг, почта, конверты, заметки и другое барахло, которые складываются с тех пор, как последний раз были подобные свободные минуты.
Необходимости воспользоваться этими бумагами не возникало в течение 6 месяцев, поэтому можно с уверенностью сказать, что они не понадобятся и в следующих шести. Потом приходит уборщик и отправляет 10-фунтовую стопку разной бумаги в мусорную корзину.
Готово. Чистый стол. Сотрудник вздыхает с облегчением и отправляется в счастливый час, чтобы отпраздновать хорошую неделю.
Но что было в этом «мусоре»? Что было на флешке, которую он бросил туда?
Были ли это конфиденциальные данные клиента, конфиденциальная информация о компании, пароль или всего 10 фунтов рецептов?
Работайте со своей IT-командой для разработки политики удаления информации. Это должно включать очистку всех носителей для чтения и записи, таких как жесткие диски и флешки. Компакт-диски и DVD-диски должны быть шредерованы. Бумага также должна быть пропущена через шредер или помещена в специальный ящик, чтобы IТ-команда их правильно утилизировала.