Читаем Кибербезопасность. Что руководителям нужно знать и делать полностью

Кибербезопасность. Что руководителям нужно знать и делать

Пример показывает, что люди стремятся хорошо выполнить свою работу, даже если при этом нарушают требования безопасности. Девушка не осознавала, что ставит под угрозу данные пациентов. Она просто не нашла другого решения проблемы.

Фишинг, бессмысленный и беспощадный

Люди часто открывают вложения в электронных письмах и кликают по ссылкам, что приводит к установке шпионских программ. Хакеры стали куда умнее: они нередко используют в рассылках информацию, почерпнутую из социальных и профессиональных сетей, а потому отличить фишинговые письма от обычных все труднее. Хотя несколько нигерийских принцев все еще жаждут вручить вам миллионы долларов, их сообщения постепенно вытесняются другими, гораздо более убедительными.

Калифорнийский университет в Беркли собирает базу данных о фишинговых атаках и пополняет ее образцами таких посланий. Нашлось даже поддельное письмо от HR-отдела самого университета (рисунок 1)[2].

Рисунок 1. Пример фишинговой атаки

От:

Subject: Message from human resources

Дата: 13 апреля 2017 Время: 21:29:54

Кому: [email protected]

Уважаемый [email protected]

Информационное письмо направлено HR-отделом.

Пройдите по этой ссылке, чтобы авторизоваться и просмотреть документ. Спасибо!

Калифорнийский университет в Беркли, HR-отдел.

__________

Уведомление о конфиденциальности: это сообщение и все вложенные файлы могут содержать охраняемую законом конфиденциальную информацию, предназначенную исключительно для использования физическими и юридическими лицами, которым оно адресовано. Если вы не относитесь к числу предполагаемых получателей, пожалуйста, удалите сообщение со всеми вложениями. Дальнейшее использование, копирование, раскрытие информации и ее распространение, а также ссылки на содержание письма и вложенных файлов строго запрещены.

Письмо кажется настоящим. Просьба авторизоваться для просмотра документа не вызывает подозрений: это стандартная практика для многих организаций, особенно при работе с конфиденциальной информацией. Отдел IT-безопасности университета Беркли в данном случае порекомендовал проверять достоверность ссылки, прежде чем переходить по ней. Наведите на нее курсор, и внизу экрана появится адрес веб-сайта. Затем нужно убедиться, что ссылка действительно ведет на страницу HR-отдела, а не на ресурс мошенников.

Такой совет одобрило бы большинство экспертов по кибербезопасности, но есть два нюанса. Во-первых, просмотр рабочих писем – рутина, с которой часто хочется покончить побыстрее. Многие решат, что наведение курсора на ссылку, изучение и проверка веб-адреса займут слишком много времени. Во-вторых, далеко не каждый рядовой пользователь сумеет проверить достоверность веб-адреса. Компания не может вменять это сотрудникам в обязанность.

Обучение основам безопасности

Это распространенный способ снизить риски фишинговых атак и внедрения вредоносного ПО в корпоративные компьютерные сети. Однако даже сотрудники компаний, специализирующихся на кибербезопасности, не могут похвастаться блестящими результатами подобных тренингов. Компания Intel Security (в прошлом McAfee) протестировала 19 000 человек в 140 странах, и только 3 % из них выявили все фишинговые имейлы в выборке из десяти сообщений, а 80 % не нашли ни одного[3]. Никакое обучение основам безопасности не решит эту проблему: достаточно одному сотруднику кликнуть на вредоносную ссылку или зараженное вложение, чтобы фишинговая атака достигла своей цели.

Отстрел на подлете

Перейти на страницу: