Главная
Сильная комбинация. Правила цифровой гигиены на рабочем месте
Количество цифровых угроз для бизнеса в последние пару лет выросло в разы. В первом полугодии 2024 года зафиксировано в 4 раза больше кибератак на бизнес, чем за весь 2023 год. При этом до 28% сотрудников могут не распознать поддельное сообщение и отправить злоумышленникам данные для доступа к корпоративным ресурсам. Очевидный вывод: чтобы избежать киберугроз, бизнесу необходимо повышать уровень цифровой гигиены сотрудников.
Что это значит для бизнеса?
Больше советов о том, как повышать уровень цифровой гигиены — в полной версии статьи.
В первой половине 2024 года количество заказных кибератак на бизнес увеличилось более чем в 4 раза, сообщает «Коммерсант». Это связано с тем, что компании стали активнее собирать и обрабатывать данные в рамках цифровизации. А хакеры — лучше готовиться к атакам и использовать специальные программы, включая разработки на базе машинного обучения и генеративного AI.
В 4 раза
выросло количество организованных кибератак на бизнес в I полугодии 2024 года
Сергей Лебедь,
вице-президент Сбербанка по кибербезопасности:
Одной из основных киберугроз для организаций в России является эксплуатация уязвимостей. На фоне ухода иностранных вендоров российские компании испытывают острую потребность в получении качественной аналитики об угрозах, уязвимостях и путях их устранения.
Чтобы удовлетворить этот запрос рынка, в ноябре Сбер предоставил бесплатный доступ всем российским компаниям к собственной разработке: платформе по управлению киберугрозами X Threat Intelligence. Это наш вклад в обеспечение кибербезопасности России, ведь сервис создавался как самая актуальная и полная база данных обо всех уязвимостях и киберугрозах.
Ответственностью каждого сотрудника становится соблюдение цифровой гигиены. Что включает в себя это понятие и как внедрить цифровую гигиену в список личных привычек?
Какие отрасли подвергались атакам в 2024 году в России и других странах СНГ
Источник: Лаборатория Касперского
Цифровая гигиена — что это и для кого
Цифровая гигиена — это набор полезных навыков, которые помогают защититься от киберугроз и предотвратить утечки данных. Сюда также относятся привычки выборочного потребления контента, например проверка источников данных и фильтрация новостных потоков.
Идея, что информацию нужно потреблять выборочно, возникла ещё в конце 90-х годов, когда стало ясно, что в сети люди часто подвергаются перегрузке. Если осознанно не ограничивать поток, возрастает риск психологического истощения, снижается концентрация, повышается вероятность принятия ошибочных решений. Кроме очевидных рисков для здоровья, такое состояние делает человека более лёгкой мишенью для мошеннических атак, направленных на кражу данных.
Базовые правила цифровой гигиены
По итогам исследования Национального агентства финансовых исследований (НАФИ) знания о цифровой безопасности у сотрудников в среднем отстают от общего уровня цифровой грамотности. При этом эксперты по безопасности отмечают, что существует ряд атак, специально направленных на эксплуатацию низкого уровня цифровой гигиены. Это фишинг, вредоносное программное обеспечение и поддельные точки Wi-Fi доступа. Все они направлены на перехват конфиденциальной информации и потенциально могут принести компании миллионный ущерб.
Уровень разных компонентов общей цифровой грамотности россиян, п. п.*
* Индекс цифровой грамотности измеряется в процентных пунктах (п. п), его значение может варьироваться от 0 (цифровая грамотность отсутствует) до 100 (абсолютное владение цифровыми компетенциями).
Источник: НАФИ
Эксперты рекомендуют внедрять комплексные программы обучения и повышения уровня цифровой грамотности, а также регулярно проводить тесты на выявление слабых мест в системе корпоративной киберзащиты.
Многие из действий нужно ввести в привычку:
Список получается длинным, но его можно свести к нескольким базовым принципам. Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, рекомендует два простых, но действенных шага: «Используйте многофакторную аутентификацию и включите автоматическое обновление на всех устройствах. Это защитит от 80—85% угроз». Виктор Иевлев, руководитель отдела ИБ группы компаний «Гарда», также напоминает о важности сложных паролей и регулярной проверки истории авторизаций: «Не раскрывайте личную информацию в соцсетях, делайте резервные копии и проверяйте историю транзакций».
до 85%
киберугроз предотвратят многофакторная аутентификация и автоматические обновления
Правила безопасности для корпоративной почты
Рекомендации Дмитрия Малинкина, руководителя направления киберучений BI.ZONE
Как противостоять фишингу
Фишинговая атака — это мошенническая попытка получить личные данные или доступ к системе. Обычно ведётся через поддельные сообщения или сайты, которые маскируются под проверенные источники.
Исследование МТС Red показало, что 28% сотрудников могут не распознать фишинговое письмо и отправят мошенникам логин и пароль от рабочего аккаунта. Такие высокие цифры не удивляют: сегодня фишеры совершенствуют методы атак с использованием машинного обучения. Чтобы выглядеть убедительнее, мошенник может представиться начальником и использовать актуальные инфоповоды — так выглядит таргетированный фишинг.
Кроме того, число фишинговых атак растёт в мессенджерах, отмечают в BI.ZONE. Для этого мошенники используют дипфейки. Например, отправляют сотруднику сообщение от имени руководителя или коллеги. Различные no-code-инструменты позволяют довольно быстро и дёшево создавать фишинговые сайты и рассылки высокого качества с минимальными ошибками, что делает фишинг популярным среди злоумышленников.
Чтобы противостоять фишинговым атакам, важно повышать уровень цифровой гигиены сотрудников и формировать у них осознанное отношение к киберугрозам. Одна из проблем, как пишет Comnews, заключается в том, что многие сотрудники с низким уровнем цифровой грамотности не считают себя возможной целью для хакеров. Они думают, что не обладают доступом к важной информации. Изменить это ошибочное представление и укрепить культуру безопасности в компании помогут регулярные тренировки по распознаванию фишинговых сообщений и разбор реальных примеров атак. Подробнее об этом — в материале «Киберучения бизнеса. Как и для чего их проводят».
Сравнение числа атак с использованием социальной инженерии в I квартале 2022—2024 годов
Источник: Лаборатория Касперского
«Если не использовать хотя бы базовые средства защиты рабочих мест и серверов, не обучать персонал навыкам кибербезопасной работы, то успешная атака становится вопросом времени. Нередко мошенники выдвигают требования по выплате выкупа, шантажируя тем, что раскроют данные», — предостерегает руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского» Алексей Киселёв.
Дмитрий Малинкин, руководитель направления киберучений BI.ZONE, также подчёркивает важность обучения персонала: «Чтобы защититься от фишинга, сотрудникам нужно развивать осведомлённость и быть в курсе современных киберугроз. Несмотря на активное развитие технических средств безопасности, они не гарантируют стопроцентной защиты и сотрудник может столкнуться с фишером один на один».
Продвинутые правила цифровой гигиены
Эти правила требуют более глубоких знаний. Алексей Киселёв отмечает, что важно не просто однократно обучить команду основам цифровой гигиены, но и регулярно актуализировать знания. «Сегодня на рынке есть решения, требующие минимальных административных ресурсов. Например, интерактивные онлайн-тренажеры, которые позволяют отработать навыки на примере реальных кейсов», — отмечает эксперт.
Для обучения можно применять микроформаты, они позволят встроить процесс в повседневный график работы. Про самые популярные писали в материале «Учёба в рабочем графике. Три способа получить новые знания без отрыва от работы».
Алексей Лукацкий рассказывает, что продвинутых правил может быть очень много: «Это настройка надёжного пароля на домашнем интернет-роутере и выбор уникального имени для Wi-Fi сети, которое не будет видно другим пользователям. Также можно использовать VPN (виртуальные частные сети) для защиты интернет-соединений, экраны для защиты конфиденциальной информации на ноутбуках и специальные карточки с защитой от несанкционированного считывания данных (RFID), отключать трекеры и файлы cookie в браузерах, использовать приложения для безопасного хранения паролей, запретить замену телефонной SIM-карты по доверённости у мобильного оператора, выполнять резервное копирование данных на несколько устройств».
С чего можно начать? Вопросы настройки безопасных паролей и VPN, управление рисками и внедрение эшелонированных мер безопасности подробнее рассмотрели в статье «Цифровая броня: основные стратегии информационной безопасности для крупного бизнеса».
По мнению Дмитрия Малинкина, использование VPN и менеджеров паролей эффективно при комплексном применении с остальными техническими и организационными мерами защиты. «Сотрудникам необходимо всегда сохранять бдительность. Например, если доступ к ресурсу осуществляется через VPN-протокол, это не значит, что сам ресурс безопасен. Хранилища паролей могут оказаться фейковыми, и пользователь сам отдаст злоумышленникам всю ключевую информацию. Поэтому осведомленность сотрудников играет ключевую роль в кибербезопасности компании», — говорит он.