Сотрудники как уязвимость в защите информации

Вадим Владимирович Петров
Количество просмотров213

безопасность информации

Часто для получения конфиденциальных данных необязательно использовать какие-то сложные технологии и специальный софт. Достаточно использовать «человеческий фактор» — небрежность и халатность сотрудников в вопросах информационной безопасности.

Именно такие выводы следуют из результатов экспериментов Positive Technologies, которые анализировали уровень защищенности корпоративных данных в российских компаниях. В ходе исследования специалисты имитировали стандартную хакерскую активность, рассылая вредоносные ссылки и файлы во вложениях электронных писем.

Поведенческая статистика

Самым эффективной уязвимостью офисных сотрудников оказались фишинговые ссылки – 27% сотрудников компаний-участников перешли по ним, не обращая внимания на корректность адреса сайта и в итоге переходя на поддельный ресурс.

Для большей эффективности «хакеры» комбинировали несколько способов получить данные в одном письме. Так, в одном сообщении могли содержаться и вредоносная ссылка, и заржённое вложение, и форма для ввода пароля. И если хорошая антивирусная защита могла препятствовать загрузке файла или предупреждала о подозрительной ссылке, то для добровольного ввода пароля препятствий пока не существует.

В ходе исследования выяснилось, что сотрудники весьма настойчивы в своём желании перейти на предложенный сайт, даже если при открытии ссылки возникают проблемы. Так, они могут вступить в диалог с хакером, посетовав на то, что ссылка не открывается, файл не скачивается или попросив совета, как открыть и запустить вложение. Такое поведение чаще всего встречалось среди персонала, никак не связанного с IT-деятельностью (88%) – кадровики, секретари, бухгалтеры и т.д. Каждый четвёртый, затеявший переписку со злоумышленниками, оказался руководителем подразделения. Справедливости ради следует сказать, что и среди IT-специалистов оказались те, кто перешёл по подозрительной ссылке и вступил в общение с хакерами (3%).

Если техническая защита информации в компании на высоком уровне, переход по вредоносным ссылкам и открытие подозрительных файлов выполнить проблематично. Поэтому настойчивые сотрудники часто пересылали полученные письма в IT-отдел с просьбой помочь открыть файл или открыть доступ к сайту. Здесь возникает другая опасность – вся информационная система фирмы может быть скопрометирована, т.к. в большинстве случаев айтишники доверяют коллегам и, вероятно, попытаются искренне помочь: откроют файл или доступ к ссылке.

Не менее частый сценарий – сотрудник решает, что письмо попало к нему ошибочно и советует отправителю обратиться «по адресу», сообщая контакты коллег, которые, по его мнению, и являются истинными адресатами письма. Так без труда хакер получает нужную контактную информацию, которую можно использовать для проникновения в информационную систему компании.

Эксперимент показал, что массовая рассылка от лица несуществующих компаний наименее эффективна (11%), тогда как точечная рассылка от лица реальных компнаий и от имени реальных лиц чаще увенчивается успехом, т.к. вызывает больше доверия и проходит элементарную информационную проверку (33%).

Психология как инструмент

Как и обычные мошенники, хакеры охотно давят на такие человеческие эмоции, как страх, тщеславие, жадность, зависть, любопытство. Так, наибольшую открываемость получили письма с темами «Перечень на премирование за I квартал» (26%), «Список кандидатов на сокращение 2016»(38%), “Служебная записка от 25.06.2016» и т.п. Сотрудники полагали, что перед ними внутренняя почта компании, рассылка для сотрудников и, не обращая внимания на подлинность отправителя, открывали письма и вложения.

Уязвимость компании и каналы утечки информации исследовались не только посредством вредоносных рассылок. Эксперименты показали, что сотрудники охотно сообщали нужную информацию по телефону. Так, в ходе исследования специалисты звонили персоналу, представляясь сотрудниками IT-отдела или отдела безопасности, и просили сообщить телефон другого сотрудника, пароли, другие данные или выполнить определённые действия на компьютере или в сети. Большиство таких просьб увенчивались успехом – практически никто не попытался выяснить личность звонившего, не задавал лишних вопросов и верил на слово, особенно если в ходе разговора использовали любое имя или фамилию якобы «коллеги».

Результаты исследования информационной защищенности показали, что около 40% российских компаний вообще не проводят тренингов для сотрудников по темам информационной безопасности и противодействию утечки данных. Примерно столько же фирм проводят обучение, но лишь формально и впоследствии никак не выясняют его эффективность. И лишь 10% фирм серьёзно занимаются вопросами защиты информации и снижению небрежности со стороны сотрудников в плане сохранения корпоративных данных.

Отсюда вывод: мало просто получить лицензию ФСТЭК на техническую защиту информации или поставить новейшие антивирусники и МСЭ. Нужно заниматься информационной безопасностью фирмы комплексно, в том числе уделяя внимание обучению сотрудников и периодическим проверкам поведения персонала.

Нужна помощь в создании защищенных систем или лицензировании ФСТЭК по требованиям ТЗКИ? Обращайтесь, консультации бесплатны.

Заказать обратный звонок
Нужна косультация по новости?

Оставить комментарий