Болтливый коллега - находка для киберпреступника
Эксперты аналитического центра "АльфаСтрахование" пришли к выводу, что более двух третей сотрудников российских компаний открыто обсуждают рабочие вопросы с третьими лицами, причем 19% из них признались, что спокойно могут описать нюансы своей деятельности в социальных сетях. 29% "ради шутки" могут поделиться с друзьями забавными скриншотами или цитатами из переписки, а 24% делятся только общими моментами, не затрагивающими деятельность предприятия.
Отвечая на вопрос, какой корпоративный способ коммуникации принят в их компании, большая часть опрошенных рассказали, что для этих целей просто используется один из стандартных мессенджеров (43%) или общение никак не регулируется (23%). 21% предприятий запрещают использование сервисов быстрых сообщений на рабочих устройствах, а в 13% случаев используется внутренний корпоративный чат на рабочем портале.
В результате исследования 39% респондентов рассказали, что в компании все ПО устанавливается только через специальные технические службы, приобретаются лицензионные версии программ, 28% работают удаленно и могут установить себе любые программы самостоятельно, 19% признались, что никакого контроля со стороны руководства нет, а 14% оказались не уверены в степени обеспечения безопасности и точно не знают, что делается для этого в их организации.
Также "Лаборатория Касперского" изучила динамику фишинговых атак через популярные во всем мире мессенджеры и выяснила, что российские пользователи Android сталкиваются с такими инцидентами чаще представителей из других стран. Почти каждая вторая (46%) попытка перейти по вредоносной ссылке из мессенджера с декабря 2020 г. по май 2021 г. заблокирована в России.
Фишинговые ссылки в России распространялись чаще всего через WhatsApp - в 83% случаев. На втором месте оказался Viber: на него пришлась каждая десятая подобная атака. Доля таких инцидентов в Telegram составила 7%.
"Информационная безопасность в последнее время становится все более актуальной проблемой: даже крупные предприятия оказались не готовы к защите своих данных и интеллектуальной собственности в условиях перехода на удаленную занятость. В первую очередь это, конечно, вопрос корпоративной культуры - необходимо разъяснять сотрудникам, что невольное разглашение конфиденциальной информации может привести к серьезным убыткам в компании. Руководителям важно задумываться о внедрении современных систем безопасности, которые помогут предотвратить крупные убытки", - рассказывает директор департамента маркетинга "Медицина" группы компаний "АльфаСтрахование" Алиса Безлюдова.
В пресс-службе группы компаний "АльфаСтрахование" прогнозируют, что в ближайшем будущем мы увидим более ответственный подход к вопросу конфиденциальности корпоративной информации, как со стороны корпораций, так и со стороны рядовых сотрудников.
Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева объясняет, что такая статистика связана с низким уровнем грамотности в вопросах информационной безопасности. По ее мнению, важно проводить для сотрудников курсы по повышению осведомленности, объяснять правила безопасной работы, напоминать, какие действия недопустимы и почему. Кроме того, как отмечает Екатерина Килюшева, в компании должны быть не только формальные политики ИБ и правила по обращению с конфиденциальными данными, но и средства, позволяющие контролировать их выполнение. "С пользователями, которые замечены в нарушении правил, следует проводить отдельные разъяснительные беседы. Как показывают наши данные, именно сотрудники чаще всего становятся объектом атак - в I квартале 2021 г. методы социальной инженерии использовались в 52% атак на организации. Поэтому обучение сотрудников - важный шаг к повышению общего уровня защищенности компании", - говорит Екатерина Килюшева.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев считает, что поддержка отношений между бывшими коллегами так или иначе часто сводится к обсуждению профессиональных вопросов, положению дел в компаниях, отношениях в коллективах и т.д. "Друг и по совместительству бывший коллега может работать в конкурирующей организации и быть заинтересованным в получении информации о внутренней кухне бывшего работодателя. Поэтому любые, даже на первый взгляд незначительные сведения, которые люди сообщают друг другу, могут иметь весьма чувствительный характер для бизнеса. В личной переписке могут раскрываться важные финансовые детали, планы развития бизнеса, размер заработной платы и т.д.", - предупреждает Андрей Арсентьев.
Консультант центра информационной безопасности компании "Инфосистемы Джет" Глеб Карманов отмечает: легко представить, что сотрудники могут по невнимательности передать файл с конфиденциальной информацией или персональными данными по общедоступным каналам связи (электронная почта или мессенджер). По его словам, чтобы снизить вероятность подобных инцидентов, хорошей практикой является комплексный подход с использованием инструментов защиты от утечек информации, выстроенного процесса предотвращения утечек, включающего процедуры по работе с этими инструментами. По мнению Глеба Карманова, не стоит забывать и про информирование сотрудников о правилах работы с классифицированной информацией, а также про необходимость предоставить им проверенные инструменты для коммуникации.
ИБ-евангелист компании Avast Луис Коронс подчеркивает, что, когда сотрудник делится скриншотами рабочей переписки в мессенджерах или выкладывает их в социальные сети, это может быть опасно как для него самого, так и для компании. Так он может случайно раскрыть адреса электронной почты или другую конфиденциальную информацию, которая может быть использована хакерами или конкурентами.
"Даже если мы думаем, что делиться такой информацией с другом или членом семьи безопасно, то надо понимать, что как только эти сведения попадают на другие устройства, вероятность, что они попадут в третьи руки, резко возрастает. Устройства ваших друзей и родственников могут быть взломаны, а информация с них может быть украдена или доступна для злоумышленников. Кроме того, многие компании заставляют сотрудников подписывать NDA или другие конфиденциальные соглашения, и такие действия могут нарушить эти соглашения и угрожать положению человека в компании. Плюс, есть информация, важность которой мы даже не замечаем, но которая может поставить под угрозу безопасность компании. Например, когда мы делимся снимками экрана, злоумышленники могут увидеть на них операционную систему и приложения, установленные на компьютерах компании", - рассказывает Луис Коронс.
Он не соглашается с тем, что больше всего фишинговым атакам подвергаются граждане РФ. "В июле 2020 г. компания Avast провела опрос на тему фишинга среди пользователей по всему миру. При этом из всех опрошенных в России с фишингом столкнулись 42% респондентов. Для сравнения, в США эта цифра была 52%, в Великобритании - 53%, в Австралии - 50%, в Индии, Японии и Чехии - 20%, 29% и 24% соответственно", - объяснил Луис Коронс.
Управляющий партнер Reasons Law Firm, юрист в сфере IT, IP и защиты данных Арам Татоян считает, что человеческий фактор - самое уязвимое звено в кибербезопасности. По его словам, многие люди не задумываются о необходимости соблюдать правила кибергигиены - не передавать критически важные данные по небезопасным каналам, не использовать теневое ПО, не обсуждать рабочие вопросы с посторонними людьми в Сети и пр. В случае утечек данных компания может понести значительные финансовые и репутационные потери. Например, по данным InfoWatch, в 2020 г. общая сумма штрафов и компенсаций за утечки данных для юридических лиц составила около $385 млн.
"Если сотрудник каким-либо образом - описав рабочие моменты в социальных сетях или загрузив важный документ на свой личный незащищенный гаджет и др., - раскроет информацию, составляющую коммерческую тайну, то ему грозят санкции. Ответственность за нарушение режима коммерческой тайны зависит от особенностей совершенного правонарушения. В отношении сотрудника могут быть приняты такие меры дисциплинарной ответственности (ст.192 ТК РФ), как замечание, выговор, увольнение по соответствующим основаниям. Уголовная ответственность предусмотрена ст.183 Уголовного кодекса. Максимальная санкция по данной статье составляет до семи лет лишения свободы", - предупреждает Арам Татоян.
Исполнительный директор Sibling Михаил Шкляр подвергает сомнению цифру 60% для россиян, отправляющих скриншоты с рабочей перепиской в мессенджерах, так как подсчитать такую реальную статистику очень сложно. "Если этот показатель достоверный, то это может быть обусловлено тем, что сотрудники не видят в такой переписке коммерчески важной информации либо считают эти данные не представляющими никакой ценности. Так как трафик этих данных очень высокий, отследить передачу очень сложно. Что касается промышленного шпионажа, то здесь опасность не в скриншотах как таковых, а в возможности договориться с конкретными сотрудниками о предоставлении определенной информации. Но большая часть такой информации никакой ценности не представляет - ни для тех, кто занимается фишингом, ни для конкурентов, ни для мошенников", - говорит Михаил Шкляр.
По его оценке, распространенность такой практики объясняется отсутствием ответственности за такие действия и непониманием связанных с этим рисков.
Директор департамента информационной безопасности компании Oberon Евгений Суханов отмечает, что в работе пользователи действительно очень часто используют мессенджеры для решения рабочих вопросов, в том числе связанных с коммерческой тайной.
"С одной стороны, если работодатель не предоставил удобный корпоративный мессенджер, который отвечает требованиям защищенности, то альтернативы для быстрой коммуникации у них нет. С другой стороны, важно прорабатывать культуру и осведомленность в области кибербезопасности самих сотрудников. Пользователи Android подвержены риску в связи с открытостью этой операционной системы. Не думаю, что география играет большую роль, это техническая особенность самой платформы", - сообщает Евгений Суханов.
Кандидат технических наук, директор департамента цифровой экономики университета "Синергия" Дмитрий Постельник считает, что в России общий уровень компетенций и культуры населения в области информационной безопасности остается очень низким. "В организациях, где в структуре организации работают специализированные отделы по вопросам информационной безопасности, проводится некоторая "просветительская" работа с сотрудниками. Даже в этом случае часто сотрудники не уделяют должного внимания соблюдению основных правил корпоративной информационной безопасности при выполнении своих функциональных обязанностей. Использование сотрудниками для деловой переписки публичных мессенджеров и социальных сетей является одним из примеров популярного нарушения правил корпоративной информационной безопасности. В результате несанкционированного доступа третьих лиц к личной переписке сотрудников в мессенджерах и социальных сетях конфиденциальная деловая информация может выйти за пределы организации и быть использована как против самой организации, так и в более широком смысле, включая такие аспекты, как коммерческая тайна организации и отрасли, деловая репутация сотрудников и организации и т.п.", - объясняет Дмитрий Постельник.