Как пандемия и карантин трансформировали киберугрозы: 4 шага для защиты компании в постковидном мире

Целевой фишинг, вредоносное ПО, вирусы-вымогатели - с начала пандемии количество кибератак резко возросло, а удаленных уязвимых компьютеров только в РФ стало больше в три раза. Хотя карантин во многих странах уже сняли, миллионы людей продолжают работать удаленно, создавая дополнительные риски для своих организаций. Директор компании "Антифишинг" Сергей Волдохин рассказал, как предотвратить киберугрозы в таких условиях.

Массовый переход на удаленную работу начался в марте, и многие компании не планируют возвращать сотрудников в офисы как минимум до сентября, а некоторые - и до 2021 года. По мнению аналитиков, дистанционный формат работы останется с нами надолго, создавая дополнительные риски с точки зрения кибербезопасности.

В это же время почти три четверти специалистов по информационной безопасности в сфере IT отметили рост киберугроз после перевода сотрудников на удаленку. Самые распространенные виды атак - это атаки на сотрудников: фишинг, мошеннические сайты, использующие актуальные инфоповоды, а также вредоносные программы и вирусы-вымогатели.

В конце июня количество таких атак выросло на 34% по сравнению с мартом и апрелем. Самые громкие примеры - массовый взлом Twitter и атака на производителя навигационного оборудования Garmin. Даже ВОЗ отметила пятикратный рост числа

киберпокушений на собственные подразделения в апреле.

В большинстве современных атак мошенники не прибегали к классическим инструментам взлома - не ищут неизвестные ранее уязвимости в системах и не используют дорогие эксплойты. Вместо этого они применяют проверенные методы социальной инженерии - в первую очередь различные виды фишинга. Во взломах Twitter и Garmin решающим также стал человеческий фактор.

Какие важные с точки зрения безопасности изменения произошли при переходе на удаленную работу?

Первое, самое очевидное - это выход за рамки "периметра безопасности", на который исторически рассчитывают службы безопасности и который в любом случае существовал в компаниях. Защищенная сеть и собственная инфраструктура остались в офисе. На удаленке сотрудники могут подключаться к ней через VPN или другие сервисы, откуда угодно, что фактически размывает понятие периметра. Процесс этот начался задолго до пандемии, когда сотрудники стали пользоваться сторонними платформами и мессенджерами для решения рабочих вопросов, но массово и особенно опасно это проявилось при вынужденном переходе на удаленную работу.

Второй момент связан с устройствами, на которых работают люди. Не все компании смогли выдать сотрудникам на дом защищенные корпоративные ноутбуки или компьютеры, поэтому многим пришлось использовать для работы личную технику - без обновлений, с личными учетными записями близких, просьбами "скинуть фоточки", вирусами и пиратскими программами. Еще год назад службам безопасности не могло присниться в страшном сне, что такие устройства будут подключены к их рабочим системам, но это вынужденно случилось.

Третье и самое важное изменение связано не с инфраструктурой, а с людьми. Сотрудники оказались в непривычной для себя удаленной рабочей среде. На фоне пандемии люди и так испытывают стресс, страх и беспокойство, и мошенники постарались этим воспользоваться.

В самом начале пандемии злоумышленники активнее всего использовали страх и неопределенность. Один из наиболее абсурдных примеров - Corona Antivirus, вредоносная программа, которую мошенники предлагали установить под видом "антивируса", чтобы "защититься от COVID-19". Тогда же процветали спекуляции на теме вакцин, тестов, дефицитных масок и санитайзеров.

Параллельно с этим набирали популярность фишинговые схемы под видом выдачи компенсаций от вымышленных государственных органов - например, "объединенного компенсационного фонда".

Пока компании работают на удаленке, сотрудники, становясь жертвами подобных атак, рискуют не только личными, но и корпоративными данными.

Вот короткие и простые правила, которые помогут защитить вашу компанию:

1. Создайте безопасную инфраструктуру для удаленной работы. Примените все доступные технические меры безопасности: настройте защищенный удаленный доступ, выдайте сотрудникам заранее настроенные корпоративные устройства с примененными политиками безопасности.

2. Наладьте коммуникацию между удаленными сотрудниками, руководителями и специалистами по безопасности

Важно, чтобы в любой подозрительной ситуации сотрудники знали, куда им обращаться за советом и помощью. Руководитель написал странное письмо? Некий клиент требует срочно разобраться с заказом? Корпоративный сайт просит авторизацию два раза подряд? Любая подозрительная активность должна вызывать вопросы.

Часто сотрудники опасаются обращаться к коллегам из отдела безопасности, потому что боятся выглядеть глупо или столкнуться с неадекватной реакцией. Это нужно решать на уровне корпоративной культуры: сделайте так, чтобы безопасники конструктивно и быстро отвечали на вопросы людей, даже если эти вопросы кажутся наивными и глупыми. Задать вопрос - лучше, чем молча запустить троянскую программу или перевести миллион рублей мошенникам, потому что "так попросил руководитель".

3. Обучите людей правилам безопасной работы. Сотрудники должны знать, какие правила безопасности им нужно соблюдать - что именно и как нужно делать в типовых рабочих ситуациях.

Покажите сотрудникам, как могут действовать мошенники, на какие детали нужно обращать внимание и что делать, если они заметили что-то подозрительное.

4. Тренируйте навыки безопасной работы на практике. Даже зная о возможных атаках, люди далеко не всегда правильно реагируют на практике. Курсы и тесты могут дать и проверить знания, но на реальную защищенность компании влияют навыки безопасного поведения, которые обязательно нужно отрабатывать на практике, причем именно в тех условиях, в которых людям предстоит работать. Это доказывает недавний кейс норвежской компании Norsk Hydro, работа которой была приостановлена из-за вируса-вымогателя. Сотрудники знали о таких атаках, но в реальной ситуации не смогли им противостоять: мошенники прислали письмо с прикрепленным файлом от имени одного из клиентов, сотрудник Norsk Hydro скачал вложение и запустил вредоносный код. Потери в результате простого, но небезопасного действия сотрудника оцениваются в $60 млн.

Опрос, проведенный IBM в 2019 году, показал, что инвестиции в кибербезопасность растут, но на эффективности это не сказывается. Специалистам по безопасности все еще кажется, что решающую роль в защите их компаний играют "более лучшие" средства защиты, однако именно люди - знания и навыки сотрудников - определяют реальную защищенность. В условиях удаленной работы регулярное обучение и тренировки навыков сотрудников - не просто полезное дополнение к остальным мерам безопасности, а первостепенная задача.