Береги пароль смолоду
Согласно исследованию, в компаниях половины опрошенных респондентов действует политика и правила информационной безопасности, у свыше трети (35%) работников работодатель требует менять пароли с определенной периодичностью и придумывать сложный пароль. В компаниях каждого шестого (15%) работника не предпринимают никаких мер для обеспечения информационной безопасности.
Мнения о штрафах со стороны работодателя за случаи передачи паролей разделились. 30% считают, что за такое поведение должны увольнять, 32% - не должны, 37% затруднились с ответом.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что корпоративная цифровая гигиена - процесс, который должен быть регламентирован службами ИТ и ИБ в компании. Но любой демократичный руководитель должен быть открыт для новых идей и рациональных предложений от сотрудников.
Андрея Арсентьева не шокирует процент работников, столкнувшихся с попыткой взлома рабочего пароля, - это связано с условиями удаленной работы.
"Очевидно, что сложившаяся в пандемию реальность негативно сказалась на обеспечении безопасности корпоративных информационных ресурсов. В частности, во многих организациях она привела к ослаблению контроля за учетными записями. В пандемию у злоумышленников появилось обширное поле для деятельности. В частности, более вольготно стали чувствовать себя фишинговые мошенники. Как следствие, угрозы взлома паролей многократно возросли", - отмечает Андрей Арсентьев.
Он считает, что передача пароля от своей корпоративной учетной записи - вопиющее нарушение политики информационной безопасности. Вероятно, все больше руководителей и сотрудников испытывают "нулевой уровень толерантности" к подобным нарушителям.
Директор департамента информационной безопасности компании Oberon Евгений Суханов отмечает, что на практике цифровая гигиена редко является инициативой сотрудников. У каждого человека свое понимание о защищенности пароля, способах его хранения и регулярности замены. Без единой политики парольной защиты в компании очень сложно и нерационально выстраивать цифровую гигиену. Люди просто не поймут правил этой игры и не осознают риски, связанные с компрометацией учетной записи.
Если каждый шестой работник сталкивался со взломом паролей, то это очень много, считает Евгений Суханов. При этом нет достоверной статистики, сколько таких попыток взлома увенчались успехом. Сама фиксация попыток компрометации учетных записей пользователей говорит о необходимости системного подхода в вопросе парольной защиты.
Евгений Суханов подчеркивает, что с ростом из года в год количества учетных записей среднестатистического пользователя из-за появления новых сервисов учащаются и попытки взлома. Также в открытом доступе появляется все больше средств автоматизированного хакинга, что уменьшает затраты мошенников на эту деятельность.
Осведомленность в вопросах информационной безопасности и защищенности растет среди сотрудников, но при этом 30% - это очень низкий показатель. Евгений Суханов уверен, что для формирования "коллективного иммунитета" организации в области информационной безопасности необходимо более 80% осведомленных сотрудников.
В пресс-службе "Доктор Веб" отмечают, что кража паролей была всегда популярна у мошенников из-за низкого входного порога. На черном рынке троян, ворующий пароли, стоит всего несколько долларов. Постоянно появляются новые модификации вредоносного программного обеспечения, поэтому число похищенных паролей только растет.
В пресс-службе "Доктор Веб" подчеркивают, что пароли - это крайне ненадежный способ аутентификации. Для большей безопасности как минимум стоит использовать 2FA (двухфакторная аутентификация).
В целом люди стали ответственнее относиться к собственной безопасности в интернете, считают в пресс-службе "Доктор Веб", но пока это касается лишь их персональных данных. В рабочих моментах большинство до сих пор руководствуется правилом: чем легче запомнить - тем проще. Поэтому в рамках компании необходим контроль со стороны службы информационной безопасности, а также строгое соблюдение внутренних регламентов.
Директор департамента корпоративного бизнеса ESET Антон Пономарев отмечает, что грамотная цифровая гигиена на предприятии - это результат инициативы руководства. Зачастую без спущенного "сверху" приказа или просьбы ИТ-отдела, донесенной до персонала руководителем, сотрудники не спешат вникать в основы информационной безопасности.
"Статистика свидетельствует, что все-таки пятеро из шести работников ответственно подходят к вопросу генерации надежного пароля. Это хороший показатель. Ведь взломать сложный пароль, если речь не идет о подготовленной целевой атаке, которая может длиться месяцами, крайне сложно. Еще три года назад данные нашего исследования продемонстрировали, что каждый второй россиянин использует один и тот же пароль на работе, для домашних сервисов, банковских приложений и соцсетей. С тех пор, в первую очередь благодаря переходу на удаленный режим работы, ситуация изменилась в лучшую сторону", - подчеркивает Антон Пономарев.
Он отмечает, что в 2021 г. каждый второй пользователь рунета находил свои личные данные в Сети. Сколько утечек произошло из-за ненадежного пароля, сказать сложно. Главная опасность здесь в использовании одинаковых паролей для различных аккаунтов. Если злоумышленники взломали, например, соцсеть, то они обязательно запустят механизм автоматического подбора добытого пароля для других сервисов пользователя - почты, игр, финансовых сервисов и т.д. При этом намечается тенденция к более ответственному подходу пользователей к генерации надежных паролей, сервисы менеджеров паролей становятся более востребованными.
Антон Пономарев считает, что увольнять за ненадежный пароль - это жестоко и непрофессионально. Если руководитель или ИТ-отдел знают, что не самый продвинутый пользователь ответственен за критически важную информацию и ее сохранность зависит от сложности пароля, то необходимо подсказать этому сотруднику способ придумать сложный пароль или по собственной инициативе установить проверенный менеджер паролей.
Директор по развитию компании "Аванпост" Олег Губка считает, что правила цифровой гигиены соблюдаются не всегда. Она ведь включает в себя не только использование сложных рабочих паролей и их частую смену. Цифровая гигиена - это в том числе соблюдение правил безопасного интернет-серфинга: не заходить на подозрительные сайты, не открывать странные письма и вложения, внимательно относиться к онлайн-платежам и не скачивать "поломанное" ПО.
"Опытные пользователи, особенно те, кто знаком с технологиями, как правило, соблюдают большинство рекомендаций - поэтому и с паролями проблем не возникает. Но пока немало тех, кто легкомысленно относится к цифровой гигиене. Об этом говорит и один из результатов опроса - каждый шестой работник сталкивался со взломом паролей. На мой взгляд, это достаточно высокий показатель, который свидетельствует, что пока людям не хватает знаний об информационной безопасности, ее задачах. И, что важно, какие минимальные правила нужно соблюдать, чтобы сберечь свои данные, пароли и учетные записи", - подчеркивает Олег Губка.
Однако он уверен, что ситуация меняется в лучшую сторону. Со стороны государства ведется работа по формированию более ответственного отношения к цифровой гигиене, и люди прислушиваются - это видно по ситуации с банковским мошенничеством. Поэтому количество случаев взлома паролей снижается и будет снижаться.
Что касается трети опрошенных, поддерживающих увольнение сотрудников, невнимательно относившихся к своим паролям, - это говорит о том, что компании осознают важность своих данных и то, насколько их кража критична для бизнеса. Но Олег Губка считает, увольнению должны предшествовать меры, направленные на повышение уровня знаний сотрудников об информационной безопасности.
Эксперт "Лаборатории Касперского" Денис Легезо отмечает, что самостоятельно большинство людей ленятся делать не свою основную работу. Мало кто будет заморачиваться на настройку техники сам.
Денис Легезо уверен, что уровень ИБ в компании заметно зависит от корпоративных политик безопасности. В компаниях должны быть единые политики по установке и обновлению паролей, с достаточно жесткими требованиями к ним. Причем это касается не только критических систем или привилегированных пользователей, привилегии в системе могут быть повышены атакующими и после первого этапа атаки.
"Самые частые ошибки пользователей в работе с паролями - использование одних и тех же паролей для разных сервисов - например, одинаковый пароль от личной почты и от рабочей учетной записи. Часто ставят простые пароли, без спецсимволов, используют даты. Если политиками компании не регламентирована смена пароля в определенный период, то сотрудники могут использовать один и тот же пароль годами. Еще одна часто встречающаяся плохая практика - оставлять свой пароль от учетной записи коллегам на время командировки или отпуска", - подчеркивает Денис Легезо.
Пароли бывают от очень разных сервисов, и общего ответа здесь нет, отмечает Денис Легезо, комментируя ответ на вопрос про рост случаев взлома. В целом тренд понятен - естественным образом растет роль информационных технологий в нашей жизни, а вслед за этим и интерес атакующих к информационным системам. С каждым годом в них все больше данных о нас, которые можно коммерциализировать.
Руководитель практики информационной безопасности Accenture в России Андрей Тимошенко подчеркивает, что соблюдение цифровой гигиены на рабочем месте зависит напрямую от корпоративной культуры в компании. Если в компании создана атмосфера доверия между руководством и подчиненными, есть хорошая система обучения и проверки знаний по информационной безопасности, понятны меры поощрения и ответственности за соблюдение и несоблюдение правил, то сотрудники будут замотивированы защищать данные компании и выполнять правила по информационной безопасности.
"Но чаще бывает наоборот, когда в компании существует культура "безразличия" и даже руководство не знает или не соблюдает необходимые правила безопасности, подавая плохой пример всем подчиненным. Традиционно люди являются самым слабым звеном, а должны быть надежным кирпичиком в системе защиты компании", - отмечает Андрей Тимошенко.
По его словам, факт, что каждый шестой работник сталкивается со взломом паролей, говорит о том, что работники не соблюдают, а часто и не знают простые правила. Они могут использовать рабочие email для личных целей и записывать пароли в небезопасных местах (файлы на рабочем столе, записные книжки, незашифрованные съемные носители информации). Они могут использовать одни и те же пароли в разных аккаунтах, потому что новый пароль сложнее запомнить, а уже имеющийся проще. Также люди часто не меняют пароли по умолчанию, передают свои пароли другим людям и не используют многофакторную аутентификацию.
Андрею Тимошенко довольно сложно оценить, почему 30% респондентов приветствуют увольнение сотрудников, недобросовестно обращающихся с паролями. Вероятно, по его мнению, они не понимают сути вопроса либо вопрос был задан некорректно. Для начала нужно разобраться, почему сотрудники недобросовестно обращаются с паролями, а уже потом думать, что с этим делать.
Ведущий системный инженер Varonis Александр Ветколь отмечает, что никто не хочет усложнять себе жизнь и большинство ставит сложный пароль исключительно по причине требований такового в политике AD или конкретного приложения. Не совпадают у большинства личные и рабочие пароли, в большей части случаев, тоже по этой же причине: личный пароль/пароли - слишком просты, чтобы обеспечить требования, однако они очень часто становятся основой для корпоративных, их "корнем".
Александр Ветколь считает, что 15% - это высокий показатель, говорящий, что от проникновения в систему от имени произвольного пользователя ни одна компания не застрахована, и именно поэтому важно наблюдать за изменением поведения пользователя, подавая сигналы о появлении очередных индикаторов компрометации, и следующих за ними в цепочке, а также сохранять цепочку действий как конкретной УЗ, так и иных, работающих с тех же устройств, для целей проведения более точного расследования.
"Мы видим, что общее число атак, использующих компрометацию именно УЗ через взлом пароля, включая социальную инженерию, а не эксплуатации разного рода уязвимостей преимущественно через фишинг и его разновидности, оставалось примерно на одном уровне в каждом из кварталов прошлого года, притом что общее число атак на организации росло", - отмечает Александр Ветколь.