Фишинговые атаки, подобно вирусу, заражают инфраструктуру компании, воруя данные об организации и ее клиентах, тем самым нанося непоправимый критический ущерб. Формирование осознанного поведения сотрудников при работе с данными в веб-среде - ключевая задача специалистов по ИБ.
Киберосознанность - лекарство от фишинговых атак, об эффективности которого расскажем в исследовании, подготовленном Анастасией Федоровой, экспертом по информационной безопасности ИТ-компании КРОК и Алексеем Горелкиным, генеральным директором ООО «ФИШМАН». Выводы сделаны на основании данных 287 организаций Enterprise-сегмента, среднего и малого бизнеса.
Основная причина успешных кибератак
Довольно давно среди специалистов по информационной безопасности ходит шутка, что главная брешь в защите корпоративных сетей находится в прослойке между клавиатурой и компьютерным креслом. Но, шутки шутками, а киберпреступники тоже это прекрасно понимают и поэтому всё с большим усилием атакуют именно сотрудников компаний, пользуясь их наивностью, недостаточными знаниями и навыками для противодействия кибератакам.
Мошенники придумывают новые схемы, используя методы социальной инженерии, основной целью которых является заставить жертву сделать выгодные злоумышленнику действия. Хороший пример – скандал с Twitter в июле 2020 года, когда администратор добавил злоумышленников в рабочий чат в Slack, где был закреплен файл с мастер-паролем. В результате мошенники получили доступ к 45 аккаунтам, в том числе страницам компаний Apple, Uber, основателя Amazon Джеффа Безоса, руководителя Tesla и SpaceX Илона Маска и других. Где разместили просьбы перевести сумму в биткоинах на счет хакеров, пообещав удвоить ее. Чтобы решить проблему, Twitter временно заблокировала пользователей, пытавшихся сменить пароль за последние 30 дней. На следующий день после инцидента акции Twitter упали более чем на 4%, а акции Slack на 5%.
Но это пример, когда идет работа с конкретным человеком. Чаще злоумышленники используют фишинг – один из методов социальной инженерии, который заключается в отправке специально подготовленных писем (сообщений), которые содержат либо зловредные файлы, маскирующиеся под вполне безопасные, либо ссылки на фейковые сайты, разработанные злоумышленниками. Казалось бы, почему до сих пор кто-то попадается на подобные уловки? К сожалению, согласно статистике Phishman до 80% сотрудников попадаются на «фишинг», а порядка 25% еще и кликают по ссылкам, либо запускают вредоносный файл. И это даже в ИТ-компаниях!
От бумажек к решению проблемы
Большинство компаний пытаются организовать информирование пользователей о правилах поведения при работе с данными в интернет пространстве с помощью различных "бумажных мер". Однако судя по тому, что уровень такого мошенничества растет из года в год, понятно, что такая мера неэффективна. Другой вариант – повышение киберосознанности с помощью специальных систем Security Awareness, что кажется более результативным.
Кстати! На русский язык название подобных систем перевели не очень удачно – “системы повышения осведомлённости пользователей”. К сожалению, такой перевод не передаёт саму суть подобных систем. Смысл не только осведомлять пользователей, ведь это можно сделать, например, и с помощью рассылки по электронной почте, а в формировании осознанного поведения в киберсреде. Поэтому мы, вместе с коллегами из Phishman, переводим системы Security Awareness, как системы повышения киберосознанности – так и короче, и правильнее.
Состав лекарства под названием “киберосознанность”
Формирование навыков киберосознанности конечных пользователей играет важную роль в минимизации серьезных угроз кибербезопасности, таких как фишинговые атаки и социальная инженерия. Основные темы при формировании навыков киберосознанности обычно включают:
1) Безопасность электронной почты/фишинг
2) Управление паролями
3) Конфиденциальность данных
4) Веб-безопасность/интернет-безопасность
5) Офисная безопасность
Навыки пользователей закрепляются регулярными практическими тестированиями, в том числе и специальными тестовыми фишинговыми рассылками. Как уже упоминалось, до 80% всех пользователей компаний попадаются на тестовые фишинговые рассылки при первых тестированиях. Бытует стереотип, что ошибки допускают исключительно сотрудники далёкие от ИТ и ИБ, но это не так. Более того – в современных компаниях, администраторы систем являются очень уязвимыми к подобным атакам.
Мы регулярно подтверждаем это опытным путём, вот один из примеров. В компании сделали рассылку с заведомо ложной почты, которая маскировалась под HR, в письме была ссылка на тренировочный фишинговый сайт, но, чтобы никого не пугать, вместо обучающей страницы использовалась просто пустая. Данное письмо пришло руководителю одного из ИТ отделов, который несколько раз открыл ссылку с разных браузеров, после чего связался с HR, и сообщил, что у них сайт не работает. В случае реальной атаки – это была бы отличная возможность для злоумышленников.
Но давайте о хорошем. При правильном построении процесса повышения киберосознанности, при наличии соответствующих систем и правильной мотивации пользователей можно избежать большинства угроз, снизив количество инцидентов, возникающих по вине сотрудников.
К слову о мотивации. В нашей стране часто принято мотивировать кнутом, что уже плохо работает. Для многих внутренняя ИБ-служба – карательный орган, наказывающий за любую ошибку при работе с данными. Поэтому сотрудники боятся сообщать о инцидентах, причиной которых они становятся, чтобы не депремировали или «еще что хуже». Это приводит к тому, что, когда ИБ обнаруживает инцидент (если вообще обнаруживает) – становится уже слишком поздно и нанесён финансовый и/или репутационный ущерб.
Это можно исправить, если продвигать информационную безопасность внутри компании как друга и товарища, который помогает бороться с внешними угрозами и сохранять данные сотрудников и клиентов в безопасности. Закрепление навыков корректного поведения пользователей, формирующееся при использовании систем Security Awareness, позволит избежать «замалчивания» и обнаруживать инциденты значительно быстрее.
Для чего применяют киберосознанность
Обучение киберосознанности имеет и экономическое обоснование. Эксперты Phishman провели семинар с руководителями служб безопасности предприятий, среди которых были специалисты по ИБ Аэрофлота и Сбербанка, чтобы выяснить, почему они вкладывают средства в обучение по повышению осведомленности пользователей в киберсреде. Они обнаружили, что:
● 91% используют киберосознанность для снижения рисков кибербезопасности, связанных с поведением пользователей
● 64% - для изменения поведения пользователей
● 61% - для выполнения нормативных требований
● 55% - для соблюдения внутренних политик.
Насколько киберосознанность эффективна
Вернёмся к хорошему и подытожим. Если построить процесс повышения киберосознанности сотрудников на базе качественной системы, а также правильно мотивировать сотрудников, то можно добиться высоких результатов по снижению числа непреднамеренных инцидентов со стороны сотрудников, повысить число выявленных угроз самими пользователями, а также быть уверенным, что атаки методом социальной инженерии будут не эффективны против ваших работников.
К сожалению, всегда найдутся люди, которые так или иначе «противятся» обучению. Как раз для таких пользователей хорошо использовать киберучения. Практические навыки, которые приобретаются благодаря регулярным тестированиям, минимизируют риски формального ознакомления с требованиями. На наш взгляд, киберучения надо проводить регулярно, и не реже чем раз в полгода, для закрепления полученных навыков у старых пользователей и их выработки у новых.
ИТ-компания КРОК в партнерстве с Phishman уже на протяжении нескольких лет развивает киберосознанность сотрудников компаний. По статистике, уже после первого месяца использования систем повышения киберосознанности число сотрудников, попадающихся на фишинг, не превышает 20%, а чем дальше, при проведении регулярных учений, тем ближе это значение к 3%.
Авторы: Алексей Горелкин генеральный директор ООО "ФИШМАН"; Анастасия Федорова, эксперт по информационной безопасности ИТ-компании КРОК.