Реакция на инцидент как символ прогресса

25 декабря глава брокера «Фридом Финанс» Тимур Турлов сообщил о цифровой атаке и краже данных клиентов компании. С его слов, атаке подвергся фрагмент внутренней сети в России, откуда неизвестным лицам удалось снять некоторые данные локальных машин нескольких сотрудников.

По словам главы брокера, мошенники намеревались использовать эти данные для шантажа компании оглаской в СМИ. Он сообщил о намерении тратить «миллионы долларов» на кибербезопасность и внедрять «лучшие решения», в том числе на тренинги для сотрудников, «чтобы они не открывали левые файлы в следующий раз».

Совместно с Сергеем Волдохиным, директором компании Антифишинг, постарались разобраться в причинах инцидента и том, как на самом деле стоит защищаться от таких атак.

Российские кредитные организации бьют тревогу: число фишинговых атак на почтовые ящики сотрудников в последнее время заметно выросло.

Например, в Росбанке отметили, что темы фишинговых рассылок используют несколько другие сценарии, подчеркнув, однако, что злоумышленники могут быстро перейти на тему SARS-CoV-2 при введении новых ограничительных мер.

Но финансовые организации, такие как банки, брокеры, страховые компании, были и остаются лакомым кусочком для киберпреступников. В последнее время атакам подвергаются предприятия и в других секторах экономики.

Например, недавно Tadviser.ru сообщил о фишинговой кампании, целью которой являлись предприятия российского топливно-энергетического комплекса.

Другая группа кибервымогателей OldGremlin нацелилась на крупные российские компании и банки. У одной из медицинских организаций преступники требовали 50 тысяч долларов после того, как зашифровали её корпоративную сеть.

Злоумышленники маскировали свои письма под уведомления от Союза микрофинансовых организаций «МиР», белорусского завода «МТЗ», стоматологической клиники и РБК:

Украсть деньги со счета клиента — далеко не всегда конечная цель злоумышленников. Фишинг — хорошее подспорье для промышленного шпионажа. «Охотников за информацией» могут интересовать телефоны и email сотрудников и клиентов для навязчивой рекламы. Как видим на примере «Фридом Финанс», атака может выполняться с целью последующего шантажа.

Прецедент с «Фридом Финанс» интересен не самим фактом атаки — взломы происходили и происходят. Показательна реакция руководства «Фридом Финанс», которое признает проблему, честно заявляет о ней и готово потратить ресурсы на обучение сотрудников с целью предотвратить такие инциденты в будущем.

Это — верный шаг к развитию «коллективного иммунитета», когда сами сотрудники могут защитить компанию и данные клиентов.

Изменилась линия поведения пострадавших. Если раньше службы безопасности различных организаций изо всех сил пытались скрыть любую информацию об инциденте, то теперь демонстрируют противоположную тактику.

Принцип «горькой правды» даёт свои преимущества. Благодаря своевременному информированию клиентов можно избежать серьезных последствий от действий злоумышленников. Лучше пусть каждый пострадавший клиент сменит пароль и выполнит другие действия для защиты информации, чем замалчивать опасные факты и подвергать ущербу репутацию компании.

Обратите внимание, что публикацией об утечке были блокированы дальнейшие попытки шантажа со стороны злоумышленников. Как известно, признание неприятных фактов — лучший способ выбить почву из-под ног шантажиста.

Современный киберпреступник — это уже не гик-одиночка. Наличие в составе «рабочей группы» психолога, специализирующегося на средствах «социальной инженерии» в 21 веке мало кого может удивить. Сами информационные технологии стремительно развиваются, добавляя всё больше возможностей и каналов для манипуляции в арсенал киберпреступников. Поэтому кроме психологических трюков они используют все самые современные технологии и каналы коммуникации: почту, мессенджеры, социальные сети.

В таких условиях, а также при вынужденной удаленной работе многих сотрудников защищенность компании в первую очередь зависит не от «лучших технических решений» за миллионы долларов, а от грамотных и безопасных действий самих сотрудников, которые определяются:

1. Знаниями по информационной безопасности. Люди должны быть осведомлены о правилах безопасности, понимать схемы возможных цифровых атак, а также свою личную ответственность. Знания могут быть донесены через обучающие курсы, в том числе в электронном и интерактивном формате.

2. Навыками безопасной работы. Именно навыки определяют, как будет действовать сотрудник в случае реальной цифровой атаки или иной опасной ситуации. Навыки не могут быть сформированы никаким, даже самым лучшим обучающим курсом. Навыки формируются только на личном, практическом опыте в максимально реалистичных условиях.

Понять «насколько всё плохо» и насколько организация и её сотрудники уязвимы к цифровым атакам можно разовым аудитом безопасности.

Но для решения проблемы обязательно нужно организовать системный и автоматизированный процесс обучения и тренировки навыков с помощью специального программного обеспечения — систем непрерывного обучения и контроля защищенности сотрудников.

Такие системы позволяют обучать сотрудников на электронных курсах, а также имитировать атаки через электронную почту, файлы, ссылки на сайты, специальные устройства, по различным сценариям, техническим и психологическим векторам атак:

Как выглядит имитированная цифровая атака с доступом к камере и микрофону глазами сотрудника

1. Прочитайте об атаке на «Фридом финанс» и выводах, которые сделала компания: https://news.rambler.ru/internet/45504391-v-fridom-finans-rasskazali-o-posledstviyah-hakerskoy-ataki и https://vc.ru/finance/191118-my-oblazhalis‑i-podveli-klientov-glava-fridom-finansa‑izvinilsya-za-utechku‑dannyh-polzovateley

2. Подпишите своих сотрудников на еженедельные дайджесты о технологиях фишинга и других атаках на людей: https://blog.antiphish.ru и t.me/antph

3. Запланируйте аудит безопасности, который будет включать обязательную проверку поведения сотрудников.

4. Запустите процесс непрерывного обучения и тренировки навыков для своих сотрудников.

#антифишинг #кибератаки