Предохраняемся на работе: правила защиты от кибератак

По данным компании IT-безопасности Check Point Software Technologies, количество кибератак в 2021 году по сравнению с 2020 выросло на 40%, в России — на 54%. Эти цифры показывают, что каждую неделю хакеры в среднем совершали 1153 кибератаки.

Когда нас всех посадили на удаленку, ситуация стала еще хуже: работая дома, сотрудники не соблюдают почти никаких мер защиты данных, а мошенники активно используют новые схемы. При этом нагрузка на ИТ-поддержку возросла, а доступ к ней усложнился.

Не просто так Всемирный экономический форум назвал кибератаки и сетевое мошенничество основной проблемой современного общества.

Одной из крупнейших утечек в 2019 году была потеря данных сотен миллионов людей из профилей Facebook, Twitter, LinkedIn и Github — было слито 4 терабайта личной информации.

2020 год и вовсе называют одним из худших для кибербезопасности. Было взломано более 737 миллионов файлов. С самой большой утечкой столкнулась косметическая компания Estee Lauder, — хакером удалось прикарманить 440 миллионов записей.

В середине мая 2020 от взлома пострадала и японская игровая компания Nintendo, в результате чего было скомпрометировано 300 000 аккаунтов. Хакеры получили доступ к платежной информации, чтобы в дальнейшем использовать ее для незаконных покупок.

Летом 2021 года активизировалась группировка REvil. Ежемесячно ребята проворачивали как минимум 15 кибератак. После взлома производителя компьютерной техники Quanta Computer они заполучили доступ к некоторым документам и чертежам еще неанонсированных устройств Apple и запросили за них 50 миллионов долларов.

В июле группировка взяла на себя ответственность за атаку на серверы компании Kaseya, которая производит ПО. Этот случай вызвал перебои в работе 200 организаций в шести странах мира. За разблокировку REvil потребовали 70 миллионов долларов. Аппетиты росли быстро.

Конечно, хакерам высшего уровня вряд ли интересна охота за какой-нибудь мелкой рязанской компанией, но дело в том, что человеческий фактор последнее время выходит на первый план.

Данные организаций находятся в опасности в первую очередь из-за сотрудников, не соблюдающих элементарных правил при работе с компьютерами и ПО.

Кто знает — может и вы каждый день совершаете ошибки, которые могут обойтись для вашей компании слишком дорого?

А вы тоже до сих пор сворачиваете оповещения об обновлении ПО? «Всплывает и всплывает это назойливое окошко. Я тут в дедлайны не укладываюсь, а ноут все просит обновиться…», — такие мысли посетили не одного из нас.

Но дело в том, что с выходом каждого обновления ПО разработчики исправляют в нем уязвимости и улучшают систему кибербезопасности. Если бы пользователи вовремя устанавливали актуальные обновления, а не закатывали глаза, когда выскакивает оповещение, то, например, атаку WannaCryptor можно было бы избежать.

Для тех, кто не помнит, эта программа шифровала файлы на компьютере, а затем требовала $300 за возврат доступа к ним.

По данным исследования сервиса разведки утечек данных и мониторинга даркнета DLBI, самыми распространенными паролями в 2021 году стали:

• qwerty123;
• qwerty1;
• 123456;
• a11111;
• 123456789.

Следом идут asdasd и 12345, 123456789, asdasd123, 12345678, qwerty и 123321.

По итогам анализа только 3,5% паролей оказались сложными (содержали буквы, цифры и спецсимволы) и 16,5% были длиннее десяти знаков. Если у вас простой пароль или, не дай бог :D, он есть в этом рейтинге, — смените.

А то получится как с компанией SolarWinds. В 2020 году их облачный сервис Microsoft взломали благодаря паролю solarwinds123, который установил стажер.

Если хочется дополнительно защитить данные, попробуйте менеджер паролей. Например, 1Password. Кажется, что это ненадежно? Напомним, что его услугами пользуются Apple и IBM.

Искренне надеемся, что вы не кликаете на баннеры с надписями: «Чтобы убрать варикоз, нужны всего лишь эти два ингредиента…» или «София Ротару раскрыла секрет молодости». В лучшем случае вы засорите голову фейковыми новостями, в худшем — подхватите вредоносный код.

Если кто-то в сообщениях сообщает вам о выигрыше, внезапном наследстве или просто предлагает зарабатывать по 100 000 рублей в час на опросах, приложив ссылку, — удаляйте сообщения. Не нужно оставлять им никаких персональных данных. Мы против эйджизма, но такие вещи особо касаются возрастных сотрудников.

WiFi-сети с протоколом безопасности WEP и сети без паролей — небезопасные. Взломать интернет и перехватить трафик посетителей кафе, спортзала, института или метро — хакерская задачка с пометкой «легкий уровень».

Находясь в общественном месте, особенно, если вы используете сеть для работы, лучше использовать мобильный интернет и функцию Hotspot. Если такой возможности нет, подключайтесь через VPN.

46% сотрудников компаний признаются, что переносили файлы с рабочих устройств на домашние. Естественно, это риск. Когда сотрудник владеет конфиденциальной информацией на своем домашнем ноутбуке, его банально могут украсть, перехватив данные. Еще неприятнее, если сотрудник покинет штат, а затем сам сольет ваши данные, например, клиентскую базу. Или будет использовать ее в своих целях.

Доверять персональную информацию только паролям тоже плохая затея. Лучше использовать дополнительный слой защиты — двухфакторную аутентификацию, которая позволяет приложениям и соцсетям запрашивать не только пароль, но и дополнительное подтверждение личности: например, код из СМС/электронного письма, ответ на вопрос.

Такие механизмы защиты давно есть ВК, Instagram, Apple ID, Google, Microsoft, так что не пренебрегайте. Да, двухфакторная аутентификация не спасет, если вы сами отдадите данные хакерам, ответив на фальшивое письмо. Но точно защитит от слива данных: посторонний человек не сможет войти в аккаунт, даже если логин и пароль уже у него на руках.

В общем, друзья, объяснить простые правила кибербезопасности сотрудникам и пофантазировать над паролем не так сложно. Но помните, что это ваши сэкономленные деньги, нервы, а иногда и карьера с репутацией. Защищайте свои данные и устройства — на дворе 2022 год.

Если вам понравилась статья, подписывайтесь на наш телеграм-канал об онлайн-образовании и сфере HR.