vc.ru выяснил, кто из «своих» способен слить данные мошенникам

Результаты эксперимента заставили понервничать.

Материал подготовлен при поддержке «Лаборатории Касперского»

Больше половины сотрудников имеют доступ к корпоративной информации, которая для них не предназначается: финансовым отчётам, базам корпоративных и клиентских данных. А в 86% опрошенных CISCO компаний сотрудники хотя бы раз переходили по фишинговой ссылке.

Обычно в «сливе» и потере данных винят рядовой персонал, но нам в «Комитете» это положение показалось сомнительным. Проверить себя решили экспериментом: предложили сотрудникам разных уровней — редактору на испытательном сроке, опытному бухгалтеру и директору по продукту — решить задачки по кибербезопасности Gamified Assessment Tool.

Игроку предлагают один из трёх сценариев работы — из офиса, дома или аэропорта — и просят принять решение в 12 заданных ситуациях. Его задача — оценить, насколько опасна каждая предложенная ситуация, выставив красные или зелёные фишки.

Время ограничено: по умолчанию — 10 минут, но эйчарщик или руководитель могут менять временные рамки (мы оставили как есть).

Другая интересная фишка — ситуации генерируются программой автоматически, поэтому вопросы у разных сотрудников часто не совпадают (чтобы не списывали). Проходили игру всем креативным отделом — 18 человек. Большинство на удалёнке, поэтому основным сценарием выбрали «Работу из дома». Но бухгалтеры, например, постоянно работают из офиса, поэтому они проходили сценарий «Опенспейс». А тем, кто часто путешествует — как, например, наш директор по продукту Филипп Концаренко, — назначили головоломку «Работа из аэропорта», которая нам казалась одной из самых сложных. Но Филипп нас удивил.

Сценарий: «Работа из аэропорта».

Уверенность: 80,6%.

Большинство вопросов показались мне слишком простыми, но думаю, всё дело в том, что я просто чуть осмотрительнее среднестатистического пользователя — в силу должности. Например, к корпоративным ресурсам я подключаюсь только через VPN — у «Комитета» он свой, и разворачиваем мы его на собственных серверах.

Корпоративные пароли я храню только в проверенных менеджерах вроде 1Password, но даже там устанавливаю двухфакторную аутентификацию и никогда не пользуюсь плагинами для браузеров — всегда захожу в само приложение. А вот за сохранность личных данных я переживаю чуть меньше: храню всё в iCloud и, как мне кажется, до сих пор «плаваю» в теме авторизации через соцсети на посторонних сайтах.

Однажды, когда я был в отпуске, мне на почту пришло письмо от нашего руководителя Влада Цыплухина: «Голосуем за дизайн мебели и идеи для офиса» и ссылка на публикацию в интранете «Комитета». Я подумал, что это странно, но у меня были каникулы, и настроения сильно вникать не было. Перешёл по ссылке, одобрил автоматическую подстановку пароля, получил «ошибку», но ввёл данные снова: голосование за удобные стулья почему-то в тот момент стало делом принципа.

А потом я получил предупреждение о том, что письмо было фишинговым. Оказалось, разработчики проверяли нас в рамках нового спецпроекта. Было немного стыдно, и урок из той ситуации я вынес.

Баллы: 11 из 12.

Одно из заданий Филиппа выглядело так

Окей, Филиппа не проведёшь. Но как насчёт нашего нового сотрудника — редактора Марины, подумали мы. Марина из Питера, и хотя сейчас живёт в Москве, в офис ходит нечасто: в обнимку с кошкой Мотей работать приятнее. В общем, Марина была идеальным кандидатом для испытания «Работа из дома». Тем более что вспомнить, кидал ли кто-нибудь ей файлик с инструкциями по цифровой безопасности, никто из нас так и не смог.

Сценарий: «Работа из дома».

Уверенность: 77,8%.

Скажу честно — я боялась проходить тест. Как журналист, я, например, не привыкла блокировать запросы от незнакомцев: в каждом из них я вижу потенциального спикера, чей опыт будет полезен для какого-нибудь нового текста. Думала, что дам только два правильных ответа, и уже успела представить, как после этого моя репутация с треском разбивается о скалы.

Первая причина моей осторожности — синдром отличницы: всё-таки я сотрудница не только издательского дома, но и ИТ-компании, где неосторожность недопустима. Вторая — давнишний травмирующий опыт использования легендарной платформы для скачивания музыки «Зайцев.нет», где об ограничениях на скачивание и проверку загрузок никто не слышал.

Но 8 баллов из 12 — не такой уж плохой результат. Обиднее всего я прокололась на вопросе, от которого не ждала никакого подвоха: оказалось, что «бухгалтерия» вместе с зарплатной ведомостью может прислать мне вирус.

Баллы: 8 из 12.

Вот одно из заданий Марининого теста

Марина не без ошибок, но справилась с тестом — дала ⅔ правильных ответов. Хоть её работа и не связана с конфиденциальными данными компании, ей стоит быть внимательнее с подозрительными ссылками и сообщениями. А мы проверяем нашу компанию дальше. Наш главный бухгалтер Альмира работает в московском офисе и каждый день имеет дело с конфиденциальными данными, в том числе с теми, от которых зависят наши зарплаты. Не хотелось бы, чтобы с ними что-то случилось!

Сценарий: «Работа в офисе».

Уверенность: 66,7%.

В части сценариев у меня сомнений не было. Я точно знаю, что нужно как можно быстрее устанавливать обновления ОС, браузеров и приложений, в том числе антивирусов. Отложить это на потом можно, если ты не готов в случае необходимости перезагрузить систему — например, во время рабочего звонка.

Я также не открою с рабочего компьютера ссылки от пускай даже условного «Сбера», который предлагает мне автоматически оформить какие-то финансовые выписки. Мне проще самой зайти в приложение и убедиться, что там эта функция есть, или сходить за нужными выписками к коллегам из бухгалтерии. К осторожности обязывает профессия.

Но вот какой парадокс. В жизни я устанавливаю сложные пароли по методичке: цифры, буквы, символы, разный регистр, никаких дат и существующих слов. А в игре я об этом напрочь забыла. На одной из карточек сотрудник вводит пароль, чтобы войти в аккаунт. Я решила, что он молодец, потому что закрыл общий доступ к профилю. Но совсем не заметила, что пароль у него всего из четырёх значков.

Получается, быть осмотрительным в жизни не обязательно значит быть начеку всегда и везде. Да и излишняя осторожность хоть и не вредит, но не то чтобы помогает — из-за этого у меня такой низкий показатель уверенности. Думаю, если бы я прошла игру ещё раз, я бы справилась лучше, но в случае с киберугрозами второго шанса у меня, конечно, не будет.

Баллы: 8 из 12.

Вот одно из заданий для Альмиры

Наконец, когда в игру доиграли все, мы смогли оценить общий уровень компании. Результаты программа выдаёт в процентах: отличным считается показатель в 81–90%. Этого уровня в нашей команде достигли всего трое — уже знакомый вам директор по продукту Филипп, креативный директор Миша и редактор этого текста Никита.

Одиннадцать сотрудников показали средний уровень 61–80%: по мнению разработчиков, риск попасться на уловку мошенников у коллег всё же высок, и следует отправить их на обучение — например, экспресс-курс на платформе Kaspersky Automated Security Awareness.

А вот четыре сотрудника (<60%) оказались для мошенников очень простой мишенью — есть вероятность, что они станут угрозой кибербезопасности компании. Например, они могут открыть ссылку с вирусом, который «выкрадет» доступы к бухгалтерским программам и оставит всех сотрудников без зарплаты.

В таблице с результатами кроме оценок можно увидеть, в какой теме «плавает» каждый сотрудник — например, использует ненадёжные пароли или небрежно относится к безопасности данных в почтовой переписке. Оказалось, что в «Комитете» хуже всего с безопасностью на мобильных устройствах: не все знают, что нужно своевременно устанавливать обновления операционной системы и регулярно делать резервные копии.

Зачем в игре нужны «фишки», мы поняли тоже только после получения результатов. Система помогает выявить «зазнаек» — сотрудников, которые уверены в том, что их невозможно взломать, но напрасно. Как объясняют разработчики Assessment Tool, если сотрудник демонстрирует высокую уверенность (81–100%), но при этом набирает меньше половины правильных ответов — он прямая угроза кибербезопасности компании. И его скорее стоит отправить на обучение.

Программу Gamified Assessment Tool придумала «Лаборатория Касперского». Обычно в неё играют корпоративные клиенты компании, но первые 3 150 наших читателей могут проверить себя бесплатно — прямо сейчас.