Конкурс инструкций

vc.ru выяснил, кто из «своих» способен слить данные мошенникам

Результаты эксперимента заставили понервничать.

Материал подготовлен при поддержке «Лаборатории Касперского»

Больше половины сотрудников имеют доступ к корпоративной информации, которая для них не предназначается: финансовым отчётам, базам корпоративных и клиентских данных. А в 86% опрошенных CISCO компаний сотрудники хотя бы раз переходили по фишинговой ссылке.

Обычно в «сливе» и потере данных винят рядовой персонал, но нам в «Комитете» это положение показалось сомнительным. Проверить себя решили экспериментом: предложили сотрудникам разных уровней — редактору на испытательном сроке, опытному бухгалтеру и директору по продукту — решить задачки по кибербезопасности Gamified Assessment Tool.

Что за игра

Игроку предлагают один из трёх сценариев работы — из офиса, дома или аэропорта — и просят принять решение в 12 заданных ситуациях. Его задача — оценить, насколько опасна каждая предложенная ситуация, выставив красные или зелёные фишки.

Игра оценивает степень уверенности сотрудника в собственных решениях: чем сильнее он убеждён в правильности ответа, тем больше игровых фишек ставит при выборе.

Время ограничено: по умолчанию — 10 минут, но эйчарщик или руководитель могут менять временные рамки (мы оставили как есть).

Другая интересная фишка — ситуации генерируются программой автоматически, поэтому вопросы у разных сотрудников часто не совпадают (чтобы не списывали). Проходили игру всем креативным отделом — 18 человек. Большинство на удалёнке, поэтому основным сценарием выбрали «Работу из дома». Но бухгалтеры, например, постоянно работают из офиса, поэтому они проходили сценарий «Опенспейс». А тем, кто часто путешествует — как, например, наш директор по продукту Филипп Концаренко, — назначили головоломку «Работа из аэропорта», которая нам казалась одной из самых сложных. Но Филипп нас удивил.

Филипп Концаренко
Директор по продукту в «Комитете»

Сценарий: «Работа из аэропорта».

Уверенность: 80,6%.

Большинство вопросов показались мне слишком простыми, но думаю, всё дело в том, что я просто чуть осмотрительнее среднестатистического пользователя — в силу должности. Например, к корпоративным ресурсам я подключаюсь только через VPN — у «Комитета» он свой, и разворачиваем мы его на собственных серверах.

В тех редких случаях, когда обращаюсь к сторонним решениям, я обращаю внимание на стоимость (бесплатные VPN вызывают подозрение), спрашиваю совета у коллег, которым доверяю, и изучаю обзоры — от уважаемых СМИ вроде The New York Times и The Wall Street Journal и уважаемых отраслевых авторов. При этом у меня есть правило: если в обзоре рассматривают всего один сервис — материал, скорее всего, необъективный.

Корпоративные пароли я храню только в проверенных менеджерах вроде 1Password, но даже там устанавливаю двухфакторную аутентификацию и никогда не пользуюсь плагинами для браузеров — всегда захожу в само приложение. А вот за сохранность личных данных я переживаю чуть меньше: храню всё в iCloud и, как мне кажется, до сих пор «плаваю» в теме авторизации через соцсети на посторонних сайтах.

Однажды, когда я был в отпуске, мне на почту пришло письмо от нашего руководителя Влада Цыплухина: «Голосуем за дизайн мебели и идеи для офиса» и ссылка на публикацию в интранете «Комитета». Я подумал, что это странно, но у меня были каникулы, и настроения сильно вникать не было. Перешёл по ссылке, одобрил автоматическую подстановку пароля, получил «ошибку», но ввёл данные снова: голосование за удобные стулья почему-то в тот момент стало делом принципа.

А потом я получил предупреждение о том, что письмо было фишинговым. Оказалось, разработчики проверяли нас в рамках нового спецпроекта. Было немного стыдно, и урок из той ситуации я вынес.

Баллы: 11 из 12.

Одно из заданий Филиппа выглядело так

Какие фишки вы бы поставили?
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо
Показать результаты
Переголосовать
Проголосовать
Содержание скрыто
Показать

Даже если на вашем компьютере установлен антивирус и вы проверяете все носители, перед тем как открыть, вставлять в USB незнакомые флешки — небезопасно. Там могут быть трояны и «шпионы», которых ещё не научилась распознавать антивирусная программа.

Окей, Филиппа не проведёшь. Но как насчёт нашего нового сотрудника — редактора Марины, подумали мы. Марина из Питера, и хотя сейчас живёт в Москве, в офис ходит нечасто: в обнимку с кошкой Мотей работать приятнее. В общем, Марина была идеальным кандидатом для испытания «Работа из дома». Тем более что вспомнить, кидал ли кто-нибудь ей файлик с инструкциями по цифровой безопасности, никто из нас так и не смог.

Марина Царёва
Коммерческий редактор vc.ru и DTF

Сценарий: «Работа из дома».

Уверенность: 77,8%.

Скажу честно — я боялась проходить тест. Как журналист, я, например, не привыкла блокировать запросы от незнакомцев: в каждом из них я вижу потенциального спикера, чей опыт будет полезен для какого-нибудь нового текста. Думала, что дам только два правильных ответа, и уже успела представить, как после этого моя репутация с треском разбивается о скалы.

Оказалось, во многих случаях перестаралась с бдительностью. Я искала подвох там, где его в итоге не было, — просто потому, что боялась совершить ошибку.

Первая причина моей осторожности — синдром отличницы: всё-таки я сотрудница не только издательского дома, но и ИТ-компании, где неосторожность недопустима. Вторая — давнишний травмирующий опыт использования легендарной платформы для скачивания музыки «Зайцев.нет», где об ограничениях на скачивание и проверку загрузок никто не слышал.

Но 8 баллов из 12 — не такой уж плохой результат. Обиднее всего я прокололась на вопросе, от которого не ждала никакого подвоха: оказалось, что «бухгалтерия» вместе с зарплатной ведомостью может прислать мне вирус.

Баллы: 8 из 12.

Вот одно из заданий Марининого теста

Какие ставим фишки? 
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо
Показать результаты
Переголосовать
Проголосовать
Содержание скрыто
Показать

Антивирусные базы не обновлялись уже два года — программа за это время успела предупредить пользователя об обновлениях 1234 раза. На карточке пользователь закрывает напоминание об обновлении — и это небезопасно. Базы нужно обновлять хотя бы раз в неделю, чтобы антивирус мог засечь даже самые последние вирусы и трояны. Кстати, на этот вопрос Марина ответила правильно.

Марина не без ошибок, но справилась с тестом — дала ⅔ правильных ответов. Хоть её работа и не связана с конфиденциальными данными компании, ей стоит быть внимательнее с подозрительными ссылками и сообщениями. А мы проверяем нашу компанию дальше. Наш главный бухгалтер Альмира работает в московском офисе и каждый день имеет дело с конфиденциальными данными, в том числе с теми, от которых зависят наши зарплаты. Не хотелось бы, чтобы с ними что-то случилось!

Альмира Исеева
Главный бухгалтер «Комитета»

Сценарий: «Работа в офисе».

Уверенность: 66,7%.

В части сценариев у меня сомнений не было. Я точно знаю, что нужно как можно быстрее устанавливать обновления ОС, браузеров и приложений, в том числе антивирусов. Отложить это на потом можно, если ты не готов в случае необходимости перезагрузить систему — например, во время рабочего звонка.

Я также не открою с рабочего компьютера ссылки от пускай даже условного «Сбера», который предлагает мне автоматически оформить какие-то финансовые выписки. Мне проще самой зайти в приложение и убедиться, что там эта функция есть, или сходить за нужными выписками к коллегам из бухгалтерии. К осторожности обязывает профессия.

Но вот какой парадокс. В жизни я устанавливаю сложные пароли по методичке: цифры, буквы, символы, разный регистр, никаких дат и существующих слов. А в игре я об этом напрочь забыла. На одной из карточек сотрудник вводит пароль, чтобы войти в аккаунт. Я решила, что он молодец, потому что закрыл общий доступ к профилю. Но совсем не заметила, что пароль у него всего из четырёх значков.

Получается, быть осмотрительным в жизни не обязательно значит быть начеку всегда и везде. Да и излишняя осторожность хоть и не вредит, но не то чтобы помогает — из-за этого у меня такой низкий показатель уверенности. Думаю, если бы я прошла игру ещё раз, я бы справилась лучше, но в случае с киберугрозами второго шанса у меня, конечно, не будет.

Баллы: 8 из 12.

Вот одно из заданий для Альмиры

Какие фишки поставим? 
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо
Показать результаты
Переголосовать
Проголосовать
Содержание скрыто
Показать

Не стоит публиковать такие заявления в соцсетях, если вы не сотрудник PR-отдела, а текст не является частью тщательно продуманной кампании. Даже без деталей данные о планах выпуска продуктов являются стратегически важной и часто конфиденциальной информацией. Вот здесь наша Альмира и не заметила опасности.

А как в среднем по больнице?

Наконец, когда в игру доиграли все, мы смогли оценить общий уровень компании. Результаты программа выдаёт в процентах: отличным считается показатель в 81–90%. Этого уровня в нашей команде достигли всего трое — уже знакомый вам директор по продукту Филипп, креативный директор Миша и редактор этого текста Никита.

Одиннадцать сотрудников показали средний уровень 61–80%: по мнению разработчиков, риск попасться на уловку мошенников у коллег всё же высок, и следует отправить их на обучение — например, экспресс-курс на платформе Kaspersky Automated Security Awareness.

А вот четыре сотрудника (<60%) оказались для мошенников очень простой мишенью — есть вероятность, что они станут угрозой кибербезопасности компании. Например, они могут открыть ссылку с вирусом, который «выкрадет» доступы к бухгалтерским программам и оставит всех сотрудников без зарплаты.

В таблице с результатами кроме оценок можно увидеть, в какой теме «плавает» каждый сотрудник — например, использует ненадёжные пароли или небрежно относится к безопасности данных в почтовой переписке. Оказалось, что в «Комитете» хуже всего с безопасностью на мобильных устройствах: не все знают, что нужно своевременно устанавливать обновления операционной системы и регулярно делать резервные копии.

Зачем в игре нужны «фишки», мы поняли тоже только после получения результатов. Система помогает выявить «зазнаек» — сотрудников, которые уверены в том, что их невозможно взломать, но напрасно. Как объясняют разработчики Assessment Tool, если сотрудник демонстрирует высокую уверенность (81–100%), но при этом набирает меньше половины правильных ответов — он прямая угроза кибербезопасности компании. И его скорее стоит отправить на обучение.

Программу Gamified Assessment Tool придумала «Лаборатория Касперского». Обычно в неё играют корпоративные клиенты компании, но первые 3 150 наших читателей могут проверить себя бесплатно — прямо сейчас.

Конкурс технических инструкций
0
30 комментариев
Написать комментарий...
Олег Макаров

«слить» и «допустить утечку» разве синонимы?

Ответить
Развернуть ветку
Sergik MIRNIY

Конечно одно и тоже. Первое относится к служащим, второе к СБ.

Ответить
Развернуть ветку
парагвака

Непреднамеренное убийство - всё ещё убийство.

Ответить
Развернуть ветку
Олег Макаров

Не слишком это круто — такие параллели?

Ответить
Развернуть ветку
парагвака

Я крутой, мне можно.

Ответить
Развернуть ветку
Олег Макаров

Тада да

Ответить
Развернуть ветку
Vyacheslav Teplyakov

По опросу проведённому в интернете у 100% пользователей есть интернет.

Вы попробуйте то же самое провернуть в компании не связанной с интернетом, а занимающейся торговлей. Что-то из B2B.

По моему опыту, там все очень плохо. Люди используют небезопасные пароли, не отличают онлайн сервисы в глобальной сети от локальных. Да больше половины, как они пишут в резюме, "уверенных пользователей ПК", не умеют использовать даже дефолтный комплект из набора офиса, Аутлук, Ворд, Эксель.
Я занимаюсь, в том числе, внедрением CRM. Не знать адреса CRM это норма, открывают один раз вкладку и сидят в ней пока браузер не сглючит. Некоторые даже закладками пользоваться не умеют. Обращение с формулировкой "не работает crm" это может быть что угодно, к примеру браузер не запускается... Паролей и логинов от неё не помнят, в лучшем (а лучшем ли) случае, записывают их на бумажку.

Про флешки из дома в рабочий комп и наоборот, это я уже молчу. Информационной безопасностью никто в серьез не занимается. Люди увольняются и уходят с действующими паролями от VPN и доступами в 1С и так далее и тому подобное. Руководство не придаёт значения очевидно не осознавая проблему и возможные последствия. IT отдел, если он вообще есть, а не одинокий админ, занимается только первичной настройкой рабочих мест и переустановкой систем.

В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего и максимум суток времени. В головах у людей хлебушек. Никто не станет ничего брутфорсить, сканировать порты и так далее, социальная инженерия - путь минимального сопротивления.

Шаг первый выяснить почтовый домен, шаг второй наугад "заспамить" по всем адресам фишинговыми письмами. Шаг третий, ждать результата.
Просто вы никому не нужны.

Ответить
Развернуть ветку
Alex Chernyshev

'В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего'
Дело в том что там ничего особо и нет.
Бизнес им сломать выведя сеть из строя? Не смешите, любой малый бизнес и так живет с наполовину сломанным айти: от падающего интернета до вирусов на рабочих станциях и неактивированных вендов.
Компромат на директора найти? Еще более смешно.
НКО или внутренние разработки? Ну два скрипта докера от сисадмина Васи, не более.
Поэтому кому и зачем нужно лезть в локалку условного ООО 'Вектор-добыча' - без понятия.

Ответить
Развернуть ветку
Valeratal Val
Одно из заданий Филиппа выглядело так

Я бы на месте Филиппа немного напрягся, что стал женским полом

Ответить
Развернуть ветку
Юрий Климов

думаю всё зависит от суммы которую предложат конкуренты

Ответить
Развернуть ветку
Богатый историк

хоба

Ответить
Развернуть ветку
Alex Chernyshev

А в игре нету вариантов из серии 'Сотрудник решил подзаработать и фотографировал записи из CRM или важные документы на телефон' чтобы потом продать?
Фишинговые письма - это несколько устарело.

Ответить
Развернуть ветку
Илья Фирсов

если бы устарело то его бы уже не было попросту. а так если всплывают регулярно, значить и "польза" есть от них

Ответить
Развернуть ветку
Alex Chernyshev

Если включить голову и немного подумать, то можно очуметь от того сколько всего придется сделать для успеха такого фишинга:
знать конкретные персоны в компании, знать связи между ними, знать чем компания занимается, когда у них какие события и т д и тп.
Без такой информации сделать письмо, которое бы не выглядело подозрительным но призывало к немедленному действию будет сложно. А собирать эту информацию - ну явно не один месяц работы.

Потом техническая сторона: надо поднять сам лендинг с фейковой страницей авторизации, те еще нужно знать каким софтом в компании пользуются, чтобы корректно подделать.

А что в итоге? Ну получите вы пароль/пароли - а дальше что? Попадете на двухфакторную авторизацию в 99% случаях при попытке входа, затем вас зарежет первый же корпоративный файрвол - как подозрительную активность, потому что не с другой локации, с другой ОС и тд и тп.

Вообщем дурость это все.

Ответить
Развернуть ветку
Vyacheslav Teplyakov

А потом, случай не выдуманный, был этим летом у одного из моих клиентов, называть понятно не стану, но компания на рынке известная.
Злоумышленник запускает в локалку вирус шифрователь и через сутки ложится база 1с, все её бэкапы, все сетевые папки со всеми документами и приходит письмо, давайте нам ваши биткоены. Занавес.
Зато теперь админ знает слова типа "воздушный зазор".

Ответить
Развернуть ветку
Alex Chernyshev

Угу, еще можно корпоративного сотрудника напоить, отправить к продажным женщинам, которые его заразят нехорошими болезнями, которые он затем принесет в офис, где перезаражает окружающих.
История кстати тоже ни разу не выдуманная.

Ответить
Развернуть ветку
Dimka Nevidimka

Держите еще выдуманную историю.
https://www.securitylab.ru/news/534341.php

Ответить
Развернуть ветку
Alex Chernyshev

Ну красиво да, где-то там далеко, в олшебной западной стране с небоскребами, 'неназванная финансовая организация' , дроны, скан сети - романтика уровня хакер.ру.

Только в реальности все проще: ушлый сотрудник, подкупленный сисадмин, забытые бекапы.

Вы чего сказать-то хотели?

Ответить
Развернуть ветку
Dimka Nevidimka

Или при помощи фишинга доставить полезную нагрузку на машину пользователя и вот у вас уже доступ в тч в корп сетку и возможность пользоваться легитимным пользователем для любых целей.
Взлом корп сегмента приносит баснословные деньги и может окупить любые затраты.

Ответить
Развернуть ветку
Alex Chernyshev

Угу, увидите максимум CRM и почту, если это не рабочее место сисадмина или разработчика.
И то у последних доступ будет лишь к тестовым стендам.

Еще как-нибудь попробуйте поработать удаленно через VNC/RDP и посмотрите какой размер потока данных там идет - это будет огромная красная кнопка на любом мониторинге сети, даже самом тупом.
А с учетом того что использовать такой удаленный доступ вы можете только когда сотрудник не на рабочем месте - те скорее всего ночью, то это будет сразу две красных кнопки в мониторинге: доступ в нерабочее время и огромный объем передаваемых данных.

Вообщем хватит смотреть кино про хакеров из 90х, реальность уже сильно другая.

Ответить
Развернуть ветку
Илья Фирсов

если бы не приносила "пользу" эта дурость мошенникам - не было ее

Ответить
Развернуть ветку
Ревербератор

Ну вы ещё всем расскажите об этом.

Фишинг ужасен, заразен и от него никто не застрахован. Это то, что легко можно впарить кому угодно от спецов внутренней безопасности до следователей и прокуроров. И они поверят и простят.

Ответить
Развернуть ветку
Случайные фотографии

Компания которую считают шпионом в США
У которой директор дрочит на КГБ
Известная только тормозящим пк проигрывателем хрюкания свиней.

Будет учить компьютерной безопасности?

Ответить
Развернуть ветку
Анжелика Игнатова

Тема сливов информации это важно, но больше специализация служб безопасности. Возможно стоит больше рассказывать о фишинговых атаках, можно ли как то выявить опасные ссылки, отличить их от рекламы

Ответить
Развернуть ветку
Дмитрий Неизвестный

Неверно прочёл задания
Так было бы почти 12/12

Ответить
Развернуть ветку
Алексей Тарасов

Не всегда понятен смысл картинки с первого раза, но тест интересный. В итоге моя безопасность 10/12!

Ответить
Развернуть ветку
Migel Servantes

В году около 250 рабочих дней. 1234 раза за 2 года откладывать обновление это примерно 2,5 раза в день. Кнопка Закрыть выделена цветом а обновить бледная, обычно наоборот. Явно что-то тут не так, это наверное не антивирус а скрипт пытающийся скачать и внедрить на комп троян. Если нажать кнопку "Закрыть" комп взорвется и все данные похерятся.

Ответить
Развернуть ветку
Александр Соколов

Типичный курс по ИТ безопасности))

Ответить
Развернуть ветку
Атомный Филипп

Интересный материал, спасибо! Но ссылка в браузере открылась с запросом пароля. Попробовал подобрать, не вышло 😆

Ответить
Развернуть ветку
Ревербератор

В абсолютном большинстве случаев фишинг используется как прикрытие атак в реальности проведённых через подкуп, шантаж и т.п.

То есть подкупается сотрудник компании и сливает все нужные данные. И что бы обезопасить этого сотрудника (и потенциально заказчика) заблаговременно запускается фишинговая компания, якобы "перейдите по ссылке". Кто-то и переходит и что-то даже там вводит. Но в реальности такая инфа идёт в мусор ибо с ней куда-то пройти в современных даже самых слабо защищенных системах шансов ноль.

Если вы руководитель/собственник системы, то вам следует иметь ввиду, что фишинг это сказки и надо не дебильные игры проводить, а обращать внимание на физическую безопасность. Сотрудники не должны физически иметь доступ куда им не нужно. Оборудование должно физически храниться в защищенных помещениях и вся работа организована строго по сети. Уборка, ремонт и прочее таких помещений должны происходить только под присмотром сотрудников безопасности. Люди имеющие критический уровень доступа должны тщательно проверяться в т.ч. путём проверочного подкупа.

Если вы администратор систем безопасности, то вам следует избегать способов организации доступа в "одни руки". Условный пример: сайт, редактор, журналист. Лучше всего не давать возможности публиковать материалы на сайте журналистом без проверки редактором, а редактору БЕЗ ПОДТВЕРЖДЕНИЯ журналиста. То есть после правок редактора материал отправляется обратно журналисту на подтверждение. Этот простой способ автоматически требует подкупа двух лиц вместо одного и увеличивает затраты на атаку в два раза.

Наконец, если вы просто сотрудник и вам предложили купить какие-то доступы, то вам следует знать, что это делается двумя способами: нормальным и "в тёмную". При нормальном способе в доле так же сотрудник безопасности, который подскажет способы отмазать исполнителя и замести все следы. "В тёмную" - без такого прикрытия. И вас точно поймает СБ ибо там нет наивных дураков верящих в фишинг. Поэтому если предложение заманчивое и вы подумываете согласиться - не стесняйтесь задавать вопросы заказчику на тему "а если так, то вот как" с целью получить хотя бы косвенное подтверждение, что вы под прикрытием. И в любом случаи приготовьтесь к тому, что вам лучше поделиться "заработком" на самом низком уровне "допросов" и получить "прикрытие" от сотрудников внутренней безопасности, чем потом вас сделают крайним.

Ответить
Развернуть ветку
Читать все 30 комментариев
null