vc.ru выяснил, кто из «своих» способен слить данные мошенникам

Результаты эксперимента заставили понервничать.

vc.ru выяснил, кто из «своих» способен слить данные мошенникам

Материал подготовлен при поддержке «Лаборатории Касперского»

Больше половины сотрудников имеют доступ к корпоративной информации, которая для них не предназначается: финансовым отчётам, базам корпоративных и клиентских данных. А в 86% опрошенных CISCO компаний сотрудники хотя бы раз переходили по фишинговой ссылке.

Обычно в «сливе» и потере данных винят рядовой персонал, но нам в «Комитете» это положение показалось сомнительным. Проверить себя решили экспериментом: предложили сотрудникам разных уровней — редактору на испытательном сроке, опытному бухгалтеру и директору по продукту — решить задачки по кибербезопасности Gamified Assessment Tool.

Что за игра

Игроку предлагают один из трёх сценариев работы — из офиса, дома или аэропорта — и просят принять решение в 12 заданных ситуациях. Его задача — оценить, насколько опасна каждая предложенная ситуация, выставив красные или зелёные фишки.

vc.ru выяснил, кто из «своих» способен слить данные мошенникам

Игра оценивает степень уверенности сотрудника в собственных решениях: чем сильнее он убеждён в правильности ответа, тем больше игровых фишек ставит при выборе.

Время ограничено: по умолчанию — 10 минут, но эйчарщик или руководитель могут менять временные рамки (мы оставили как есть).

Другая интересная фишка — ситуации генерируются программой автоматически, поэтому вопросы у разных сотрудников часто не совпадают (чтобы не списывали). Проходили игру всем креативным отделом — 18 человек. Большинство на удалёнке, поэтому основным сценарием выбрали «Работу из дома». Но бухгалтеры, например, постоянно работают из офиса, поэтому они проходили сценарий «Опенспейс». А тем, кто часто путешествует — как, например, наш директор по продукту Филипп Концаренко, — назначили головоломку «Работа из аэропорта», которая нам казалась одной из самых сложных. Но Филипп нас удивил.

Филипп Концаренко
Директор по продукту в «Комитете»

Сценарий: «Работа из аэропорта».

Уверенность: 80,6%.

Большинство вопросов показались мне слишком простыми, но думаю, всё дело в том, что я просто чуть осмотрительнее среднестатистического пользователя — в силу должности. Например, к корпоративным ресурсам я подключаюсь только через VPN — у «Комитета» он свой, и разворачиваем мы его на собственных серверах.

В тех редких случаях, когда обращаюсь к сторонним решениям, я обращаю внимание на стоимость (бесплатные VPN вызывают подозрение), спрашиваю совета у коллег, которым доверяю, и изучаю обзоры — от уважаемых СМИ вроде The New York Times и The Wall Street Journal и уважаемых отраслевых авторов. При этом у меня есть правило: если в обзоре рассматривают всего один сервис — материал, скорее всего, необъективный.

Корпоративные пароли я храню только в проверенных менеджерах вроде 1Password, но даже там устанавливаю двухфакторную аутентификацию и никогда не пользуюсь плагинами для браузеров — всегда захожу в само приложение. А вот за сохранность личных данных я переживаю чуть меньше: храню всё в iCloud и, как мне кажется, до сих пор «плаваю» в теме авторизации через соцсети на посторонних сайтах.

Однажды, когда я был в отпуске, мне на почту пришло письмо от нашего руководителя Влада Цыплухина: «Голосуем за дизайн мебели и идеи для офиса» и ссылка на публикацию в интранете «Комитета». Я подумал, что это странно, но у меня были каникулы, и настроения сильно вникать не было. Перешёл по ссылке, одобрил автоматическую подстановку пароля, получил «ошибку», но ввёл данные снова: голосование за удобные стулья почему-то в тот момент стало делом принципа.

А потом я получил предупреждение о том, что письмо было фишинговым. Оказалось, разработчики проверяли нас в рамках нового спецпроекта. Было немного стыдно, и урок из той ситуации я вынес.

Баллы: 11 из 12.

Одно из заданий Филиппа выглядело так

vc.ru выяснил, кто из «своих» способен слить данные мошенникам
Какие фишки вы бы поставили?
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо

Даже если на вашем компьютере установлен антивирус и вы проверяете все носители, перед тем как открыть, вставлять в USB незнакомые флешки — небезопасно. Там могут быть трояны и «шпионы», которых ещё не научилась распознавать антивирусная программа.

Окей, Филиппа не проведёшь. Но как насчёт нашего нового сотрудника — редактора Марины, подумали мы. Марина из Питера, и хотя сейчас живёт в Москве, в офис ходит нечасто: в обнимку с кошкой Мотей работать приятнее. В общем, Марина была идеальным кандидатом для испытания «Работа из дома». Тем более что вспомнить, кидал ли кто-нибудь ей файлик с инструкциями по цифровой безопасности, никто из нас так и не смог.

Марина Царёва
Коммерческий редактор vc.ru и DTF

Сценарий: «Работа из дома».

Уверенность: 77,8%.

Скажу честно — я боялась проходить тест. Как журналист, я, например, не привыкла блокировать запросы от незнакомцев: в каждом из них я вижу потенциального спикера, чей опыт будет полезен для какого-нибудь нового текста. Думала, что дам только два правильных ответа, и уже успела представить, как после этого моя репутация с треском разбивается о скалы.

Оказалось, во многих случаях перестаралась с бдительностью. Я искала подвох там, где его в итоге не было, — просто потому, что боялась совершить ошибку.

Первая причина моей осторожности — синдром отличницы: всё-таки я сотрудница не только издательского дома, но и ИТ-компании, где неосторожность недопустима. Вторая — давнишний травмирующий опыт использования легендарной платформы для скачивания музыки «Зайцев.нет», где об ограничениях на скачивание и проверку загрузок никто не слышал.

Но 8 баллов из 12 — не такой уж плохой результат. Обиднее всего я прокололась на вопросе, от которого не ждала никакого подвоха: оказалось, что «бухгалтерия» вместе с зарплатной ведомостью может прислать мне вирус.

Баллы: 8 из 12.

Вот одно из заданий Марининого теста

vc.ru выяснил, кто из «своих» способен слить данные мошенникам
Какие ставим фишки? 
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо

Антивирусные базы не обновлялись уже два года — программа за это время успела предупредить пользователя об обновлениях 1234 раза. На карточке пользователь закрывает напоминание об обновлении — и это небезопасно. Базы нужно обновлять хотя бы раз в неделю, чтобы антивирус мог засечь даже самые последние вирусы и трояны. Кстати, на этот вопрос Марина ответила правильно.

Марина не без ошибок, но справилась с тестом — дала ⅔ правильных ответов. Хоть её работа и не связана с конфиденциальными данными компании, ей стоит быть внимательнее с подозрительными ссылками и сообщениями. А мы проверяем нашу компанию дальше. Наш главный бухгалтер Альмира работает в московском офисе и каждый день имеет дело с конфиденциальными данными, в том числе с теми, от которых зависят наши зарплаты. Не хотелось бы, чтобы с ними что-то случилось!

Альмира Исеева
Главный бухгалтер «Комитета»

Сценарий: «Работа в офисе».

Уверенность: 66,7%.

В части сценариев у меня сомнений не было. Я точно знаю, что нужно как можно быстрее устанавливать обновления ОС, браузеров и приложений, в том числе антивирусов. Отложить это на потом можно, если ты не готов в случае необходимости перезагрузить систему — например, во время рабочего звонка.

Я также не открою с рабочего компьютера ссылки от пускай даже условного «Сбера», который предлагает мне автоматически оформить какие-то финансовые выписки. Мне проще самой зайти в приложение и убедиться, что там эта функция есть, или сходить за нужными выписками к коллегам из бухгалтерии. К осторожности обязывает профессия.

Но вот какой парадокс. В жизни я устанавливаю сложные пароли по методичке: цифры, буквы, символы, разный регистр, никаких дат и существующих слов. А в игре я об этом напрочь забыла. На одной из карточек сотрудник вводит пароль, чтобы войти в аккаунт. Я решила, что он молодец, потому что закрыл общий доступ к профилю. Но совсем не заметила, что пароль у него всего из четырёх значков.

Получается, быть осмотрительным в жизни не обязательно значит быть начеку всегда и везде. Да и излишняя осторожность хоть и не вредит, но не то чтобы помогает — из-за этого у меня такой низкий показатель уверенности. Думаю, если бы я прошла игру ещё раз, я бы справилась лучше, но в случае с киберугрозами второго шанса у меня, конечно, не будет.

Баллы: 8 из 12.

Вот одно из заданий для Альмиры

vc.ru выяснил, кто из «своих» способен слить данные мошенникам
Какие фишки поставим? 
Красные — здесь что-то не так
Зелёные — на картинке всё хорошо

Не стоит публиковать такие заявления в соцсетях, если вы не сотрудник PR-отдела, а текст не является частью тщательно продуманной кампании. Даже без деталей данные о планах выпуска продуктов являются стратегически важной и часто конфиденциальной информацией. Вот здесь наша Альмира и не заметила опасности.

А как в среднем по больнице?

Наконец, когда в игру доиграли все, мы смогли оценить общий уровень компании. Результаты программа выдаёт в процентах: отличным считается показатель в 81–90%. Этого уровня в нашей команде достигли всего трое — уже знакомый вам директор по продукту Филипп, креативный директор Миша и редактор этого текста Никита.

Одиннадцать сотрудников показали средний уровень 61–80%: по мнению разработчиков, риск попасться на уловку мошенников у коллег всё же высок, и следует отправить их на обучение — например, экспресс-курс на платформе Kaspersky Automated Security Awareness.

А вот четыре сотрудника (<60%) оказались для мошенников очень простой мишенью — есть вероятность, что они станут угрозой кибербезопасности компании. Например, они могут открыть ссылку с вирусом, который «выкрадет» доступы к бухгалтерским программам и оставит всех сотрудников без зарплаты.

В таблице с результатами кроме оценок можно увидеть, в какой теме «плавает» каждый сотрудник — например, использует ненадёжные пароли или небрежно относится к безопасности данных в почтовой переписке. Оказалось, что в «Комитете» хуже всего с безопасностью на мобильных устройствах: не все знают, что нужно своевременно устанавливать обновления операционной системы и регулярно делать резервные копии.

Зачем в игре нужны «фишки», мы поняли тоже только после получения результатов. Система помогает выявить «зазнаек» — сотрудников, которые уверены в том, что их невозможно взломать, но напрасно. Как объясняют разработчики Assessment Tool, если сотрудник демонстрирует высокую уверенность (81–100%), но при этом набирает меньше половины правильных ответов — он прямая угроза кибербезопасности компании. И его скорее стоит отправить на обучение.

Программу Gamified Assessment Tool придумала «Лаборатория Касперского». Обычно в неё играют корпоративные клиенты компании, но первые 3 150 наших читателей могут проверить себя бесплатно — прямо сейчас.

2222
32 комментария

По опросу проведённому в интернете у 100% пользователей есть интернет.

Вы попробуйте то же самое провернуть в компании не связанной с интернетом, а занимающейся торговлей. Что-то из B2B.

По моему опыту, там все очень плохо. Люди используют небезопасные пароли, не отличают онлайн сервисы в глобальной сети от локальных. Да больше половины, как они пишут в резюме, "уверенных пользователей ПК", не умеют использовать даже дефолтный комплект из набора офиса, Аутлук, Ворд, Эксель.
Я занимаюсь, в том числе, внедрением CRM. Не знать адреса CRM это норма, открывают один раз вкладку и сидят в ней пока браузер не сглючит. Некоторые даже закладками пользоваться не умеют. Обращение с формулировкой "не работает crm" это может быть что угодно, к примеру браузер не запускается... Паролей и логинов от неё не помнят, в лучшем (а лучшем ли) случае, записывают их на бумажку.

Про флешки из дома в рабочий комп и наоборот, это я уже молчу. Информационной безопасностью никто в серьез не занимается. Люди увольняются и уходят с действующими паролями от VPN и доступами в 1С и так далее и тому подобное. Руководство не придаёт значения очевидно не осознавая проблему и возможные последствия. IT отдел, если он вообще есть, а не одинокий админ, занимается только первичной настройкой рабочих мест и переустановкой систем.

В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего и максимум суток времени. В головах у людей хлебушек. Никто не станет ничего брутфорсить, сканировать порты и так далее, социальная инженерия - путь минимального сопротивления.

Шаг первый выяснить почтовый домен, шаг второй наугад "заспамить" по всем адресам фишинговыми письмами. Шаг третий, ждать результата.
Просто вы никому не нужны.

9

'В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего'
Дело в том что там ничего особо и нет.
Бизнес им сломать выведя сеть из строя? Не смешите, любой малый бизнес и так живет с наполовину сломанным айти: от падающего интернета до вирусов на рабочих станциях и неактивированных вендов.
Компромат на директора найти? Еще более смешно.
НКО или внутренние разработки? Ну два скрипта докера от сисадмина Васи, не более.
Поэтому кому и зачем нужно лезть в локалку условного ООО 'Вектор-добыча' - без понятия.

6

Комментарий недоступен

9

Конечно одно и тоже. Первое относится к служащим, второе к СБ.

1

Непреднамеренное убийство - всё ещё убийство.

Одно из заданий Филиппа выглядело такЯ бы на месте Филиппа немного напрягся, что стал женским полом

3

А в игре нету вариантов из серии 'Сотрудник решил подзаработать и фотографировал записи из CRM или важные документы на телефон' чтобы потом продать?
Фишинговые письма - это несколько устарело.

3