«Удаленка» усиливает страхи о кибербезопасности
Перевод сотрудников компаний на удаленную работу в связи с карантином поставил ребром вопрос кибербезопасности.
Кибератаки на компании
Питер, сотрудник некой крупной финансовой компании в Великобритании рассказал службе Би-Би-Си, что они регулярно подвергаются хакерским атакам. Мужчина не стал называть фамилию из-за опасений компании по поводу кибербезопасности.
«Каждую неделю мы видим десятки различных хакерских атак. Это никогда не кончится».
«We see tens of different hacking attacks every single week. It is never ending.» BBC Home working increases cyber-security fears
Питер рассказал какого рода атакам подвергалась компания:
- персонал получал электронные письма якобы из службы поддержки с просьбой сбросить пароли для входа в систему;
- рабочих обманывали, заставляя загружать вирусы от хакеров, требующих выкуп;
- сотрудники получали в WhatsApp сообщения от злоумышленников. Те выдавали себя за генерального директора, с просьбой о денежных переводах.
Тот факт, что персонал работает из дома во время карантина, только усугубляет ситуацию. При таком режиме работы гораздо труднее следить за всеми.
В настоящее время каждый третий сотрудник в Великобритании работает исключительно дома. То же самое наблюдается в США. Такое количество работающих удаленно сотрудников — серьезная головная боль для руководителей ИТ-безопасности крупных и малых компаний по всему миру.
Исследования показывают, что многие фирмы относятся к этому вопросу не так серьезно, как следовало бы. По данным Hayes Connor Solicitors, каждый пятый «надомник» в Великобритании не проходил обучения по кибербезопасности.
Отчет также показал, что двое из трех сотрудников, распечатывавших потенциально конфиденциальные рабочие документы дома, выбрасывали их, не уничтожая предварительно. 57% руководителей ИТ-служб в Великобритании считают, что работающие удаленно сотрудники подвергают свои фирмы риску утечки данных.
«В спешке и панике по поводу внедрения методов удаленной работы игнорировались даже простые методы защиты данных», — Кристин Сабино, старший научный сотрудник Hayes Connor
«In the rush and panic to set remote working practices up, even simple data protection practices were ignored,» says Christine Sabino, a senior associate at Hayes Connor.
Как сделать работу из дома безопасной?
«Обеспечьте персонал портативными компьютерами и другим оборудованием, которое принадлежит, контролируется и настраивается компанией. Это снижает нагрузку на ваших сотрудников по настройке и гарантирует, что они соблюдают меры безопасности, которые требует компания».
Ted Harrington, Hackable: How To Do Application Security Right
Компаниям следовало начать с предоставления всем надомным работникам отдельного рабочего ноутбука, говорит Тед Харрингтон. Многие крупные компании вполне могут это сделать. Хотя не все мелкие фирмы имеют для этого ресурсы. И все же г-н Харрингтон подчеркивает важность этого.
Дело в том, что домашний компьютер используется не только для работы. К тому же, скорее всего, его используют несколько членов семьи. Даже если вы не посещаете сомнительные сайты для бесплатной загрузки фильмов, совершенно не значит, что этого не делает сын подросток. И вы можете ничего не знать об этом. А в этом случае значительно повышается риск загрузки вредоносных программ или атак. Это может повлиять на выполняемую работу. В худшем случае, компрометировать устройства коллег или другие устройства компании, например серверы.
Г-н Харрингтон говорит о необходимости создания для каждой компании VPN. Это обеспечит удаленным компьютерам безопасные и зашифрованные соединения с серверами и всеми остальными сотрудниками.
И все же сотрудники могут совершать серьезные ошибки. Даже если компания выделила рабочие ноутбуки, создала VPN и имеет новейшие программные системы кибербезопасности . Например, сотрудники могут стать жертвами «фишингового» электронного письма. Это вредоносное электронное письмо, выдаваемое за легитимное. Они рассылаются с целью обманным путем вынудить передать конфиденциальные данные.
В настоящее время участились рассылки мошеннических писем. Они информируют целевого человека о том, что он подвергся воздействию Covid-19 или приглашен на вакцинацию. В письмах просят получателя кликнуть по ссылке, а затем начинается загрузка вредоносного ПО на компьютер.
В этой связи компаниям стоит уделить особое внимание проведению тренингов для сотрудников по вопросам кибербезопасности:
- нужно избегать разговоров о работе в социальных сетях;
- обеспечить сотрудников измельчителями бумаги для утилизации конфиденциальных документов;
- сотрудники должны знать, кому немедленно сообщать об угрозе;
- сотрудники не должны бояться увольнения, чтобы не пытаться скрыть ошибки;
- сотрудник должен с подозрением относиться ко всему, в чем не уверен на 100%.
Лучше проверить, чем быть взломанным!
По материалам статьи David Silverberg and Will Smale, Home working increases cyber-security fears, BBC