Журнал "Information Security/ Информационная безопасность" #2, 2024

Чтобы выявить узкие места в ИБ, заказ- чики регулярно обращаются к профес- сиональным белым хакерам для прове- дения пентестов. В рамках проведения пентеста используются методы и тактики социотехнического тестирования, чтобы выявить уровень осведомленности сотруд- ников заказчика в ИБ. Таким образом, по статистике, сформированной командой пентестеров, за 2022 г. в среднем более 13% сотрудников переходит на вредо- носные ссылки в фишинговых рассылках при социотехнических атаках. Среди более чем 10 протестированных органи- заций пользователи не отреагировали только лишь в одном случае, который был обусловлен крайне маленькой выбор- кой тестовой группы. Такая статистика говорит о том, что в среднем в каждой протестированной компании хотя бы один пользователь из группы рассылки не рас- познавал фишинговую рассылку и пере- ходил по вредоносной ссылке, подвергая опасности инфраструктуру компании и личные данные. В 2023 г. статистика атак незначительно отличается в поло- жительную сторону, общий процент сни- зился до 10% – многие организации все же приняли во внимание безопасность организации со стороны защищенности человеческих ресурсов. Как злоумышленник может воздействовать на сотрудника? Разберем, как именно злоумышлен- ники производят атаки. Яркими приме- рами самых распространенных утечек информации по вине сотрудников являются: l несанкционированное копирование и распространение конфиденциальной информации; l передача паролей и другой аутенти- фикационной информации третьим лицам; l публикация чувствительной инфор- мации в общедоступных источниках (таких, как социальные сети или фору- мы); l неправильное уничтожение или выбра- сывание документов и носителей, содер- жащих конфиденциальные данные; l некорректное использование обще- доступных сетей Wi-Fi, приводящее к перехвату данных; l оставление ноутбуков или других устройств с конфиденциальными дан- ными без присмотра в общественных местах; l использование общих компьютеров или принтеров для работы с конфиден- циальной информацией; l переход по вредоносным ссылкам. Какие действия сотрудников могут привести к утечке? Рассмотрим этот вопрос более деталь- но, приведем примеры. Пример 1. Сотрудник отходит от рабочего места, не блокируя при этом компьютер. Стоит ли говорить, что вся информация, включая почтовые сообще- ния, важные файлы и конфиденциаль- ную информацию, остается как на ладо- ни и без каких-либо усилий может быть моментально перенесена/скачана/уда- лена злоумышленником. Пример 2. Сотрудник попался на фишинговую рассылку. По незнанию и невнимательности сотрудник откры- вает письмо злоумышленника, один в один схожее по оформлению и стили- стике (а может, даже и по тематике) с письмами, которые он привык видеть при общении с коллегами, с различием лишь в доменном имени, далее перехо- дит по вредоносной ссылке или ссылке на подменный сайт внутреннего сервиса, вводит доменные данные от учетки – и вот злоумышленник уже получил доступ к информации. К утечкам также приводит: l невнимательное использование съем- ных носителей (флешек, жестких дис- ков); l использование внутренних корпора- тивных сервисов на личных устройствах, которые неподконтрольны службе ИБ и не обеспечивают необходимый уровень защищенности. Что же такое Security Awareness? Теперь давайте разберемся, как снизить риски успешной реализации кибератак и количество утечек по вине сотрудников. Тут на помощь приходит процесс, назы- ваемый Security Awareness, или процесс повышения осведомленности сотрудников в вопросах информационной безопас- ности. Security Awareness – это комплексный процесс обучения сотрудников органи- зации основам безопасного обращения с данными и информацией. Он включает в себя не только развитие у сотрудников навыков обнаружения потенциальных угроз, но и обучение правильным прак- тикам реагирования для своевременной защиты важной информации. Стоит учесть, что результат внедрения данного процесса невозможно увидеть сразу, как, например, при внедрении программ- ного средства защиты. Почему Security Awareness – это важно? Однозначного ответа на этот вопрос нет, а есть целый перечень следующих причин: l дополнительная защита от угроз – обученные сотрудники способны распо- знавать фишинговые атаки, вредонос- ные программы и другие угрозы инфор- мационной безопасности, что снижает риск утечки данных и кибератак; l соответствие текущему законодатель- ству – обучение сотрудников помогает соблюдать нормативные и законода- тельные акты в области обработки и защиты данных, например, ФЗ от 20 • СПЕЦПРОЕКТ Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации одавляющее большинство компаний сконцентрированы на развитии технических и программных средств обеспечения защиты, забывая о том, что необходимо с таким же вниманием защищать и своих сотрудников, ведь никто не отменял человеческий фактор, который активно используют злоумышленники, когда технические средства в значительно степени могут противостоять атаке. П Кирилл Шалеников, руководитель проектов в интеграторе Angara Security Фото: Angara Seccrity