Никаких макбуков, CRM только в офисе и другие способы защитить бизнес от хакеров

Главное оружие хакеров, взламывающих корпоративные сети, — глупость и невнимательность ваших сотрудников. Человеческий фактор пробьёт брешь в самой надёжной обороне.

Ваши сотрудники могут искренне не понимать, что подвергают компанию опасности, совершая те или иные поступки. Люди по-разному ведут себя в вопросах личной информационной безопасности и корпоративной, уделяя внимания первой и откровенно пренебрегая второй.

Ниже я приведу несколько примеров того, как сотрудники — осознанно или нет — могут поставить под удар информационную безопасность предприятия любого масштаба.

Трудоголик — находка для хакера

С точки зрения работодателя трудоголики — это почти всегда «хорошие» сотрудники. Они работают везде и всегда: дома, в метро, в кафе, в гостях у друзей. Часто продолжают работать даже на выходных. Компании их всячески поощряют и соглашаются ослабить режим доступа — например, работодатель обычно бывает не против, если сотрудник использует для работы домашний компьютер или личный смартфон. Такие люди — просто находка для хакеров.

Во-первых, сотрудник, работающий вне офиса, является физически более уязвимым для методов социальной инженерии. В обиходе иностранных компаний, специализирующихся на кибербезопасности, для названия таких видов атак даже закрепился специальный термин — shoulder surfing, что в вольном переводе на русский означает «подглядывание через плечо». Этот метод хищения информации не кажется таким уж надуманным, когда мы имеем дело с достаточно высокопоставленными сотрудником, который имеет доступ к важным и часто секретным документам компании, содержащим коммерческую тайну.

Данные крадутся банальнейшим образом — фотографированием экрана компьютера или планшета. Чтобы предотвратить такие утечки, рекомендуется наклеивать на дисплей специальную плёнку, делающую монитор «слепым» для фотокамер.

Во-вторых, лояльность компании в вопросе использования личных ноутбуков оборачивается несоблюдением других требований политики безопасности. Нельзя сказать, что на таких сотрудников совсем не распространяются общие правила, но одно дело обеспечивать политику доступа на рабочем ноутбуке, другое — на личном.

На личном ноутбуке с максимальными правами доступа все правила легко обходятся и часто игнорируются — даже несмотря на то, что существует довольно много решений, которые способны выставлять уровень безопасности в зависимости от геолокации ноутбука, типа сети, к которой он подключён, и т.д.

Например, такие решения приходят в повышенную боеготовность, если подключены к небезопасной общественной сети Wi-Fi (например, в ресторане). Они не дают пользователю войти в ноутбук под доменной учётной записью. Или могут заблокировать ряд программ, запретить подключение к корпоративной сети, зашифровать диск и т.д.

Человек, работающий на MacBook, — самая простая мишень. И дело даже не в том, что Mac не обладает должным уровнем защищённости. Подавляющее большинство организаций используют технологии под Microsoft, в которые платформа Apple «не вписывается». Очевидные примеры — корпоративный антивирус или система DLP (data leak prevention), которые будут установлены на все корпоративные компьютеры под управлением Windows, но не встанут на личный MacBook сотрудника.

Многие скажут, что для Mac не делают вредоносное ПО, но это не так. Вредоносное ПО пишется под те системы, которые популярны — нет смысла тратить время и ресурсы на создание вредоноса, который охватит 5% целевой аудитории. Между тем, продукция Apple занимает всё большую долю рынка.

Что делать?

Общее правило сформулировано давно: если не можете ограничить сотрудников в работе внутри периметра, позаботьтесь о защищённом, шифрованном доступе в инфраструктуру, который будет обеспечивать безопасный процесс идентификации пользователя и авторизации для его работы с нужными ему корпоративными информационными системами.

Если нет возможности запретить все «некорпоративные» устройства в сети, при выборе антивируса задумайтесь о том, как можно защитить те же макбуки — сейчас на рынке очень много решений такого типа.

Обратите внимание на критичные для вас данные. Возможно, стоит ограничить список лиц, имеющих доступ к этой информации? Может быть, было бы не лишним её шифровать? Если эта информация может храниться на компьютерах сотрудников, возможно, стоит шифровать сами компьютеры? Или шифровать только ноутбуки сотрудников, которые ездят в командировки?

«Да, конечно, у меня есть наработанная база клиентов»

К вам пытается трудоустроиться «хороший» сотрудник, готовый выкладываться по полной на новой работе, чтобы заслужить доверие руководителя. И да, конечно же, он будет работать в режиме 24/7. В качестве доказательства своей добросовестности он приносит список клиентов с прошлого места работы. Чему вы, наверное, очень рады. И зря.

Вероятно, на ваших глазах происходит подготовка к корпоративному шпионажу. Эту схему утечки практически невозможно доказать. Более того, действия сотрудников формально являются абсолютно законными. Ваш конкурент трудоустраивает своего человека в вашу фирму, даёт рекомендацию эйчару, когда тот ему звонит, какой хороший профессионал от них уходит, но, увы, на это есть объективные причины и, конечно же, на вашем месте я бы взял, не раздумывая, и т.д.

Если речь идёт о получении базы данных клиентов, то «проработать» шпион может довольно непродолжительное время. Как обычно бывает — в компанию приходит новый сейлз-менеджер, его в первый день подключают к CRM-системе — мол, работай, продавай. Сотрудник копирует себе базу, отрабатывает кое-как пару месяцев и увольняется, сославшись на то, что работа ему не подошла.

Возможны и более сложные способы, при которых сотрудник продолжительное время работает в компании, передавая ценную информацию конкурентам — сроки запусков новых продуктов, готовящиеся акции, новые услуги и т.д. — либо вовсе работает эдаким шлюзом и переправляет заказы в конкурирующую компанию.

Что делать?

Быть в курсе ситуации на рынке и подключать к проверке соискателя службу безопасности. Если человек, работая в сфере продаж в одной компании, пытается перейти на аналогичную позицию в конкурирующую компанию, это как минимум повод задать несколько дополнительных вопросов. А зачем он вообще меняет работу? Мы, например, всегда в курсе, как идут дела у наших коллег по рынку и, если видим, что к нам приходят на собеседование сотрудники компании, переживающей не лучшие времена, то это нормально. Если у конкурента дела идут хорошо, есть над чем задуматься.

Также я всегда подозрительно отношусь к людям, которые обещают принести к нам в организацию свой аккаунт-лист. С одной стороны, это хорошо, с другой — рискованно, так как с таким же наработанным аккаунт-листом он потом вернётся в прежнюю компанию или перейдёт к другому конкуренту.

Все сотрудники должны подписывать NDA, а в компании должна быть установлена DLP-система для защиты от утечек конфиденциальных данных. Эта система создаёт защитный цифровой барьер, который анализирует всю исходящую и входящую информацию. С её помощью можно отслеживать сомнительные операции и выявлять утечки конфиденциальных данных. Собранные с помощью DLP цифровые улики можно будет использовать во время серьёзного разговора с нерадивым сотрудником.

«Теперь я знаю гораздо больше!»

Документооборот — едва ли не один из самых важных процессов внутри организации. Он, как и все другие процессы, должен стоять на трёх китах информационной безопасности — конфиденциальности, целостности и доступности.

Если правила документооборота соответствуют канонам безопасности, честь и хвала ответственным сотрудникам. Но практика показывает, что обеспечить это не так просто, и лишь малый процент специалистов по безопасности об этом задумываются.

Представьте себе бухгалтера, который в «1С» ставит планы продаж сотрудникам. И его коллега просит прислать информацию по своим подчинённым. Бывает, делать выборку по конкретным сотрудникам бухгалтеру лень, и он просто отправляет весь файл с информацией по всем департаментам, планам, премиям и т.д. Он это сделал не потому что хотел что-то слить, а потому что ему просто не хотелось совершать «лишние» телодвижения.

Каким бы добросовестным ни был сотрудник, при получении закрытого доступа он будет думать, как этим можно воспользоваться. И в описанном выше примере вам грозит уход нескольких сотрудников, разлад внутри организации, что уже немало. Вряд ли у вас в организации уравниловка и все сотрудники получают одинаковые деньги за тот же план продаж, к примеру.

Но что делать, если по «счастливой» случайности сотрудники получают критически важную коммерческую информацию? Размах мысли сотрудника может принять вселенский масштаб, особенно если он изначально нелоялен к компании. Продать базу клиентов конкуренту? Шантажировать? Да что угодно.

Что делать?

Необходимо создать в компании систему, при которой у человека не будет возможности передать информацию лицу, у которого нет доступа к этой информации. Как минимум нужно провести аудит документооборота и категоризировать документы по степени конфиденциальности: «очень строго», «менее строго» и т.д. То есть наладить управление доступом («разграничение доступа к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений субъектам на обращение к информации такого уровня конфиденциальности»).

Часть этого функционала можно реализовать, используя инструменты стандартного Microsoft Office. К тому же на рынке есть достаточно решений, способных обеспечить безопасный документооборот и обмен файлами.

«Конечно, я открыл тот файл — его же мне директор прислал»

По своей природе люди любопытны и невнимательны. Одних может заинтересовать курьёзное видео. Других — возможность выиграть в онлайн-лотерею, третьих — письмо от партнёра с непонятным вложением. И мошенники постоянно этим пользуются.

Миллионы организаций страдали от фишинговых атак и будут страдать до тех пор, пока у них нет комплексного подхода к построению информационной безопасности. Какие бы средства защиты ни ограждали компанию от мошенников, если не обучить персонал основам безопасности, любая защита будет бессильна.

90% пользователей открывают вложения и кликают на ссылки, если письмо пришло от руководителя. Поверьте моему опыту: подменить почту, узнать email высокопоставленных сотрудников, немного изменить ссылку на известный ресурс, вшить вредонос в PDF сможет обычный человек, который пару дней посвятил изучению темы в интернете. А у малых и средних компаний далеко не всегда есть системы безопасности, которые могут определить факт фишинга и наличие вредоноса — антивирусы уже давно перестали быть панацеей.

Что делать?

Максимально оградить сотрудников от получения нежелательной информации. Прежде всего необходимо защитить почтовый сервер и точку входа в интернет (роутер). Хорошо настроенный антиспам и грамотная проверка писем позволяют обезопасить пользователей от получения писем от мошенников и фишинговых ссылок, содержащих исполняемый код, с помощью которого злоумышленники получают базу данных.

Тренинги, посвящённые ключевым современным угрозам, осведомлённость пользователей, умение определять вредоносные ссылки — это тоже важно. Такая простая мера, как заставка или скринсейвер на рабочих станциях, напоминающая пользователю про необходимые меры безопасности, тоже работает.

Как бы странно это ни звучало, но очень хорошо работает наглядная агитация: самые обыкновенные плакаты с правилами техники информационной безопасности, которые можно развесить в офисе.

«Там кто-то пришёл, ждёт в переговорке»

Методы социальной инженерии позволяют злоумышленникам попасть внутрь организации без особых проблем, и этих методов десятки, если не сотни. Например, человек приходит к вам в офис как гость (клиент, соискатель и т.д.) и где-то в переговорной комнате специально «роняет» флешку с исполняемым вредоносным кодом.

На флешку записан pdf-документ «Резюме А.А. Иванова». Флешку находит сотрудник компании. Дальше возможны несколько вариантов развития событий, одним из которых является открытие PDF-файла и автоматическое исполнение кода, что приводит к заражению компьютера и к распространению вируса по корпоративной сети.

И это не сценарий из шпионского кинофильма — это реальность, с которой мы сталкиваемся довольно часто. Переговорка — вообще уязвимое место, как оказывается. Представьте себе ситуацию, что конкуренты пригласили вашего «безопасника» на собеседование, предложив сказочные условия. Вы уверены, что при ответе на вопрос «с какими системами вы работаете?» он не выложит всю карту информационной безопасности вашей организации?

Что делать?

Быть внимательным. При полной внешней идентичности обязательно будет какая-то неточность: буква в названии компании не та, ссылка на сайт и т.д. Человек может этого не заметить и зайти якобы на «свой» корпоративный сайт. И опять мы возвращаемся к теме повышения осведомлённости пользователей.

Если мы говорим про работу с браузером, то практически все современные сервисы используют шифрование. Определить его достаточно просто — это использование https:// в ссылке на страницу. Буква S обозначает использование более защищённого протокола HTTPS, вместо незащищённого HTTP. Если вы пытаетесь поработать с почтой, оплатить что-то картой,  открыть важную для вас информацию, обратите внимание на наличие защищённого протокола.

Но шифрование — это еще не гарантия того, что данные не будут компрометированы. Все уважающие себя сайты подтверждают, что они — это они, а не кто-то другой, сертификатом. Зайдите на https://google.ru. В браузере увидите замочек рядом с ссылкой. Нажмите на замочек и увидите сертификат, который подписан удостоверяющим центром google. В этом примере всё в порядке, но если ссылку вам отправил мошенник, то скорее всего, в сертификате вы увидите что-то типа «Подписано удостоверяющим центром g00gle».

И ещё немного про корпоративную почту

Представим, что у вас есть электронные адреса десяти ведущих менеджеров по продажам компании. Злоумышленники создают письмо, в котором говорят от лица руководителя: «Уважаемый Иван Петров, войдите, пожалуйста, в CRM, необходимо согласовать коммерческое предложение».

Злоумышленники предварительно скопировали дизайн главной страницы корпоративного сайта. Само письмо также оформлено в корпоративном стиле. В письме же размещена ссылка на ваш сайт. Если там нет никакой защиты, сертификатов и т.д., сотрудник видит свой привычный корпоративный сайт, привычные поля для авторизации и вводит в них свои аутентификационные данные. Нажав на кнопку «Войти», он не видит никакого документа на согласование, ругается на «глюки CRM» и забывает о ситуации. А злоумышленники уже получили его логин и пароль.

От любви до ненависти

Конечно, в первую очередь опасаться следует нелояльных сотрудников, которые злы на компанию, например, из-за конфликта с непосредственным руководителем. Тем более что многие из них превратились в «плохих» из «хороших».

«Хорошие» редко жалуются. Они терпят, пока чаша терпения не переполнится — например, если их усилия на благо компании остаются незамеченными. Уставший, недовольный работой сотрудник зачастую хочет отомстить компании — «слить» информацию, удалить клиентскую базу и т.д.

Не допустить превращения «хороших» работников в «плохих» — задача для HR-департамента и высшего руководства. Если она успешно решается, специалистам по информационной безопасности спится чуточку спокойнее.

Взгляд на ту же проблему с другой стороны представлен в материале «Как работодатель читает вашу переписку, и что с этим делать».