В постоянно меняющемся цифровом ландшафте, где кибер-атаки становятся все более и более сложными, идти в ногу с методами, используемыми кибер-преступниками, и при этом быть уверенным в том, что сотрудники предприятия прекрасно осознают все опасности, становится трудной и серьезной задачей.
В данной статье мы перечислим три совета по обучению сотрудников предприятия вопросам информационной безопасности, которые помогут ускорить работу сотрудников и, в свою очередь, защитить деловую информацию предприятия.
Обновляйте политики информационной безопасности и обучайте сотрудников
Сотрудники, которые не знают о своих обязательствах по информационной безопасности, с большей вероятностью игнорируют соответствующие политики и процедуры, что может привести к непреднамеренному раскрытию данных или успешным кибер-атакам.
Основная проблема здесь заключается в том, что политики и процедуры никогда активно не преподаются, не демонстрируются или не предоставляются в контексте рассматриваемого вопроса. Вместо того, чтобы показать, как эти политики и процедуры защищают предприятие в условиях реальной жизни, сотрудникам вручают руководство по информационной безопасности предприятия или таблицу с советами и обязательствами, которые надо выучить «от сих до сих», а зачастую это делается при приеме на работу «как бы между делом» наряду с другими правилами, установленными в компании (рабочие часы, праздничные протоколы, дресс-код и пр.). Политики и процедуры часто могут быть сложными и непонятными, не всегда обновляться вовремя и должным образом, а это может затруднить их соблюдение.
Учитывая все вышесказанное, предприятиям требуется внимательно пересмотреть свои политики и процедуры по информационной безопасности, чтобы убедиться в том, что они легки для понимания и применения, а также актуальны. Например, если в организации существует культура BYOD (использования собственного устройства сотрудника в рабочих целях), а политики по информационной безопасности не обновлены с учетом этого, то неизбежны дыры безопасности.
Аналогичным образом, если эти политики не содержат информации, регулирующих то, как используются корпоративные устройства (т.е. если устройства предназначены только для выполнения служебных обязанностей), то сотрудники, естественно, будут использовать их в личных целях и потенциально могут раскрыть кибер-преступникам важную корпоративную информацию.
Последнее, что нужно сделать предприятиям для обеспечения осведомленности сотрудников, - регулярно проводить обучающие курсы по информационной безопасности. Покажите сотрудникам, как работают эти политики и процедуры, позволяющие защищать предприятие, а также убедите руководителей среднего звена, что необходимо донести всю важность этого для своих подчиненных. Это обеспечит развитие культуры информационной безопасности на каждом уровне предприятия.
Подчеркните важность управления паролями
Согласно исследованию, проведенному OneLogin в 2017 году, менее трети (31%) лиц, принимающих ИТ-решения, требуют от сотрудников ежемесячной смены своих паролей. Другой отчет OpenVPN показал, что 25% сотрудников признались, что они используют одинаковый пароль для всех корпоративных систем, к которым они имеют доступ.
Очевидно, что управление паролями – это серьезная проблема и задача для предприятий, когда мы говорим про информационную безопасность. Поскольку сотрудники игнорируют базовые принципы управления паролями, а лица, принимающие ИТ-решения, не напоминают об этом сотрудникам, то необходимо радикально изменить это отношение, если предприятие действительно хочет улучшить свою практику информационной безопасности.
Компаниям требуется более позитивно подходить к процессу управления паролями. Они должны не только внедрять более совершенные инструменты управления паролями (мультифакторная аутентификация или даже PKI-аутентификация), но им также следует вознаграждать тех сотрудников, которые следуют правилам управления своими паролями, установленными в политиках информационной безопасности предприятия.
Вместе с тем, сотрудникам также необходимо понимать свою ответственность в данном процессе – и это начинается с того, что топ-руководители предприятия должны рассказать о важности этого вопроса всем остальным сотрудникам. На каждой стадии обучения они должны находиться рядом со своими сотрудниками и объяснять им преимущества для предприятия при комплексной безопасности паролей таким образом, чтобы сотрудники их прекрасно понимали. Показ на реальных примерах, таких как, например, кража онлайн-личности, регистрационных данных или других конфиденциальных корпоративных данных может помочь убедить сотрудников.
Помогите сотрудникам распознавать фишинг
Фишинг активно развивается, и кибер-преступники в этом плане становятся все лучше и лучше. Например, в Великобритании недавно было подано свыше 2500 жалоб на поддельные электронные письма с лицензиями на ТВ, а в США пострадал целый университет после того как два его студента пали жертвами фишинговой аферы.
Кибер-преступники признали, что эффективность использования других векторов атак ниже в силу сложности и комплексности текущих решений безопасности. Вместо того, чтобы атаковать ПО, злоумышленники переключаются на частных лиц и их конечные устройства (мобильные телефоны и ноутбуки), чтобы через них получить доступ к корпоративной сети предприятия.
Задача заключается в обучении сотрудников тому, как распознавать фишинговые письма, особенно, если они пользуются мобильными телефонами и ноутбуками, и как и кому необходимо сообщить об этом.
На этой основе ИТ-отделы должны обучать сотрудников, объяснив и показав им базовые вещи, связанные с фишинговыми письмами, некоторые из которых вы можете найти ниже:
Адрес электронной почты
Кибер-преступники используют методы, позволяющие им маскировать поддельные электронные письма, а также они знают, как обмануть свои жертвы и заставить их думать, что отправитель является именно тем, за кого он себя выдает. Предприятия должны иметь решение или механизм, которые позволяют отмечать неизвестных отправителей и блокировать письма с известных мошеннических адресов электронной почты. Если сотрудники обнаружили мошеннический адрес почты, то прежде чем продолжить свои действия, им следует обратиться в ИТ-отдел предприятия и «пометить» этот адрес.
Приветствия в письме
Фишинговые письма часто отправляются автоматически и не содержат персональное обращение. Эти письма используют такие общие термины как «пользователь», «сотрудник» или «уважаемые господа» без указания конкретного имени получателя. Сотрудникам следует быть осторожными с такими письмами, особенно, если они запрашивают какую-либо персональную информацию.
Грамматика и стиль
Многие фишинговые атаки происходят из других стран, поэтому такие письма зачастую написаны людьми, которые являются носителями другого языка. Обычно эти письма содержат грамматические и стилистические ошибки. Если письмо пришло предположительно от известного отправителя (известная и надежная компания, банк и пр.), но при этом содержит орфографические и грамматические ошибки, то, скорее всего, такие письмо является фишингом.
Адрес ссылки
Перед там как нажимать на ссылку в письме, сотруднику следует навести на нее курсор мышки, чтобы проверить адрес ссылки. Если URL сайта выглядит подозрительно, и он отличается от отправителя из предполагаемой компании (банка и т.д.), то сотруднику следует насторожиться и обратиться в свой ИТ-отдел.
Призыв к действию
Электронные письма, требующие незамедлительного действия или ответа (и имеют ряд проблем, описанных выше), скорее всего являются фишинговыми письмами. Эти письма созданы таким образом, чтобы напугать людей и заставить их как можно быстрее совершить требуемое действие и/или предоставить конфиденциальную информацию.
Изображения и логотипы
Не доверяйте изображениям и логотипам. Их можно легко скачать и воспроизвести. Кибер-преступники могут вставить любой визуальный контент в свои письма, чтобы убедить потенциальную жертву поверить в легитимность данного письма. Так что будьте начеку.
Если ваши сотрудники научатся обращать внимание на все вышесказанное, то это сильно поможет вашему предприятию защитить своих сотрудников и корпоративные данные. Хорошее правило: если вы не уверены в легитимности письма – сообщите об этом в ИТ-отдел.
Регулярные обучения информационной безопасности и пересмотр политик и процедур поможет вам создать на предприятии культуру информационной безопасности. По мере того как сотрудники начнут понимать ее важность, они будут следовать установленным правилам во всем, что они делают – они даже сами будут обучать этому новых сотрудников, своих коллег.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.