Журнал "Information Security/ Информационная безопасность" #3, 2021

Воздействуя на слабые места людей с помощью психологических приемов, преступники убеждают сотрудников ком- паний выполнить нужные им действия. Вот лишь несколько примеров успешных атак: 1. 7 мая 2021 г. произошла кибератака на оператора крупнейшего в США топ- ливопровода Colonial Pipeline. Злоумыш- ленники использовали фишинговую схему для получения доступа к компью- терным системам компании: один из сотрудников перешел по ссылке в фишинговом письме и заразил инфор- мационные системы компании. В итоге компания была вынуждена заплатить выкуп в размере $5 млн, но при этом получила неработающий инструмент для расшифровки данных. 2. В декабре 2020 г. в Интернете были выставлены на продажу данные 16 тыс. клиентов инвесткомпании "Фри- дом Финанс", в том числе квалифици- рованных инвесторов. В свободном доступе оказались сведения о 50 из них: паспортные данные, адреса, дан- ные о счетах в банках. Злоумышленники атаковали сегмент внутренней сети ком- пании и похитили часть информации с локальных машин ряда сотрудников брокера в РФ. 3. В середине мая 2021 г. Националь- ная служба здравоохранения Ирландии (Health Service Executive, HSE) стала жертвой атаки шифровальщика Conti. Злоумышленники находились в сети HSE более двух недель и похитили 700 Гбайт файлов, включая конфиден- циальную информацию о пациентах и сотрудниках, контракты, финансовые отчеты, платежные ведомости и многое другое. За расшифровку и удаление похищенных данных преступники тре- бовали выкуп в размере $19,9 млн. В таких условиях затраты на форми- рование навыков и культуры безопас- ного поведения сотрудников должны стать обязательной частью бюджета информационной безопасности. О платформе "Антифишинг" – платформа для фор- мирования навыков противодействия всем видам атак на персонал компании. В состав платформы входят обучающие курсы, тесты, а также специальная мето- дология и технологии для имитации неко- торых видов атак. Это позволяет прак- тически полностью автоматизировать работу HR- и ИБ-подразделений в части проведения и контроля результатов обучения, а также тренировки сотрудни- ков в условиях, максимально прибли- женных к реальным инцидентам ИБ. Как ведут себя люди во время атак По данным исследований "Антифи- шинга", собранных в отчете о защи- щенности сотрудников в 2020 г., в сред- нем 37% людей открывают письма мошенников, а 79% из них совершают затем опасные для компании действия: вводят свои логины и пароли на сто- ронних сайтах, открывают потенциаль- но опасные вложения или даже скачи- вают и устанавливают вредоносное ПО, замаскированное под обновления системы. Почему обучения недостаточно Очевидным способом решения про- блемы человеческого фактора чаще всего становится проведение обучения. По этому пути идет значительная часть компаний во всем мире, но ожидаемого результата они не достигают. После года обучения лишь 9% сотрудников 1 не допускает ошибок в условиях имитации реальных атак. Работа с сотрудниками, состоящая только из обучения на курсах, практиче- ски не влияет на их поведение во время атаки злоумышленников. Не удалось выявить корреляции между декларируе- мым качеством курсов, их дизайном, геймификацией и действиями сотруд- ников на практике в условиях имитиро- ванных атак. Эти результаты отражают закон забы- вания Г. Эббингауза, в соответствии с которым обучение эффективно только в течение трех дней, а затем 90% мате- риала забывается, если он не закреплен на практике. 6 шагов к созданию культуры кибербезопасности В комплект поставки платформы "Антифишинг" входят методические рекомендации по организации обучения и тренировок для персонала компании. Приведем наиболее важные шаги, выполнение которых, с нашей точки зрения, позволит укрепить корпоратив- ную киберкультуру и выработать у сотрудников навыки безопасного пове- дения. 58 • ТЕХНОЛОГИИ От повышения осведомленности – к культуре безопасности настоящее время у большинства успешных компьютерных атак есть одна общая черта: первичным вектором в них становятся не уязвимости в системах, а использование человеческого фактора, связанного с сотрудниками, подрядчиками или клиентами организаций. В основе таких атак лежат не технические методы, а социальная инженерия. В этой статье поговорим о том, что нужно для создания надежного “человеческого файрвола” и как в этом может помочь платформа “Антифишинг”. В Андрей Жаркевич, редактор ООО “Антифишинг” Виктор Сердюк, генеральный директор АО “ДиалогНаука” 1. https://antiphish.ru/news/report2020