Часто для получения конфиденциальных данных необязательно использовать какие-то сложные технологии и специальный софт. Достаточно использовать «человеческий фактор» — небрежность и халатность сотрудников в вопросах информационной безопасности.
Именно такие выводы следуют из результатов экспериментов Positive Technologies, которые анализировали уровень защищённости корпоративных данных в российских компаниях. В ходе исследования специалисты имитировали стандартную хакерскую активность, рассылая вредоносные ссылки и файлы во вложениях электронных писем.
Поведенческая статистика
Самым эффективной уязвимостью офисных сотрудников оказались фишинговые ссылки — 27 % сотрудников компаний-участников перешли по ним, не обращая внимания на корректность адреса сайта, и в итоге, переходя на поддельный ресурс.
Для большей эффективности «хакеры» комбинировали несколько способов получить данные в одном письме. Так, в одном сообщении могли содержаться и вредоносная ссылка, и заржённое вложение, и форма для ввода пароля. И если хорошая антивирусная защита могла препятствовать загрузке файла или предупреждала о подозрительной ссылке, то для добровольного ввода пароля препятствий пока не существует.
В ходе исследования выяснилось, что сотрудники весьма настойчивы в своём желании перейти на предложенный сайт, даже если при открытии ссылки возникают проблемы. Так, они могут вступить в диалог с хакером, посетовав на то, что ссылка не открывается, файл не скачивается или, попросив совета, как открыть и запустить вложение. Такое поведение чаще всего встречалось среди персонала, никак не связанного с IT-деятельностью (88 %) – кадровики, секретари, бухгалтеры и т. д. Каждый четвёртый, затеявший переписку со злоумышленниками, оказался руководителем подразделения. Справедливости ради следует сказать, что и среди IT-специалистов оказались те, кто перешёл по подозрительной ссылке и вступил в общение с хакерами (3 %).
Если техническая защита информации в компании на высоком уровне, переход по вредоносным ссылкам и открытие подозрительных файлов выполнить проблематично. Поэтому настойчивые сотрудники часто пересылали полученные письма в IT-отдел с просьбой помочь открыть файл или открыть доступ к сайту. Здесь возникает другая опасность — вся информационная система фирмы может быть скопрометирована, так как в большинстве случаев айтишники доверяют коллегам и, вероятно, попытаются искренне помочь: откроют файл или доступ к ссылке.
Не менее частый сценарий — сотрудник решает, что письмо попало к нему ошибочно и советует отправителю обратиться «по адресу», сообщая контакты коллег, которые, по его мнению, и являются истинными адресатами письма. Так без труда хакер получает нужную контактную информацию, которую можно использовать для проникновения в информационную систему компании.
Эксперимент показал, что массовая рассылка от лица несуществующих компаний наименее эффективна (11 %), тогда как точечная рассылка от лица реальных компнаий и от имени реальных лиц чаще увенчивается успехом, так как вызывает больше доверия и проходит элементарную информационную проверку (33 %).
Психология как инструмент
Как и обычные мошенники, хакеры охотно давят на такие человеческие эмоции, как страх, тщеславие, жадность, зависть, любопытство. Так, наибольшую открываемость получили письма с темами «Перечень на премирование за I квартал» (26 %), «Список кандидатов на сокращение» (38 %), «Служебная записка от 25.06.2024» и т. п. Сотрудники полагали, что перед ними внутренняя почта компании, рассылка для сотрудников и, не обращая внимания на подлинность отправителя, открывали письма и вложения.
Уязвимость компании и каналы утечки информации исследовались не только посредством вредоносных рассылок. Эксперименты показали, что сотрудники охотно сообщали нужную информацию по телефону. Так, в ходе исследования специалисты звонили персоналу, представляясь сотрудниками IT-отдела или отдела безопасности, и просили сообщить телефон другого сотрудника, пароли, другие данные или выполнить определённые действия на компьютере или в сети. Большиство таких просьб увенчивались успехом — практически никто не попытался выяснить личность звонившего, не задавал лишних вопросов и верил на слово, особенно если в ходе разговора использовали любое имя или фамилию якобы «коллеги».
Результаты исследования информационной защищённости показали, что около 40 % российских компаний вообще не проводят тренингов для сотрудников по темам информационной безопасности и противодействию утечки данных. Примерно столько же фирм проводят обучение, но лишь формально и впоследствии никак не выясняют его эффективность. И лишь 10 % фирм серьёзно занимаются вопросами защиты информации и снижению небрежности со стороны сотрудников в плане сохранения корпоративных данных.
Отсюда вывод: мало просто получить лицензию ФСТЭК на техническую защиту информации или поставить новейшие антивирусники и межсетвые экраны. Нужно заниматься информационной безопасностью фирмы комплексно, в том числе, уделяя внимание обучению сотрудников и периодическим проверкам поведения персонала.
Нужна помощь в создании защищённых систем или лицензировании ФСТЭК по требованиям ТЗКИ? Обращайтесь, консультации бесплатны.