Пароли расписаны: названы главные причины атак мошенников на граждан
Аналитики составили топ основных причин, по которым сотрудники компаний становятся жертвами мошенников. Больше трети используют один и тот же пароль на нескольких платформах; 27% забывают закрыть свой ноутбук, когда уходят с рабочего места; 24% используют публичный Wi-Fi во время работы. Об этом говорится в исследовании одной из крупнейших в мире компаний по управлению корпоративными данными Iron Mountain Incorporated. Четверть респондентов заявили, что становились жертвами мошенничества или фишинга. Наибольшую киберугрозу для компаний представляют их же сотрудники, отметили эксперты. Для снижения рисков фирмы могут проводить тренинги, тестировать персонал с помощью фейковых атак и использовать техническую защиту.
Персональные риски
Названы основные причины, по которым сотрудники компаний становились жертвами мошенничества или фишинга. Iron Mountain Incorporated опросила 11 тыс. сотрудников фирм из 10 стран Европы. Результаты исследования «Известиям» предоставило представительство «Айрон Маунтен» | «ОСГ Рекордз Менеджмент» в России и СНГ.
Так, 34% опрошенных используют один и тот же пароль на нескольких платформах; 27% забывают закрыть свой ноутбук, покидая рабочее место; 24% используют публичный Wi-Fi; 18% хранят на столе заметку со своим паролем и 11% оставляют документы с чувствительными данными на видном месте, следует из результатов опроса. Кроме того, только 32% респондентов сообщили, что видят смысл в измельчении документов, а чуть более трети признались, что дома заботятся о безопасности данных меньше, чем в офисе, что повышает риски при гибридном или онлайн-формате работы.
Неосведомленность сотрудников — одна из важнейших угроз для компании. Из-за недостаточной киберграмотности персонал недооценивает риски, которые несут инновационные технологии, рассказал директор по исследованиям и разработкам компании по управлению корпоративными и конфиденциальными данными «ОСГ Рекордз Менеджмент» в России и СНГ Вячеслав Буров. Кроме того, часто встречаются ошибки при движении документов, есть много примеров, когда важные данные, например кредитные договоры или копии паспортов, просто выбрасываются, а не передаются в архив и не уничтожаются. Другая угроза — переход по неподтвержденным ссылкам, открытие писем от неизвестных источников и т.д.
Во многих компаниях в регламенте прописан запрет на подключение к сети через общественный Wi-Fi. Единственный способ обезопасить такой доступ — VPN с двухфакторной авторизацией. Эта технология позволяет создать отдельный канал подключения к корпоративной сети, в котором данные шифруются, объяснил эксперт.
Четверть респондентов становились жертвами мошенничества или фишинга, каждый третий сотрудник совершал критическую ошибку при работе с информацией, а 14% пошли на риск, который привел к потере денег их организацией, говорится в результатах исследования. Его авторы отмечают: низкая осведомленность об опасностях несанкционированного доступа к данным становится растущей угрозой для информационной безопасности и требует изменения стратегий компаний в этой сфере.
Наибольшая угроза
«Известия» опросили топ-50 крупнейших компаний о работе с подобными информационными рисками. В банке «Открытие» рассказали, что сталкивались с утечкой данных или атаками мошенников из-за совершения сотрудниками ошибок, связанных с кибербезопасностью.
Наибольший риск несут ошибки, связанные с идентификацией клиентов и неверным обращением с секретной информацией, в том числе персональными данными и банковской тайной. Из-за этого конфиденциальные сведения могут попасть к злоумышленникам, которые похитят деньги клиента, рассказал замдиректора департамента информационной безопасности банка «Открытие» Анатолий Брагин. Для улучшения осведомленности компания проводит инструктаж и тренинги с персоналом. Банк также сталкивался с киберрисками из-за введения новых технологий. В условиях пандемии на рынке появлялось много сервисов для удобства удаленной работы и мобильных решений, но не все они были надежно защищены.
Онлайн- и гибридный режим работы порождают множество возможностей для киберпреступников, а низкая осведомленность сотрудников приводит к утечкам данных, финансовым и репутационным ущербам, а также приостановке бизнес-процессов, сообщила руководитель направления Security Awareness компании «Ростелеком-Солар» Юлия Куклина. По данным организации, в фирмах, которые проводят регулярные курсы по киберграмотности для персонала, эффективность атак с использованием социальной инженерии снижается почти в два раза.
52% компаний по всему миру считают наибольшей угрозой корпоративной безопасности самих сотрудников. Из-за невнимательности и низкой цифровой грамотности они проходят по фишинговым ссылкам, используют небезопасные пароли, самостоятельно борются с вирусами-шифровальщиками, например платят злоумышленникам-шантажистам за предоставление ключей для расшифровки данных, и т.д., сообщила представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова.
Кроме того, небольшие компании часто пытаются сэкономить на программах по информационной безопасности и обучении сотрудников. Также известны примеры, когда маленькие фирмы использовались злоумышленниками как входная точка для атаки на крупные организации, отмечает Елена Молчанова.
Незаблокированные компьютеры, повторяющийся пароль и другие перечисленные действия сотрудников значительно увеличивают киберриски. Минимизировать такие угрозы можно с помощью проведения тренингов, лекций о требованиях информационной безопасности и действиях преступников. Служба безопасности также может устраивать проверки, например рассылать якобы фишинговые письма, чтобы протестировать действия персонала, рассказал руководитель аналитического центра Zecurion Владимир Ульянов. Защиту могут повысить и технические средства, например регулярная автоматическая смена паролей, блокировка компьютера системой в случае прекращения его использования на определенное время и т.д.
