Ульяновская областьОфициальный сайт муниципального образования Кузоватовский район |
||
Поиск по сайту |
5 шагов к кибербезопасностиМы не будем разбирать базовые технические правила организации безопасной дистанционной работы — обычно ИТ- и ИБ-специалисты справляются с этим, а вопросы решаются, когда компания только переходит на удаленку. Базовый инструктаж в большинстве случаев тоже проводят: сотрудники знают, что пароли должны быть надежными, сообщать их никому нельзя, а делить рабочие устройства с членами семьи не следует.
Все это знали и в Twitter, а также в тысячах других компаний, которые
подвергаются атакам. Однако знаний зачастую недостаточно. Разберем несколько
менее очевидных шагов, которые подготовят сотрудников к возможным атакам и
обеспечат их полезными навыками антифишинга. Составьте алгоритм безопасной работы Сотрудник должен знать, как вести себя в любой подозрительной ситуации. Если ему звонят «представители компании» или приходит письмо от коллеги с просьбой открыть доступ к базе данных или перевести деньги, он должен понимать, к кому нужно обратиться.
Например, если вам звонят «коллеги» с просьбой предоставить данные о
зарплате, вы кладете трубку и связываетесь с руководителем. Если вам приходит
подозрительное письмо, вы пересылаете его в отдел безопасности. Если вы
находите незнакомую флешку на рабочем столе, то передаете ее специалистам. У
сотрудников должны быть четкие и понятные правила безопасной работы,
составленные по принципу «если...то». Тренируйте навыки через имитированные атаки Фишинговым атакам подвергаются даже сами специалисты по информационной безопасности (ИБ) — для этого мошеннику достаточно выбрать нужный психологический или технологический вектор. Например, специалисту по ИБ злоумышленники прислали письмо от имени журналиста с просьбой об интервью — и она перешла по ссылке. Мошенники сыграли на любопытстве — и добились своего. Эксперименты показывают, что высокий уровень знаний и осведомленности об атаках не защищает человека на практике. Даже если сотрудники изучили пособия по безопасности, прошли тренинги и получили сертификат, они все равно могут «кликнуть» по вредоносному вложению. Опыт столкновения с фишинговыми атаками на практике формирует навык и заставляет подозрительнее относиться к любым сообщениям и просьбам. Пока это самый эффективный способ борьбы с фишингом — и не только. Имитированные атаки проводят даже на саммитах G7 — для этого воссоздают киберугрозу международного масштаба.
На рынке уже есть готовые решения, которые помогают не только инициировать
атаки, но и отслеживать результаты. Имитированные атаки нужно проводить
регулярно и без предупреждения — об инициативе должен знать только
топ-менеджмент. Создавайте реалистичную среду Обучающие программы для персонала часто не работают, потому что имеют мало связи с реальностью. Методички с модным дизайном и геймифицированные тренинги выглядят привлекательно, но зачастую не содержат ни одного реального примера цифровой атаки. Игры и тесты можно проводить только для обучения и передачи знаний, как дополнение, но не замену имитированным атакам. Подход к имитациям тоже может быть неправильным. Иногда компании самостоятельно придумывают фальшивые фишинговые письма — намеренно пишут текст с ошибками и используют другие маркеры, по которым легко распознать фальшивку. Настоящий мошенник так делать не будет — в рамках целевой атаки письмо будет составлено максимально грамотно и реалистично. Например, сотрудникам может прийти ссылка для регистрации на ежегодную аттестацию с просьбой ввести данные электронной почты — это сценарий атаки. Такие приемы работают — как показывают опросы, больше четверти сотрудников не могут распознать фишинговое письмо. В России этот показатель доходит до 57%.
Чтобы добиться реализма в имитациях, нужно разбирать примеры реальных атак,
постоянно изучать новые приемы мошенников и следить за трендами — атаки
становятся все более аккуратными и изощренными, а распознать их все сложнее.
Подпишитесь на блоги специалистов по информационной безопасности, регулярные
дайджесты с подборкой самых актуальных приемов мошенников. Обязательно проводите оценку навыков Разовые и случайные имитированные атаки не будут иметь смысла. Обязательно оценивайте, кто и какие небезопасные действия совершал, как изменилось поведение после очередных тренингов и симуляций. Обязательно используйте разные психологические и технологические векторы атак. Например, ваши люди уже научились распознавать стимулы, которые взывают к страху, жадности и любопытству. Но если мошенник прикинется коллегой и обратится за помощью — это будет другой вектор (желание помочь), сотрудник может выполнить целевое действие.
Исследования показывают, что число атак, нацеленных на запугивание и
жадность, сокращается, а случаи обращения к любопытству и желанию помочь,
наоборот, растут. Процесс должен быть регулярным и непрерывным — только
тогда вы сможете отследить прогресс и повлиять на навыки сотрудников. Подключайте к процессу всю команду без исключения Большинство атак происходят не по вине топ-менеджмента или старших сотрудников ошибки совершает рядовой персонал, который часто обладает ограниченным доступом к корпоративным данным. Но даже его прав злоумышленнику достаточно, чтобы получить доступ ко внутренней инфраструктуре. Навыки антифишинга должны быть у каждого, кто пользуется компьютером для работы.
|
Новости |
Главная |
О нас |
Контакты |
Написать нам |
Карта сайта |
Поиск по сайту |
Законодательная карта по ФЗ №8
Официальный сайт муниципального образования Кузоватовский район © 2024 |