Как избежать человеческого фактора в информационной безопасности?

Целью для хакерских группировок и тех, кто пишет вирусы, является взлом корпоративной сетевой инфраструктуры. Успешная атака может, как минимум, нанести немалый материальный ущерб и затормозить работу предприятия, а в худшем случае поставить под угрозу само существование компании. Тенденция последних лет — промышленный шпионаж с использованием целевых атак, а также атаки троянов-шифровальщиков на крупные компании. За последние пару лет число только известных инцидентов достигает десятков, а совокупный ущерб составляет миллиарды долларов. Почему это происходит? Неужели крупные компании не используют современное антивирусное ПО и комплекс технических мер для предотвращения таких ситуаций? Чаще всего используют, но сценарии атак могут различаться и самой доступной точкой входа в корпоративную сеть становится сотрудники компании. В этом статье мы разберем, как сотрудники влияют на информационную безопасность компании, и сформулируем несколько причин, почему даже защищенная система становится уязвимой перед злоумышленниками.

Причина №1. Неосведомленность об угрозе

Под удар киберпреступников могут попасть не только крупные компании, но и малый бизнес. Большинство атак не является целевыми, злоумышленники часто просто сканируют сеть в поисках потенциальных целей для взлома или рассылают электронные письма с вредоносными вложениями. Небольшие компании могут не подразумевать об угрозах и поэтому недостаточно заботиться о защите своей цифровой среды. На компьютерах может быть установлен коммерческий антивирус, но при этом сервер сети будет стоять на складе в свободном доступе. Никаких регламентов или правил поведения в части информационной безопасности для сотрудников не существует. Также отсутствует выстроенная система доступа, информирование сотрудников об угрозах и четкий план реагирования на компьютерные инциденты. Такой подход встречается до сих пор и его можно объяснить неосведомленности об угрозе и последствиях случайной атаки.

Причина №2. Отсутствие понимания ценности данных

Эта причина касается тех сотрудников, которые должным образом не проинструктированы и не вовлечены в процесс защиты данных в компании. К сожалению, недостаточно использовать современное ПО и грамотно настроенную сеть, если сотрудники не будут осознавать ценность информации, с которой они работают. В этом случае злоумышленникам гораздо проще зайти в сеть, применив методы социальной инженерии, чем искать программные бреши. И чем хуже выстроена защита в компании, тем выше риск возникновения инцидента, началом которого может стать запуск на рабочем компьютере неизвестной флешки или вложения из «письма счастья».

Причина №3. Отсутствие тренингов для персонала

 В компании может быть выстроена защитная инфраструктура, а также работать собственный отдел по информационной безопасности, но важно, чтобы сотрудники знали, как вести себя, чтобы предупредить возникновение угроз. Для этого бывает недостаточно наличия одних только регламентов и правил. Сотрудник концентрируется на выполнении повседневных задач и редко задумывается о цифровой гигиене. Соответствующие тренинги с периодической проверкой знаний не только закрепляют безопасное поведение, но и повышают общую культуру цифровой безопасности.

Причина №4. Намеренное причинение ущерба

 К сожалению, такие случаи нередки. Самая серьезная уязвимость системы — злоумышленник внутри. В этом случае ущерб напрямую зависит от того, какими полномочиями наделен сотрудник. Отдельно стоит выделить уязвимость физического доступа, когда человек имеет прямой доступ к объекту атаки, например, к важному серверу. В этом случае у злоумышленника появляется практически полная свобода действий от мелкого вредительства до полного уничтожения данных. Другая уязвимость связана с наличием повышенных прав в атакуемой системе. Речь идет не только о возможном доступе к различным сетевым ресурсам, но и о работе в системе с излишними правами, которые не требуются для выполнения повседневных задач. Все это может усугубляться сопутствующими проблемами в инфраструктуре: не работает резервное копирование, отсутствует система мониторинга и предупреждения сетевых угроз, неправильно настроенное сетевое оборудование и т. д.

Информационная безопасность компании зависит не только от аппаратных и программных защитных средств и специальных отделов. Она во многом опирается на сотрудников. Киберпреступники прекрасно знают об этом и постоянно пытаются использовать старые уловки и приемы: фишинг, вредоносные рассылки и даже подброшенные флешки. Можно потратить средства на выстраивание надежной системы защиты в компании, но она не будет надежной до тех пор, пока не сведен к минимуму человеческий фактор.

Рекомендации

 Использование современного антивирусного ПО для защиты компьютеров в организации обязательно, однако не менее важным защитным ресурсом являются люди. Информационная безопасность должна быть неотъемлемой частью корпоративной культуры. Даже небольшие компании, не располагающие отдельными бюджетами на безопасность, могут многократно усилить ее, используя правильную настройку сетевого оборудования, проводя обучение своих сотрудников основам безопасности при работе за компьютером и устанавливая надежное антивирусное ПО. 

Статья подготовлена по материалам блога Доктор Веб.