реклама
Вклад в будущее (онлайн-депозит)
Белорусский народный банк
12.74%
Доходный
Банк ВТБ (Беларусь)
13.5%
Дуэт BYN
Банк ВТБ (Беларусь)
12.8 - 13.5%

Все вклады


Александра Марданова /

Вопрос защиты корпоративных данных и безопасности в интернете сегодня — один из самых актуальных. Пренебрежение лицензионными версиями программ и обновлениями систем может повлечь за собой огромные расходы, а то и вообще стоить бизнеса. Мы поговорили с экспертом по онлайн-безопасности «Лаборатории Касперского» Марией Наместниковой, чтобы узнать, какие ошибки сотрудники компаний допускают чаще всего и какие есть способы их избежать.

«Экономить на сисадмине — не вариант»

Май 2017 года стал для множества компаний, структур и частных лиц поистине катастрофическим: остановилась даже работа некоторых больниц, вокзалов, аэропортов, банков в более чем 150 странах мира. Компьютеры учреждений и предприятий были атакованы вирусом WannaCry — вредоносной программой, которая заражала машины через уязвимость в операционной системе, шифровала данные и требовала выкуп в биткоинах в сумме, эквивалентной на тот момент 300 долларам.

— Вирус массово атаковал компьютеры в мае. А исправление уязвимости, на которую был ориентирован WannaCry, софтверная компания выпустила еще в марте, — рассказывает Мария. — Вывод один: самое слабое звено в системе кибербезопасности — это человек. На огромное количество компьютеров просто не было установлено критически важное обновление. А ведь в списке пострадавших компаний были и те, где есть такая единица, как системный администратор, который обязан отслеживать подобные ключевые моменты.

Специалист отмечает: будь соблюдены все элементарные правила кибербезопасности, у вируса, скорее всего, не было бы шансов. Однако как итог — ущербы разной величины от упущенной выгоды и расходов на восстановление компьютерных систем.

— Причин, по которым возникают проблемы с кибербезопасностью, хватает, — отмечает Мария. — Например, неправильная позиция руководителя, когда он считает, что системный администратор — какая-то необязательная единица. Отсутствие такого человека в штате может даже для среднего размера или небольшой компании стать серьезным упущением. Потому что рядовые сотрудники сами не всегда знают, как справиться с неполадками в работе компьютеров, как обезопасить себя при работе в Сети. А руководители стараются на специалисте экономить.

По словам Марии, есть технические решения, которые позволяют следить за многими вещами: те же решения для безопасности бизнеса уже не ограничиваются одним лишь антивирусом, а включают целый комплекс сервисов. Но не каждый владелец бизнеса найдет время наблюдать за работой таких систем и потенциальными угрозами. Если у вас в штате работает три человека, то будет достаточно приходящего раз в месяц сисадмина. Но если тридцать — это повод задуматься о расширении кадрового состава, а триста — повод немедленно создать ИТ-отдел и провести полный аудит всех устройств.

Фишинг — все еще в деле

Каждая сфера бизнеса находится в своей зоне риска: нельзя сказать, что во всех корпоративных системах одинаковые слабые места. За одним исключением. Это человек, — в очередной раз резюмирует специалист. — Есть постулат, что надежность системы безопасности определяется слабым звеном. Какая бы классная стена ни была выстроена — с шипами, охраной, окруженная рвом с водой. Если есть «дырка», то вся безопасность будет определяться именно этой точкой. Так и здесь: человек может по какой-то причине «сообщить» стороннему ресурсу корпоративный логин и пароль. Порой сотрудник даже не осознает, что делает что-то не так. И вот она, огромная дыра в нашем заборе, через которую начинает регулярно наведываться злоумышленник.

А «сообщить» тот же пароль ни в чем неповинных людей злоумышленники «заставляют» нередко с помощью самого обыкновенного классического фишинга.

— Да, люди по-прежнему ведутся на него, — улыбается собеседница. — Если говорить об атаках на корпоративные ресурсы, то там все работает следующим образом. Например, на почту приходит письмо, где есть ссылка на копию сайта, связанного с финансовыми сервисами. Допустим, банка. Люди радостно переходят по ссылке, вводят логины и пароли на странице, которая в ряде случаев лишь отдаленно напоминает оригинальный сайт банка. Так злоумышленники могут получать доступ к деньгам компании.

«Лаборатория Касперского» проводит тренинги, чтобы предупредить эти и другие киберугрозы для компаний.

— Когда подобная ситуация описывается на наших тренингах, сотрудники ухмыляются: «Мы это все знаем, это все понятно». Но вы не поверите: когда проводятся полевые эксперименты, где людям показывают фишинговые страницы и страницы банка, в котором эти же сотрудники работают, большинство не определяет подлинную от поддельной, — рассказывает Мария.

При этом каждый человек, который работает в компании, в большинстве случаев может самостоятельно обезопасить себя от «заражения», распространения вредоносных программ в корпоративной системе или утечки данных.

— Есть самые простые вещи и советы. Во-первых, в интернете существует огромное количество ресурсов, откуда можно почерпнуть информацию о кибербезопасности. Можно и нужно изучать это, а потом и перед остальными хвастаться знаниями, — улыбается специалист. — Во-вторых, как я уже отмечала, обязательна установка защитных решений. Это же касается фрилансеров и аутсорсеров, которые выполняют работу удаленно на личном компьютере. И, наконец, обязательная установка обновлений. Не доводите ситуацию до состояния, когда их накопится штук 15−20, и установка займет время, за которое можно приготовить обед или выспаться.

«Прокачать защиту» тренировками

Также у «Лаборатории Касперского» есть другие тренинговые программы. Например, программа для менеджмента компании — Kaspersky Interactive Protection Simulation, которая проходит в форме игры.

— Тренировки занимают всего лишь около двух часов. В процессе моделируется ситуация в зависимости от того, в каком секторе работает компания, — объясняет эксперт. — В некоторых, например, сотрудники делятся на команды, с каждой из которых происходят разные неприятности. У людей есть ресурсы и возможность их тратить на средства защиты от киберугроз. В процессе игры симулируются атаки и эпидемии, слайды с извещениями о нападении на систему идут с перерывами, чтобы команды имели возможность подумать. Те команды, у которых не было защиты от определенного типа «зловреда», теряют ресурсы и так далее. Каждой игрой управляет тренер, который общается с сотрудниками.

Тренеров «Лаборатория Касперского» сертифицирует самостоятельно, а обучение происходит в два этапа.

— Сперва они проходят игру как участники: следят за тренером, смотрят, как проходит процесс. Затем каждому нужно самостоятельно провести тренировочную игру перед так называемой аттестационной комиссией. Причем игры каждого вида нужно сертифицировать отдельно, — добавляет Мария. —  Кто-то может проводить тренинги только для банковских сотрудников, а кто-то — только для работников тяжелой промышленности. Везде будут разные угрозы и, соответственно, разные сценарии.

Эксперт напоминает, что злоумышленники — повсюду: даже если вы не представляете крупную корпорацию, вы все равно можете быть интересны им.

По словам Марии, люди часто задают вопрос: «За что мы платим деньги? Ничего ведь не происходит и на мой компьютер никто не покушается». Но если пренебречь безопасностью, атака рано или поздно может произойти. А руководитель или владелец бизнеса может об этом даже не узнать. Например, в Сеть утекут корпоративные пароли и логины. После чего будут потеряны деньги, нервы, время. И после этого с сотрудниками все равно придется проводить беседы.

— Поэтому пусть лучше все будут обучены и готовы, и ничего не произойдет, — резонно замечает специалист. — В противном случае потери будут гораздо больше. Выигрывают те, кто думает о безопасности наперед, а не бегает после и тушит «пожар».

Партнер проекта:

Тренинги по информационной безопасности для сотрудников позволяют формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе, ведь в них используются игровой подход, имитация атак и другие интерактивные методики.

-10%
-20%
-20%
-20%
-15%
-35%
-20%
-21%
-50%
-20%
-10%
-50%
0064539