Месть и халатность: почему малый бизнес уязвим для киберугроз и как обезопасить компанию от этого

Существует мнение, что малый и средний бизнес не представляет большого интереса для киберзлоумышленников. Однако исследование компании StrongDM показало, что только в 2021 году 61% предприятий МСБ подвергались кибератакам. Часто это становится возможными из-за человеческого фактора. Ошибки сотрудников могут обойтись бизнесу дорого и приводить к финансовым и репутационным потерям. Представитель Kaspersky в Беларуси Дмитрий Кудревич рассказал «Про бизнес» о распространенных сценариях и о том, как минимизировать последствия человеческого фактора в кибербезопасности.

Халатность и случайные ошибки

— Согласно ежегодному исследованию Kaspersky «Информационная безопасность бизнеса», в 2021—2022 году около 22% всех утечек в секторе малого и среднего бизнеса во всем мире произошли по вине сотрудников. Для сравнения — кибератака стала причиной утечки лишь в 9% случаев.

Есть много вариантов, как именно сотрудники могут непреднамеренно спровоцировать серьезный инцидент кибербезопасности. Вот основные из них:

1. Слабые пароли. Многие используют слишком простые пароли либо такие, которые легко подобрать. Если злоумышленники знают пароль, это значительно упрощает им доступ к конфиденциальным данным. Существуют списки самых часто взламываемых паролей — проверьте, нет ли там вашего.

2. Фишинг. Только за первое полугодие 2023 года решения Kaspersky заблокировали около миллиона переходов белорусских пользователей по фишинговым ссылкам. В результате перехода по ссылке из электронного письма устройство может быть заражено вредоносными программами или стать точкой входа в корпоративную систему для злоумышленников. Например, ссылка может вести на веб-ресурс, на котором под разными предлогами могут собираться данные от корпоративных учетных записей. Также атакующие подделывают адреса электронной почты, чтобы в поле «Отправитель» стояло название якобы реальной организации, и отправляют с таких адресов письма с вложенным файлом или архивом, в котором содержится вредоносное ПО. Недавний пример — атака зловреда Agent Tesla на сотрудников компаний по всему миру.

3. Политика Bring Your Own Device («Приноси своё устройство»). Политика использования личных устройств для работы распространена во многих компаниях. Сотрудники часто используют свои гаджеты, чтобы подключиться к корпоративной сети. Если они недостаточно защищены, это может угрожать безопасности. В то же время многие компании не готовы полностью блокировать доступ к корпоративным данным с личных устройств.

Потерянный ноутбук в аэропорту или такси, на котором хранятся незащищенные корпоративные данные, — типичный пример, который может стать кошмаром для неподготовленного IТ-отдела. Некоторые компании, чтобы решить эту проблему, разрешают сотрудникам работать только в офисе на проверенных ПК, на которых значительно ограничены возможности по отправке данных, а также запрещено использование USB-носителей. Но такие возможности есть не у всех. Для малого и среднего бизнеса особенно важна гибкость и возможность подключиться к работе откуда угодно. Идеальное решение проблем, связанных с возможной потерей устройства, — это полное или частичное шифрование корпоративных данных. В этом случае при краже ноутбука или USB-накопителя получить доступ к данным без пароля будет невозможно.

4. Наличие уязвимостей. Если сотрудники пользуются для работы личными устройствами и забывают регулярно устанавливать обновления для системы или программ, то еще одной проблемой становятся неисправленные уязвимости, которыми могут воспользоваться злоумышленники. С их помощью они могут, например, проникнуть за периметр корпоративной инфраструктуры.

5. Программы-вымогатели. В Беларуси доля атак с использованием такого рода ПО на корпоративных пользователей за первые пять месяцев 2023-го года выросла на 25% по сравнению с аналогичным периодом в прошлом году. Если не выполнять резервное копирование данных и не уделять должного внимание киберзащите периметра компании, бизнес рискует столкнуться с простоями и финансовыми потерями. Чтобы обезопасить корпоративные данные на случай атаки программ-вымогателей, важно регулярно делать резервную копию данных. В этом случае у вас останется доступ к нужной информации, даже если злоумышленники зашифруют ее в системе.

6. Социальная инженерия. Сотрудники могут ненамеренно передать злоумышленникам конфиденциальную информацию — например, данные для входа во внутреннюю систему — поддавшись приемам социальной инженерии или фишинговых атак. Легче всего обмануть новых сотрудников, которые еще не в курсе процедур, принятых в компании. Например, мошенник может представиться новичку «начальником», а потом попытаться украсть важную информацию о компании или выманить деньги.

Иногда атакующие отправляют письма якобы от руководителя с неофициального адреса с просьбой выполнить задание с пометкой «срочно». Новичка могут попросить, например, перечислить средства подрядчику или купить подарочные сертификаты на определенную сумму. В сообщении подчеркивается, что важно сделать это как можно скорее. Злоумышленники делают акцент на срочности, чтобы не оставить сотруднику время для обдумывания или консультации с кем-либо из коллег.

Жажда мести

Бывает и так, что действующий или уволенный сотрудник хочет намеренно навредить своей компании. Один из примеров намеренного вредительства — когда бывший сотрудник компании, которая поставляла медицинское оборудование, саботировал поставки клиентам. После того как его уволили, он использовал секретную учетную запись, чтобы задержать доставку. Поскольку медицинская компания не смогла доставить оборудование вовремя, ей пришлось приостановить все бизнес-процессы, причем перебои продолжались еще несколько месяцев. В итоге компания обратилась в правоохранительные органы.

Ещё один подобный случай — когда уволившийся ИТ-сотрудник изменил пароль от учетной записи компании в Google и тем самым лишил своих бывших коллег доступа к почте, а также заблокировал более чем 2 тысячам студентов доступ к учебным материалам.

Какие меры кибербезопасности может предпринять малый и средний бизнес

Любой компании, вне зависимости от ее размера и отрасли, важно проводить для сотрудников обучающие тренинги. Это позволит избежать распространенных ошибок в области кибербезопасности.

Еще одна ключевая мера — внедрение технологических решений для защиты корпоративных устройств, которые дают возможность обнаруживать угрозы и своевременно реагировать на них, чтобы снизить риск возникновения последствий в результате кибератак и утечек данных. Также можно обратиться к поставщикам услуг кибербезопасности, чтобы они помогали расследовать атаки и грамотно им противостоять.

Сверьтесь с чек-листом от Kaspersky:

• используйте защитное решение (небольшому бизнесу обычно предлагают специализированный софт) для корпоративных устройств и почтовых сервисов с антифишинговыми функциями, чтобы снизить вероятность заражения через фишинговое письмо;
• принимайте меры для обеспечения безопасности ключевых корпоративных данных и устройств, включая защиту паролей, шифрование рабочих компьютеров и резервное копирование;
• заботьтесь о физической безопасности рабочих устройств — не оставляйте их без присмотра в общественных местах, всегда блокируйте экран, используйте надежные пароли и шифруйте корпоративные данные с помощью специальных программ;
• если по тем или иным причинам защитное решение установить нет возможности, обдумайте вариант передать вопросы кибербезопасности на аутсорс, и выберите надежного поставщика.