Основа формирования стратегии информационной безопасности – выявление потенциальных рисков и угроз, а, как известно, наибольшую опасность представляет «человеческий фактор». Именно поэтому специалисты всегда начинают с анализа «рисковых» категорий сотрудников. Проблема заключается не только в потенциальных «перебежчиках», шпионах или инсайдерах. Даже лояльные сотрудники, имеющие доступ к ценной коммерческой информации, новым разработкам, планам развития организации могут нанести ущерб необдуманными действиями. Обычно «под колпак» пристального внимания службы безопасности попадают менеджеры высшего и среднего звена, отдел финансов, департаменты исследований. При этом совершается одна из важнейших ошибок, способная потопить всю систему защиты в один миг.
Посмотрите на ваш отдел кадров. Скорее всего, он состоит из милых девушек, невинно копошащихся в тоннах резюме потенциальных кандидатов, мелькающих тут и там с новичками, и иногда выпрыгивающих, как чертик из табакерки, с вопросами об отпуске. Как ни странно, именно они являются самым слабым звеном компании, на которое в первую очередь будет нацелена атака. Ведь в отделе персонала сконцентрированы гигабайты ценных данных: персональная информация, номера банковских счетов, данные о бонусах, премиях, зарплате, графики отпусков и даже часть медицинской информации, ведь больничные также попадают в руки к HR’рам. Менеджеры по персоналу в курсе движения денежных потоков — их деятельность тесно связанна с финансовым отделом. А если проанализировать уровни доступа, внезапно выяснится, что в среднестатистической компании HR может получить практически любую информацию и войти в ряд закрытых частей системы. Про уровень взаимодействия с человеческими ресурсами лучше вообще скромно умолчать: письма и сообщения от HR’ов читают все, от секретаря до ТОП-менеджера.
Несмотря на такой уровень осведомленности и вовлеченности в жизнедеятельность фирм, исследование систем безопасности демонстрирует сразу две ахиллесовы пяты, которые ставят всю ценную информацию под удар. Во-первых, данные отдела персонала серьезно защищать не принято. Ведь, в представлении большинства, там нет ничего ценного. Во-вторых, как бы печально это не звучало, но уровень технической подготовки среднестатистического HR’а крайне низок. Да, они умеют пользоваться различными электронными CRM-ERP системами, знакомы с понятиями «конфиденциальности» и знают, что информацию разглашать нельзя, ведь именно они регулярно предоставляют сотрудникам на подпись соответствующие документы. При этом в вопросах информационной безопасности менеджеры по персоналу ориентируются крайне слабо ввиду отсутствия за плечами технического образования, или хотя бы соответствующих курсов или тренингов.
Проникновение в организацию через отдел кадров – практика, получившая широкое распространение среди злоумышленников всех мастей. Существует несколько основных тактик, благодаря которым можно незаметно просочиться сквозь защитный периметр организации.
Наиболее «бюджетный», а значит, самый популярный способ – фишинг. И отдел персонала для таких типов вторжений крайне удобная цель. Хакеры, маскируясь под обычных кандидатов на вакантную позицию, массово рассылают резюме с вредоносным содержимым. Достаточно, чтобы «клюнула» хотя бы одна «рыбка» и тогда злоумышленник очень быстро получит доступ ко всей сети. В дальнейшем события обычно развиваются по одному из нескольких сценариев. Вредоносное ПО самостоятельно заражает всю систему, используя доступы незадачливого HR’а. Пораженный компьютер становится плацдармом для продолжения фишинговой атаки – злоумышленник отправляет сообщения всем сотрудникам компании от имени менеджера по персоналу. Способы получения выгоды также разнятся: хищение и продажа ценных данных конкурентам, шифровка носителей информации и требование выкупа, банальное воровство денег со счетов.
Второй метод проникновения в организацию более сложен и требует длительной подготовки, но это никоим образом не умаляет его популярность. Социальная инженерия предполагает вербальную «обработку» жертвы с целью получить как можно больше потенциально важной информации. Например, о привычках руководства компании или о том, кто из персонала находится в отпуске. Инсайдер поневоле может предоставить уйму ценных фактов, которые помогут злоумышленникам проникнуть в систему под видом сотрудника организации или облегчат задачу хищения логинов и паролей. В подобной стратегии атаки жертвами чаще всего становятся секретари и менеджеры по персоналу, ведь именно в их задачи входит общение с людьми извне, а доступ к внутренней информации крайне широк.
Ирония ситуации заключается в том, что потенциальную угрозу несет выполнение прямых должностных обязанностей, например чтение почты и общение с кандидатами на вакантную должность.
Специалисты по безопасности рекомендуют придерживаться нескольких основных правил, которые помогут существенно снизить риски утечки данных. И без электронных программных комплексов мониторинга активности сотрудников не обойтись.
1. Обучение персонала. Только человек осознающий опасность обратит внимание на потенциальную угрозу и сможет адекватно отреагировать в случае возникновения ЧП.
2. Мониторинг электронной почты. Без этого инструмента выявить фишинговую атаку практически невозможно. При этом именно такой тип нападений получил наибольшее распространение за последний год. Даже если начальную стадию вторжения предотвратить не удалось, функциональность поможет не допустить инфицирования всей системы. Если компьютером HR’а завладел злоумышленник и отправил вредоносную рассылку, система выявит всплеск подозрительной активности и поможет купировать инцидент в зародыше.
3. Мониторинг голосовых переговоров, переписок в мессенджерах и социальных сетях. Именно этими каналами пользуются социальные инженеры, ведь им крайне важно наладить личный контакт с жертвой, вовлечь ее в диалог. Идеальный вариант защиты – контроль голосовых, текстовых переговоров в совокупности с анализатором отклонений от нормы. Тактика защиты достаточно проста. Программный комплекс отслеживает упоминания ключевых слов, как в вербальном, так и текстовом формате, оповещая службу безопасности в случае подозрительных событий. В это же время ведется мониторинг отклонений: возросшая интенсивность переписки или затянувшийся диалог, чаще всего, являются признаками злонамеренных действий. Очень важно, чтобы программный комплекс умел делать скриншоты в различных мессенджерах при обновлении контента — отправке нового сообщения или файла. Это поможет не только выявить атаку на начальных этапах, но и детально разобрать стратегию действий злоумышленников, и не допустить подобных инцидентов в дальнейшем. В деле кибербезопасности прописная истина «предупрежден — значит вооружен», как никогда актуальна.
