Отпуск по обмену: сотрудник на курорт, хакер в вашу компанию

26 августа 2024 г.

Летом руководитель часто вынужден неделю другую обходиться без любимых сотрудников. Но отложенные задачи еще не самое страшное — в сезон отпусков у киберпреступников есть несколько подлых приемов, чтобы воспользоваться ситуацией и атаковать компанию. Компания «Солар» рассказывает, как кибербезопасно отпустить сотрудника на заслуженный отдых.

Продумайте политику использования учетных записей

Иногда есть необходимость на время отпуска передать часть полномочий одного сотрудника другому — это может касаться доступа в систему, возможности вносить в нее изменения, принятия решений. Часто способы, которыми это осуществляется, далеки от лучших практик:

• сотрудники просто передают друг другу данные учетной записи;
• создаются «общие» учетки с широким кругом полномочий;
• замещающему сотруднику дают дополнительные права, которые потом забывают отозвать.

Такой подход чреват злоупотреблениями — например, ситуациями, когда пользователи сами визируют свои документы и согласовывают свои заявки. А главное, избыточные права — это повышенные риски в случае компрометации учетной записи. Это один из самых популярных векторов атак, и в начале года специалисты центра противодействия кибератакам Solar JSOC наблюдали аномальный рост таких инцидентов: 14% приходилось на несанкционированный доступ к информационным системам и сервисам, еще 6% — на компрометацию учетных записей. К концу полугодия специалисты наблюдают реакцию со стороны компаний: тренд на наведение порядка в политиках и принципах управлений доступом.

Следует следовать этому тренду — сформулировать и четко соблюдать процедуры предоставления и отзыва привилегий. Автоматизировать это процесс помогают системы IdM/IGA, которые облегчают работу с учетками, обеспечивают исполнение внутренних регламентов и минимизируют проблему избыточных полномочий.

Напоминайте сотрудникам основы кибергигиены и соблюдайте их сами

Киберпреступники умело манипулируют нашими эмоциями, вынуждая совершать ошибки из страха, под давлением авторитета или поддавшись спешке. Одна из популярных в последнее время фишинговых схем — письмо или сообщение от лица высшего руководства компании, в котором жертву либо предупреждают о скором звонке из органов власти, либо пугают уголовным разбирательством. Нейросети помогают преступникам быть максимально убедительными — создавать аудио и видео дипфейки.

О том, что сотрудник компании находится в отпуске, мошенники могут узнать из соцсетей. А это значит, что можно воспользоваться ситуацией, надавив на два рычага: ограниченная коммуникация с остальной командой и срочность.

Аккаунт менеджер, загорая на пляже, получает сообщение от руководителя о том, что перед отпуском он отправил неправильные документы, и теперь может сорваться большой контракт! Необходимо срочно сообщить данные для входа в систему, чтобы коллеги могли исправить ошибку.

В это время руководитель небольшой компании, отдыхая в горах, слушает голосовое сообщение от бухгалтера: «Нужно срочно заплатить подрядчику, а деньги за заказ поступят только через неделю, пришлите перевод!».

А сотрудник юридического отдела трудился в офисе за двоих, пока в отпуске был его коллега, и в очередной рабочий вторник он получил емейл от напарника — тот просил прислать ему на личную почту конфиденциальные документы, чтобы немного поработать прямо из бассейна.

Чтобы наши герои не поддались на уловки киберпреступников, необходимы два условия. Во первых, они должны быть в курсе распространенных мошеннических схем и уметь распознавать подозрительные письма и сообщения. Во вторых, небезопасные практики не должны быть в компании в порядке вещей, даже если они ускоряют процессы. Если иногда руководитель просит скинуть конфиденциальный документ в личный мессенджер, а коллеги делятся данными учетных записей друг с другом, злоумышленнику будет проще убедить сделать это еще раз — но уже не в интересах компании.

Необходимо регулярно напоминать сотрудникам о базовых принципах цифровой безопасности, повышать их осведомленность о механиках социальной инженерии, а также контролировать доступ и взаимодействие с неструктурированными данными, среди которых могут быть чувствительные файлы, письма и изображения. В этом помогают решения класса Data Access Governance.

Разделяйте личное и рабочее

Даже самый усердный работник хоть раз позволял себе на минутку отвлечься на личные дела в рабочее время. В отпускной сезон может возникнуть искушение, например, посмотреть цены на билеты, почитать отзывы об отеле или повыбирать купальник на маркетплейсе, особенно если на глаза попался баннер с выгодным предложением.

Лояльному руководителю ничто человеческое не чуждо, и нарушение трудовой дисциплины можно было бы простить. Однако в погоне за скидками сотрудник может перейти по подозрительной ссылке на вредоносный сайт с рабочего устройства в корпоративной сети. Другой вариант — он скомпрометирует свои личные профили, а злоумышленник использует эти данные для дальнейшей атаки на компанию.

Лучше не ограничиваться внушениями, а обеспечить сетевую безопасность с помощью соответствующих ИБ решений.

Обращайте внимание на аномальное поведение

С помощью утекших данных, подбора пароля или нарушения политик ИБ хакер может завладеть инсайдерским доступом. И вот в вашей сети, казалось бы, зарегистрированный пользователь с понятным уровнем доступа и привилегиями, а на деле — злоумышленник, который уже начал делать свое черное дело. А настоящий пользователь находится в отпуске, и поэтому на то, чтобы заметить этот нежелательный обмен, уходит слишком много времени.

Поэтому важно отслеживать любые отклонения от нормального поведения — активность в нерабочие часы или во время отпуска, резко возросшее число контактов с коллегами, с которыми обычно пользователь не взаимодействует, операции с большим объемом информации — перемещение, копирование, удаление файлов.

Источник: Пресс-служба компании «Солар»