Какими ошибками сотрудников пользуются хакеры

Нестабильные ситуации в обществе создают множество возможностей для киберпреступников. Как мы увидели во время пандемии и в текущих условиях, информационная безопасность из узкоспециализированной темы становится критически важной. Низкая осведомленность сотрудников в кибербезопасности может привести к серьезным последствиям: остановке бизнес-процессов, утечкам данных и финансовым потерям, а также репутационному ущербу.

Ошибка №1. Слабый пароль 

Проблема заключается не только в незнании или нежелании знать политики безопасности, но и непонимании зачем это нужно. В первую очередь, это затрагивает пароли — головная боль отдела или департамента кибербезопасности. Как объяснить сотрудникам, что периодически пароль надо менять полностью, а не только заменять последнюю цифру? Или убедить, что кибербезопасность стоит того, чтобы запомнить сложную комбинацию, а не записать ее на стикер на рабочем столе? 

Многие из нас до сих пор используют пароли, которые легко взломать. Это опасно, потому что может привести к краже личных данных и финансовых потерь. Согласно исследованию, 40% инцидентов, связанных с незаконным доступом к системам компании, происходят из-за того, что сотрудники передают свои логины и пароли коллегам, подрядчикам или даже друзьям. Еще 30% случаев связаны с использованием ненадежных паролей, а 23% — с небезопасным их хранением.

Другое исследование показало, что большинство пользователей интернета (65%) используют пароли длиной 6-8 символов, состоящие только из цифр или букв нижнего регистра. Такие пароли можно взломать за менее чем минуту, а в некоторых случаях — мгновенно. Пароли, используемые малым бизнесом, немного сильнее: около 25% из них содержат 8 символов, включая цифры и буквы смешанного регистра. Их взлом занимает несколько минут.

Пароли среднего бизнеса уже более надежные: они состоят из 9-10 символов, включают цифры и буквы смешанного регистра и иногда специальные символы. Их взлом может занять от нескольких часов до нескольких дней. Наиболее защищены пароли крупного бизнеса (около 5% от всех исследованных данных). Они состоят из 12 символов, включают специальные символы и создаются в соответствии с жесткими парольными политиками. Эти данные наглядно демонстрируют, что использование слабых паролей чревато серьезными рисками для безопасности данных. Важно создавать надежные пароли и регулярно их изменять.

Итак, резюмируем: слабы пароли, с простой комбинацией — «admin» или «123456» и др., или личные данные, где используется  имя, дата рождения, номер телефона. 

Ошибка №2. Открытие посторонних ссылок 

Фишинг — это распространенная киберугроза, которая может привести к краже личных данных и финансовым потерям. Мошенники часто отправляют электронные письма, содержащие вредоносные ссылки или вложения, которые выглядят как законные, но на самом деле являются подделкой. 

В 2023 году 69% корпоративных электронных писем оказались нелегитимными, то есть потенциально опасными. Как показывает статистика наиболее уязвимыми от фишинговых атак оказались сферы промышленности, транспорта и логистики, строительства и недвижимости, а также профессиональных услуг.

Начнем с того, что фишинг и вредоносные ссылки могут попасть в почту разными способами. Мошенники используют массовую рассылку спама с призывами к действию, например, обновить аккаунт или получить приз. Они также создают поддельные сайты, которые выглядят как оригинальные сайты известных организаций, например, банков или социальных сетей. Кроме того, мошенники могут отправлять вам личные сообщения в социальных сетях с вредоносными ссылками или вложениями. Примеры попыток фишинга включают письма от имени банка с предложением обновить данные аккаунта или проверить баланс, письма от имени социальных сетей с предложением восстановить пароль или проверить сообщение, а также письма с приложением, в которых может быть прикреплен файл с вредоносным кодом.

Чтобы защитить себя от фишинговых атак, важно быть внимательным и осторожным. Проверяйте отправителя письма, убедитесь, что он известен вам  и не нажимайте на подозрительные ссылки, особенно если они выглядят недостоверно или не соответствуют контексту письма. Не открывайте подозрительные вложения, если вы не уверены в их происхождении. Используйте антифишинговое ПО, которое поможет вам определить и блокировать подозрительные сайты и вложения. 

Ошибка №3. Использование корпоративного аккаунта в личных нуждах 

Многие сотрудники используют корпоративные устройства для личных нужд, например, для просмотра социальных сетей, игр или онлайн-шопинга. Зарубежное исследование показало, что 83% бывших сотрудников сохраняют доступ к своим аккаунтам на прежнем месте работы. Более половины из них продолжают использовать эти учетные записи, создавая потенциальную угрозу для безопасности данных и репутации бывшего работодателя.

Однако такое поведение сопряжено с серьезными рисками как для компании, так и для самих сотрудников. Совместное использование корпоративных устройств для личных нужд несет в себе ряд рисков, как для компании, так и для сотрудников. Повышается вероятность кибератак, поскольку личные устройства могут быть заражены вредоносным ПО, которое может украсть конфиденциальные данные компании. Также возрастает риск утечки конфиденциальной информации, поскольку сотрудники могут случайно или намеренно передавать ее на личное устройство или в личную область хранения данных. 

Последствия для компании могут быть серьезными: финансовые потери из-за кражи данных, утечки информации или нарушения работы корпоративных систем, потеря репутации и подорванное доверие клиентов, а также юридическая ответственность. Сотрудники также могут столкнуться с юридическими последствиями, если нарушат правила безопасности и конфиденциальности.

Кибербезопасность — это не только задача ИТ-отдела, но и ответственность каждого сотрудника. Три типичные ошибки, описанные в статье — это лишь верхушка айсберга. Создание культуры безопасности в компании, обучение сотрудников основам кибергигиены, а также внедрение соответствующих мер контроля и политики необходимые шаги для защиты от киберугроз и обеспечения безопасной работы всех сотрудников.