Коли з поштою співробітників фірми відбуваються усілякі негаразди, це не лише проблеми для системних адміністраторів, але й великі фінансові втрати для компаній.
Згідно з доповіддю Центру комп’ютерної стандартизації ФБР, за останні п’ять років корпоративний сегмент поніс збитки на 12,3 млрд доларів виключно через маніпуляції шахраїв з електронною поштою співробітників. Тому компанії приділяють все більше уваги протидії цій загрозі, організовуючи різноманітні тренінги з комп’ютерної безпеки.
Звичайно, зловмисники просто обманюють людей, підробляючи листи та спілкуючись від імені когось, але останнім часом вони стали використовувати й інші методи.
Аби вберегтися від кіберзлочинців, пропонуємо шість базових прийомів протистояння компрометації робочої пошти.
1. Не думайте, що всі Ваші співробітники знають, що таке компрометація робочого е-mail
Багато хто з тих, хто займається корпоративною безпекою, думають, що більшість людей таки в курсі, що їх можуть обдурювати різні шахраї, які вдають з себе чи то клієнтів компанії, чи то представників партнерів по бізнесу. Але це не так — багато хто навіть не здогадується, що зловмисник може як писати листи на електронну пошту ( fishing), так і банально дзвонити за телефоном і видавати себе за іншу особу (voice fishing або vishing). Тому і потрібно вчити персонал відрізняти справжніх партнерів чи клієнтів від несправжніх.
2. Працюйте над середовищем, де люди довіряють один одному та діляться інформацією про “підозрілі” контакти
Кріс Хаднаджи, директор агенції Social Engineering Inc., сказав, що люди не мають перебувати під загрозами звільнення тільки через те, що діляться баченням проблем у компанії. В тому числі — якщо вони дійсно зроблять якусь помилку або потраплять під вплив шахраїв. Якщо всі проблеми обговорюються, то не виникає питань — чи контактувати з підозрілою особою, чи її ігнорувати.
Створіть таке середовище, де можна порадитися та отримати відповідь в межах знань та компетенції. Якщо людина розпізнала загрозу, яка могла коштувати компанії тисячі доларів та вчинила правильно, попередивши керівництво, то її доцільно буде винагородити. А за одиничні помилки не треба карати жорстоко — навіть загалом компетентні люди можуть помилятися.
Експерт Боб Адамс з Mimecast стверджує, що звільняти треба у даному випадку лише за систематичні помилки, якщо навіть пройдене навчання не допомагає.
3. Робіть ставку на системне навчання персоналу
За словами того ж Хаднаджи, неможливо зробити всіх розумними та ефективними за один день — навчання не робиться шляхом простої постановки задачі та звіту про її виконання. Компетентність в інформаційній безпеці з’являється через місяці, а інколи — через роки. Простого вивчення друкованих матеріалів чи перегляду лекцій недостатньо — потрібне тестування на безпосередніх прикладах фішингу без попередження, а потім аналіз ситуації.
Ефективність такого системного навчання — через 1-3 роки 70% співробітників помічають обман і не піддаються на фішинг, і лише 10% продовжують системно “ставати на ті ж граблі” та натрапляти на різних аферистів, решта — можуть допускати випадкові помилки.
Також потрібно напрацювати систему оцінок та додатково навчати тих, хто має нижчі оцінки.
4. Розробляйте чітко визначені процедури
Енді Нортон, директор з вивчення загроз в компанії Lastline, сказав, що коли люди приходять на нове місце роботи, то їх потрібно тренувати, не тільки щоб пояснити, як поводитися в Інтернеті згідно стратегії компанії, але й щоб розпізнавати загрози — такі, як шахрайські листи, та реагувати на них відповідно процедурам. Тому навчіть людей правильно спілкуватися і між собою, і з партнерами та клієнтами.
Також наведіть лад у процедурах переказу грошей з рахунків компанії — це допоможе уникнути великих втрат. Продумайте протокол, за яким слід поводитися у випадку отримання підозрілих листів та сформуйте команду, яка могла б надавати консультації іншим підрозділам. Це і спеціалісти з комп’ютерної безпеки, і юристи, які могли б оскаржити транзакції з рахунків компанії.
5. Використовуйте нові технології
Хоча в організації фішингових атак головним чинником виступає “людський фактор”, здійснення таких атак було б неможливим без деяких технологій. Протистояння цим атакам також має поєднувати навчання персоналу та використання нових технологій.
Зокрема, деякі нові антивіруси здатні аналізувати не лише вкладені файли, які ви завантажуєте з робочої пошти, але й посилання у листах. Але їх ще треба налаштовувати, що не люблять робити у деяких компаніях (зокрема, просто забувають ставити відмітки в опціях на пункт “сканувати пошту”).
А ще вони інколи купують нові програми для захисту, не розібравшись до кінця у старих, де можуть бути ті опції, заради яких можна було не купувати нові. Ну і, звичайно, нові технології активно використовуються у тренінгах та інших методах навчання персоналу.
6. Застрахуйте свою компанію
Звичайно, не всі страхові компанії навіть у США, ЄС чи розвинутих азіатських країнах можуть запропонувати таку опцію, як страхування від наслідків кібератак або шахрайства. Але принаймні варто їх пошукати та спробувати через адвоката вписати у договір пункти про страхування від наслідків кібератак, зокрема від фішингових атак.
Джерело: DARKReading
