vc.ru выяснил, кто из «своих» способен слить данные мошенникам
Результаты эксперимента заставили понервничать.
Материал подготовлен при поддержке «Лаборатории Касперского»
Больше половины сотрудников имеют доступ к корпоративной информации, которая для них не предназначается: финансовым отчётам, базам корпоративных и клиентских данных. А в 86% опрошенных CISCO компаний сотрудники хотя бы раз переходили по фишинговой ссылке.
Обычно в «сливе» и потере данных винят рядовой персонал, но нам в «Комитете» это положение показалось сомнительным. Проверить себя решили экспериментом: предложили сотрудникам разных уровней — редактору на испытательном сроке, опытному бухгалтеру и директору по продукту — решить задачки по кибербезопасности Gamified Assessment Tool.
Что за игра
Игроку предлагают один из трёх сценариев работы — из офиса, дома или аэропорта — и просят принять решение в 12 заданных ситуациях. Его задача — оценить, насколько опасна каждая предложенная ситуация, выставив красные или зелёные фишки.
Игра оценивает степень уверенности сотрудника в собственных решениях: чем сильнее он убеждён в правильности ответа, тем больше игровых фишек ставит при выборе.
Время ограничено: по умолчанию — 10 минут, но эйчарщик или руководитель могут менять временные рамки (мы оставили как есть).
Другая интересная фишка — ситуации генерируются программой автоматически, поэтому вопросы у разных сотрудников часто не совпадают (чтобы не списывали). Проходили игру всем креативным отделом — 18 человек. Большинство на удалёнке, поэтому основным сценарием выбрали «Работу из дома». Но бухгалтеры, например, постоянно работают из офиса, поэтому они проходили сценарий «Опенспейс». А тем, кто часто путешествует — как, например, наш директор по продукту Филипп Концаренко, — назначили головоломку «Работа из аэропорта», которая нам казалась одной из самых сложных. Но Филипп нас удивил.
Сценарий: «Работа из аэропорта».
Уверенность: 80,6%.
Большинство вопросов показались мне слишком простыми, но думаю, всё дело в том, что я просто чуть осмотрительнее среднестатистического пользователя — в силу должности. Например, к корпоративным ресурсам я подключаюсь только через VPN — у «Комитета» он свой, и разворачиваем мы его на собственных серверах.
В тех редких случаях, когда обращаюсь к сторонним решениям, я обращаю внимание на стоимость (бесплатные VPN вызывают подозрение), спрашиваю совета у коллег, которым доверяю, и изучаю обзоры — от уважаемых СМИ вроде The New York Times и The Wall Street Journal и уважаемых отраслевых авторов. При этом у меня есть правило: если в обзоре рассматривают всего один сервис — материал, скорее всего, необъективный.
Корпоративные пароли я храню только в проверенных менеджерах вроде 1Password, но даже там устанавливаю двухфакторную аутентификацию и никогда не пользуюсь плагинами для браузеров — всегда захожу в само приложение. А вот за сохранность личных данных я переживаю чуть меньше: храню всё в iCloud и, как мне кажется, до сих пор «плаваю» в теме авторизации через соцсети на посторонних сайтах.
Однажды, когда я был в отпуске, мне на почту пришло письмо от нашего руководителя Влада Цыплухина: «Голосуем за дизайн мебели и идеи для офиса» и ссылка на публикацию в интранете «Комитета». Я подумал, что это странно, но у меня были каникулы, и настроения сильно вникать не было. Перешёл по ссылке, одобрил автоматическую подстановку пароля, получил «ошибку», но ввёл данные снова: голосование за удобные стулья почему-то в тот момент стало делом принципа.
А потом я получил предупреждение о том, что письмо было фишинговым. Оказалось, разработчики проверяли нас в рамках нового спецпроекта. Было немного стыдно, и урок из той ситуации я вынес.
Баллы: 11 из 12.
Одно из заданий Филиппа выглядело так
Даже если на вашем компьютере установлен антивирус и вы проверяете все носители, перед тем как открыть, вставлять в USB незнакомые флешки — небезопасно. Там могут быть трояны и «шпионы», которых ещё не научилась распознавать антивирусная программа.
Окей, Филиппа не проведёшь. Но как насчёт нашего нового сотрудника — редактора Марины, подумали мы. Марина из Питера, и хотя сейчас живёт в Москве, в офис ходит нечасто: в обнимку с кошкой Мотей работать приятнее. В общем, Марина была идеальным кандидатом для испытания «Работа из дома». Тем более что вспомнить, кидал ли кто-нибудь ей файлик с инструкциями по цифровой безопасности, никто из нас так и не смог.
Сценарий: «Работа из дома».
Уверенность: 77,8%.
Скажу честно — я боялась проходить тест. Как журналист, я, например, не привыкла блокировать запросы от незнакомцев: в каждом из них я вижу потенциального спикера, чей опыт будет полезен для какого-нибудь нового текста. Думала, что дам только два правильных ответа, и уже успела представить, как после этого моя репутация с треском разбивается о скалы.
Оказалось, во многих случаях перестаралась с бдительностью. Я искала подвох там, где его в итоге не было, — просто потому, что боялась совершить ошибку.
Первая причина моей осторожности — синдром отличницы: всё-таки я сотрудница не только издательского дома, но и ИТ-компании, где неосторожность недопустима. Вторая — давнишний травмирующий опыт использования легендарной платформы для скачивания музыки «Зайцев.нет», где об ограничениях на скачивание и проверку загрузок никто не слышал.
Но 8 баллов из 12 — не такой уж плохой результат. Обиднее всего я прокололась на вопросе, от которого не ждала никакого подвоха: оказалось, что «бухгалтерия» вместе с зарплатной ведомостью может прислать мне вирус.
Баллы: 8 из 12.
Вот одно из заданий Марининого теста
Антивирусные базы не обновлялись уже два года — программа за это время успела предупредить пользователя об обновлениях 1234 раза. На карточке пользователь закрывает напоминание об обновлении — и это небезопасно. Базы нужно обновлять хотя бы раз в неделю, чтобы антивирус мог засечь даже самые последние вирусы и трояны. Кстати, на этот вопрос Марина ответила правильно.
Марина не без ошибок, но справилась с тестом — дала ⅔ правильных ответов. Хоть её работа и не связана с конфиденциальными данными компании, ей стоит быть внимательнее с подозрительными ссылками и сообщениями. А мы проверяем нашу компанию дальше. Наш главный бухгалтер Альмира работает в московском офисе и каждый день имеет дело с конфиденциальными данными, в том числе с теми, от которых зависят наши зарплаты. Не хотелось бы, чтобы с ними что-то случилось!
Сценарий: «Работа в офисе».
Уверенность: 66,7%.
В части сценариев у меня сомнений не было. Я точно знаю, что нужно как можно быстрее устанавливать обновления ОС, браузеров и приложений, в том числе антивирусов. Отложить это на потом можно, если ты не готов в случае необходимости перезагрузить систему — например, во время рабочего звонка.
Я также не открою с рабочего компьютера ссылки от пускай даже условного «Сбера», который предлагает мне автоматически оформить какие-то финансовые выписки. Мне проще самой зайти в приложение и убедиться, что там эта функция есть, или сходить за нужными выписками к коллегам из бухгалтерии. К осторожности обязывает профессия.
Но вот какой парадокс. В жизни я устанавливаю сложные пароли по методичке: цифры, буквы, символы, разный регистр, никаких дат и существующих слов. А в игре я об этом напрочь забыла. На одной из карточек сотрудник вводит пароль, чтобы войти в аккаунт. Я решила, что он молодец, потому что закрыл общий доступ к профилю. Но совсем не заметила, что пароль у него всего из четырёх значков.
Получается, быть осмотрительным в жизни не обязательно значит быть начеку всегда и везде. Да и излишняя осторожность хоть и не вредит, но не то чтобы помогает — из-за этого у меня такой низкий показатель уверенности. Думаю, если бы я прошла игру ещё раз, я бы справилась лучше, но в случае с киберугрозами второго шанса у меня, конечно, не будет.
Баллы: 8 из 12.
Вот одно из заданий для Альмиры
Не стоит публиковать такие заявления в соцсетях, если вы не сотрудник PR-отдела, а текст не является частью тщательно продуманной кампании. Даже без деталей данные о планах выпуска продуктов являются стратегически важной и часто конфиденциальной информацией. Вот здесь наша Альмира и не заметила опасности.
А как в среднем по больнице?
Наконец, когда в игру доиграли все, мы смогли оценить общий уровень компании. Результаты программа выдаёт в процентах: отличным считается показатель в 81–90%. Этого уровня в нашей команде достигли всего трое — уже знакомый вам директор по продукту Филипп, креативный директор Миша и редактор этого текста Никита.
Одиннадцать сотрудников показали средний уровень 61–80%: по мнению разработчиков, риск попасться на уловку мошенников у коллег всё же высок, и следует отправить их на обучение — например, экспресс-курс на платформе Kaspersky Automated Security Awareness.
А вот четыре сотрудника (<60%) оказались для мошенников очень простой мишенью — есть вероятность, что они станут угрозой кибербезопасности компании. Например, они могут открыть ссылку с вирусом, который «выкрадет» доступы к бухгалтерским программам и оставит всех сотрудников без зарплаты.
В таблице с результатами кроме оценок можно увидеть, в какой теме «плавает» каждый сотрудник — например, использует ненадёжные пароли или небрежно относится к безопасности данных в почтовой переписке. Оказалось, что в «Комитете» хуже всего с безопасностью на мобильных устройствах: не все знают, что нужно своевременно устанавливать обновления операционной системы и регулярно делать резервные копии.
Зачем в игре нужны «фишки», мы поняли тоже только после получения результатов. Система помогает выявить «зазнаек» — сотрудников, которые уверены в том, что их невозможно взломать, но напрасно. Как объясняют разработчики Assessment Tool, если сотрудник демонстрирует высокую уверенность (81–100%), но при этом набирает меньше половины правильных ответов — он прямая угроза кибербезопасности компании. И его скорее стоит отправить на обучение.
Программу Gamified Assessment Tool придумала «Лаборатория Касперского». Обычно в неё играют корпоративные клиенты компании, но первые 3 150 наших читателей могут проверить себя бесплатно — прямо сейчас.