Удалёнка как экзамен по цифровой грамотности. Сдают не все

Дистанционный режим работы выявил много проблем, связанных с информационной безопасностью: в хоум-офисах сотрудники активно пользовались теневыми IT, решали личные задачи при помощи корпоративных инструментов, что не могло пройти бесследно.

Какие уроки преподнесла нам удалёнка и как поменяется отношение бизнеса и самих пользователей к цифровой грамотности после самоизоляции? Рассказывает представитель платформы Kaspersky Security Awareness Елена Молчанова.

Тренд на удалёнку никуда не исчезнет. По данным портала Superjob, каждая пятая компания в России планирует сохранить формат дистанционной работы даже после снятия карантина. И какая бы на то ни была причина — безопасность или комфорт домашнего офиса — корпоративную культуру ждёт трансформация, в условиях которой техническая организация рабочего процесса ложится в том числе и на сотрудников. Ведь привычного на работе сисадмина дома нет, вся надежда — на собственную цифровую грамотность.

Хорошо, если работодатель отправил сотрудников на удалёнку вместе с рабочим ноутбуком, предварительно выдав токен и позаботившись о том, чтобы доступ ко всем важным инструментам, включая почту, мессенджеры и файлообменник, был настроен. Но часто бывает не так, и это особенно характерно для малого бизнеса.

Как показывает исследование аналитического центра НАФИ, только 27% населения в нашей стране обладает высоким уровнем цифровой грамотности. А по статистике «Лаборатории Касперского», 79% россиян, перешедших на работу из дома, до сих пор не получали никаких конкретных рекомендаций по защите от киберугроз. Хотя именно от того, насколько соблюдаются защитные меры при подключении домашних компьютеров к корпоративным сетям, сегодня зависит безопасность компании. Среди данных, за которыми могут охотиться злоумышленники, — клиентские базы, любая секретная рабочая информация и, конечно, деньги организации.

Неудивительно, что после переезда в хоум-офисы граница между бизнес-задачами, личными делами и развлечениями оказалась практически размыта. При этом, как показывают результаты нашего исследования, поведение сотрудников на удалёнке стало более рискованным с точки зрения кибербезопасности. Так, например, 60% российских сотрудников в хоум-офисах смотрят контент для взрослых с гаджетов, используемых для решения рабочих задач, а ведь «клубничка» часто эксплуатируется злоумышленниками как приманка для внедрения вредоносного ПО и реализации мошеннических схем. Задумывались ли в офисе, когда отпускали сотрудника на удалёнку, о том, достаточно ли хорошо защищены рабочие устройства? Установлены ли на устройство пароль, антивирус и VPN, своевременно ли обновляются программы? Есть ли резервное копирование и шифрование? Думает ли о таком сам сотрудник?

Ещё один важный момент — как именно люди подключаются к корпоративным сетям. Сегодня из-за необходимости дать сотрудникам доступ к внутренним системам компаниям срочно пришлось устанавливать соответствующий софт, что злоумышленники тут же взяли на вооружение. Мы зафиксировали всплеск атак на инфраструктуру организаций, чьи сотрудники перешли на удалёнку на время самоизоляции. В апреле наши исследователи выявили в России более 18 миллионов атак методом перебора паролей на устройства, поддерживающие протокол удалённого подключения к компьютеру. Это в 4-5 раз больше, чем в январе или феврале. Такие атаки могут быть успешными в том числе из-за низкой цифровой грамотности сотрудников, создающих пароли типа 123456 – они взламываются за минуты.

Вместе с тем, удалённо подключая личный девайс к корпоративной сети, сотрудники часто не думают о прочем оборудовании, связанном с домашним роутером. А там встречается всякое — какие-нибудь роботы-пылесосы из Китая или «умные» колонки, которые вполне могут оказаться «умнее», чем кажутся (из-за закладок или уязвимостей в прошивке). Да и вообще неизвестно, насколько надёжен роутер и не взломан ли он.

Обе проблемы решаются при помощи технологии VPN — рабочий компьютер общается с корпоративной сетью по защищённому каналу, а компания просто не позволяет подключаться напрямую. Но почему-то только у 53% сотрудников по всему миру есть VPN. Сколько людей знают, что нужно сменить заводской пароль на новом домашнем роутере (а это нужно делать обязательно), можно только гадать.

Отдельную угрозу для бизнеса представляют сервисы видеоконференций. А точнее то, как люди ими пользуются: некоторые скачивают программы из ненадёжных источников, другие делятся ссылками и фотографиями виртуальных встреч на страницах в соцсетях. Один такой случай активно обсуждали в СМИ: в конце марта скриншот с онлайн-заседания британского парламента у себя в Твиттере опубликовал премьер-министр страны. Казус заключался в том, что в кадр попали идентификационный номер сеанса и никнеймы нескольких участников — самых высокопоставленных политиков Соединённого Королевства.

На тему инцидента потом было ещё много шуток. «Если хотите завтра присоединиться к встрече кабинета министров, в этот пост заботливо включили ID-номер Zoom-звонка», — написал редактор Buzzfeed Мэтью Чэмпион.

Ещё есть «зумбомбинг» — это явление, когда неизвестный вклинивается в чужую беседу и может, например, отправить какой-то неприличный файл всем участникам. Откуда чужаки узнают о предстоящих мероприятиях? Догадаться несложно — из публичных источников, в частности соцсетей. Понимают ли пользователи сервисов видеоконференций важность соблюдения правил безопасности при их использовании? Они заключаются в том, чтобы не публиковать ссылки на онлайн-встречи в общедоступных ресурсах; создавать отдельный и сложный пароль для каждого своего аккаунта (в том числе для сервисов видеоконференций) и для каждой конференции отдельно; настраивать «комнату ожидания» и двухфакторную авторизацию, если сервисы дают такую возможность; скачивать программы для видеосвязи только из надёжных источников.

Практически невозможно подобрать программные инструменты так, чтобы они нравились всем. Всегда найдется хотя бы один сотрудник, который знает сервисы для обмена файлами, почтовые веб-интерфейсы или другие платформы, которые «в десять раз удобнее» тех, что предлагает компания. Сотрудник скачивает ПО, рекомендует его коллегам. И вот уже половина офиса общаются в не одобренных IT-службой мессенджерах и чатах, закачивают ссылки на не одобренные (и возможно небезопасные) облака и т.д. Называется такое явление «теневые IT».

В условиях удалёнки спрос на теневые IT набирает обороты. По данным «Лаборатории Касперского», сегодня 59% россиян используют персональный почтовый ящик для решения рабочих вопросов, 55% респондентов в России общаются по работе при помощи сторонних мессенджеров. И дело даже не в том, что они могут быть “написаны на коленке”. А в том, что об этих инструментах не знают ни безопасники (если они есть), ни айтишники. Следовательно, учесть теневые IT при построении модели угроз и создании диаграмм потоков невозможно. Гарантировать сохранность данных, которые через них передаются, тоже.

Вспомните, каким было общее настроение на заре эпидемии. Пользователи будто охотились за апдейтами по коронавирусу: тут же шли проверять новую информацию по количеству заболевших, пересылали друг другу ссылки на знакомые и незнакомые ресурсы.

Ажиотажем вокруг вируса предсказуемо воспользовались киберпреступники. В интернете росло количество фишинговых сайтов с рекомендациями о том, как избежать заражения. Интернет-мошенники создавали письма, которые выглядели как рассылка Центров по контролю и профилактике заболеваний (это реально существующая организация в США). Тему эксплуатируют до сих пор. В апреле с начала года специалисты «Лаборатории Касперского» обнаружили больше 4 600 подозрительных площадок, в названии которых фигурируют слова covid19 или coronavirus.

Возможно, часть людей, оправившись от первой волны паники, ужаснется ещё раз: «Неужели я действительно был готов поддаться на то, что, очевидно, было уловкой?» Если такое осознание придёт, то в будущем человек станет более бдительным и тысячу раз всё проверит вместо того, чтобы импульсивно щелкнуть мышкой по всплывающему окну.

К слову, эмоции и осадок от того, как просто нас обмануть, могут придать сил и энтузиазма в обучении цифровой грамотности. Пока впечатления от пережитого ещё не улеглись, знания закрепятся лучше.

Что касается самих ИБ-тренингов, то этот рынок уже до пандемии показывал устойчивый рост. Увеличивается его объём, появляются новые эффективные платформы, такие как Kaspersky Automated Security Awareness Platform (ASAP). Решение базируется на интерактивном подходе к обучению и относится к группе решений Kaspersky Security Awareness, где уже есть целый спектр образовательных программ.

Система позволяет подобрать для сотрудника курс в зависимости от его профиля риска, то есть в зависимости от того, с какого рода документами, ресурсами и информацией ему нужно работать. Так рядовым сотрудникам необходимы лишь базовые умения, в то время как сотрудникам, работающим с конфиденциальной информацией и персональными данными, рекомендуется пройти уровни от базового до продвинутого, чтобы изучить темы глубже. Главная цель программы ASAP заключается в том, чтобы развить у сотрудников устойчивые привычки безопасного поведения, а не просто повысить осведомлённость об онлайн-угрозах.

Пока что человек остаётся самым слабым звеном в цепочке информационной безопасности, но постепенно ситуация улучшается. Всё больше организаций и самих пользователей осознают важность таких знаний. Учитывая потребность бизнеса в обучающих тренингах, мы сделали доступ к платформе Kaspersky ASAP в два раза дешевле до конца лета.

Сегодня цифровая грамотность — это не банальное знание компьютера и умение виртуозно работать в разных, даже самых специфических программах. Это прежде всего знание правил кибергигиены. Надеюсь, работа из дома станет хорошим жизненным уроком, который поможет развить правильное отношение к цифровой грамотности.