Половина всех утечек информации происходит по причине случайных действий. Но разглашение данных – это только часть того вреда, который по ошибке, а не по злому умыслу, может нанести компании рядовой сотрудник. Алексей Дрозд, директор учебного центра «СёрчИнформ», разобрал типичные ошибки работников на примере реальных историй.
Ведут переписку в личной почте
Личная почта – небезопасный способ пересылки важной информации и общения по рабочим вопросам. Чтобы в этом убедиться, достаточно вспомнить, как часто вам попадаются новости о взломе переписки звёзд или политиков. Но если охота за такими важными персонами ведётся прицельно, это не значит, что взлому не подвергаются ящики обычных пользователей. Любые данные из них интересны как минимум для оптовой перепродажи. А уж если известно, что вы обладаете полезной информацией, то атака может носить и адресный характер.
У одного из бывшего топ-менеджеров оператора связи из «большой тройки» взломали gmail-ящик. Вместе с частной перепиской, что тоже неприятно, в открытый доступ попала служебная информация: адреса, паспортные данные, коммерческие предложения, внутренние документы компании и партнёров.
Открывают фишинговые письма во «Входящих»
Фишинг – техника хоть и известная, но до сих пор не потерявшая своей эффективности. Пользователи не перестают открывать письма с сюрпризами. Служба безопасности Сбербанка как-то разослала письма якобы от Германа Грефа, и их открыло 80% коллектива. После этого компания создала для сотрудников обучающую игру.
Так что, разбирая электронную почту, стоит включать скептика. Подвергайте сомнению послания от неизвестных адресатов, проверяйте, действительно ли существует компания, от имени которой пришло письмо. Письмо неважное, да ещё и сомнительное? Игнорируйте. Потенциально важное? Убедитесь, что организация действительно направляла вам почту. Используйте номера телефонов с её официального сайта, а не указанные в письме! Если оттуда вам письмо не отправляли, смело помечайте послание как «Спам».
Используют публичные сервисы совместной работы
Облачные сервисы, сервисы для совместной работы, как и публичная почта, уязвимы для кибератак. Но ещё чаще пользователи сами открывают доступ к чувствительной информации, когда делятся важными корпоративными документами через сервисы, для того не предназначенные. Например, через «ВКонтакте», бесплатные облачные хранилища или сервисы совместной работы вроде Trello или GoogleDocs.
Когда в июле «Яндекс» проиндексировал документы из GoogleDocs, для многих пользователей, в том числе сотрудников известных компаний, это стало сюрпризом. Они думали, что ссылка на маркетинговые планы или зарплатные ведомости, которыми они по секрету делились с коллегами, известна только им. Оказалось, что и поисковым системам тоже.
Случайно разглашают конфиденциальные данные на публике
Такие детские ошибки случаются чаще, чем кажется. Попадаются на них спикеры форумов, которые хотят сделать своё выступление более убедительным; комментаторы СМИ, которые увлекаются общением с журналистами; участники конференций, которые чрезмерно разговорчивы в кулуарах. Один из неординарных каналов утечки информации – курсовые работы студентов MBA. Преподаватели рекомендуют им опираться на реальные данные и собственный опыт, а не теоретизировать. В результате высокопоставленный студент из лучших побуждений включает в работу реальные конфиденциальные данные из деятельности своей компании. И нет никаких гарантий, что написанная работа затем не всплывёт в публичном доступе.
… и не только на публике
Одна из типичных причин, по которой сотрудники подвергают свою компанию опасности, – пересылка важной информации не тому адресату. Случается это обычно по невнимательности или в спешке. Нужно срочно ответить на письмо, и сотрудник по ошибке нажимает «Ответить всем» или отправляет письмо однофамильцам. В компании клиента бухгалтер переслала массив документов «не туда». Без злого умысла. Так же, без злого умысла, каналами утечки информации из компаний становятся бумажные документы, использованные как черновики или не уничтоженные должным образом (скомканные и выброшенные в мусорное ведро).
Не обеспечивают сохранность данных для входа в рабочие аккаунты и сервисы
Забывчивые сотрудники оставляют напоминалки с логинами/паролями в поле зрения окружающих. Обычно их можно найти под клавиатурой, в блокноте на рабочем столе, на стикере, приклеенном к монитору. С материальными ключами доступа та же история: очень часто токены для банк-клиента даже не вынимаются из USB-разъёма.
Одна из экзотичных историй разглашения доступа случилась в 2015 году, когда французский телеканал TV5Monde слил свой пароль к YouTube-каналу. По иронии судьбы сделали это в прямом эфире во время рассказа о хакерской атаке, которой подвергся TV5Monde. При этом вместе с корреспондентом в кадр попал лист бумаги с записанным на нём злосчастным паролем. И хакеры не преминули воспользоваться ситуацией вновь.
Используют ненадёжные пароли от рабочего аккаунта
Если делать всё по канонам, то каждому пользователю сейчас необходимо держать в голове с пару десятков криптостойких паролей. Ещё правила безопасности говорят, что даже их нужно менять с периодичностью раз в месяц. Немудрено, что, обновляя старый пароль, пользователи просто добавляют к нему новый символ (например, qwertyuiop, qwertyuiop1, qwertyuiop2). И в некоторых случаях делают пароль ещё более уязвимым для взлома. Чтобы примирить требования безопасности с реальной жизнью, можно использовать специальные приложения для хранения паролей.
Разглашают информацию о работе в социальных сетях
Желание привлечь внимание других пользователей к своей персоне в соцсетях создаёт для корпоративной безопасности проблемы, о которых раньше и не догадывались. В YouTube, «ВКонтакте», Instagram попадают ролики с корпоративов, селфи на фоне секретных объектов, фото маркерных досок с закрытых совещаний. Работники омского сырзавода в 2014 году и вовсе вошли в раж. «ВКонтакте» они опубликовали видео, на котором принимают молочную ванну в производственном цехе. Предприятием немедленно заинтересовались правоохранители и Роспотребнадзор. В итоге работу завода временно приостановили, а его продукцию запретили пускать в продажу.
Случаи неосторожного обращения с рабочей информацией можно перечислять долго. Но гораздо важнее не оказаться автором очередного офисного эпик фейла. Конечно, не всегда для предотвращения достаточно информированности сотрудников. Специальные программные комплексы (от антивирусных программ до DLP-систем и контент-фильтров) становятся тем барьером, который не позволит по ошибке принять не тот файл или переслать данные на сторону. Но простая компьютерная грамотность и внимательность – это главная профилактика, которая спасает от огромного числа корпоративных и личных проблем.