сотрудники
Во многих компаниях летом наступает время набора студентов на летние стажировки. Это означает включение в рабочие процессы молодых и неопытных людей, которые почти наверняка ничего не знают о кибербезопасности.
Компании редко задумываются о рисках, которые с этим связаны, и не предпринимают мер предосторожности, полагая, что стажеры приходят ненадолго и навряд ли получат доступ к чему бы то ни было конфиденциальному. Это, конечно, так, но не стоит сбрасывать со счетов, что из-за незнания или неопытности стажеры могут серьезно подставить компанию — например, перейти по фишинговой ссылке, поставить слабые пароли на свои рабочие аккаунты или попасться на уловки социальной инженерии. Чтобы этого не допустить, мы рекомендуем обратить внимание на следующие моменты:
Предварительный инструктаж
Прежде чем давать доступ к корпоративной инфраструктуре и технике, со стажерами стоит провести короткий инструктаж с необходимым минимумом информации. В первую очередь — объяснить принятые в компании стандарты, касающиеся политик безопасности, двухфакторной аутентификации и паролей.
Казалось бы, те же пароли — простейшая вещь, но при включении в работу стажерам неизбежно придется их придумывать, при этом они могут даже не предполагать, что не стоит использовать один пароль для разных сервисов, и что вообще подразумевается под «надежным паролем».
Принцип минимальных привилегий
При выдаче доступов стажерам к ресурсам компании следует руководствоваться принципом минимальных привилегий: работнику нужно предоставлять минимальный уровень доступа, достаточный для выполнения его обязанностей. По-хорошему, этим принципом стоит руководствоваться вообще всегда, но в случае со стажерами это особенно важно.
Соглашения о неразглашении
Далеко не все компании подписывают со стажерами соглашения о неразглашении. Руководствуются они при этом все теми же рассуждениями об их незначительной и временной роли. Однако мы все же рекомендуем заключать такие соглашения и со стажерами. Даже если они и близко не подойдут к корпоративным тайнам, это в целом поможет донести до начинающих сотрудников идею о том, что не стоит распространяться о рабочих процессах в личном общении.
Информационная безопасность в личных социальных сетях
В основном на стажировку приходят молодые люди, а современная молодежь склонна вести хронику своей жизни в социальных сетях. Наверняка они не упустят и столь важную для себя тему, как первая работа.
С одной стороны, для компании выгодно, чтобы стажеры с горящими глазами писали о том, как им интересно работать, в своих социальных сетях. С другой — те же посты могут ненароком раскрыть важную информацию. Например, если стажер сфотографируется на фоне внутренних документов.
Поэтому мы рекомендуем внятно доносить до стажеров политику компании относительно взаимодействия с социальными сетями. При этом не стоит присылать длинную инструкцию на рабочую почту. Ее, скорее всего, никто не прочитает. Полезнее провести с ними небольшой инструктаж на эту тему.
Доступы к рабочим ресурсам после окончания стажировки
Все хорошее когда-нибудь заканчивается. В том числе и стажировка. Часть студентов, возможно, останется с вами и дальше, но часть обязательно уйдет. На уходящих мы советуем обратить особое внимание. Важно отозвать все права на доступ к внутренним ресурсам компании после окончания сотрудничества. Сам факт наличия лишнего аккаунта с доступом — уже потенциально уязвимое место.
Обучение стажеров основам кибербезопасности
Мы постоянно рекомендуем обучать сотрудников основам кибербезопасности. Но вот стажеры редко попадают в число сотрудников, которые проходят тренинг. А совершенно напрасно — это, во-первых, поможет снизить риски для вашей собственной кибербезопасности, а во-вторых, точно будет полезным уроком, который стажер вынесет после работы в компании.
Для обучения основам нет необходимости тратить существенные ресурсы. В открытом доступе находится приличное количество материалов, которые помогут познакомить стажера с основами кибербезопасности в онлайн-формате. Например, чтобы помочь организациям повысить устойчивость своих сотрудников к кибератакам, мы недавно выпустили бесплатный онлайн-урок по распознаванию фишинговых атак в рамках нашей платформы Kaspersky Automated Security Awareness Platform (ASAP). Он позволит узнать, какие приемы используют кибермошенники и что делать, если кто-то взломал учетную запись почты.
Советы