19 января 2016

Несколько рекомендаций по кибербезопасности на рабочем месте

Бизнес

Праздники позади, и хочется верить, что все достойно отдохнули, заслуженно проведя немного времени в тишине и покое.

Работа ждёт. Для первого в 2016 году поста в бизнес-блоге «Лаборатории Касперского» мы выбрали тему, которая может показаться слишком наставительной: «Заповеди офисной безопасности». На самом деле это подборка общих проблем кибербезопасности рабочих мест и способов их решения или, по крайней мере, смягчения. Конечно, мы не претендуем на исчерпывающий список, так как всевозможных других вопросов ещё предостаточно. Но давайте перейдём к подробностям.

Случай первый: кто-то разбирается хуже

Забота о кибербезопасности не входит в обязанности Ольги Н. Она финансовый директор в фирме средних размеров, но давно научилась осторожности и очень хорошо распознаёт фишинговые письма.

Когда в её почтовый ящик свалилось сообщение с исходящим адресом, принадлежащим ФНС, Ольга сразу начала что-то подозревать. Хотя всё было составлено должным образом, с датой было явно что-то не то: слишком рано. Однако на дворе стоял поздний вечер, рабочее время давно вышло, так что подтверждать источник смысла не было. Ольга решила не открывать вложение, пока не удостоверится в источнике письма, — то есть отложила до утра.

Жаль, что следующий день ей пришлось провести вне офиса. Её помощница, которой поручили разобрать переписку за время отсутствия начальницы, оказалась менее опытной и поддалась на уловку.

Разбор

Этот сценарий может сперва показаться несколько надуманным. Ключевая ошибка Ольги (или, скорее, следствие слабой политики безопасности всей компании) было поручить обработку корреспонденции начальницы «не тому человеку». Руководители являются первоочередными мишенями для фишеров и APT-операторов.

Обучение персонала распознаванию фишинга настоятельно рекомендуется как проактивная мера безопасности, которой также является развёртывание системы автоматического противодействия эксплойтам, такой как решение Kaspersky Automatic Exploit Prevention. Тогда эксплойт не пройдёт.

1000

Случай второй: пусть гость остаётся гостем

Антон не ждал ничего плохого от того, что незадолго до конца рабочего дня его в офисе навестит приятель. Тот попросил доступ к Wi-Fi для своего планшета, и Антон дал ему пароль — от внутренней сети компании. Оказалось, что на планшете друга водилась «живность» — зловредная и гиперактивная…

Разбор

Вот для этого и существуют гостевые сети. Антон определённо нарушил политику безопасности компании, впустив постороннего во внутреннюю корпоративную сеть. Даже у того не имелось никакого злого умысла, у засевшей в его устройствах вредоносной программы таковой очень даже имелся.

Гостевая сеть должна быть полностью изолирована от внутренней сети, и обмен данными между ними должен сильно ограничиваться и контролироваться. В противном случае… В общем, хочется надеяться, что удаление вредоносной программы под Android, которая просочилась из устройства гостя во внутреннюю сеть, не стало особо критической проблемой.

Случай третий: хищная птица что-то унесла

Виталий никогда не был горазд драться. Особенно с превосходящим по численности противником в тёмном переулке поздней ночью. Грабителям достался смартфон. По счастью, здоровье самого Виталия пострадало гораздо меньше его самолюбия. Но появилась ещё одна причина для беспокойства: в смартфоне хранились кое-какие рабочие файлы, которым нельзя попадать в чужие руки, — а именно это и произошло.

Разбор

В зависимости от того, был ли смартфон «зарегистрирован» у ИТ-персонала компании, и предусмотрены ли соответствующие меры, масштабы проблемы либо огромны, либо почти ничтожны.

Если смартфон оснащён корпоративным решением безопасности и противоугонными средствами, устройство вскоре вернут, или конфиденциальные данные сотрут дистанционно, или, в худшем случае, преступники получат бесполезный «кирпич» до того, как соберутся его продать.

В противном случае, последствия могут быть тяжёлыми для всей компании. Вероятность того, что Виталий не был случайной жертвой, а грабители на самом деле охотились за его смартфоном, невелика. Такой сценарий скорее подойдёт шпионскому фильму вроде «Миссия невыполнима». Однако случаются и куда более диковинные вещи, так что полностью сбрасывать со счетов такую возможность неразумно.

Если в фирме реализована политика BYOD, каждый пользователь и носитель связанных с работой данных становится конечной точкой сети и, соответственно, требует защиты. А её можно обеспечить, только если ИТ-персонал знает о существовании этих «конечных точек» — в первую очередь персональных устройств, используемых для работы.

Случай четвёртый: жёлтый стикер и веб-камера

Пароли, пароли, пароли. Убийственное их количество приходится запоминать в ходе повседневной работы. Велик соблазн использовать только один или несколько похожих, либо записать их все на стикер и держать его под рукой.

Так Влад и поступил: прикрепил на стену несколько жёлтых листочков со множеством тайных, трудно взламываемых, неугадываемых комбинаций символов, букв и цифр.

Когда эти пароли использовали киберпреступники, посеяв хаос в сети его компании, Влад обнаружил, что у него крупные неприятности. На его счастье, специалисты по безопасности выяснили, что те самые наклейки были сфотографированы веб-камерой, подключённой к соседнему ноутбуку.

Разбор

Пароли существуют не для того, чтобы выставлять их всем напоказ даже в «оффлайне». Если кажется, что никто не догадывается, от чего какой пароль, оставлять их на виду так же небезопасно, как, например, пересылать их открытым текстом по электронной почте.

А каков безопасный подход? Хороший менеджер паролей, с которым вам придётся запоминать лишь один мастер-пароль.

Мудрость лёгкой паранойи

Вот всего несколько сценариев, связанных с различными киберинцидентами на работе. Они могут казаться «фантастическими», но это не так, и киберпреступники действительно используют веб-камеры для сбора разведданных (вспомните Carbanak).

Перечень «заповедей» кибербезопасности на рабочем месте вышел бы длинным, намного длиннее приведённых выше четырёх случаев, но азбучные истины таковы:

  • Делайте всё возможное для противодействия успешному фишингу (фишинговые письма являются первым вектором атаки в длинном списке других угроз);
  • Настройте гостевую сеть и держите её в изоляции от внутренней, никто, кроме сотрудников, не должен пользоваться внутренней сетью;
  • В случае BYOD используйте подход «всегда виновен, всегда чужой» по отношению к «гостевым» устройствам. Администраторы должны всегда знать, какие устройства вы используете для работы, и иметь дистанционный «взрыватель» для рабочих данных в таких устройствах на случай их утери, кражи или ухода их владельца из компании;
  • Пароли должны надёжно храниться и быть доступны только конкретному пользователю; задействование менеджера паролей является наилучшим методом, стикеры на стене — наихудшим.

Можно добавить сюда рекомендации ограничить использование социальных сетей, если они не требуются в работе, и сервисов файлообмена/облаков, если они не абсолютно необходимы. Возможно, покажется, что это уже немного чересчур, но, если есть что терять, лучше сделать все, для того чтобы предотвратить потери.

Пожалуйста, не стесняйтесь делиться собственным опытом и мыслями по поводу мер кибербезопасности в офисе.