7 распространенных ошибок сотрудников, которые приводят уязвимости бизнеса для кибератак

Компании собирают и хранят огромные объемы данных. Большая часть бизнеса предполагает использование личных данных - от выставления счетов-фактур до информации о кредитных картах клиентов.

Чтобы добиться успеха, вы должны доверять сотрудникам, которые работают с этими данными. Но иногда сотрудник даже с самыми благими намерениями может совершать ошибки, которые делают вашу компанию уязвимой для кибератак.

Мы совместно с компанией B2B International опросили более 5 тысяч компаний по всему миру, чтобы понять их видение проблемы и то, как они оценивают «вклад» сотрудников в конкретные случаи киберинцидентов. По этой ссылке вы можете ознакомится более подробно с результатми исследования, но если коротко, то 46% киберинцидентов в прошлом году произошло при деятельном участии сотрудников компаний, которые по неосторожности или по незнанию поставили безопасность своей фирмы под угрозу.

Вот список семи наиболее распространенных ошибок сотрудников и рекомендации о том, что вы можете сделать, чтобы их исправить.

1. Открытие электронных писем от неизвестных людей

Электронная почта является удобной и эффективной формой делового общения. В среднем офисный работник получает около 200 электронных писем каждый день. Естественно, что среди такого количества сообщений найдутся и мошеннические. Открытие письма или вложения в письмо, присланное с неизвестного адреса, может стать причиной проникновения в систему вируса, который откроет злоумышленникам «черный ход» в цифровой дом вашей компании.

Решения:

• Запретите сотрудникам открывать электронные письма от людей, которых они не знают.
• Запретите сотрудникам открывать неизвестные вложения или ссылки.

2. Использование слабых учетных данных для входа в систему

По данным Mashable, 81% взрослых используют один и тот же пароль для всех своих учетных записей. Повторяющиеся пароли, содержащие личную информацию (например, прозвище или почтовый адрес), представляют большую проблему. У киберпреступников есть программы, которые проверяют общедоступные профили на совпадение комбинаций паролей и возможность входа в систему. Они также используют атаки типа "перебором по словарю", которые автоматически пробуют разные слова, пока не найдут совпадение.

Решения:

• Требуйте от сотрудников использования уникальных паролей.
• Для повышения безопасности используйте цифры и символы в паролях. Например, измените «Seattle» на «S3att!e».
• Установите правила, которые требуют от сотрудников создавать уникальные, сложные пароли длиной не менее 12 символов и менять их, если есть причина полагать, что пароли были взломаны.
• Используйте менеджер паролей для автоматического создания надежных индивидуальных паролей для различных приложений, веб-сайтов и устройств.

3. Пароли на стикерах

Походите по офису и обязательно где-нибудь увидите приклеенный на монитор стикер с паролями. Так делают многие. Конечно, хочется, чтобы в организации был определенный уровень доверия, но оставлять пароли на виду - это все же излишнее доверие.

Решения:

• Если сотрудникам нужно записать свои пароли, пусть хранят эти записи в запирающихся ящиках.

4. Доступ ко всему

В некоторых компаниях не классифицируют данные по степени доступности, то есть любой сотрудник - от стажера до члена правления - может получить доступ к одним и тем же файлам компании. Такой подход увеличивает круг людей, которые могут слить, потерять или ненадлежащим образом использовать информацию.

Решения:

• Настройте многоуровневые права доступа; предоставляйте их на каждом уровне только тем сотрудникам, которым это необходимо.
• Ограничьте количество людей, которые могут изменять конфигурации системы.
• Не предоставляйте сотрудникам права администратора на их устройствах, если в этом нет необходимости. В свою очередь сотрудники, обладающие правами администратора должны использовать их только по мере необходимости.
• Для предотвращения мошенничества с платежами, сумма которых превышает установленный порог, перед отправкой их на дальнейшую обработку внедрите правило подтверждения таких платежей двумя уполномоченными лицами.

5. Отсутствие эффективного обучения сотрудников и ошибки со стороны сотрудников, ведущие к уязвимости компаний

Исследования показывают, что большинство компаний проводят обучение своих сотрудников основам кибербезопасности. В 40% компаний сотрудники пытались скрыть произошедший инцидент, создавая дополнительную угрозу безопасности компании и в некоторых случаях увеличивая нанесенный ущерб. Почти половина всех опрошенных фирм беспокоится о том, что сотрудники необдуманно разглашают корпоративную информацию, используя личные мобильные устройства в рабочих целях.

Решения:

Ежегодно проводите тренинги по повышению осведомленности о кибербезопасности. Темы могут следующие:

• Важность обучения основам кибербезопасности
• Фишинг и онлайн-мошенничество
• Блокировка компьютеров
• Управление паролями
• Как управлять мобильными устройствами
• Обучение на примерах конкретных ситуаций

6. Несвоевременное обновление антивирусного ПО

В компьютерной сети вашей компании в качестве защитной меры должно быть установлено антивирусное программное обеспечение, но обновлять его должны не сотрудники. В некоторых организациях сотрудникам предлагается самостоятельно устанавливать обновления и самим решать, будут ли они это делать. Скорее всего сотрудники откажутся от установки обновлений, если они находятся в процессе работы над проектом, поскольку во многих случаях установка требует закрытия программ или перезагрузки компьютеров.

Обновлять защитное ПО необходимо. Установка обновлений должна производиться быстро и не должна быть предоставлена на усмотрение сотрудников.

Решения:

• Настройте все обновления системы так, чтобы они выполнялись автоматически в нерабочее время.
• Не позволяйте сотрудникам, независимо от их должности, игнорировать эту политику компании.

7. Использование незащищенных мобильных устройств

Ваши сотрудники пользуются корпоративными мобильными телефонами, планшетами или ноутбуками? Если да, то есть ли у вас протокол для защиты этих устройств? Во многих организациях к мобильным устройствам относятся без должного внимания, тогда как они представляют собой легкую цель для киберпреступников.

Решения:

• Каждое устройство должно быть защищено паролем.
• Если устройство утеряно или украдено, обратитесь к контактному лицу и узнайте, как выполнить удаленную деактивацию устройства.
• Используйте решения класса endpoint security для удаленного управления мобильными устройствами.
• Не проводите конфиденциальные транзакции с использованием недоверенного общедоступного Wi-Fi.

Сотрудники - люди, и они могут стать причиной цифровых инцидентов. Однако, если вы предпримете определенные шаги для защиты устройств и обучения сотрудников, вы можете снизить риск или даже предотвратить возможность стать жертвой кибератак.

Конечно, управление кибербезопасностью вашей компании выходит далеко за рамки обучения сотрудников. Для защиты цифрового следа компании и противодействия угрозам требуется помощь авторитетной компании в области кибербезопасности.

Статьи и ссылки по теме:

Человеческий фактор: Как научить сотрудников не ошибаться

Безопасность общедоступных Wi-Fi сетей

Предотвращение киберпреступлений