Новости

Цифровая гигиена: как не собрать букет в Интернете

О правилах поведения в Сети сотрудников компаний, руководство которых хочет сохранить конфиденциальность данных, рассказывает эксперт Infosecurity Софья Сажина.

В современном мире у каждой, даже самой маленькой, компании есть свой сайт и страницы в социальных сетях. Каждый из нас ежедневно общается, учится и просто проводит свободное время в сети. Как следствие, 90 % пользователей вынуждены ежедневно хотя бы один раз заходить в Интернет. В связи с этим пользователи вынуждены указывать в интернете свои конфиденциальные данные. Последствия пренебрежения цифровой гигиеной могут быть колоссальны, а «врачи» в этой сфере гораздо дороже. Но как же защитить свои данные и данные компании?  

О цифровой гигиене сотрудника


У каждой организации существуют внутренние регламенты, посвященные правилам обработки информации. Загвоздка в том, что само по себе их наличие не гарантирует соблюдения этих правил и тем более не защищает компанию. Необходимо постоянно совершенствовать эти правила и контролировать их исполнение. Формирование цифровой гигиены состоит из четырех основных пунктов:
  • повышение осведомленности сотрудников в сфере ИБ (awareness);
  • проведение специализированных тренингов и тестирование;
  • ограничение допуска к информации сотрудникам разных групп;
  • контроль и мониторинг информации с помощью технических средств.

Повышение осведомленности персонала в сфере ИБ (security awareness)


Проведение обучающих мероприятий и тренингов формирует в компании культуру работы с информацией, заполняет пробелы в знаниях и бережет данные от взлома, ведь после обучения сотрудник уже не будет скачивать документ от незнакомого отправителя, не оставит логин и пароль от корпоративной почты на сайте и не перейдет по неизвестной ссылке.

Советуем вам перед проведением обучений проверить знания ваших сотрудников, например, с помощью киберучений. Разослать фишинговые письма от «СЕО» с неизвестной почты с призывом открыть «очень важный» документ или отправить рассылку от «технической поддержки» с просьбой обновить пароль. Такие действия помогут вам понять степень осведомленности сотрудников с сфере ИБ и определить темы, которым нужно будет уделить больше внимания.

Не стоит забывать и о типах такого обучения. Лучше предусмотреть несколько вариаций, например, видеоролики, электронные курсы, почтовые рассылки или онлайн-игры с кейсами. Таким образом сотрудники смогут изучать информацию в любое удобное для себя время в интересном для них формате. Ну и, конечно, нужно позаботиться о контроле эффективности в процессе обучения и после него, проводя регулярные проверки, ведь мошенники постоянно совершенствуют свои способы обмана. Для организации такого обучения достаточно обратиться к специализированным сервис-провайдерам по информационной безопасности, которые предоставляют услуги для защиты компании от киберугроз, в том числе услугу security awareness — сервис по управлению навыками кибербезопасности.

Разграничение доступа сотрудников к данным


Если с обучением сотрудников все понятно, то зачем ограничивать допуски к информации? Бухгалтеру вряд ли будет интересно смотреть на коды программного обеспечения, как и разработчику изучать финансовые документы. Чем меньше «ненужных» данных доступно сотруднику, тем целее эти данные будут. Взломав один аккаунт, злоумышленник получит доступ только к небольшой части информации компании, тем самым нанесенный урон будет в разы меньше, чем мог бы быть.

Мониторинг и контроль информации


Для мониторинга и контроля информации можно использовать различные технические средства, например FireWall, «песочницы», системы для защиты почты и т.д. Одним из самых популярных и наиболее простых решений помощников является FireWall (фаервол) - техническое программное обеспечение, обрабатывающее входящий и исходящий трафик. Фаерволы работают очень просто, они проверяют приходящие данные на соответствие заданных ему правил. Если данные являются подозрительными или вредоносными, то фаервол заблокирует эти данные от дальнейшей передачи. При правильно настроенном фаерволе сотрудники компании смогут пользоваться всеми нужными ресурсами, но в то же время будут защищены от вирусов, нежелательных соединений от хакеров, и других вредоносных программ, которые будут пытаться пробить защиту компании.

Если не получилось «уследить» за данными, существует способ оперативно выявлять их наличие в открытом доступе. Ведь утекшая информация — это лакомый кусочек для злоумышленников и ваших конкурентов. Этот способ — специализированный сервис для мониторинга цифровых угроз, включая утечки информации. Сервис строится на так называемой платформе, с помощью которой можно отслеживать в Сети, в том числе даркнете, утечки паролей, аккаунтов и прочих данных, незаконное использование вашего бренда, негативную информацию о вашей компании в сети и прочие цифровые угрозы бизнесу. Такие сервисы (услуги) оказывают компании, занимающиеся информационной безопасностью. Такие компании используют собственные разработки и на их основе оказывают аналитические услуги заказчикам: анализируют инциденты, готовят отчеты по найденным утечкам и даже могут удалять данные из открытых источников. Один из таких сервисов есть у Infosecurity — ETHIC (External Threats & Human Intelligence Center).

Базовые правила цифровой гигиены


Цифровая гигиена необходима не только бизнесу, но и обычному человеку.  Злоупотребление мошенниками персональными данными пользователей с каждым годом продолжает расти. Согласно данным Роскомнадзора с начала 2022 года в России в открытый доступ попало около 230 млн записей с личной информацией пользователей, что на 45% больше данных по прошлому году. Ниже чек-лист о базовых правилах поведения в сети, с которых начинается безопасность как простого пользователя сети Интернет, так и ответственного сотрудника.

Правило 1. Уникальные пароли
Создавайте сложные уникальные пароли на каждом ресурсе. В пароле должны присутствовать строчные и заглавные буквы, цифры и знаки. Не всегда длинный пароль по умолчанию является сложным. Например, короткий пароль Ma$ш@_9З будет в разы безопаснее длинного 12345678901234567890.

Мы пользуемся огромным количеством сервисов. От каждого из них нам нужно запомнить данные для входа. Многие используют везде 1-2 пароля, чтобы точно не забыть их, или хранят в заметках в телефоне. Для этого придумали специальные программы для безопасного хранения паролей, например KeePass, Google Smartt Lock и т.д. Вам нужно будет запомнить только один пароль от входа, все остальное запомнят за вас.

Правило 2. Двухфакторная аутентификация
Используйте двухфакторную аутентификацию везде, где это возможно, таким образом вы минимизируете шансы злоумышленников украсть ваши данные.

Правило 3. Использовать разные почты для разных задач
Заведите отдельную почту для подписок на различные рассылки, не регистрируйтесь на рабочую почту на сайтах, которые не предназначены для работы. За последние несколько лет количество «слитых» баз данных увеличилось в несколько раз. По данным экспертов аналитического центра InfoWatch во всем мире в первой половине года «утекло» около 3 млрд записей. Доля утечек, вызванных умышленными нарушениями, превысила 96%, а хакеры спровоцировали более 80% утечек информации. Пусть взломают вашу «неважную» почту, нежели рабочую. Данное правило обезопасит и вас, и работодателя.

Правило 4. Следить за своим цифровым следом
Не выкладывайте в сеть конфиденциальную информацию, которая может прямо или косвенно помочь злоумышленнику идентифицировать вашу личность и другие ваши персональные данные. Простое фото билета на самолет позволит злоумышленнику узнать ваше ФИО, серию и номер паспорта, а этого более чем достаточно для проведения манипуляций в мошеннических целях. Старайтесь меньше говорить о себе в социальных сетях. Девичья фамилия матери или кличка домашнего питомца вполне могут стать ответами на вопрос при восстановлении пароля.

Правило 5. Ответственно относиться к конфиденциальным данным
Никогда не отправляйте незнакомым людям копии документов, удостоверяющих личность, и не озвучивайте реквизиты банковских карт. Утеря конфиденциальных данных может привести к использованию их третьими лицам.

Правило 6. Пользоваться только проверенными приложениями
Не устанавливайте на телефон приложения с неизвестных мобильных платформ и обязательно изучайте политику конфиденциальности. Не давайте доступ к вашим данным, геопозиции, камере и телефонной карте непроверенным приложениям. А лучше поступайте по логике ограничения доступа к информации, например, приложению такси не нужен доступ к вашей камере и списку контактов.

Правило 7. Обновлять ПО
Регулярно обновляйте программное обеспечение на ваших компьютерах и телефонах. В обновленных версиях исправляются ошибки и уязвимости, которыми могли воспользоваться злоумышленники.

Правило 8. Пользоваться VPN с умом
В последнее время VPN–сервисы стали очень популярными, особенно бесплатные. Однако, далеко не все задумываются о своей безопасности. VPN является промежуточным звеном между пользователем и интернетом, таким образом он запоминает всю вашу историю в сети, в отдельных случаях даже логины и пароли. Как он будет использовать эти данные, узнать невозможно. С платной подпиской у компании меньше причин продавать ваши данные, а вот у бесплатной…не думаем. Пользуйтесь VPN с умом, не вводите данные карты, логины и пароли с включенным VPN, обезопасьте себя.

Правило 9. Делать резервные копии
Регулярно создавайте резервные копии ваших устройств. Это поможет вам сохранить все данные при потере или взломе телефона.

Вместо заключения
На сегодняшний день проблемы информационной безопасности стремительно набирают обороты. За последние несколько лет бизнес вынужден был адаптироваться к новому образу жизни и все глубже уходить в цифровой мир, создавая гибридные рабочие места и переводя деятельность в облачную инфраструктуру. Пользователи сети так же адаптировались к новым реалиям и всё больше используют различные технологии и онлайн-сервисы в повседневной жизни.

Такое стремительное расширение информационного пространства приводит к росту количества мошеннических схем, утечек персональных данных, промышленного кибершпионажа, использования электронной информации в незаконных целях, и противостоять этим угрозам становится все сложнее. И сейчас особенно важно помнить об осторожности и наконец начать соблюдать хотя бы базовые правила цифровой гигиены.

Даже если вы выполняете все пункты, изложенные выше, все равно остаётся вероятность утечки ваших данных или данных компании, поэтому главное — это ваша внимательность. Будьте бдительны, соблюдайте правила, защищайтесь с помощью технических средств защиты информации и тогда шансы злоумышленников завладеть вашими данными устремится к нулю.
Статьи