«Одних технических мер защиты недостаточно»

— Сейчас самой опасной для организаций разновидностью фишинга являются кампании с компрометацией деловой переписки (Business Email Compromise или ВЕС-атаки — прим. ред.). На долю BEC-атак приходится 40% потерь от киберпреступлений во всем мире. Традиционными средствами защиты их крайне сложно обнаружить, поскольку электронные письма, с помощью которых реализуется такая атака, часто не содержат ни ссылок, ни вложений. Все вредоносное воздействие выполняется с помощью социальной инженерии, через текст.

Фишинг часто используется в качестве базового способа для проникновения в компьютерные системы: обманув пользователя с помощью мошеннического письма, преступники получают данные от его учетной записи и проникают в сеть от его имени. В другом типовом сценарии фишинговые письма могут содержать вложение с вредоносным ПО, например, с шифровальщиком-вымогателем.

В прошлом году группа кибервымогателей OldGremlin атаковала российскую медицинскую компанию от имени медиахолдинга РБК. Они зашифровали ее корпоративную сеть и потребовали выкуп в $50 тысяч. Всего одно вредоносное письмо полностью парализовало компанию.

Аппетиты киберпреступников постоянно растут. Они выбирают самые крупные компании и требуют гигантские выкупы. Обычными стали требования сотен тысяч долларов выкупа. А в нескольких свежих инцидентах киберпреступники вымогали уже миллионы долларов.

К сожалению, атаки программ-вымогателей могут приводить даже к человеческим жертвам. В 2020 году атака DoppelPaymer на клинику Дюссельдорфа стала причиной смерти 78-летней женщины. Из-за действий кибервзломщиков работа приемного отделения клиники была остановлена, и оно не принимало пациентов. Машине «скорой» пришлось экстренно везти ее в другую клинику в 32 километрах от города. Из-за несвоевременно оказанной медпомощи пациентка умерла.

— На сегодняшний день операторов программ-вымогателей гораздо больше интересует размер организации, чем то, к какой индустрии она относится. Естественно, мошенникам хочется добраться до крупных компаний. И чем больше у организации штат, тем больше поверхность атаки и выше риски стать целью киберпреступников, поскольку именно люди оказываются слабым звеном.

В прошлом году операторы вымогателей атаковали такие крупные компании, как Garmin, Canon, Campari, Capcom и Foxconn, и в этом году тенденция не изменилась. Это означает, что публичные организации такого масштаба постоянно будут находиться в зоне риска.

Не легче пришлось и пострадавшей от пандемии коронавируса индустрии туризма. В прошлом году CWT, одна из крупнейших туристических компаний в США, выплатила 4,5 млн долларов операторам RagnarLocker, взломавшим ее компьютерную сеть.

Привлекательными традиционными целями остаются банки и финансовые организации. Чаще стали атаковать семейные офисы, управляющие капиталами состоятельных инвесторов. У них слабее организована безопасность, чем у банков, а потому они становятся более легкой жертвой преступников.

— Самые лучшие технические средства защиты точно стоит использовать, но только они никогда не смогут защитить компанию.

Киберпреступники постоянно совершенствуют методы проникновения, и в 80% случаев целью первого удара становятся именно сотрудники, которые открывают вредоносные вложения или вводят свои пароли на фишинговых сайтах.

Технические меры могут помочь заблокировать такую активность только частично, но они не решают главной проблемы: небезопасного поведения самих людей.

Устойчивость современной организации к цифровым атакам определяется не столько функциональностью технических средств защиты, сколько уровнем киберкультуры обычных сотрудников.

Что касается антивирусов, то, как показывает практика, они могут сутками не знать о вредоносных файлах — пока обновятся, пока информация пройдет через их базы. Однако, если атака запущена, то дорога каждая минута. И если в компании из 10 тысяч человек хотя бы один сотрудник заметил опасность и сообщил о ней в службу безопасности, то организация сможет избежать серьезных последствий. Это так называемый human firewall — защищенность компании через грамотных и мотивированных сотрудников. Обученные и тренированные сотрудники будут помогать защищать компанию, а люди без навыков безопасного поведения станут источником проблем.

— Они задействуют самые сильные эмоции, которые побуждает жертву к действию. Это, в основном, страх, любопытство, жадность и желание помочь.

Например, письмо с текстом «Скидка 50% при оплате прямо сейчас» воздействует на жадность, а «Смотри, как ты отжигаешь на видео» — на любопытство. Сообщение от «службы судебных приставов» с уведомлением о непогашенном кредите с большой вероятностью вызовет у получателя страх. Но самые опасные такие атаки используют корпоративные, известные только внутри организации поводы и примеры, что делает их примерно в четыре раза более эффективными.

В разных типах атак мошенники используют разные психологические векторы, поэтому даже если человек не поддался воздействию одного типа эмоций, это не значит, что он будет также устойчив к письмам, воздействующим на другие слабости, и не совершит небезопасное действие в в будущем.

— Знания и информирование — это хорошо. При этом люди могут знать о существовании проблемы, мошенниках, они могут даже пройти обучающие курсы, однако это не даст гарантии того, что в реальной ситуации человек будет действовать правильно. Мошенники создают действительно экстремальные ситуации, вызывая сильный стресс, который отключает критическое мышление.

Буквально в этом месяце мошенники украли у генерала МВД 600 тысяч рублей. Этот человек знает о мошенниках непонаслышке. Он всю жизнь ловит преступников, но не смотря на это, поддался на развод. Знания не помогли, поскольку у генерала МВД не было нужных навыков противодействия психологическим манипуляциям. Он сам признается, что «находился под убеждением и психологическим воздействием».

Здесь даже можно провести параллель с обучением вождению, где есть теоретическая и практическая часть. Знание теории не поможет сдать практический экзамен по вождению в городе, если человек не отработал навыки и не умеет водить автомобиль.

— Мы делаем систему и наполняем ее контентом, а тренируют навыки с ее помощью наши заказчики. Как правило, за это отвечают руководители и специалисты подразделений информационной безопасности.

Контент, который мы разрабатываем, максимально погружает сотрудников в те самые стрессовые ситуации, которые случаются или могут случиться с ними в жизни. Сотрудники служб безопасности компаний запускают их как имитированные атаки, чтобы тренировать своих людей и выработать у них навыки безопасного поведения.

Наша платформа содержит и обучающие курсы, но дает не только теорию, а еще максимально реалистичную практику. Пользователи при этом испытывают весь спектр эмоций, возникающих, когда человек думает, что его компьютер взломан и за ним следят. Совершив небезопасное действие, человек сначала напугается, а затем увидит страницу с подробным разъяснением ошибок, которые он допустил.

— Курсы обучения эффективны в течение трех дней, затем 90% материала забывается, если он не закреплен на практике. В нашем формате обучения важным элементом, который значительно повышает эффективность тренировки навыков сотрудников, является использование финальных страниц — мгновенной обратной связи после имитированных атак.

Поведение людей, которые погрузились в ситуацию, сильно меняется. Наше исследование показало, что комплексный подход, когда к обучению добавляется тренировка навыков с помощью имитированных атак, позволяет улучшить защищенность организации с 9 до 49%. Самое важное — у людей при этом появляется мотивация. Когда они понимают, насколько легко их обмануть, они сами хотят прокачать свои навыки.

Кроме того, результаты имитированных атак используют службы безопасности. Они видят, на каких атаках сотрудники чаще всего попадаются и могут применить эту информацию при выборе технических мер защиты.

— Нас часто спрашивают, как наказывать. Как правило, такие вопросы задают те, кто не вел подобные процессы. Компании, которые занимаются тренировкой сотрудников, понимают, что отдельных мер не требуется. Имитированные атаки формируют нужные навыки и помогают сделать из неграмотных сотрудников лучших помощников в защите компании.

— Россия — технологически продвинутая страна. У нас развитые финтех-компании, банки. Наши пользователи более активно используют и лучше понимают современные технологии, но оказываются и более подвержены связанным с ними угрозам, чем условные иностранные коллеги.

При этом в российских компаниях, в отличие от иностранных, обучение и тренировка навыков сотрудников пока еще не стала обязательным и понятным для специалистов по безопасности процессом. В результате пока только продвинутые компании с сильными службами безопасности, так называемые «инноваторы», уже решают эту задачу, но большая часть рынка остается уязвима к атакам на людей.

Для защиты от таких атак не нужно покупать «еще более лучший» файрвол или антивирус. Важно в дополнение к техническим средствам защиты сформировать у сотрудников навыки безопасного поведения. Инвестиции в развитие таких навыков, возможно, будут лучшей инвестицией для снижения киберрисков.