Текст книги "Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании"

Сколько именно? Зависит от того, насколько хорошо ваше руководство уже разбирается в теме. Если ваш директор по ИБ еще не дал первым лицам достаточное представление о текущем состоянии вашей кибербезопасности, выделите на эту тему не менее 90 минут. За это время ваш руководитель по ИБ должен осветить наиболее важные для компании в целом вопросы.

Для этого потребуются плотные консультации с руководителями бизнес-подразделений. Правильный ответ может не лежать на поверхности. Например, данные о клиентах могут не быть важнейшим активом вашей организации (хотя, скорее всего, в списке приоритетов будут занимать очень высокое место). Но если вы управляете крупным производственным предприятием, эти данные могут быть важнейшим вашим стратегическим активом, скомпрометировать или закрыть от вас который заинтересованные хакеры смогут с помощью подключенных устройств, дающих доступ ко всем аспектам бизнеса.

Ваш директор по ИБ должен предоставить руководству данные о текущем положении дел с уязвимостью по каждому активу в порядке убывания их стратегической ценности. Не слишком упрощая задачу, вы можете представить себе систему координат, одна ось которой представляет степень уязвимости, другая – стратегический приоритет. Активы, являющиеся одновременно стратегически важными и крайне уязвимыми, требуют немедленного перераспределения бюджета.

Большинство руководителей высшего звена склонны раскошеливаться лишь тогда, когда уже происходит взлом – и это в лучшем случае. Вот что показало проведенное в 2017 году компанией EY глобальное исследование информационной безопасности: 76 % руководителей признали, что выделение дополнительных средств на кибербезопасность могло быть инициировано только в случае взлома, который нанес реальный ущерб. Взлом без последствий? Около 2/3 заявили, что подобное не требует дополнительных расходов[16]16
  EY, Global Information Security Survey 2017–18, https://www.ey.com/gl/en/issues/governance-and-reporting/center-for-board-matters/the-cost-of-cybersecurity-on-the-board-agenda-ey.


[Закрыть].

Очень важно обладать достаточными знаниями в области кибер-безопасности, чтобы обеспечивать эффективный надзор за кибер-рисками. Однако на деле владеют им менее 40 % первых лиц компаний[17]17
  Там же.


[Закрыть].

Как только вы скооперируете первых лиц компании и руководителя по ИБ, постарайтесь сделать последнего постоянным участником заседаний совета директоров. Кибербезопасность развивается с головокружительной скоростью. Ваши противники крайне заинтересованы в том, чтобы навредить вам. Они не устраивают себе выходных. И вам не следует расслабляться.

На каждом заседании правления как минимум 30 минут посвящайте вопросам кибербезопасности. Если в среднем совет директоров собирается шесть раз в год на четырехчасовое совещание, то я прошу вас уделить менее 15 % времени обсуждению этой важнейшей темы. Deloitte сообщает, что регулярно вопросы кибербезопасности включаются в повестку заседаний правления менее чем в 20 % компаний[18]18
  Deloitte, «2016 Board Practices Report.»


[Закрыть]. Если принять на веру подсчеты Deloitte и учесть, что кибербезопасность относится к самым высоким рискам для большинства руководителей, посвятить этому вопросу три часа в год кажется более чем разумным.

Попросите директора по ИБ обновлять оценку степени риска к подобным заседаниям. Он должен быть готов рассказывать об изменчивой ситуации с уязвимостями. Получить эту информацию он сможет из результатов так называемых атак «красной команды» или тестирования на проникновение. Настаивайте на проведении таких упражнений как на отдельном направлении деятельности. Это моделирование атаки злоумышленников на вашу компанию, в ходе которой можно проверить ее защитные системы. Директор по ИБ сформирует две команды: «красную» (атакующие) и «синюю» (защитники). «Красная» команда, в которую обычно входят эксперты из сторонних организаций, пытается взломать «синюю» (представителей компании). С помощью этого упражнения в компании находят ранее неизвестные уязвимости в своей системе безопасности.

Знайте: «красная» команда всегда побеждает. И это хорошо. Вы же хотите обнаружить уязвимости своей системы раньше, чем это сделают хакеры? Заплатить сторонним агентствам за то, чтобы узнать слабые места своей кибербезопасности, гораздо более выгодное решение, чем расплачиваться со злоумышленниками (и органами регулирования) в случае настоящего взлома.

Наконец, рассмотрите возможность назначить членом совета директоров человека с опытом в сфере кибербезопасности. Он привнесет в заседания свое уникальное видение проблем. Как человек, стоящий на страже киберзащиты, он позаботится о том, чтобы правление не сделало шаг назад, снова задвинув эту функцию на задний план. Думаю, у нас немало работы на этом фронте. По данным Deloitte, за последние два года более 80 % компаний не вводили в состав совета директоров никого, кто обладал бы опытом в сфере кибербезопасности[19]19
  Там же.


[Закрыть].

Как сделать мистера/миссис Целлофан видимыми

Директор по ИБ – незаменимый, часто недооцененный член руководящего состава. Хотя за кибербезопасность несет ответственность каждый сотрудник компании, правление и генеральный директор обязаны задать верное направление с самой верхушки организации. Вы должны сыграть свою роль в том, чтобы киберзащита поднялась в вашей системе ценностей на ту высокую ступень, которой она заслуживает.

Одна из моих любимых киноцитат – из фильма «Подозрительные лица»: «Величайший трюк дьявола состоял в том, чтобы убедить весь мир, будто его не существует». Вашим противникам нужно одно: чтобы вы продолжали держать ваших мистера или миссис Целлофан спрятанными в тени. Злоумышленники рассчитывают, что вы точно так же проигнорируете и их – растущий легион хакеров, ищущих возможность нанести урон вашей компании. Эти злодеи хотят, чтобы вы обесценили кибербезопасность, отнеся ее к нестратегическим инвестициям. Не дайте им добиться этого.

Если здесь вас постигнет неудача, вы рискуете потерять одного из самых ценных членов руководящего состава – мистера или миссис Целлофан. И в условиях нехватки талантливых специалистов в этой отрасли, о чем я уже упоминала, оперативно найти замену вам будет крайне сложно.

Век директора по безопасности в компании относительно недолог – всего 24 месяца по некоторым отраслевым данным. ESG попытались выяснить, почему руководители по ИБ не задерживаются на своих местах. Спрос на рынке труда в сфере кибербезопасности сегодня превышает предложение, и в обозримом будущем ситуация не изменится (благодаря все той же нехватке талантов). Однако ESG выяснили, что, когда директора по ИБ оставляют свою компанию и переходят в другую, руководствуются они далеко не только вопросом заработной платы:

36 % уходят, когда их работодатель не поддерживает корпоративную культуру с упором на кибербезопасность (очень хорошо, что вы читаете эту книгу!);

34 % – когда не чувствуют, что активно участвуют в исполнительном руководстве и советах директоров; и, наконец,

30 % – когда бюджеты, выделяемые на кибербезопасность, несоизмеримы с масштабами организации или отрасли[20]20
  Jon Oltsik, «Why Do CISOs Change Jobs So Frequently?» CSO, January 2, 2018, https://www.csoonline.com/article/3245170/why-do-cisos-change-jobs-so-frequently.html.


[Закрыть].

Генеральный директор и правление могут сделать многое, чтобы поучаствовать в решении проблемы кибербезопасности, и в том числе дать право голоса директору по ИБ. Помимо того, чтобы допустить его к обсуждениям, предложите ему провести собрание, где он сможет обосновать необходимость выделять больше ресурсов (учитывая вышесказанное, его аргументы в пользу увеличения бюджета скорее правомерны, чем нет). Относитесь к нему как к управленцу и изучайте его аргументы, задавая вопросы по существу. Постарайтесь сначала глубже изучить проблему кибербезопасности – надеюсь, прочтение этой главы поддержало вас в данном стремлении.

На самом деле директор по ИБ может быть сделан из чего угодно, только не из хрупкого целлофана. Выстоять в суровых ветрах преобразований ему помогает стальной позвоночник; железные кулаки – выдержать бесконечный натиск атак; бетонная челюсть – принимать удары упреков, которые более слабых выведут из строя. Когда вы наконец распознаете и оцените твердость и решимость, отличающие самого недопонятого члена руководящей группы, вы выведете кибербезопасность на свет, а вместе с ней – и неприятелей, которые больше всего хотели бы остаться в тени.

Глава 3
Звонок-будильник

Я бы сказал, что никогда сознательно не нарушал политику кибербезопасности своей компании. Но все же я считаю большей проблемой недостаток четкой информации об этой политике. О таких вещах менеджеры, как правило, не распространяются, потому что сами не всегда в них сильны. Я считаю, большинство людей не осознает всех последствий своих действий в том, что касается кибербезопасности и защиты данных компании. Многие внутри организаций делают все возможное, чтобы обезопасить себя при использовании различных технологий. Но все же это вечный бой, который ИТ-группы ведут практически в любой компании.

Респондент этнографического онлайн-исследования McAfee

С детства мне привили здоровое уважение к власти. Мои мама с папой были достаточно строги. Они ожидали от меня соблюдения разумных правил. Выполняй домашнюю работу. Возвращайся к определенному часу. Убирай в комнате. Уважай старших. В общем, делай все, что положено ответственному и полезному члену общества.

Поэтому, получив однажды ранним утром выходного дня от мамы голосовое сообщение, в котором она говорила, что меня разыскивает кто-то из правоохранительных органов, я на мгновение растерялась, прежде чем взять себя в руки и перезвонить.

– Элли, нам позвонил шериф из Нэшвилла. Он ищет тебя. Говорит, на тебя выписан ордер за пропущенное судебное заседание в округе Дэвидсон.

Пока мама эмоционально передавала мне сообщение этого шерифа, сердце у меня колотилось все быстрее.

– Мама, тут что-то не так. Я уже 20 лет как не живу в Нэшвилле! И никто не сообщал, что мне нужно явиться на суд.

– Дорогая, я ему сказала то же самое. И обещала, что ты перезвонишь.

Муж встает намного позже меня, так что я решила постараться разобраться с этим, пока он не проснулся.

Я набрала номер, начинающийся с кода Нэшвилла – 615.

– Шериф Джонсон. Слушаю.

Вас когда-нибудь заставало врасплох то, что трубку взял именно тот, кто вам нужен? Очень странное чувство. Вы надеетесь на ответ и в то же время нет. Примерно это я испытала, услышав его голос. Я поймала себя на том, что с трудом подбираю слова.

– Эм-м, здравствуйте, шериф. Это Эллисон Сэрра. Насколько я знаю, сегодня утром вы разговаривали с моей мамой.

Ему подбирать слова совершенно не понадобилось.

– Да, госпожа Сэрра. Я позвонил вашей матери, так как мы не могли вас разыскать. У меня на руках действующий ордер: вы должны предстать перед судьей [такой-то] в округе Дэвидсон, штат Теннесси, из-за неявки в суд в августе. Я вижу, вы раньше проживали в Нэшвилле, верно?

Власть – мощная сила, особенно для того, кто всю жизнь питал к ней уважение. С раннего детства я знала: если кто-то, обладающий властью, обращается к тебе, ты не можешь ответить вопросом на вопрос. Ты просто отвечаешь.

– Да, верно.

– Что ж, довожу до вашего сведения, что на вас выписан ордер за неявку на судебное заседание 15 августа.

Власть также заставляет вас исправлять неточности. Быть такого не может, чтобы этот шериф был прав. Но вместо того, чтобы дать волю реакции «бей или беги», заставляющей насторожиться, мое непреодолимое почтение к власти заставило меня объясняться.

– Извините, сэр. Это явно ошибка. Я жила в Нэшвилле всего несколько месяцев в 1995 году. В августе меня там даже не было.

– Госпожа Сэрра, я не знаю, что вам сказать. Ордера выписывает судья. Вам нужно будет задать этот вопрос ей.

И вот история приняла неожиданный оборот. Разговаривая с мошенником, вы ожидаете, что он немедленно начнет свою презентацию из разряда «но если вы назовете номер своей кредитки, мы обязательно все уладим», которая немедленно вызвала бы подозрения.

Но он ничего подобного не делал. Он просто продолжал задавать вопросы о моей биографии.

А я продолжала отвечать.

– Я вижу, что вы жили по такому-то адресу, это верно?

– Да, сэр. Все верно.

– И теперь вы проживаете в округе Дентон. Правильно?

– Да, вместе с мужем.

Обратите внимание: я полностью подпала под влияние власти, отвечая на вопросы даже более подробно, чем требовалось. Этот парень меня подловил.

Тут из спальни, сонно протирая глаза, появился муж. Однако он был достаточно бодр, чтобы заметить серьезность моего разговора, совершенно не похожего на рабочий.

– Что происходит?

Шериф все еще подтверждал информацию. Я отключила звук на телефоне, чтобы быстро ввести своего благоверного в курс дела.

– Мне позвонила мама. С ней связался шериф из Нэшвилла и сказал, что на меня выписан ордер за неявку в суд. Я сейчас с ним на телефоне, пытаюсь разобраться.

– Как это вообще возможно? Ты сто лет как не живешь там.

(В этот момент я разозлилась на мужа за то, что утверждал очевидное.)

[Сквозь зубы: ] – Я знаю. Потому и пытаюсь разобраться.

И тут мой муж, только-только проснувшийся, выдал вопрос, который я должна была задать себе сама еще до того, как набрать номер шерифа:

– А ты уверена, что этот парень не мошенник?

Вам знакомо это ощущение, когда мысли у вас в голове проносятся с такой скоростью, что вы можете заново проиграть последние мгновения своей жизни за какие-то наносекунды? В моем случае это были последние полчаса с того момента, как я получила сообщение от мамы, которое сейчас снова покручивала в голове. Впервые за эти 30 минут все стало предельно ясно.

Голова шла кругом, а сердце колотилось уже по совершенно другой причине. «Шериф Джонсон» продолжал что-то бормотать, но реакция «бей или беги» наконец сработала. Я попыталась привести мысли в порядок и снова включить мозг, который меня подвел.

– Шериф, я абсолютно уверена, что это какая-то ошибка. Спасибо, что предупредили меня. Я перезвоню вам, и мы решим проблему.

Я спешила закончить этот разговор. Он же был на удивление любезен. Никаких последних отчаянных попыток получить номер кредитной карты. Никаких угроз, что полицейские вот-вот постучатся ко мне в дверь.

– Конечно, госпожа Сэрра. Я понимаю. Можете перезвонить мне по этому же номеру.

Гудок.

Я еще не успела повесить трубку, а муж уже звонил по мобильному шерифу округа Дэвидсон.

Вы, наверно, и сами догадаетесь, чем кончилась эта история. Не было там никакого шерифа Джонсона. Как и не было никакого ордера за неявку в суд – как, впрочем, и вообще ничего на меня не было. Очевидно, это довольно распространенная афера, что подтвердил настоящий полицейский, с которым говорил мой муж.

– Мы получаем подобные звонки как минимум раз в неделю. Это аферисты. Передайте супруге, что при наличии ордера мы звонить не станем. Мы просто позвоним вам в дверь. (Ага. Почувствуй себя идиотом.)

Однако я на всякий случай сходила в местный полицейский участок, чтобы убедиться, не водится ли каких-либо грехов в личном деле одного ответственного-и-полезного-для-общества гражданина. Я спросила офицера за столом, не собирается ли он арестовать меня за что бы то ни было. Наконец меня накрыла волна облегчения: он посмотрел на меня так, будто я только что с Марса свалилась, но ответил единственным словом, которое я хотела услышать, – «нет».

* * *

Возможно, вы уже сомневаетесь, стоило ли покупать книгу о защите своей компании от киберугроз, написанную автором, который только что сознался в совершении столь бестолковой ошибки. И будете не столь уж неправы. В конце концов, я уже сказала, что почувствовала себя крайне глупо, после того как вскрылись все обстоятельства.

Но прежде чем слишком строго осудить мои действия, давайте представим, что эта история – всего лишь единичный пример того, что происходит с ничего не подозревающими жертвами вроде меня буквально по тысяче раз в день. В индустрии кибербезопасности такое мошенничество называют «социальной инженерией».

Одна из разновидностей такой деятельности знакома вам как фишинг: киберпреступники рассылают вредоносные электронные письма, выдавая себя за авторитетную личность и прося своих жертв поделиться конфиденциальными данными или перейти по ссылке. Мы в некоторой степени недооцениваем изобретательность тех, кто занимается фишингом. Эта деятельность со времен «Помогите, я нигерийский принц и мне очень нужны деньги» добилась большого прогресса. Только в 2018 году McAfee обнаружила более миллиона новых фишинговых URL-адресов[21]21
  McAfee Labs Threats Report, December 2018, https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-dec-2018.pdf.


[Закрыть].

Социальная инженерия выходит за рамки цифровой среды, доказательством чему служит мой случай. Я работаю в индустрии, поэтому научилась определять вредоносные письма. Но я никак не ожидала старомодной попытки телефонного обмана.

Чтобы действовать эффективно, мошенникам даже не нужно быть особенно изощренными. Они знают: доверие – неотъемлемая часть существования нашего общества. Кроме того, им известно, что я не одна воспитана таким образом. Многие из нас – ответственные, полезные члены общества, приверженные консервативным ценностям – уважению и доверию.

Меньше всего я хочу, чтобы кто-то из нас поддался нагнетанию страха, которое стало в нашем мире слишком уж обычным делом. Доверие необходимо для прогресса. И все же, не будучи излишне доверчивыми, мы можем также не быть слишком пугливыми. Здесь есть тонкая грань, как, собственно, и в остальных случаях, с которыми вы столкнетесь, раскрывая для себя такую сложную тему, как кибербезопасность.

Вместо того чтобы броситься с головой в омут апокалиптических пророчеств, где хакеры отбирают все, что нам принадлежит, я сосредоточусь на отрезвляющей реальности: любой, кто читает эту книгу, представляет собой одно из сильнейших или слабейших звеньев цепи в борьбе их компании с киберпреступностью.

Задумайтесь о силе этого утверждения. Компания Gartner, отраслевой аналитик, предсказала, что в 2018 году организации со всего мира потратят более $114 млрд на продукты и услуги в области кибербезопасности[22]22
  Gartner press release, «Gartner Forecasts Worldwide Information Security Spending to Exceed $124 Billion in 2019,» August 15, 2018, https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019.


[Закрыть]. Это ставит кибербезопасность в один ряд с такими многомиллионными ($100 млн и выше) отраслями, как цифровое телевидение и видео, цифровой маркетинг и игровая индустрия.

И все же никакие инвестиции не заменят сотрудников, делающих то, что нужно, и так, как нужно.

Лучшая защита

Тысячелетняя военная история свидетельствует: лучшая защита – это нападение. Потому-то Джордж Вашингтон и включил этот проверенный временем совет в свои сочинения почти через четверть века после того, как привел молодое государство к победе в Войне за независимость. Этот совет пригодится в схватке с противником: пролейте первую кровь, и он будет больше отвлекаться на самозащиту, чем нападать на вас. В спорте команды стараются первыми заработать очки, чтобы получить начальный импульс в игре. В бизнесе компании стремятся получить преимущество первопроходца при выпуске нового продукта или услуги, чтобы на раннем этапе захватить свою долю рынка.

В вопросе кибербезопасности для компании не существует такого понятия, как нападение. Она по определению не может нанести первый удар. Это всегда делает противник. Преимущество первопроходца всегда на его стороне. Нашим компаниям суждено вечно играть от обороны. В кибербезопасности лучшая защита – это хорошая (если не отличная) защита.

Как я уже говорила, я считаю, что большинство сотрудников хотят помочь защитить свои организации, просто не знают, как делать это эффективно.

Но давайте представим на секунду, что я ошибаюсь и вы не испытываете никаких альтруистических побуждений в отношении своей компании. Это не значит, что вы желаете ей вреда. Вы бы не стали намеренно толкать своего работодателя под автобус, например. Но, может быть, вы и не из тех, кто ради своей компании коня на скаку остановит.

Это относит вас к категории равнодушных сторонних наблюдателей. Вы считаете, что компания тратит достаточно средств на кибербезопасность, нанимает людей, которые отвечают за защиту. Если бы вы стремились выполнять такого рода работу, у вас были бы соответствующее образование и должность. Но это не так. Вы отвечаете в компании за другие вопросы и рассчитываете, что задачи кибербезопасности решаются (и должны решаться) в другом месте. Если ваша компания действительно пострадала от взлома, который произошел не по вашей вине, тогда это и впрямь не ваша проблема. Может, компании придется раскошелиться или даже потерять некоторых клиентов. Но жизнь и работа на этом не остановятся.

Если вы попали в эту категорию, то вы не одиноки. Проводя свое этнографическое онлайн-исследование среди сотрудников, таких же, как вы, мы в McAfee слышали схожие мнения, задавая вопрос:

Какую роль играют рядовые сотрудники в обеспечении кибербезопасности в вашей организации? Как вы считаете, вы лично играете ключевую или второстепенную роль?

Респондент 1: Думаю, в обеспечении кибербезопасности компании я играю совсем незначительную роль. Мне важно знать, чем я могу поспособствовать защите данных, но общая безопасность должна обеспечиваться сотрудниками более высокого уровня.

Респондент 2: Моя роль скорее второстепенная, так как всю закулисную работу по обеспечению кибербезопасности ведет наш ИТ-отдел.

Респондент 3: Думаю, моя роль небольшая. В первую очередь за это отвечают технологии нашей ИТ-команды, во вторую – сама команда, и только затем рядовые сотрудники.

Похоже, ряд сотрудников полагает, что кибербезопасность стоит полностью доверить инструментам или людям внутри ИТ-отделов, а то и вовсе переложить всю ответственность на высшее руководство компании. И вот в чем загвоздка с обеими точками зрения.

Во-первых, на решение проблемы не хватает персонала (вспомним о нехватке специалистов по кибербезопасности, о которой я говорила в предыдущей главе). А киберугрозы требуют свистать всех наверх.

Во-вторых, если вы считаете, что с проблемой лучше всего справятся именно важные шишки вашей компании, возможно, вам не стоит слишком на это полагаться. Да, генеральный директор и правление ответственны за то, чтобы с самых верхов задавать курс на кибербезопасность. Однако 60 % руководителей высшего звена и ИТ-руководителей заявляют, что человек, непосредственно отвечающий за защиту информации, – это точно не член совета директоров[23]23
  EY Global Information Security Survey, 2018–2019, https://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2018-19/$FILE/ey-global-information-security-survey-2018-19.pdf.


[Закрыть].

Понятно, почему такое перекладывание ответственности за кибербезопасность очень распространено в организациях. В индустрии кибербезопасности известно состояние, которое можно назвать «усталостью от взломов». Именно это происходит, когда мы позволяем привычке к опасности заглушить в нас чувство, что нужно срочно реагировать. Либо мы считаем, что в конечном итоге за нас расплатится кто-то другой (даже если это потребители, которые несут основную тяжесть взломов из-за повышения цен), либо отказываемся от контроля над собственной судьбой и решаем, что мы лично ничего не можем сделать для предотвращения взломов.

В этой книге делается попытка пересмотреть последнюю точку зрения через предложение практических шагов, которые вы можете предпринять, чтобы помочь своей компании избежать взлома. Вы должны знать, что можете сделать. Но если вы относитесь к лагерю тех, кому все равно, позвольте воспользоваться моментом и объяснить, почему вам следует позаботиться об этом.

Не так давно я получила письмо от сотрудницы нашего отдела персонала. Она переслала мне сообщение, которое получила на личный ящик. В письме была просьба дать инструкции, как изменить автоматические отчисления с заработной платы. Адрес отправителя указывал на то, что это личный аккаунт, и, предположительно, мой.

К счастью, чутье не подвело ее, и она переслала это письмо на мой рабочий адрес, сопроводив его простым вопросом:

«Эллисон, я сегодня получила вот это письмо. Ты действительно его отправляла?»

Я очень быстро ответила категорическим «нет». Мы сообщили об инциденте в наш Центр обеспечения безопасности. Они отследили адрес и выяснили, что хакер взломал ее личную учетную запись.

Я не сомневаюсь, что в список должностных обязанностей этой сотрудницы отдела персонала не входит забота о «кибербезопасности». Готова поспорить: в нем нет формулировок, призывающих ее быть бдительной в том, что касается киберугроз в отношении сотрудников компании. Никто не мог требовать от нее обратиться ко мне напрямую, чтобы подтвердить легитимность полученного письма. Однако именно так она и поступила, и я рада была видеть проявление ее здравого смысла и неравнодушия. Бдительность не позволила ей ответить простым копированием инструкций из нашего интранета, объясняющих, как легко изменить свои отчисления. Нам ужасно повезло: ее инстинкты значительно усложнили задачу тому хакеру. Кроме того, она избавила меня от долгих часов расстройства в попытках исправить плачевные последствия. Кризис, по крайней мере для меня, был предотвращен.

Порой целью хакеров является не просто наша компания. Порой их цель – мы. Наши работодатели располагают обширной информацией о каждом из нас, включая номера социального страхования, реквизиты счетов (как показал мой пример с автоматическими отчислениями) и многое другое. Самая знаменитая утечка данных сотрудников в современной истории произошла с правительством США, когда его Управление кадровой службы было скомпрометировано взломом более 21,5 млн записей. Какая добыча среди прочего досталась мошенникам? Обширная справочная информация о людях, которые могли даже не быть действующими или бывшими сотрудниками Управления[24]24
  Patricia Zengerle, «Millions More Americans Hit by Government Personnel Data Hack,» Reuters, July 9, 2015, https://www.reuters.com/article/us-cybersecurity-usa/millions-more-americans-hit-by-government-personnel-data-hack-idUSKCN0PJ2M420150709.


[Закрыть].

Если и этого аргумента недостаточно, чтобы убедить вас в необходимости быть неравнодушным, то как насчет такого: цена утечки информации для вашей компании никогда не была выше. Спасибо регулирующим органам, старающимся мотивировать компании защищать данные клиентов. Ко всем компаниям, ведущим бизнес или контролирующим деятельность субъектов в Евросоюзе, применяется Общий регламент по защите данных. Компании могут потерять до 4 % глобального годового дохода, если будет установлено, что они не соблюдают стандарты Общего регламента в отношении сбора и защиты данных своих клиентов. В 2018 году компания Ponemon отчиталась, что средняя цена утечки данных составила $3,86 млн – и это еще задолго до вступления в силу Общего регламента по защите данных[25]25
  Ponemon, «2018 Cost of a Data Breach Study: Global Overview,» July 2018.


[Закрыть]. Любая компания с годовым доходом более $100 млн, ведущая дела в Евросоюзе, уже может рассчитывать заплатить больше – вероятно, значительно больше в зависимости от ее дохода – за взлом, нарушающий Общий регламент.

Риск утечки данных крайне высок. Цена взлома и того выше. Не думайте, что ваша компания переживет следующий взлом только потому, что в прошлом уже справлялась с подобным. Финансовое давление может привести и к другим последствиям, вплоть до сокращений. Если вы хотите сохранить текущую работу и видеть вашу компанию дееспособной, сделайте заботу о кибербезопасности пунктом своих должностных обязанностей. Трусливое равнодушие с вашей стороны – только этого врагам и надо.

W.I.S.D.O.M. для сотрудников

Согласно отчету Verizon об исследовании утечки данных 2018 года, сотрудники прямо или косвенно ответственны более чем за четверть всех взломов. Более чем в 60 % подобных случаев вина лежит на равнодушном сотруднике. А значит, почти 20 % всех взломов – дело рук нерадивых работников[26]26
  Verizon, «2018 Data Breach Investigations Report,»https://enterprise.verizon.com/resources/reports/DBIR_2018_Report_execsummary.pdf.


[Закрыть]. Вот почему персонал – одно из сильнейших или слабейших звеньев на страже кибербезопасности своей компании.

К счастью, сотрудники могут многое предпринять, чтобы поспособствовать обеспечению кибербезопасности, а не стать ее угрозой. Во-первых, нужно остерегаться мошенничества с использованием социальной инженерии. Киберпреступники знают, как играть на доверчивости сотрудников. И их методы совершенствуются. Адресный фишинг – это тактика целенаправленного воздействия на определенных лиц или компании через вредоносные сообщения, такие как электронные письма. В отличие от традиционного фишинга, который скорее можно отнести к тактике «пальцем в небо» (киберпреступники крайне мало прибегают к таргетингу, если вообще прибегают), адресный фишинг гораздо более эффективен, поскольку преступник прикладывает большие усилия, чтобы персонализировать свое сообщение.

Уэйлинг является одной из разновидностей адресного фишинга: злоумышленник, выдавая себя за высокопоставленного руководителя компании, например, генерального или финансового директора, требует неких действий от ничего не подозревающего сотрудника. Так, под личиной финансового директора мошенник может нацелиться на рядового сотрудника финансового отдела и отдать распоряжение перевести средства компании на некий счет.

Социальная инженерия – один из наиболее очевидных способов повлиять на наивных сотрудников. Согласно отчету Verizon, жертвами любой фишинговой кампании склонны стать 4 % людей. И, пожалуй, самое удивительное в том, что они вряд ли будут учиться на своих ошибках. Чем на большее количество фишинговых писем откликнулся человек, тем больше вероятность, что он сделает это снова[27]27
  Verizon, «2018 Data Breach Investigations Report.»


[Закрыть].

Социальная инженерия крайне эффективна на разных уровнях организации. Да, в том числе и на самом высоком. В 2018 году Forbes сообщил, что порядка 80 000 фирм в США, Великобритании и Европе перевели злоумышленникам более $12 млрд в рамках пятилетней целенаправленной кампании по уэйлингу. Кто же из сотрудников, того не ведая, помогал злоумышленникам грабить компании? Их собственные финансовые директора. Выяснилось, что у преступников была база данных, куда входило более 50 000 финансовых директоров, которых в афере использовали в качестве «меток»[28]28
  Dante Disparte, «Whaling Wars: A $12 Billion Financial Dragnet Targeting CFOs,» Forbes, December 6, 2018, https://www.forbes.com/sites/dantedisparte/2018/12/06/whaling-wars-a-12-billion-financial-dragnet-targeting-cfos/#59a7bc3b7e52.


[Закрыть]. В данном случае киберпреступники использовали персонализированные электронные письма, будто бы отправленные генеральным директором и содержавшие требование к директору финансовому немедленно совершить банковский перевод. Мы все можем сделать выводы из этого дорогостоящего урока. Любого из нас можно обмануть.

Итак, первое правило W.I.S.D.O.M. для сотрудников – не поддаваться на фишинг. Ищите признаки, выдающие вредоносное письмо, например адрес отправителя. Не переходите по ссылкам из неизвестного источника. Вместо этого поищите сведения о компании или перейдите прямо на ее домен. Но будьте осторожны. Большой популярностью пользуется фарминг: киберпреступники создают вредоносные сайты, куда заманивают жертв, чтобы получить свою награду – финансовую или другую личную информацию. Вы можете даже ввести имя домена вручную – и все равно попасть на поддельный сайт.

Помимо того, чтобы не попадаться на фишинг, проявите активность и немедленно сообщите о попытке своему ИТ-отделу или специалистам по безопасности. По данным отчета Verizon, у компаний есть 16 минут до того, пока кто-то из сотрудников не клюнет на приманку фишинга первым кликом мыши. А когда специалистам по безопасности поступает первый отчет о произошедшем? Через 28 минут[29]29
  Verizon, «2018 Data Breach Investigations Report.»


[Закрыть]. В течение этих 12 минут время выступает на стороне вашего противника и становится в его руках еще одним орудием, с помощью которого он может нанести компании значительный вред.