Сотрудник — слабое звено в любой системе корпоративной безопасности. Это подтвердит каждый специалист, отвечающий за защиту информационных систем. Какими бы продвинутыми ни были технологии, небрежный или неосведомленный сотрудник всегда найдет, как ошибиться и поставить инфраструктуру под угрозу. Если же ваши специалисты отправились на удаленку (вместе с доброй половиной человечества), то вероятность ошибки увеличивается многократно.
Когда люди работают из офиса, часть урона принимают на себя защитные системы и сотрудники отдела безопасности. Далеко не весь, разумеется. Но антивирусное решение на шлюзе по крайней мере заблокирует очевидно фишинговый сайт. Безопасник может обратить внимание на аномалию в трафике с зараженной машины. IT-специалист вовремя установит обновление, закрывающее свежую уязвимость в системной библиотеке. Если сотрудник перешел в режим работы из дома, то должен сам следить за вещами, в которых раньше полагался на других. И вот тут степень его осведомленности начинает играть куда более важную роль.
Сам себе IT-специалист
На чем работает ваш сотрудник, уйдя на удаленную работу? На служебном ноутбуке, напичканном корпоративными политиками? Отлично, но расслабляться все еще рано — теперь этот ноутбук живет в чужой домашней сети, и неизвестно, через какой роутер он подключен, кто настраивал это устройство и какой на нем пароль, а также какие еще устройства подключены к этой сети. На личном домашнем компьютере? Вы не знаете, кто еще имеет к нему доступ, что за защитное решение там используется и следит ли кто-нибудь за обновлением операционной системы.
Мы не говорим, что все пользователи должны срочно научиться самостоятельно администрировать компьютеры и сетевое оборудование. Но знать, что может представлять угрозу, необходимо каждому. Просто чтобы не подключаться к информационным системам компании напрямую, если она предоставляет VPN, не устанавливать фальшивых обновлений Flash-плеера и не давать доступ к компьютеру посторонним «мастерам».
Сам себе DPO
Какие данные используют ваши сотрудники в повседневной работе? Всегда ли они понимают, что такое конфиденциальная информация и какие конкретно данные являются секретными? По-хорошему они должны понимать это и когда трудятся в офисе. Но одно дело, когда сотрудник работает со списком клиентов из Евросоюза в изолированной корпоративной подсети, и другое, когда у него есть доступ к такому файлу из дома.
Ведь на удаленке велик соблазн воспользоваться какими-то посторонними инструментами для совместной работы, а за их безопасность никто ответственности не несет. Понимать, какие данные можно пересылать по незащищенным каналам, а какие не стоит, должен каждый.
Сам себе безопасник
Еще один момент, о котором должны помнить и удаленно работающие сотрудники, и IT-специалисты: киберпреступники пытаются воспользоваться сложившейся ситуацией. Наши эксперты видят волны фишинга с упоминанием COVID-19, причем как массового, так и нацеленного на конкретные отрасли. Некоторые злоумышленники пытаются провести BEC-атаки, надеясь, что в связи с возросшим из-за удаленки потоком корреспонденции их письма примут за подлинные. Наши защитные технологии регистрируют постоянное сканирование корпоративной инфраструктуры извне в поисках незакрытых RDP-портов — это повод удвоить бдительность.
Как обучить сотрудников в условиях удаленки
Кто-то должен донести до сотрудников мысль, что теперь на них лежит гораздо большая ответственность с точки зрения информационной безопасности. Возможно, вам она кажется очевидной, но множество людей просто не задумаются об этом. Затем нужно повысить осведомленность сотрудников. Да, очных занятий по кибербезопасности сейчас уже не провести, но это и не обязательно — у нас есть программы дистанционного обучения, которые постоянно обновляются.
Проще всего организовать удаленное обучение информационной безопасности на платформе Kaspersky Automated Security Awareness. Она позволяет не просто рассказать сотрудникам о современных угрозах, но и привить им практические навыки борьбы с ними. При этом менеджер может дистанционно контролировать процесс и задавать программу обучения. Уроки созданы при участии специалистов в области образования и психологии, поэтому легко запоминаются и не утомляют студентов.
Несколько дней назад наши эксперты добавили два обучающих модуля на важные темы — конфиденциальность данных и GDPR. Первый ориентирован на сотрудников, которым приходится работать с персональной информацией, коммерческой тайной или внутренними документами. Второй предназначен для компаний, чьи клиенты или сотрудники являются гражданами Евросоюза.
Кроме того, наши специалисты по обучению совместно с компанией Area9 Lyceum создали дополнительный бесплатный модуль, состоящий из двух частей. Первая учит правильно организовать безопасную и комфортную удаленную работу. Вторая вообще не имеет отношения к информационной безопасности, но рассказывает, как минимизировать риск заражения COVID-19. Модуль доступен по ссылке, он поможет найти ответы на многие вопросы, связанные с коронавирусом, и адаптироваться к режиму удаленной работы.