Как сотрудники нарушают правила кибербезопасности: пять критических ошибок

26 января 2024

Утечка важной информации в компаниях часто происходит из-за человеческого фактора. Разбираем пять ошибок, которые ваши коллеги часто совершают на рабочем месте.

Содержание
Развернуть

Ошибка № 1. Используют слишком простые пароли

Одна из главных причин взлома компьютера — пароль, который хакер может быстро подобрать. У злоумышленников существуют целые «словарики» таких паролей. Сюда относятся сочетания соседних клавиш, например querty123, цифровые комбинации вроде 12345, простые слова — названия месяцев, имена, admin и подобные.

Чтобы подобрать безопасный пароль, лучше всего воспользоваться специальным генератором. Сервис выдаст такую комбинацию символов, повторить которую у преступника практически нет шансов. Конечно, можно и самостоятельно придумать надёжный пароль. Используйте, например, сочетание слов, которые с первого взгляда не обладают ничем общим, но имеют смысл только для вас. Запомнить такую фразу просто, а вот незнающему человеку подобрать сложно. Чем длиннее будет пароль, тем лучше.

Распространённая история — использовать одну и ту же комбинацию для всех программ и приложений. Это удобно, но очень опасно: достаточно одного слабо защищённого интернет-сервиса, который допустит утечку учётных данных пользователей, чтобы все аккаунты с аналогичным паролем оказались под угрозой. Поэтому пароли для почты, CRM-системы и любых других сервисов обязательно должны быть разными.

Сразу возникает вопрос — как запомнить все эти данные. Лучший вариант для команды — подобрать специальный сервис, который будет безопасно хранить пароли. Все они будут находиться в одном месте, их не придётся пересылать друг другу в личных сообщениях или записывать на стикер, что небезопасно.

Материал по теме
Бесплатные вебинары от МТС: про онлайн-мероприятия, обучение сотрудников, решения для промышленности и сельского хозяйства

Ошибка № 2. Открывают подозрительные письма

Фишинговые атаки — ещё один распространённый способ, который хакеры используют, чтобы заполучить конфиденциальные данные пользователей. Чаще всего для них используют электронную почту. Например, мошенник присылает письмо от лица налоговой с якобы важным документом во вложении. Невнимательный сотрудник скачивает этот файл, а вместе с ним — вредоносную программу, через которую получает конфиденциальные данные либо блокирует доступ к компьютеру и требует выкуп.

Другой вариант — обманом заставить человека перейти на подставной сайт, который визуально похож на настоящий. Но если ввести на нём свои данные, например номер карты, данные паспорта, логин и пароль, то они уйдут к мошенникам. Чаще всего подделывают сайты крупных компаний, банков, государственных органов, а также социальные сети.

В последние несколько лет всё более распространённым становится фишинг в Telegram, WhatsApp и в соцсетях, поэтому важно с осторожностью воспринимать сообщения от незнакомцев на любых площадках в интернете — особенно если в этом сообщении вас просят перейти по ссылке или открыть какой-то файл.

Как определить, что письмо фишинговое?

  • Обратить внимание на адрес отправителя. Если письмо прислал банк или другая организация, то и домен должен быть соответствующим. Например, mts.ru. Это же правило действует и для сайта — всегда внимательно проверяйте адрес, нет ли там ошибок, например, mtc.ru.
  • Проверьте само письмо на наличие ошибок. Мошенники могут писать с опечатками, забывать про пробелы и знаки препинания, а также заменять буквы странными символ@ми, чтобы обойти защиту от спама.
  • Вас должны насторожить обезличенные обращения, например, «Дорогой друг», заявления о чрезмерной срочности дела и запугивания.

Ошибка № 3. Игнорируют оповещения системы безопасности

Для полноценной защиты компьютера важно своевременно обновлять ПО и особенно антивирус. Дело в том, что киберпреступники регулярно создают новые методы атак и ищут бреши в системе безопасности. Разработчики программ, в свою очередь, устраняют эти бреши и усиливают защиту. Поэтому если вы видите сообщение, что систему или антивирус нужно обновить, то обязательно сделайте это или передайте информацию системному администратору.

Ошибка № 4. Используют незащищённую сеть Wi-Fi при работе на корпоративном ноутбуке или смартфоне

Речь идёт про общедоступные сети Wi-Fi, которые есть в метро, медицинских учреждениях, ресторанах и т. д. Если сеть плохо защищена, к ней могут подключиться мошенники и похитить всю важную информацию, включая логины и пароли, историю переписки, фотографии, клиентскую базы и другое.

Имейте в виду, что через общественный вайфай не стоит заходить в рабочие аккаунты и скачивать важные файлы.

Ошибка № 5. Не включают двухфакторную аутентификацию

Двухфакторная аутентификация — отличный способ защитить аккаунт, если пароль всё-таки взломают. Её нужно подключить везде, где есть такая возможность — в рабочей почте, CRM-системе, облачном хранилище и т. д.

Самый простой и частый вариант двухфакторной аутентификации — настроить получение одноразового кода на указанный телефон или электронную почту. То есть чтобы попасть в свой аккаунт, сначала нужно ввести пароль, а потом полученный код. При подключении двухфакторной аутентификации вам дадут список кодов, которые можно использовать, если вдруг вы потеряете доступ к телефону или почте. Сохраните их в надёжном месте.

Другой вариант — использовать специальное приложение-аутентификатор. В таком случае одноразовый код для входа генерируется в этом приложении. Оба способа хорошо справляются со своей задачей.

Есть ещё один способ избежать кибератак или утечек информации компании из-за человеческого фактора — сервис по обучению сотрудников правилам кибербезопасности (Security Awareness) от МТС RED. Сервис включает как теоретические курсы по киберграмотности, так и практические тренировки в виде тренировочных фишинговых рассылок. Они позволяют проверить эффективность проведённого обучения, выявить самых уязвимых пользователей и при необходимости назначить им повторное прохождение курсов.

Теги: