Интервью мы берем у Алексея Киселева, руководителя отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского». Алексей не первый раз гость «Клерка» — он уже участвовал в нашей конференции в декабре 2023 года.
— На конференции 14 декабря вы раскрыли интересный кейс. Речь шла о взломе компьютера бухгалтера с помощью замаскированного письма от обычного контрагента. Вирус из письма парализовал весь бизнес. Такой способ взлома, как фишинг, на ваш взгляд является самым распространенным у мошенников, или есть какие-то другие схемы?
— Есть конечно и другие способы, но данный метод используется злоумышленниками максимально часто. Потому что для проведения подобной атаки достаточно приготовить качественное фишинговое письмо и получить электронный адрес жертвы. Дальнейшая рассылка фишинговых писем происходит в автоматическом режиме.
Поэтому так страшны утечки данных клиентов и контрагентов. Когда в такую утечку попадают данные об адресе электронной почты и ФИО, у злоумышленников появляется возможность подготовить достаточно качественное фишинговое письмо.
Это частый, но, к сожалению, не единственный способ. Злоумышленники могут взломать информационную инфраструктуру и получить удаленный доступ к рабочему месту, таким образом, выполнять нелегитимные действия, как если бы злоумышленник находился непосредственно за рабочим местом бухгалтера.
— Получается, что никто не застрахован от взлома через фишинговые письма? Аналогичным образом может пострадать обычная компания или даже банк.
— Чтобы им противостоять необходимо использовать определенные технологические решения, которые позволяют бороться с подобными угрозами. Также для этого обучают пользователей навыкам кибербезопасной работы.
Если человек работает с электронной почтой, то он должен обладать хотя бы минимальными знаниями проблемы, чтобы распознать фишинговое письмо.
Существуют признаки, по которым можно распознать фишинговую рассылку. Поэтому, если приходит письмо даже от того контрагента, с которым вы постоянно общаетесь, а в нем присутствует какая-то посторонняя ссылка, то это уже должно насторожить бухгалтера.
Например, в предыдущих письмах контрагент никогда не использовал гиперссылки, а в этом стал. Если на гиперссылке написано, «можете посмотреть на нашем сайте» и текст указывает, что письмо вроде пришло от существующего контрагента, то наведите мышку на эту гиперссылку, внизу экрана вы сможете увидеть, на какой на самом деле сайт ведет эта ссылка. Потому что текстом может быть написан один сайт, а при переходе вы попадете на совершенно другой.
Существует целый ряд признаков, по которым можно распознать фишинговое письмо. Решения по обучению кибербезопасности помогают разобраться, какие ещё существуют признаки. Кроме этого, применяют тесты, по которым можно проверить письмо, чтобы определить, является оно фишинговым или нет.
Например, наша обучающая платформа Kaspersky Automated Security Awareness Platform позволяет симулировать фишинговые атаки внутри компании. Когда пользователь успешно прошел обучение и справился с тестом, через какое-то время он получает фишинговое письмо и может применить полученные навыки в реальной жизни.
Если он не смог распознать тестовое фишинговое письмо, то система автоматизированного обучения вернет его обратно к материалу распознавания фишинговых писем. Ему придется пройти его ещё раз, повторить теорию и выполнить работу над ошибками.
Решения «Лаборатории Касперского» являются достаточно эффективными, потому что они позволяют с первых минут обучения получать и повышать навыки всем пользователям, которые работают за компьютером.
В кейсе, который мы обсуждали на конференции, как раз была история о том, что в письмо был вложен вредоносный файл, а у компьютера не было никакой антивирусной защиты. Если бы у бухгалтера из кейса была хотя бы антивирусная программа на компьютере, а ещё лучше вместе с ней было установлено решение по защите корпоративной почты, то фишинговое письмо в почтовом ящике, скорее всего, не оказалось бы. Система по защите почты проверила и обнаруживала бы это вредоносное вложение, что не позволило бы ему попасть в почтовый ящик.
Иногда злоумышленники, для того, чтобы система не могла проверить вредоносное вложение, архивируют вложение с паролем, а в письме пишут пароль, например, дата или год вашего рождения.
Год рождения достаточно просто узнать, что не повышает доверия к вложению, которое отправлено с фишинговым письмом. Распознавание таких атак тренируется также, пониманием того, что раньше контрагент так никогда не поступал.
Кроме этого, важно использовать разные технологические средства для защиты от фишинговых и других подобных атак. Важно тренировать навыки сотрудников, чтобы они не стали «параноиками», но оставались настороже и могли разглядеть признаки подобных атак.
— Самое страшное для бухгалтера — это потерять базу учета, например 1С. Когда блокируется доступ к компьютеру и базе, за восстановление доступа злоумышленники часто вымогают деньги. В это же время некоторые программисты утверждают, что можно работать и без антивирусных программ, достаточно проводить очистку компьютера. Так ли уж нужен бухгалтеру антивирус, для чего он нужен, какие ещё есть варианты защиты компьютера и в частности учетной базы?
— Здесь ответ будет однозначный — конечно же антивирус нужен. И не только он, а специализированные средства по защите электронной почты, если она активно используется в работе. Нужны продвинутые решения по защите, если есть опасения, что компания может стать жертвой крупной и сложной атаки, а не просто жертвой массовых угроз.
Насчет айтишников, которые без антивируса постоянно чистят свой компьютер — я как раз рассказывал в том кейсе про знакомого it-директора. Он говорил, что безопасность это не его обязанность и прерогатива, для этого есть специальный человек.
После того, как его взломали, встало производство и он три ночи не спал, занимаясь восстановлением всей инфраструктуры и чудом с этой проблемой справился, он свою точку зрения поменял.
Как говорится, чужой опыт никого ничему не учит. Только столкнувшись лицом с настоящим киберинцидентом, пользователь начнет понимать, что фишинговые атаки или другие угрозы случаются в реальной жизни.
Лаборатория Касперского фиксирует каждый день более 400 000 сэмплов новых вирусов, при этом старые тоже никуда не деваются. Разовые проверки без постоянной защиты не могут заблокировать эту огромную массу вирусов и вредоносного контента, который может вывалится на компьютер.
Защита учетной базы — это конечно не прямая обязанность бухгалтера, но и, например, такая процедура, как подготовка и сшив документов для хранения, тоже не являются прямой обязанностью бухгалтера, однако, он их выполняет.
Лучше не доводить до того, чтобы пришлось восстанавливать учетную базу по бумажным первичным документам, а подумать, как сохранить ее.
Сохранять и защищать базы можно разными способами:
проводить регулярное резервное копирование;
быть уверенным в защите своего рабочего места.
Например, если бухгалтер регулярно использует в работе системы клиент-банк для выполнения финансовых транзакций, то вы должны быть уверены, что никакой злоумышленник удаленно не подключен и не считывает вводимые через клавиатуру пароли.
Чтобы быть уверенным в защите своего рабочего места, нужно задавать вопросы тем, кто в организации отвечает за информационную безопасность. Если такого человека нет, то нужно перед руководством ставить вопросы безопасности. Конечно, у руководителя много своих проблем, но мои кейсы говорят о том, что директор должен уделять внимание безопасности. Игнорирование грозит остановкой бизнеса или производства.
Зачем искать проблемы и испытывать риски, когда защиту можно установить уже сейчас? Бухгалтеру нужно поставить вопрос по защите не только своего рабочего места, но и всей организации.
— Если уже произошла атака и вирус попал в компьютер, вы советовали в первые минуты обнаружения отключить компьютер от сети. Какие еще действия нужно выполнить в первую очередь, чтобы минимизировать урон?
— В идеале необходимо иметь план оперативного реагирования на компьютерные инциденты, согласно которому у каждого работника должна быть памятка о том, что делать, если произошла атака или что-то подозрительное.
Далее человек, отвечающий за информационную безопасность должен оперативно среагировать и предоставить дальнейшие инструкции: отключить компьютер от сети, отключить питание, по какому телефону позвонить и т.д.
Если такого плана реагирования нет, то каждый работник и пользователь компьютера должен поставить вопрос перед сотрудником информационной безопасности или it-специалистом, если они есть в организации, что делать при кибератаке.
План реагирования на компьютерные инциденты, должен работать по аналогии с планом эвакуации при пожаре. Пользователи также должны интуитивно знать, что делать с компьютером, иметь четкие инструкции, участвовать в тестовых кибератаках.
— В последнее время особое внимание уделяется защите персональных данных. Тем более закон обновился, увеличились штрафы. Однако, мы продолжаем слышать из новостей о регулярных утечках персональных данных даже у крупных банков и компаний. Как вы думаете, в утечках главную роль играет человеческий фактор или это несовершенство технологий компьютерной защиты?
Можно сказать, что никакие технологии не смогут предотвратить инцидент, если человек ведет себя крайне безответственно. Если работники не имеют никакого представления о навыках кибербезопасной работы, например, они могут подобрать неизвестную флешку и подключить к рабочему компьютеру, будут открывать все подозрительные письма, переходить по всем опасным ссылкам, то компьютерного инцидента будет избежать крайне сложно.
Тяжело придется даже тем решениям, которые должны противостоять подобным компьютерным атакам, рано или поздно из-за человеческого фактора брешь в защите будет обнаружена. Поэтому задачу компьютерной защиты нужно решать комплексно и со всех сторон.
Ответственному поведению людей нужно обучать.
Для этого лучше использовать специализированные инструменты, которые позволяют это делать максимально технологично с минимальными трудозатратами. Эти навыки невозможно получить на одной лекции, они должны тренироваться и осваиваться на практике.
В комплексную защиту входит:
Все эти меры обязательны для компаний с крупными оборотами, которыми могут заинтересоваться злоумышленники.
К вашим контрагентам могут попытаться проникнуть через вас. Поэтому без ответственного поведения сотрудников полноценно защитить бизнес не получится.
— Сейчас многие банки активно используют новые технологии и нововведения, например, биометрию, распознавание голоса. Насколько безопасны подобные технологии?
— Каждый человек для себя решает сам, использовать биометрию или нет. Безусловно, чем сложнее система, тем сложнее ее защитить. При этом стоит отметить, что банковская сфера в нашей стране одна из самых защищенных в мире, т.к. уровень киберзащиты крайне высокий.
Несмотря на это, встречаются кейсы с утечкой данных. Однако, уже давно не случалась утечка данных, которая могла дать злоумышленникам возможность, например, проводить незаконные финансовые транзакции.
Но ситуации, когда в сеть попадают данные банковских клиентов, усеченные данные банковских карт, к сожалению, продолжают происходить. На украденные электронные адреса приходят фишинговые письма, на телефоны поступают звонки злоумышленников. При наличии дополнительных персональных данных мошенники пытаются повысить доверие к своему звонку.
— Недавно на «Клерке» мы писали про один из новых видов мошенничества — подделка аккаунтов в соцсетях. Бизнес очень активно общается с клиентами и сотрудниками в соцсетях, злоумышленники воруют аккаунты и от чужого имени выманивают денежные средства. Встречаются примеры, когда мошенникам удается имитировать голос руководителя. Поэтому бухгалтеру сложно в моменте определить, что его «обрабатывают» мошенники. Посоветуйте, как обезопасить общение в соцсетях и мессенджерах? Ести ли какие-то особые способы защиты, или стоит уходить в более безопасные закрытые сервисы, например, Битрикс24?
Конечно, на пути прогресс мы не можем устоять. Продолжать использовать только бумажную переписку и распоряжения невозможно в современных реалиях. Сегодня требуется более быстрое принятие и исполнение решений. В этом плане мессенджеры, конечно, позволяют быстрее совершать бизнес-операции. Но обезопасить себя можно и нужно.
Например, элементарно можно заранее придумать кодовое слово, чтобы противостоять дипфейкам. В бизнесе можно договориться, что распоряжение руководителя, отправленное через мессенджер, будет выполняться, например, после подтверждения голосовым сообщением. Голосовое сообщение должно содержать кодовое слово и текущую дату. Комбинаций и сочетаний паролей можно придумать достаточно много, чтобы даже при подслушивании разговоров злоумышленники не могли понять используемый шифр.
Такие дополнительные, хотя и примитивные средства, могут позволить сделать более безопасным общение в мессенджерах.
— Назовите топ-три совета, которые вы можете дать нашим бухгалтерам по защите своего компьютера и учетной базы.
— Повторю еще раз то, что говорил на конференции и писал всем участникам:
Удостоверьтесь, что ваше рабочее место защищено и задайте вопросы о кибербезопасности в письменном виде руководителю или ответственным за безопасность лицам;
Тренируйтесь, даже если работодатель не занимается этим, читайте про то, как распознать фишинговые письма, как не заразить компьютер вирусом;
Подготовьте себе инструкцию на случай наступления инцидента, чтобы не запаниковать в сложной ситуации.
При соблюдении этих правил вам будет намного спокойнее заниматься своими задачами.
Комментарии
5я читала, что виндоус 10 и виндоус 11 обладают довольно-таки современными средствами встроенной защиты. Все равно нужен антивирус? Или это только для рабочих компьютеров применимо?
Если Вы задаёте вопрос представителю "Майкрософт", то он ответит, что дополнительных средств защиты не нужно. Если же сотруднику "Лаборатории Касперского", то он настоятельно порекомендует свой антивирус и пачку утилит их же производства.
На рабочем все же лучше перестраховаться и установить дополнительный антивирус
антивирус, который следит за антивирусом
я уже 2-жды занималась восстановлением баз - скажу - Антивирус нужен 100%, и бдительность сотрудника!