Работникам на удаленке не хватает цифровой грамотности

По данным исследовательского агентства ResearchAndMarkets, с начала эпидемии мошенники зарегистрировали более 4000 доменов со словами "Коронавирус", covid и других. Пик активности злоумышленников совпал с пиком эпидемии. Так, в "Лаборатории Касперского" в апреле, в разгар эпидемии, заблокировали 75% сайтов в доменной зоне .RU про коронавирус и пандемию, определив их как мошеннические. Также в апреле эксперты компании выявили в России более 18 миллионов атак методом перебора паролей на устройства, позволяющие удалённо подключаться к компьютеру. Как полагают эксперты, злоумышленники рассчитывали на слабую цифровую грамотность сотрудников, использующих пароли типа 123456 - такой можно взломать за минуты.

Еще в начале пандемии выяснилось, что небезопасно и популярное приложение для видеоконференций Zoom. Компании жаловались, в частности, на утечки видеозаписей и личной контактной информации. Американское издание The Intercept сообщало, что Zoom не использует сквозное шифрование для передачи видео и аудио. Кроме того, киберпреступники эксплуатируют популярность приложений для видеоконференций и используют их названия в заражённых файлах, которые без труда можно найти в интернете. В этом случае на руку злоумышленникам снова играет низкая цифровая грамотность: многие пользователи не знают, что скачивать программы стоит только из надежных источников. Еще опаснее пользователи, которые это знают, но пренебрегают правилами безопасности и подвергают свою компанию киберрискам.

Между тем, по подсчетам специалистов в сфере инфобезопасности, средний ущерб малого бизнеса от успешной кибератаки составил 4,3 миллиона рублей. Столько платит, например, небольшое кафе в центре Москвы за аренду за четыре месяца.

Инфографика: Антон Переплетчиков

Низкий уровень цифровой грамотности остается большой проблемой для бизнеса. Исследования показывают, что чем старше сотрудник, тем, как правило, ниже уровень его цифровых навыков. Например, в ежегодной акции "Цифровой диктант", где участников спрашивают в том числе о цифровой безопасности, лучший результат показывают дети до 13 лет. "Технологии пронизывают все сферы нашей жизни, поэтому цифровые компетенции становятся для нас необходимостью. А потому каждому пользователю важно понимать, какими компетенциями он обладает, а какие ему стоит развивать", - отметил директор РОЦИТ Сергей Гребенников.

Аналитики РОЦИТ и РАЭК отмечают "повсеместное осознание" (на уровне государства, корпораций, пользователей) необходимости повышения уровня цифровой грамотности россиян. Тем не менее, бизнес еще не до конца осознает этой необходимости. До сих пор не получали никаких конкретных рекомендаций по повышению цифровой грамотности и не прошли обучение по защите от киберрисков 79% россиян, перешедших на "удаленку".

Согласно исследованиям, в условиях самоизоляции поведение пользователей в интернете, а особенно работающих удаленно сотрудников, изменилось и стало более рискованным, чем раньше. Так, по данным "Лаборатории Касперского", в родных стенах сотрудники стали чаще пользоваться личной почтой для решения деловых вопросов, использовать не разрешенные на работе мессенджеры, облачные и другие сервисы, смотреть "взрослый" контент. И все это - с компьютеров и смартфонов, которые используются одновременно и для работы, и для личных целей.

Чаще всего на удаленке сотрудники работают со своих устройств - ноутбуков, телефонов, планшетов. Особенно это касается малых и средних компаний, у которых редко есть возможность обеспечить персонал корпоративными гаджетами. Кибербезопасность личных устройств невозможно контролировать так же хорошо, как корпоративных - нельзя же выслать сисадмина домой к каждому. Однако из-за того, что сотрудник на удаленке решил пройти по ссылке "британские ученые успешно испытали вакцину от коронавируса", а она оказалась фишинговой, компания может потерять данные, клиентов, деньги.

Отдельной растущей угрозой для бизнеса стало использование сотрудниками не одобренных ИТ-службой компании сервисов - "теневых ИТ". Иногда сотрудники знают, что они делают - например, намеренно используют на рабочем ноутбуке запрещенные ИТ-службой соцсети. Но чаще всего персонал компаний и не подозревает, что, например, использование Whats App нужно согласовать с ИТ-отделом, а главное - не знает, какие угрозы несут "теневые ИТ".

Специалисты по инфобезопасности предупреждают, что с помощью вредоносных программ злоумышленники могут взломать рабочую почту и получить доступ к конфиденциальным данным, например, сведениям о сделках. Также они могут украсть базы данных клиентов, а затем продать их на черном рынке. Или шантажировать отдельного сотрудника или компанию в целом какой-то информацией из переписки. Киберпреступники могут зашифровать любую информацию на жестком диске, а затем требовать выкуп за ее расшифровку.

Среди стандартных рекомендаций по подготовке ИТ-инфраструктуры компании к "удаленке" - настройка у всех сотрудников антивируса, VPN, двухфакторной авторизации там, где это возможно. Но все же главное - это цифровая грамотность самих сотрудников. Возможностей повысить ее уровень сегодня много, но не все они подходят бизнесу. Лекции о правилах информационной безопасности, как правило, скучны и не запоминаются сотрудниками. Многостраничные инструкции даже не дочитывают до конца. Хорошее решение - использование современных интерактивных форм обучения. Например, компании, занимающиеся инфобезопасностью, разрабатывают тренинги по повышению цифровой грамотности. У "Лаборатории Касперского" можно пройти бесплатный курс, который состоит из двух частей - знания о COVID-19 и знания о кибербезопаcности. Тем, кто готов учиться более серьезно, подойдет платформа Kaspersky Automated Security Awareness Platform (ASAP).

Эта интерактивная онлайн-система позволяет заниматься дистанционно, а программа разбита на множество микроуроков. Причем уровень подбирается в зависимости от рабочих целей и задач. Например, сотруднику будет достаточно базового уровня, если он по роду деятельности не сталкивается с конфиденциальной информацией и не имеет доступа, например, к клиентской базе. Для сотрудника с доступом к секретной информации нужен более продвинутый уровень. В зависимости от этого выстраивается программа тренинга.

По итогам прохождения тренинга Kaspersky ASAP научит правильно создавать и хранить пароли, распознавать фишинговые ссылки, скачивать файлы только из надежных источников и т.д. Знания хорошо устваиваются за счет интерактивного формата обучения, тестов и симуляции фишинговых атак, помогают не только быстро и легко освоить материал, но и без труда применять его на практике.

Еще до пандемии 52% опрошенных "Лабораторией Касперского" компаний по всему миру были уверены, что самое слабое звено в цепочке корпоративной информационной безопасности - сам сотрудник. Самоизоляция лишь подтвердила этот тренд и обострила проблему. " Режим самоизоляции рано или поздно закончится, а вот тренд на удаленку никуда не денется. И какая бы на то ни была причина - безопасность или комфорт домашнего офиса - корпоративную культуру ждет трансформация, в условиях которой техническая организация рабочего процесса ложится на сотрудников. Ведь сисадмина рядом больше нет, вся надежда - на собственную цифровую грамотность, - комментирует представитель платформы Kaspersky Security Awareness Елена Молчанова. - Мы понимаем нынешнюю потребность организаций и работников в обучающих тренингах, поэтому сделали доступ к платформе Kaspersky ASAP в два раза дешевле до конца лета".