«Удаленщики» и безопасность компании

Прошло больше года с момента ухода первых офисов на «удаленку», часть стран прошли целиком цикл эпидемии от всплеска до падения, а некоторые уже всерьез обсуждают полное снятие ограничений. Однако все это, вопреки прогнозам HR-специалистов и отделов о том, что «удаленщики» вернутся в офис при первой возможности, никак не повлияло на работу дома. Более того, в IT-компаниях, к примеру, удаленная работа стала стандартом, даже не частью соцпакета.

Как все это влияет на киберриски бизнеса? Начать следует хотя бы с того, что работодатель в основной массе останавливает свою зону влияния на персональном устройстве сотрудника – да и то не всегда. Остальной спектр устройств в «домашнем зоопарке» даже не виден с позиции ИБ-руководителя на карте рисков – к примеру, домашние роутеры, а ведь это весьма значительная проблема. Невозможно предусмотреть, какие еще устройства имеют доступ в ту же сеть, что и компьютер сотрудника, установлен ли взломоустойчивый пароль, меняли ли программное обеспечение самого роутера. Это может привести к таким рискам, допустим, как похищение учетных данных для удаленного доступа в сеть компании (RDP), а там и вовсе рукой подать до атаки на инфраструктуру компании.

В то время, пока работодатель ожидает результатов успешного труда, сотрудники с большим удовольствием проводят время на развлекательных сайтах или площадках с онлайн-шопингом. Все это приводит к тому, что преступники, усилившие в 2021 году экспертизу в продаже готовых инструментов для проведения фишинговых атак (самые распространенные из них происходят с использованием электронной почты) на пользователей сайтов типа OLX/«Авито», увеличили на порядок количество захваченных аккаунтов. Не секрет, что часть этих аккаунтов имеет идентичные с рабочими учетные данные, и вот уже, вуаля – пароль от облака компании ушел в сеть!

Среди топ-менеджмента компаний разного уровня завоевала популярность электронная подпись документов на дому – быстро, удобно, не надо ехать в офис или ждать секретаря с пачкой бумаг. Однако недавно исследователи доказали, что содержимое pdf-документа, заверенного цифровой подписью, можно скрытно изменить – достаточно лишь грамотно провести вредоносную атаку (больше двух десятков популярных приложений подвержено опасности). 11 из 28 предусмотренных pdf-аннотаций позволяют скрыть вредоносный контент внутри подписанного документа, а атака типа Sneaky Signature дает возможность, к примеру, внести изменения в контракт, уже подписанный одной из сторон.

Сложно обойти вниманием и любимую всеми платформу Zoom, где недавно нашли любопытный баг, который может передать приватные данные пользователя. Ошибка происходит во время функции показа своего экрана собеседникам – когда это случается, Zoom часто охватывает те области, которые изначально не были предназначены для расшаривания. Таким образом, в поле зрения посторонних могут попасть адреса электронной почты, пароли к системам, личные данные и тому подобные вещи.

Полагаю, вы уже поняли, что доверять сотруднику самостоятельно защищать свою экосистему можно, конечно, но лучше бы помочь и проконтролировать, взять процесс в свои руки. Ну и, разумеется, постоянное обучение киберграмотности – если ваш сотрудник прошел тренинги по кибербезопасности и способен распознать вредоносное вложение или атаку фишеров хотя бы в минимальном виде, это даст вероятность, что ваша компания не будет атакована из-за чьего-то расслабленного отношения к своим цифровым активам. 

: Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter
550 просмотров
Поделиться этой публикацией в соцсетях:
Об авторе:
Загрузка...
28 октября родились
Именинников сегодня нет
Самые Интересные

Орфографическая ошибка в тексте:

Отмена Отправить