В начале 2017 года в Латвии провели эксперимент - с помощью методов социальной инженерии проверили цифровые навыки и бдительность сотрудников 10 компаний. На компьютеры сотрудников латвийских предприятий приходило якобы содержащее вирус электронное письмо. В двух из десяти случаев был получен контроль над компьютерами, а в восьми была возможность заразить их зловредными программами.
Результаты эксперимента заставляют задуматься - в симулированной цифровой атаке на латвийские предприятия в двух из десяти случаев был достигнут высокий уровень риска:
у сотрудников выманили их пароли или при помощи зловредных программ была получена возможность контролировать компьютер сотрудника, например, зашифровать все данные предприятия, чтобы позже потребовать выкуп.
«Хакеры выбирают самый легкий путь, и сейчас это незнание работников и несоблюдение элементарной цифровой гигиены. В проведенном нападении мы использовали простой и популярный среди хакеров вид атаки: сотрудник получает вроде бы невинное электронное письмо, в котором в худшем случае можно нажать на зараженную ссылку или даже отдать свой пароль», ‒ поясняет руководитель Альянса цифровой безопасности Марта Криваде.
На восьми предприятиях из десяти как минимум один сотрудник открыл рекомендованную в полученном электронном письме ссылку, что потенциально создает возможность проникновения в компьютер зловредной программы.
«Насколько слабо самое уязвимое звено цепи, настолько сильна защита предприятия в целом.
Лишь два предприятия из десяти выдержали тест ‒ сотрудники не повелись на ненастоящие электронные письма.
Многие руководители предприятий даже не осознают, насколько просто при помощи поддельных электронных писем получить доступ к сенситивным данным предприятия, к его системам, информации о партнерах и клиентах, а также зашифровать данные, чтобы затем вымогать деньги за их расшифровку», ‒ рассказывает основатель и ведущий консультант компании IT Centrs Агрис Крустс.
Альянс цифровой безопасности в сотрудничестве с независимым аудитором информационной безопасности SIA IT Centrs и 10 латвийскими предприятиями провел тест с применением методов социальной инженерии, в котором проверил цифровые навыки и бдительность сотрудников при получении якобы содержащего вирус электронного письма.
В ходе теста была симулирована фишинг-атака с использованием публично доступной в Интернете информации о предприятии и различных разыгранных в электронных письмах сценариев:
заявка о приеме на работу, покупка услуг, просьба проверить безопасность паролей или авторизоваться на других интернет-страницах.
В электронных письмах получателям предлагалось загрузить приложения или файлы из Интернета. В данном случае это было согласованное с предприятиями и специально разработанное, безопасное и контролируемое нападение, в результате которого фирмы получают рекомендации о том, как обучить сотрудников безопасному поведению в цифровой среде.
Тест DDA в сотрудничестве с независимой аудиторской компанией IT Centrs провел в январе и феврале 2017 года. В эксперименте участвовали 10 предприятий, и результаты в соответствии с соглашением о конфиденциальности используются в анонимном обобщенном виде.
DDA напоминает о важнейших для предприятий мероприятиях в сфере цифровой безопасности ‒ это пополнение знаний сотрудников о цифровой безопасности и формирование у них чувства ответственности (людей необходимо научить критически оценивать и замечать подозрительные письма), регулярное создание резервных копий и их хранение вне компьютера, политика безопасных паролей, регулярное обновление антивируса и других программ на всех устройствах.
