Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности

5 основных человеческих ошибок, влияющих на безопасность данных

3 августа, 2023
Ужесточение требований к защите информации заставило компании поставить безопасность данных на первое место в списке своих приоритетов. Однако в большинстве компаний до сих пор не сформирована культура кибербезопасности среди сотрудников.


Отсутствие обучения повышает риск «человеческого фактора» или ошибок, которые приводят к утечке данных. К счастью, существуют инструменты и методики, позволяющие снизить риск их появления и предотвратить последствия. В статье вы сможете познакомиться с наиболее распространенными ошибками пользователей и с тем, какие меры нужно принять до того, как они приведут к существенному ущербу.
Ошибка №1. Попасться на крючок фишинга
Фишинг — это вид интернет-мошенничества с целью получить доступ к критически важным данным, учетным записям, банковским реквизитам, чтобы использовать их в дальнейшем для кражи денежных средств. Работает фишинг через перенаправление пользователей на поддельные сетевые ресурсы, являющиеся полной имитацией настоящих. Чаще всего стать жертвой фишинга можно перейдя по ссылке из электронного письма.
В 2021 году от фишинговых атак пострадали 8,2% пользователей интернета. Вероятность совершить эту ошибку высока в тех случаях, когда компания рассказывает о кибербезопасности своим сотрудникам только при приеме на работу, вместо того чтобы выстроить культуру, ориентированную на безопасность данных. Скучные обучающие занятия тут мало помогут, вместо этого небольшие видеоролики, воссоздающие реальные ситуации и показывающие, как работают атаки социальной инженерии, могут быть очень эффективны.
Конечно, некоторые люди все равно могут поступить безответственно, столкнувшись с настоящим фишинговым письмом, так как сочтут, что переход по сомнительной ссылке не несет большой опасности. Поэтому рекомендуем следовать еще одному совету − периодически проводите тесты, которые имитируют фишинговые атаки. Так вы сможете оценить эффективность обучения сотрудников и соблюдение ими политик информационной безопасности. Подобные меры позволят выявить пользователей с повышенным риском, чаще всего становящихся жертвами вредоносных ссылок, и предоставят возможность провести с ними индивидуальную работу.

Кроме того, дополнительное снижение риска возможно благодаря внедрению специализированных инструментов защиты от спама и фильтрации электронной почты.
Ошибка №2. Предоставление доступа неавторизованным пользователям к корпоративным устройствам
Еще один признак недостаточной осведомленности в вопросах кибербезопасности — это предоставление доступа друзьям и членам семьи к корпоративным устройствам во время работы из дома. Ближайшее окружение сотрудника может получить доступ к конфиденциальным данным, таким как банковские счета организации или данные клиентов. Более того, они могут случайно загрузить вредоносное ПО, которое получит доступ к корпоративным данным и облачным хранилищам.

Для снижения риска такого человеческого фактора необходимо внедрить комплексный план обеспечения информационной безопасности, которому должны следовать все сотрудники. А также поощрять руководителей подразделений, соблюдающих правила кибербезопасности в своих командах.

Еще одна важная мера − внедрение надлежащих средств контроля безопасности на рабочих устройствах. Убедитесь, что все устройства защищены паролем, и по возможности используйте двухфакторную аутентификацию на всех корпоративных устройствах и приложениях.
Ошибка №3. Плохой менеджмент пользовательских паролей
Согласно отчету Генерального инспектора Министерства внутренних дел США за 2023 год около 21% паролей всех учетных записей сотрудников можно взломать всего за 90 минут. Причина — не только простые пароли, но и повторное их использование. Это очень рискованная практика, поскольку, получив доступ к одной учетной записи, злоумышленник получает гораздо больше возможностей для нанесения вреда компании.

Помимо повторного использования паролей, можно выделить следующие угрозы:


  • использование очевидных паролей (например, 123abc или дата рождения);
  • нерегулярное обновление паролей;
  • хранение паролей на рабочем месте;
  • передача паролей другим лицам.

Все эти неэффективные методы работы с паролями увеличивают угрозу утечки данных для компании, так как злоумышленникам становится значительно проще украсть или подобрать пароль.

Чтобы минимизировать эту угрозу, стоит разработать использование вспомогательных подсказок, которые будут появляться на экранах пользователей при входе в систему. Они могут повторять ключевые моменты, о которых говорилось в ходе обучения, например, «Никогда не храните свой пароль на видном месте».

Еще одна важная мера − использование программного обеспечения для управления паролями, которое генерирует и извлекает учетные данные и хранит их в зашифрованной базе данных. Кроме того, можно использовать программы для определения срока действия паролей, которые автоматически напоминают пользователям о необходимости сменить пароль до истечения срока его действия.
Ошибка №4. Плохое управление учетными записями с высоким уровнем доступа
Топ менеджеры в ИТ тоже могут ошибаться, и такие ошибки часто обходятся компаниям очень дорого. Учетные записи с высокоуровневыми правами доступа, (например, администраторов), обладают большими возможностями, но средства защиты от их неправомерного использования часто оказываются недостаточно проработанными.

Если ИТ или ИБ специалисты не обновляют и не защищают пароли к привилегированным учетным записям, злоумышленникам легче их взломать и получить доступ к сети организации. Затем они могут использовать взломанные учетные данные администратора для обхода контроля доступа к внутренним ресурсам или ИТ-системам с целью получения доступа к конфиденциальным данным.

Необходимой превентивной мерой будет реализация принципа наименьших привилегий для всех учетных записей. Вместо того, чтобы предоставлять административные права нескольким учетным записям, рекомендуется повышать привилегии по мере необходимости для конкретных приложений и задач на короткий промежуток времени.

Еще один важный элемент защиты − двухфакторная аутентификация, так как для входа потребуется не только пароль, но и дополнительный проверочный элемент, например, код, полученный на мобильное устройство. Также можно установить раздельные учетные записи для администраторов и сотрудников в ИТ-подразделении − учетные записи администраторов следует использовать только для управления определенными частями инфраструктуры.
Ошибка №5. Отправка данных по ошибке
Вероятность отправки данных по ошибке, например, в электронном письме является одной из самых сложных для предотвращения. Однако и с этим можно бороться.

Организуйте шифрование всех электронных сообщений, содержащих конфиденциальную информацию. Используйте всплывающие окна, напоминающие отправителям о необходимости дважды проверить адрес электронной почты при отправке конфиденциальных данных.

Еще один совет − внедрить решение для предотвращения потери данных (DLP), которое отслеживает события, способные привести к утечке информации, и автоматически принимает меры, например, запрещает пользователям отправлять конфиденциальные данные за пределы корпоративной сети.
Что делать, если ошибка все-таки произошла?
В действительности, даже если компания имеет превосходную защиту в области кибербезопасности, люди все равно будут допускать ошибки. Изощренная фишинговая атака может привести к распространению вредоносного ПО в сети, администратор может предоставить кому-то чрезмерные полномочия, а у некоторых пользователей могут быть взломаны пароли из-за плохой работы с паролями.

Поэтому каждой организации необходимо совершенствовать свои средства обнаружения угроз, чтобы оперативно реагировать на подозрительные события. Например, необходимо быстро обнаруживать аномальные всплески активности пользователей, такие как большое количество неудачных попыток изменения или доступа или подозрительно большое количество модификаций файлов.

Для своевременного обнаружения и реагирования на такие подозрительные действия необходимо использовать методы мониторинга поведения пользователей, позволяющие отслеживать активность всех пользователей, включая привилегированных. Таким средством станет внедрение решения для мониторинга и обеспечения конфиденциальности неструктурированных данных (DCAP), которое отслеживает события, способные привести к утечке информации, дает рекомендации и даже автоматически принимает меры по их устранению.
Заключение
По данным «Лаборатории Касперского» подавляющее большинство утечек корпоративных данных из облаков (около 90%) происходит из-за человеческих ошибок, спровоцированных с помощью социальной инженерии.

По результатам ежегодного отчета SANS Security Awareness Report специалисты сделали вывод, что сотрудники и их недостаточная подготовка в области безопасности являются основными причинами утечки данных и сетевых атак.

А компания Proofpoint в своем отчете «Человеческий фактор» за 2023 год утверждает, что более 80% предприятий ежемесячно подвергаются атакам со стороны скомпрометированной учетной записи сотрудника.
Совершенно очевидно, что низкая осведомленность сотрудников об угрозах неосторожного обращения с конфиденциальными данными негативно сказывается на бизнесе, поэтому развитие культуры информационной безопасности в компании позволяет минимизировать риск утечки данных и связанный с ней ущерб. Для этого необходимо разрабатывать эффективные программы обучения сотрудников и внедрять технологии, позволяющие обеспечить защиту конфиденциальных данных независимо от их местонахождения.

Вы можете получить подробную консультацию по использованию системы аудита и мониторинга от Makves и узнать, как она помогает защитить данные от ошибок сотрудников. Закажите демонстрацию Makves DCAP.

Подпишитесь на блог
и присоединяйтесь к нам в соцсетях
Нажимая на кнопку, вы даете согласие на обработку персональных данных
в соответствии с Политикой конфиденциальности

Другие статьи из нашего блога:

Все статьи