Публичные мессенджеры — самые популярные решения для корпоративного общения. По данным TGStat, 52% россиян используют Telegram для деловой коммуникации. Еще 43% работают в WhatsApp. Так происходит даже в том случае, если у компании есть корпоративный мессенджер — сотрудникам проще свести личные и деловые связи в одно приложение, чтобы меньше переключаться.
Подобная тяга к привычному понятна, но она несет большие риски для компаний. Проблема в том, что популярные мессенджеры не предназначены для защиты конфиденциальной информации бизнеса — и через них чаще всего случаются утечки данных.
Иногда они происходит по ошибке, временами — из-за наивности сотрудников, а порой — намеренно.
Какие утекают данные из Telegram
Рассмотрим три распространенных сценария утечки данных через Telegram.
1. Fake Boss
Схема, в которой мошенники создают поддельный аккаунт руководителя. Они указывают его имя, копируют аватарку и другую информацию из открытых источников или похищенных баз. Все для того чтобы обмануть сотрудников и выманить у них деньги, доступы к аккаунтам или чувствительные данные.
Вот какие сообщения можно получить от скамеров:
- «Срочно переведите деньги контрагентам по сделке N — пришлю реквизиты ниже. Все детали обсудим завтра на совещании».
- «Пожалуйста, пришли отчеты за этот месяц, чтобы я мог подготовиться к защите».
Особо опытные мошенники копируют манеру общения руководителя, чтобы вызвать минимальные подозрения у сотрудников. Но обычно страх подвести или рассердить начальника сам по себе подавляет сомнения. А еще далеко не все сотрудники хранят контакт руководителя в Telegram, поэтому могут просто не заметить подмены. И тогда они послушно пересылают деньги на поддельные счета и передают конфиденциальную информацию.
Но даже если сотрудник заподозрит подвох, то скамеры могут использовать аудиодипфейки и записать голосовое голосом шефа. Или позвонить — и пообщаться с человеком напрямую.
Схема Fake Boss работает, потому что в спешке люди не способны качественно анализировать информацию. А еще потому что в Telegram нет инструментов, которые помогли бы проверить подлинность аккаунтов. Написать сотруднику может любой пользователь мессенджера — а значит, опасность лишиться данных есть всегда.
2. Фишинговый подарок с премиум-подпиской
Как только в Telegram появились подарки, мошенники придумали схему обмана с ними. Они рассылают сообщения: «Поздравляем, вам досталась бесплатная премиум-версия приложения» — и сопровождают их фишинговой ссылкой. После перехода по ней данные аккаунта оказываются в руках скамеров — и это в лучшем случае. Иногда такой метод фишинга приводит к тому, что хакеры взламывают смартфон целиком.
Схема опасна потому, что сообщения могут приходить не только с незнакомых или поддельных аккаунтов, но и от ваших друзей и коллег, если их взломают. Так что будьте начеку: если вдруг вам прилетит неожиданный «подарок», дважды подумайте, прежде чем переходить по ссылке. За такой «премиум» можно заплатить слишком дорого.
3. Сотрудник в чатах после увольнения
Когда сотрудник покидает компанию, он нередко продолжает оставаться участником рабочих чатов в Telegram. В лучшем случае он просто игнорирует эти сообщения. В худшем — активно копирует их и использует полученную информацию, чтобы нанести вред бывшему работодателю.
Например, он может слить данные компании конкурентам, продать их на черном рынке и даже перейти к шантажу. Вариантов, как получить выгоду от уязвимости мессенджера, очень много. А отследить, кто именно сливает информацию, практически невозможно.
Как обезопасить данные бизнеса в Telegram
Защитить данные в Telegram на 100% невозможно. Это не корпоративный инструмент, а публичный мессенджер, разработанный с приоритетом удобства и скорости. Безопасность в нем вторична, что бы ни заявляли разработчики.
Если вы и дальше хотите использовать этот мессенджер для корпоративного общения, то можете минимизировать риск утечек обучением сотрудников. Научите их двум вещам.
1. Распознавать социальную инженерию
Согласно исследованию ИБ-компании Positive Technologies, 31% успешных атак на компании мошенники провели с помощью элементов социальной инженерии. Для начала расскажите о принципах, которые лежат в основе этого метода.
Доверие к авторитету. Злоумышленники выдают себя за специалистов, к которым у людей есть доверие, уважение или страх. Например, они могут представиться специалистами службы поддержки, коллегами или руководителями.
Создание чувства срочности. Нельзя давать человеку ни секунды на размышления — выполнить задачу нужно сейчас, иначе случится что-то страшное. Например, если начальник не успеет подготовиться к презентации, то выступление получится слабым, и он не убедит инвесторов выделить больше денег. Поэтому ему нужны сценарий и отчет немедленно — скинь, или подведешь всю компанию.
Игра на эмоциях. Этот пункт связан с предыдущим: обычно к чувству срочности примешиваются эмоции. Например;
- страх — «уволю, если не сделаешь»;
- сочувствие — «не хочу подвести команду, поэтому мне нужна твоя помощь»;
- радость — «за расторопность выпишу премию» и т. д.
Еще мошенники стараются имитировать стиль общения реального человека и даже учитывают, общались вы сегодня или нет. Все это помогает им втираться в доверие и усыпить бдительность жертв.
2. Противостоять мошенничеству
Чтобы сотрудники эффективнее распознавали социальную инженерию, обучите их:
- Всегда проверять отправителя. Необходимо внимательно смотреть на адреса электронной почты, ники в мессенджере, аватарки и описания аккаунтов. Неточности в этих данных должны насторожить.
- Не спешить с принятием решений. Научите сотрудников сопротивляться давлению и запугиваниям. Донесите до них простую мысль: безопасность данных важнее, чем эмоциональное состояние одного человека, пусть даже он и руководитель. Даже если сотруднику действительно пишет начальник и просит срочно скинуть документ, лучше взять паузу на 5-10 минут и перепроверить контакт. Маленький временной лаг вряд ли повредит, но поможет компании сэкономить миллионы.
- Избегать подозрительных ссылок. Донесите до сотрудников, что открывать ссылки из неизвестных источников опасно. Если они хотят посмотреть и убедиться, что ссылка не вредоносная, пусть наведут на нее курсор: так можно увидеть адрес и понять, на какой сайт он приведет.
- Избегать ввода данных на незнакомых сайтах. Важно показать сотрудникам, как проверять подлинность любого сайта. Во-первых, у него должно быть правильное доменное имя: никаких gosulsugi.ru или gosuslugi.io, если вы хотите попасть на Госуслуги. Во-вторых, у сайта должен быть SSL-сертификат — он обозначается значком замка в адресной строке. Если значка нет, значит, подключение не защищено и сайт вероятнее всего вредоносный.
- Использовать меры дополнительной защиты. Например, двухфакторную аутентификацию — когда для входа в аккаунт нужно получить сообщение с проверочным кодом. Объясните сотрудникам, что это сообщение нельзя называть и пересылать никому, даже сотрудникам службы поддержки.
Желательно проводить подобные инструктажи и тренинги раз в месяц, чтобы поддерживать бдительность сотрудников и освежать в памяти важные знания.
Как перейти на корпоративный мессенджер
Свести риски столкновения сотрудников с мошенничеством к минимуму поможет переход на корпоративный мессенджер. Расскажу, как это сделать.
Шаг 1. Посчитайте стоимость данных
Оцените потенциальные убытки от утечек. Это может быть стоимость потерянного контракта, слитые базы данных пользователей, убытки от утраты репутации и штрафы, которые придется заплатить за ущерб клиентам.
Сравните эти суммы с расходами на внедрение защищенного сервиса. В подавляющем большинстве случаев вторая цифра окажется меньше.
Шаг 2. Примите решение о переходе
Если вы понимаете, что безопасность важнее привычки, инициируйте переход в корпоративный мессенджер. А чтобы команда легче приняла новый инструмент, подключите ее к выбору продукта. Дайте возможность каждому сотруднику погрузиться в тему и сказать, какой из мессенджеров ему кажется лучшим и почему.
В общем случае корпоративный мессенджер должен обладать:
- Изолированным пространством без посторонних. Новые пользователи не должны появляться в мессенджере самостоятельно — их добавление и удаление из чатов необходимо проводить через системных администраторов.
- Настройками доступа к данным. В мессенджере должны быть разграничения в допуске к данным по ролям и должностям. Например, администраторы, CEO и исполнительный директор смогут просматривать все документы и материалы в компании. Руководители отделов — только информацию, которая относится к отделу. А сотрудники — только те данные, которые нужны им для выполнения задач.
- Интеграцией с системами безопасности. Надежный корпоративный мессенджер можно интегрировать с DLP- и SIEM-системами, которые мониторят рабочее пространство и сигнализируют, если произошла утечка. Например, они могут подсветить подозрительную активность сотрудника, если тот пытается передать данные за периметр сети. Или указать, что кто-то попытался сделать скриншот экрана — и предотвратить это нарушение.
- Гостевым доступом. С этой функцией необязательно добавлять подрядчиков, партнеров и сотрудников-фрилансеров в общее рабочее пространство — доступ к внутренним данным компании им ни к чему. Благодаря гостевому доступу им можно ограничить функционал и сузить круг допуска только до тех документов, которые нужны для работы. Так вам удастся исключить риски похищения и слива конфиденциальной информации.
Шаг 3. Решите, как будете переходить в новое пространство
Как только сделаете выбор, определитесь с методом ввода корпоративного мессенджера в компанию. Можете пойти двумя путями:
- Организовать плавный переход — постепенно переносить процессы в новое пространство и дать людям время на адаптацию. В этом случае вы с меньшей вероятностью поломаете процессы, но еще какое-то время будете уязвимы для атак извне, пока окончательно не покинете Telegram.
- Раскатать продукт на всю команду — и разом перенести в него все процессы. Это наверняка вызовет шок и потребует перенастраивать взаимодействие внутри компании. Но так сотрудники быстрее привыкнут к продукту, а бизнес станет устойчивее к утечкам.
Заключение
Пересмотрите роль Telegram в своем бизнесе — это хороший мессенджер для личного общения, но он не обеспечит вам надежной защиты данных. Сотрудникам компании может написать любой пользователь и при помощи методов социальной инженерии выманить конфиденциальную информацию, деньги и пароли.
Вопрос защиты данных — это не выбор, а необходимость. Чем раньше компания начнет внедрять правильные подходы, тем меньше вероятность утечек и связанных с ними убытков.
Читайте также:
Сплошной обман в этих электронных дивайсах.
Выход один. постепенный переход на обмен сообщениями по факсам, почте России, и не побоюсь этого слова - телетайпу. Медленно, но надёжно !
Телеграф - наш выбор. И любой другой способ, включая обычный телефон, не предусматривающий сбор и передачу данных об отправителе, получателе и содержании корреспонденции третьим лицам, тем более - рассылку копий посторонним. Даже авторам гаджетов, мессенджеров и прочего.
Ссылки на необходимость удалённого мониторинга и сбора данных для анализа сбоев, технической поддержки и др. и пр. не принимаются.
Хорошие рекомендации.
Из своего опыта могу добавить – с каждым сотрудником нужно проводить лично (если их много – показывать запись) обсуждение основных правил безопасности при работе с внешним периметром. Самое лучшее – установить DLP-систему (если позволяют средства), если ищем low-cost – нужно сегрегировать права так, чтобы доступы к внешнему периметру были только у тех, кто реально в этом нуждается. Например, можно завести отдельные ящики для переписки: contracts@company.ru (для работы с контрактами), bills@company.ru (для работы со счетами) и т.п. вместо ФИО сотрудников. При отправке и получении писем нужно проверять, какие адреса указаны в строке адреса, и какие – в СС вместо ВСС (если практика «теневых копий» применяется).
В отношении мессенджеров – Telegram (нативочка, здравствуй!) для бизнеса не является лучшим решением. Во-первых, он часто является целевой мишенью для хакинга, поэтому менее распространенный софт будет использовать безопаснее (в прошлом году встречался даже случай применения icq). Во-вторых, в Telegram часто ведется и личная переписка сотрудников: риск по ошибке отправить среди прочих рабочий файл повышается. Кроме того, функционал по удалению постов (да, как ни удивительно – даже серьезные контрагенты иногда «подчищают» историю приписки) привел к тому, что на некоторых программах MBA прямо указывают на риск такого удобства при согласовании важной информации.
Если мы говорим о малом бизнесе, который не обладает возможностями для развертывания собственной IT-инфраструктуры, он может арендовать ее у Яндекса или Mail.ru – оба вендора предлагают вполне приемлемые мессенджеры. Кроме того, у Яндекса (возможно, и у второго тоже – не проверял) сервисы сертифицированы под законодательство о защите персональных данных, соответственно «из коробки» получится развернуть устойчивое решение для оперативной связи внутри компании.
Но это возможно, если руководитель ранее никогда не общался с этим сотрудником через публичный мессенджер, и вдруг он там появился, и отдает указания.
Значит до этого были какие-то иные линии коммуникации.
Ну и вообще, в публичном мессенджере есть группы, и рабочие контакты скорее всего собраны в группу, а у группы есть администратор, который этого руководителя туда должен включить.
Ну или аккаунт в публичном мессенджере связан с телефонным номером, если сотрудник ранее общался с руководителем по телефону, то должно быть соответствие номеров, а в случае несоответствия (это может быть) у сотрудника должны возникнуть вопросы.
Почему мы в очередной раз говорим об инструментах и второстепенных деталях, а не о принципах и правилах информационной безопасности в компании, которым сотрудники должны следовать в обязательном порядке?
Дело вовсе не в мессенджерах.
Это важная часть корпоративной политики безопасности - использование собственных средств в закрытой корпоративной сети или каких-то внешних сервисов.
Как пример последнего времени - развертывание средств AI для поиска в корпоративных БД (скажем, средств семантического поиска), но без передачи данных через открытый Интернет.
Безусловно. Во внутренний периметр не должны попадать вообще никакие внешние данные, если они не являются необходимыми: "что не разрешено - запрещено". Сейчас, такое, конечно, реже встречается, но в начале 2000-х пришлось столкнуться с показательным случаем: в один банк пришел клиент и предложил сохранить ему на флешку пришедшие документы. Добрый операционист помог, и потом несколько месяцев банк боролся с Sality. По итогам работы все внешние порты компьютеров были заблокированы, и проблема более не повторялась.
Да, более того - даже при наличии возможности защищенного "облачного" развертывания компании предпочитают on-premise-решения. Кстати, не только для AI: некоторое время назад прямо тренд был и с переводчиком Deepl - "ловили" сотрудников, которым PROMT казался "недостаточно хорошим".
И это только начало беседы.
Защищенность в таких ситуациях - иллюзия. Это щит и меч.
Нужны специальные средства и специальные головы и руки, чтобы профессионально и постоянно искать бэкдоры и прочие нежелательные возможности доступа снаружи и наружу, включая недокументированные возможности кода приложений и, например, прошивок и разного рода сервисных режимов для коробок любого размера и стоимости.
Вспомним проблемы Huawei и ряда других китайских вендоров на телекоммуникационном рынке США - теперь рынок для них закрыт, хотя в США подобное оборудование вообще не производится, а сети строить нужно. И совершенно аналогичные по сути, но меньшего масштаба скандалы с Cisco и IBM в Китае. О дырах безопасности в коробочках для дома и семьи, которые используются для создания чудовищных по размерам и мощности ботнетов, просто так говорить уже поздно.
Но, если мы о реальности, количество нетехнических способов воровства корпоративных данных очень велико. Добавим человеческий фактор.
Я бы его назвал в первую очередь. Соревнование софта - это битва брони и снаряда, но уязвимость в персонале - опасность гораздо большая, поскольку он уже внутри. "Подбор - Обучение - Контроль", - в таком порядке мне видится решение задачи. Кадры как решали все, так и решают. Знакомые раз в полгода всех на полиграф гоняют - "исповедоваться". Может, и с "избытком", но вопрос лояльности решают.