Публичные мессенджеры — самые популярные решения для корпоративного общения. По данным TGStat, 52% россиян используют Telegram для деловой коммуникации. Еще 43% работают в WhatsApp. Так происходит даже в том случае, если у компании есть корпоративный мессенджер — сотрудникам проще свести личные и деловые связи в одно приложение, чтобы меньше переключаться.
Подобная тяга к привычному понятна, но она несет большие риски для компаний. Проблема в том, что популярные мессенджеры не предназначены для защиты конфиденциальной информации бизнеса — и через них чаще всего случаются утечки данных.
Иногда они происходит по ошибке, временами — из-за наивности сотрудников, а порой — намеренно.
Какие утекают данные из Telegram
Рассмотрим три распространенных сценария утечки данных через Telegram.
1. Fake Boss
Схема, в которой мошенники создают поддельный аккаунт руководителя. Они указывают его имя, копируют аватарку и другую информацию из открытых источников или похищенных баз. Все для того чтобы обмануть сотрудников и выманить у них деньги, доступы к аккаунтам или чувствительные данные.
Вот какие сообщения можно получить от скамеров:
- «Срочно переведите деньги контрагентам по сделке N — пришлю реквизиты ниже. Все детали обсудим завтра на совещании».
- «Пожалуйста, пришли отчеты за этот месяц, чтобы я мог подготовиться к защите».
Особо опытные мошенники копируют манеру общения руководителя, чтобы вызвать минимальные подозрения у сотрудников. Но обычно страх подвести или рассердить начальника сам по себе подавляет сомнения. А еще далеко не все сотрудники хранят контакт руководителя в Telegram, поэтому могут просто не заметить подмены. И тогда они послушно пересылают деньги на поддельные счета и передают конфиденциальную информацию.
Но даже если сотрудник заподозрит подвох, то скамеры могут использовать аудиодипфейки и записать голосовое голосом шефа. Или позвонить — и пообщаться с человеком напрямую.
Схема Fake Boss работает, потому что в спешке люди не способны качественно анализировать информацию. А еще потому что в Telegram нет инструментов, которые помогли бы проверить подлинность аккаунтов. Написать сотруднику может любой пользователь мессенджера — а значит, опасность лишиться данных есть всегда.
2. Фишинговый подарок с премиум-подпиской
Как только в Telegram появились подарки, мошенники придумали схему обмана с ними. Они рассылают сообщения: «Поздравляем, вам досталась бесплатная премиум-версия приложения» — и сопровождают их фишинговой ссылкой. После перехода по ней данные аккаунта оказываются в руках скамеров — и это в лучшем случае. Иногда такой метод фишинга приводит к тому, что хакеры взламывают смартфон целиком.
Схема опасна потому, что сообщения могут приходить не только с незнакомых или поддельных аккаунтов, но и от ваших друзей и коллег, если их взломают. Так что будьте начеку: если вдруг вам прилетит неожиданный «подарок», дважды подумайте, прежде чем переходить по ссылке. За такой «премиум» можно заплатить слишком дорого.
3. Сотрудник в чатах после увольнения
Когда сотрудник покидает компанию, он нередко продолжает оставаться участником рабочих чатов в Telegram. В лучшем случае он просто игнорирует эти сообщения. В худшем — активно копирует их и использует полученную информацию, чтобы нанести вред бывшему работодателю.
Например, он может слить данные компании конкурентам, продать их на черном рынке и даже перейти к шантажу. Вариантов, как получить выгоду от уязвимости мессенджера, очень много. А отследить, кто именно сливает информацию, практически невозможно.
Как обезопасить данные бизнеса в Telegram
Защитить данные в Telegram на 100% невозможно. Это не корпоративный инструмент, а публичный мессенджер, разработанный с приоритетом удобства и скорости. Безопасность в нем вторична, что бы ни заявляли разработчики.
Если вы и дальше хотите использовать этот мессенджер для корпоративного общения, то можете минимизировать риск утечек обучением сотрудников. Научите их двум вещам.
1. Распознавать социальную инженерию
Согласно исследованию ИБ-компании Positive Technologies, 31% успешных атак на компании мошенники провели с помощью элементов социальной инженерии. Для начала расскажите о принципах, которые лежат в основе этого метода.
Доверие к авторитету. Злоумышленники выдают себя за специалистов, к которым у людей есть доверие, уважение или страх. Например, они могут представиться специалистами службы поддержки, коллегами или руководителями.
Создание чувства срочности. Нельзя давать человеку ни секунды на размышления — выполнить задачу нужно сейчас, иначе случится что-то страшное. Например, если начальник не успеет подготовиться к презентации, то выступление получится слабым, и он не убедит инвесторов выделить больше денег. Поэтому ему нужны сценарий и отчет немедленно — скинь, или подведешь всю компанию.
Игра на эмоциях. Этот пункт связан с предыдущим: обычно к чувству срочности примешиваются эмоции. Например;
- страх — «уволю, если не сделаешь»;
- сочувствие — «не хочу подвести команду, поэтому мне нужна твоя помощь»;
- радость — «за расторопность выпишу премию» и т. д.
Еще мошенники стараются имитировать стиль общения реального человека и даже учитывают, общались вы сегодня или нет. Все это помогает им втираться в доверие и усыпить бдительность жертв.
2. Противостоять мошенничеству
Чтобы сотрудники эффективнее распознавали социальную инженерию, обучите их:
- Всегда проверять отправителя. Необходимо внимательно смотреть на адреса электронной почты, ники в мессенджере, аватарки и описания аккаунтов. Неточности в этих данных должны насторожить.
- Не спешить с принятием решений. Научите сотрудников сопротивляться давлению и запугиваниям. Донесите до них простую мысль: безопасность данных важнее, чем эмоциональное состояние одного человека, пусть даже он и руководитель. Даже если сотруднику действительно пишет начальник и просит срочно скинуть документ, лучше взять паузу на 5-10 минут и перепроверить контакт. Маленький временной лаг вряд ли повредит, но поможет компании сэкономить миллионы.
- Избегать подозрительных ссылок. Донесите до сотрудников, что открывать ссылки из неизвестных источников опасно. Если они хотят посмотреть и убедиться, что ссылка не вредоносная, пусть наведут на нее курсор: так можно увидеть адрес и понять, на какой сайт он приведет.
- Избегать ввода данных на незнакомых сайтах. Важно показать сотрудникам, как проверять подлинность любого сайта. Во-первых, у него должно быть правильное доменное имя: никаких gosulsugi.ru или gosuslugi.io, если вы хотите попасть на Госуслуги. Во-вторых, у сайта должен быть SSL-сертификат — он обозначается значком замка в адресной строке. Если значка нет, значит, подключение не защищено и сайт вероятнее всего вредоносный.
- Использовать меры дополнительной защиты. Например, двухфакторную аутентификацию — когда для входа в аккаунт нужно получить сообщение с проверочным кодом. Объясните сотрудникам, что это сообщение нельзя называть и пересылать никому, даже сотрудникам службы поддержки.
Желательно проводить подобные инструктажи и тренинги раз в месяц, чтобы поддерживать бдительность сотрудников и освежать в памяти важные знания.
Как перейти на корпоративный мессенджер
Свести риски столкновения сотрудников с мошенничеством к минимуму поможет переход на корпоративный мессенджер. Расскажу, как это сделать.
Шаг 1. Посчитайте стоимость данных
Оцените потенциальные убытки от утечек. Это может быть стоимость потерянного контракта, слитые базы данных пользователей, убытки от утраты репутации и штрафы, которые придется заплатить за ущерб клиентам.
Сравните эти суммы с расходами на внедрение защищенного сервиса. В подавляющем большинстве случаев вторая цифра окажется меньше.
Шаг 2. Примите решение о переходе
Если вы понимаете, что безопасность важнее привычки, инициируйте переход в корпоративный мессенджер. А чтобы команда легче приняла новый инструмент, подключите ее к выбору продукта. Дайте возможность каждому сотруднику погрузиться в тему и сказать, какой из мессенджеров ему кажется лучшим и почему.
В общем случае корпоративный мессенджер должен обладать:
- Изолированным пространством без посторонних. Новые пользователи не должны появляться в мессенджере самостоятельно — их добавление и удаление из чатов необходимо проводить через системных администраторов.
- Настройками доступа к данным. В мессенджере должны быть разграничения в допуске к данным по ролям и должностям. Например, администраторы, CEO и исполнительный директор смогут просматривать все документы и материалы в компании. Руководители отделов — только информацию, которая относится к отделу. А сотрудники — только те данные, которые нужны им для выполнения задач.
- Интеграцией с системами безопасности. Надежный корпоративный мессенджер можно интегрировать с DLP- и SIEM-системами, которые мониторят рабочее пространство и сигнализируют, если произошла утечка. Например, они могут подсветить подозрительную активность сотрудника, если тот пытается передать данные за периметр сети. Или указать, что кто-то попытался сделать скриншот экрана — и предотвратить это нарушение.
- Гостевым доступом. С этой функцией необязательно добавлять подрядчиков, партнеров и сотрудников-фрилансеров в общее рабочее пространство — доступ к внутренним данным компании им ни к чему. Благодаря гостевому доступу им можно ограничить функционал и сузить круг допуска только до тех документов, которые нужны для работы. Так вам удастся исключить риски похищения и слива конфиденциальной информации.
Шаг 3. Решите, как будете переходить в новое пространство
Как только сделаете выбор, определитесь с методом ввода корпоративного мессенджера в компанию. Можете пойти двумя путями:
- Организовать плавный переход — постепенно переносить процессы в новое пространство и дать людям время на адаптацию. В этом случае вы с меньшей вероятностью поломаете процессы, но еще какое-то время будете уязвимы для атак извне, пока окончательно не покинете Telegram.
- Раскатать продукт на всю команду — и разом перенести в него все процессы. Это наверняка вызовет шок и потребует перенастраивать взаимодействие внутри компании. Но так сотрудники быстрее привыкнут к продукту, а бизнес станет устойчивее к утечкам.
Заключение
Пересмотрите роль Telegram в своем бизнесе — это хороший мессенджер для личного общения, но он не обеспечит вам надежной защиты данных. Сотрудникам компании может написать любой пользователь и при помощи методов социальной инженерии выманить конфиденциальную информацию, деньги и пароли.
Вопрос защиты данных — это не выбор, а необходимость. Чем раньше компания начнет внедрять правильные подходы, тем меньше вероятность утечек и связанных с ними убытков.
Читайте также: