Публичные мессенджеры — самые популярные решения для корпоративного общения. По данным TGStat, 52% россиян используют Telegram для деловой коммуникации. Еще 43% работают в WhatsApp. Так происходит даже в том случае, если у компании есть корпоративный мессенджер — сотрудникам проще свести личные и деловые связи в одно приложение, чтобы меньше переключаться.
Подобная тяга к привычному понятна, но она несет большие риски для компаний. Проблема в том, что популярные мессенджеры не предназначены для защиты конфиденциальной информации бизнеса — и через них чаще всего случаются утечки данных.
Иногда они происходит по ошибке, временами — из-за наивности сотрудников, а порой — намеренно.
Какие утекают данные из Telegram
Рассмотрим три распространенных сценария утечки данных через Telegram.
1. Fake Boss
Схема, в которой мошенники создают поддельный аккаунт руководителя. Они указывают его имя, копируют аватарку и другую информацию из открытых источников или похищенных баз. Все для того чтобы обмануть сотрудников и выманить у них деньги, доступы к аккаунтам или чувствительные данные.
Вот какие сообщения можно получить от скамеров:
- «Срочно переведите деньги контрагентам по сделке N — пришлю реквизиты ниже. Все детали обсудим завтра на совещании».
- «Пожалуйста, пришли отчеты за этот месяц, чтобы я мог подготовиться к защите».
Особо опытные мошенники копируют манеру общения руководителя, чтобы вызвать минимальные подозрения у сотрудников. Но обычно страх подвести или рассердить начальника сам по себе подавляет сомнения. А еще далеко не все сотрудники хранят контакт руководителя в Telegram, поэтому могут просто не заметить подмены. И тогда они послушно пересылают деньги на поддельные счета и передают конфиденциальную информацию.
Но даже если сотрудник заподозрит подвох, то скамеры могут использовать аудиодипфейки и записать голосовое голосом шефа. Или позвонить — и пообщаться с человеком напрямую.
Схема Fake Boss работает, потому что в спешке люди не способны качественно анализировать информацию. А еще потому что в Telegram нет инструментов, которые помогли бы проверить подлинность аккаунтов. Написать сотруднику может любой пользователь мессенджера — а значит, опасность лишиться данных есть всегда.
2. Фишинговый подарок с премиум-подпиской
Как только в Telegram появились подарки, мошенники придумали схему обмана с ними. Они рассылают сообщения: «Поздравляем, вам досталась бесплатная премиум-версия приложения» — и сопровождают их фишинговой ссылкой. После перехода по ней данные аккаунта оказываются в руках скамеров — и это в лучшем случае. Иногда такой метод фишинга приводит к тому, что хакеры взламывают смартфон целиком.
Схема опасна потому, что сообщения могут приходить не только с незнакомых или поддельных аккаунтов, но и от ваших друзей и коллег, если их взломают. Так что будьте начеку: если вдруг вам прилетит неожиданный «подарок», дважды подумайте, прежде чем переходить по ссылке. За такой «премиум» можно заплатить слишком дорого.
3. Сотрудник в чатах после увольнения
Когда сотрудник покидает компанию, он нередко продолжает оставаться участником рабочих чатов в Telegram. В лучшем случае он просто игнорирует эти сообщения. В худшем — активно копирует их и использует полученную информацию, чтобы нанести вред бывшему работодателю.
Например, он может слить данные компании конкурентам, продать их на черном рынке и даже перейти к шантажу. Вариантов, как получить выгоду от уязвимости мессенджера, очень много. А отследить, кто именно сливает информацию, практически невозможно.
Как обезопасить данные бизнеса в Telegram
Защитить данные в Telegram на 100% невозможно. Это не корпоративный инструмент, а публичный мессенджер, разработанный с приоритетом удобства и скорости. Безопасность в нем вторична, что бы ни заявляли разработчики.
Если вы и дальше хотите использовать этот мессенджер для корпоративного общения, то можете минимизировать риск утечек обучением сотрудников. Научите их двум вещам.
1. Распознавать социальную инженерию
Согласно исследованию ИБ-компании Positive Technologies, 31% успешных атак на компании мошенники провели с помощью элементов социальной инженерии. Для начала расскажите о принципах, которые лежат в основе этого метода.
Доверие к авторитету. Злоумышленники выдают себя за специалистов, к которым у людей есть доверие, уважение или страх. Например, они могут представиться специалистами службы поддержки, коллегами или руководителями.
Создание чувства срочности. Нельзя давать человеку ни секунды на размышления — выполнить задачу нужно сейчас, иначе случится что-то страшное. Например, если начальник не успеет подготовиться к презентации, то выступление получится слабым, и он не убедит инвесторов выделить больше денег. Поэтому ему нужны сценарий и отчет немедленно — скинь, или подведешь всю компанию.
Игра на эмоциях. Этот пункт связан с предыдущим: обычно к чувству срочности примешиваются эмоции. Например;
- страх — «уволю, если не сделаешь»;
- сочувствие — «не хочу подвести команду, поэтому мне нужна твоя помощь»;
- радость — «за расторопность выпишу премию» и т. д.
Еще мошенники стараются имитировать стиль общения реального человека и даже учитывают, общались вы сегодня или нет. Все это помогает им втираться в доверие и усыпить бдительность жертв.
2. Противостоять мошенничеству
Чтобы сотрудники эффективнее распознавали социальную инженерию, обучите их:
- Всегда проверять отправителя. Необходимо внимательно смотреть на адреса электронной почты, ники в мессенджере, аватарки и описания аккаунтов. Неточности в этих данных должны насторожить.
- Не спешить с принятием решений. Научите сотрудников сопротивляться давлению и запугиваниям. Донесите до них простую мысль: безопасность данных важнее, чем эмоциональное состояние одного человека, пусть даже он и руководитель. Даже если сотруднику действительно пишет начальник и просит срочно скинуть документ, лучше взять паузу на 5-10 минут и перепроверить контакт. Маленький временной лаг вряд ли повредит, но поможет компании сэкономить миллионы.
- Избегать подозрительных ссылок. Донесите до сотрудников, что открывать ссылки из неизвестных источников опасно. Если они хотят посмотреть и убедиться, что ссылка не вредоносная, пусть наведут на нее курсор: так можно увидеть адрес и понять, на какой сайт он приведет.
- Избегать ввода данных на незнакомых сайтах. Важно показать сотрудникам, как проверять подлинность любого сайта. Во-первых, у него должно быть правильное доменное имя: никаких gosulsugi.ru или gosuslugi.io, если вы хотите попасть на Госуслуги. Во-вторых, у сайта должен быть SSL-сертификат — он обозначается значком замка в адресной строке. Если значка нет, значит, подключение не защищено и сайт вероятнее всего вредоносный.
- Использовать меры дополнительной защиты. Например, двухфакторную аутентификацию — когда для входа в аккаунт нужно получить сообщение с проверочным кодом. Объясните сотрудникам, что это сообщение нельзя называть и пересылать никому, даже сотрудникам службы поддержки.
Желательно проводить подобные инструктажи и тренинги раз в месяц, чтобы поддерживать бдительность сотрудников и освежать в памяти важные знания.
Как перейти на корпоративный мессенджер
Свести риски столкновения сотрудников с мошенничеством к минимуму поможет переход на корпоративный мессенджер. Расскажу, как это сделать.
Шаг 1. Посчитайте стоимость данных
Оцените потенциальные убытки от утечек. Это может быть стоимость потерянного контракта, слитые базы данных пользователей, убытки от утраты репутации и штрафы, которые придется заплатить за ущерб клиентам.
Сравните эти суммы с расходами на внедрение защищенного сервиса. В подавляющем большинстве случаев вторая цифра окажется меньше.
Шаг 2. Примите решение о переходе
Если вы понимаете, что безопасность важнее привычки, инициируйте переход в корпоративный мессенджер. А чтобы команда легче приняла новый инструмент, подключите ее к выбору продукта. Дайте возможность каждому сотруднику погрузиться в тему и сказать, какой из мессенджеров ему кажется лучшим и почему.
В общем случае корпоративный мессенджер должен обладать:
- Изолированным пространством без посторонних. Новые пользователи не должны появляться в мессенджере самостоятельно — их добавление и удаление из чатов необходимо проводить через системных администраторов.
- Настройками доступа к данным. В мессенджере должны быть разграничения в допуске к данным по ролям и должностям. Например, администраторы, CEO и исполнительный директор смогут просматривать все документы и материалы в компании. Руководители отделов — только информацию, которая относится к отделу. А сотрудники — только те данные, которые нужны им для выполнения задач.
- Интеграцией с системами безопасности. Надежный корпоративный мессенджер можно интегрировать с DLP- и SIEM-системами, которые мониторят рабочее пространство и сигнализируют, если произошла утечка. Например, они могут подсветить подозрительную активность сотрудника, если тот пытается передать данные за периметр сети. Или указать, что кто-то попытался сделать скриншот экрана — и предотвратить это нарушение.
- Гостевым доступом. С этой функцией необязательно добавлять подрядчиков, партнеров и сотрудников-фрилансеров в общее рабочее пространство — доступ к внутренним данным компании им ни к чему. Благодаря гостевому доступу им можно ограничить функционал и сузить круг допуска только до тех документов, которые нужны для работы. Так вам удастся исключить риски похищения и слива конфиденциальной информации.
Шаг 3. Решите, как будете переходить в новое пространство
Как только сделаете выбор, определитесь с методом ввода корпоративного мессенджера в компанию. Можете пойти двумя путями:
- Организовать плавный переход — постепенно переносить процессы в новое пространство и дать людям время на адаптацию. В этом случае вы с меньшей вероятностью поломаете процессы, но еще какое-то время будете уязвимы для атак извне, пока окончательно не покинете Telegram.
- Раскатать продукт на всю команду — и разом перенести в него все процессы. Это наверняка вызовет шок и потребует перенастраивать взаимодействие внутри компании. Но так сотрудники быстрее привыкнут к продукту, а бизнес станет устойчивее к утечкам.
Заключение
Пересмотрите роль Telegram в своем бизнесе — это хороший мессенджер для личного общения, но он не обеспечит вам надежной защиты данных. Сотрудникам компании может написать любой пользователь и при помощи методов социальной инженерии выманить конфиденциальную информацию, деньги и пароли.
Вопрос защиты данных — это не выбор, а необходимость. Чем раньше компания начнет внедрять правильные подходы, тем меньше вероятность утечек и связанных с ними убытков.
Читайте также:
Я согласен с вами! Дело не в мессенджерах. Хотя советы правильные. Не можешь технически обеспечить безопасность данных, защищай их административно. Воспитывать и призывать людей бесполезнно. Инициатором обмена информацией може выступить, например, твой друг или подруга. Перехватить канал в некоторых мессенджерах не очень сложно.
Ну а советы всё-таки верные. Самодисциплина.
Кто-то ведь даже свои интимные фотки в сеть выкладывает. )))
И как с ними бороться?
Не пользоваться мессенджерами, если это вызывает перечисленные в статье и все прочие проблемы.
Если мы о бизнесе, корпоративной переписке и обмене информацией, то начинать нужно с правил. А потом следить за их соблюдением и делать работу над ошибками. Бесплатных сервисов не бывает, а ошибки могут стоить - и стоят - слишком дорого.
Уборщиц тоже прогоняют через полиграф?
Но для борьбы с угрозами нужно - для начала - составить их список. А внешние атаки могут быть совершенно неожиданными для персонала, которые узнаёт (или не узнаёт) о них по факту.
Интересная мысль. Могли бы они рассказать про конкурентов, следовало бы их нанять.
На самом деле все очень органично сложилось: у руководства "в прошлой жизни" был соответствующий опыт работы с техническими средствами съема информации. Сам коллектив - очень молодой, на очень хорошей зарплате, и "опция" проверок изначально шла в "пакетном предложении". Вопросов не возникало. Получился экологичный win-win, в чем-то - даже с элементом геймификации.
Но для борьбы с угрозами нужно - для начала - составить их список.
В этом уже достаточно давно нет know-how - все фреймворки доступны публично, для примера - 7 категорий операционного риска по Basel III:
Отрисовать в рамках категорий угроз mind map никакой проблемы не представляет. Бывает сразу понятно, какие риски следует приоритизировать. Если нет - можно построить диаграмму Исикавы и/или диаграмму «галстук-бабочка».
В особо сложных случаях может потребоваться реестр риска, но и для него есть наработки - ГОСТ Р 51901.22-2012. Для малого и среднего бизнеса, как правило, до реестра не доходит.
Представляете, сколько всего можно найти в корзинах для бумаг после окончания рабочего дня, ночью и в выходные?
Почему нет, если работает - как часть системы.
Но для борьбы с угрозами нужно - для начала - составить их список.
Увы, жизнь намного богаче.
Мы говорим о разном. Такого рода документы, хотя они практически всегда так или иначе учитывают сложившуюся реальность (иначе кому они были бы нужны), принимаются кем-то снаружи, в произвольное время, долго внедряются в практику, но слабо связаны с проблемами ИБ.
ИБ - всегда естественная часть системы управления корпоративными рисками, но дальше каждый должен делать своё дело как можно лучше. Была бы такая система. Почему я, собственно, и удивился выше, зачем сразу и подробно говорить о мессенджерах, а не о проблеме в целом - хотя бы для начала. Надеюсь, моя мысль понятна.
Риск-менеджер не пишет и не применяет сканеры кода, не конфигурирует сетевые устройства и не следит за количеством и качеством резервных копий корпоративных БД. Используемые средства SaaS заведомо вне зоны его контроля. Тем более - не проверяет, кто может услышать чужие разговоры в Open Space или посмотреть через плечо того, кто и кому что-то пишет.
Рисовать диаграммы по уже имеющимся данным - это рутина. Представлять, что на свете было, бывает или может случиться - часть работа профессионала. И только часть, причем далеко не самая сложная. Что-то из списка нужно хотя бы постараться предотвратить. Сравните с медициной и врачебной практикой для простых и сложных случаев.
Посмотрите, если не боитесь ночных кошмаров, отчеты больших компаний, специализирующихся в области ИБ. С непривычки впечатляет - даже со скидкой на то, что данные публикуются после фильтрации и в минимальном объеме, но, примерно через полгода регулярного чтения, привыкаешь и к такому.
В современном бизнесе объемы использования принтеров сильно сократились. Если документы путешествуют за сотрудниками в ноутбуках, уборщицу ждет разочарование, даже при условии, что она в состоянии распознать представляющую ценность информацию. Только тогда это будет уборщица "под прикрытием".
В отношении же защиты уникальных копий распечатанных документов / скринов экрана - тоже есть вполне пригодные решения.
В целом, совмещение практики беседы с сотрудниками и организации правильного периметра безопасности бизнес-процессов радикально снижают, но не устраняют полностью операционные риски. Оставляемая на собственном удержании их часть будет составлять стоимость ведения бизнеса, которая покрывается собственником из его кармана. Чем лучше будет сделана "домашняя работа" - тем меньше окажется счет за беспечность.
Записит от регулятора и отрасли. Принтеры и шкафы для папок пока продаются.
... то это - еще один источник угроз. Ноутбуки теряются и/или могут находиться какое-то время вне контроля.
Вы же выше говорили о полиграфе? Уборщице не нужно никуда ездить или что-то понимать. Всё уже в урне, к примеру - черновики. Или на столе, с которого вытирают пыль.
И я хорошо помню случай, когда ноутбук сотрудника унесли прямо с рабочего стола во время вечернего мероприятия - он не был пристегнут. Разбирались три дня, удалось вернуть. Было непросто.
Решения есть или их можно придумать, если ты понимаешь проблему. Мы говорим о необходимости системы (!) информационной безопасности и практике корпоративного применения.
Те же грабли. Мы не можем полностью устранить риски, включая риски утраты или несанкционированного доступа к конфиденциальной и прочей корпоративной информации снаружи или изнутри. Никто не может, это события будущего времени и их последствия.
Цель ИБ - минимизировать, если не предотвратить, такие последствия всеми возможными способами. Например, запретить вести корпоративную переписку в чужих мессенджерах, внешних почтах и пр.. И, естественно, держать руку на пульсе и делать домашнюю работу, это тоже части той же системы.
Вы правы! с этого начинаеется вся ОБИ. И никогда не заканчивается. Новый сотрудник - новые потенциальные угрозы. И так бесконечно.
Ну и само собой техническая защита, категорирование и прочее. У нас есть помещения, в которых гарантировано минимизированы все угрозы компрометации информации.
Мессенджеры - это самый верхний уровень. Они на виду. Бывает всё гораздо серьёзнее.