Los empleados analfabetos son peligrosos para la empresa. Pueden romper tal leña que tendrán que ser sacados por los trenes. Esto es cierto para cualquier industria y posición y seguridad de la información. Se aplica en toda su extensión: al hacer clic en un archivo adjunto o en una unidad flash infectada traída desde su casa, eso es todo, un ransomware ransomware ingresa a la red de la compañía, el trabajo está paralizado, el departamento de TI busca copias de seguridad actualizadas para restaurar discos de computadora encriptados por el virus, y el buscador calcula las pérdidas de tiempo de inactividad.Además, de acuerdo con el conocido efecto Dunning-Krueger, los empleados analfabetos siguen confiando en que están haciendo todo bien o, al menos, no están haciendo nada terrible. Y esto es precisamente lo que a menudo conduce a consecuencias desastrosas.
De hecho, casi cualquier sistema de protección es inútil si los empleados no poseen al menos los principios básicos de seguridad de la información. Dichos empleados se convierten en las principales vulnerabilidades en el sistema informático de su empresa.
Al comprender este estado de cosas, los ciberdelincuentes utilizan cada vez más a las compañías víctimas como su vulnerabilidad ante sus ataques. Usar el analfabetismo humano es mucho más fácil que encontrar una vulnerabilidad en una red corporativa. Debido al analfabetismo en seguridad de la información, incluso de un empleado, una organización corre el riesgo de perder dinero, datos y reputación, reclamos legales o pérdida de equipos.
Los expertos de Trend Micro hablaron sobre los tipos de ataques que enfrentan los empleados: dispositivos comprometedores, phishing y recuerdos maliciosos.
Compromiso del dispositivo
El uso de sus propios dispositivos y computadoras portátiles (Traiga su propio dispositivo, BYOD) para trabajar en la empresa es una tendencia de moda, especialmente popular entre las nuevas empresas. Parece que tal organización del proceso es la encarnación del principio Win-Win: la empresa no tiene que gastar dinero en la compra y mantenimiento del lugar de trabajo, y el empleado trabaja en una computadora portátil que él mismo seleccionó y configuró. Si quiere trabajar en casa, no tendrá que copiar archivos de trabajo y el acceso a los sistemas corporativos ya está configurado. El costo de comprar el dispositivo se compensa con la capacidad de dormir más tiempo o incluso quedarse en casa, trabajando de forma remota.
Desde el punto de vista de la seguridad de la información, el uso de un dispositivo para resolver el trabajo y las tareas domésticas es una fuente de riesgos graves, especialmente si el empleado no es demasiado diligente en aprender los conceptos básicos de la seguridad de la información.
Después de un día ajetreado, quiero distraerme. Descargar películas y música, buscar juegos o programas pirateados puede provocar que algo perjudicial ingrese a la computadora. Y luego, cuando se conecta a una red corporativa, todos los datos de la empresa se verán comprometidos.
Si se encuentra con un café y se conecta a la red corporativa a través de una conexión Wi-Fi pública para finalizar el informe para una taza de café, las credenciales se pueden interceptar y utilizar para robar información confidencial. Y una computadora portátil o tableta puede ser robada o llevada de la casa a la oficina. Junto con la computadora portátil, los datos contenidos en ella también se filtrarán.
Muchas caras de phishing
La forma tradicional de organizar un flujo de trabajo en forma de computadoras estacionarias elimina parcialmente los riesgos típicos de BYOD, pero en este caso también, un nivel insuficiente de alfabetización informacional puede volverse fatal para una organización. Todos los empleados usan el correo electrónico, lo que significa que son víctimas potenciales de phishing: correos electrónicos fraudulentos disfrazados de correos electrónicos de servicios de entrega, contratistas, soporte técnico o administración.
Mediante el phishing, los ciberdelincuentes pueden obligar a la víctima a lanzar el malware adjunto a la carta, ingresar sus credenciales para ingresar a la red o incluso hacer un pago utilizando los detalles de los estafadores en lugar de una contraparte real.
El phishing es un peligro particular, en el que los ciberdelincuentes primero recopilan datos sobre la organización, su estructura, empleados y procesos de trabajo, y luego preparan cartas que contienen nombres y cargos reales, redactados de acuerdo con los estándares de la organización. Reconocer estas cartas es más difícil, por lo tanto, la efectividad de dichos correos es mucho mayor.
Los correos electrónicos de suplantación de identidad (phishing) no pueden contener archivos adjuntos maliciosos y parecen completamente inofensivos cuando se trata de un tipo de suplantación de identidad (phishing) como comprometer la correspondencia comercial (Business Email Compromise, BEC). En este caso, los estafadores comienzan la correspondencia con uno de los líderes de la compañía en nombre de otra organización y gradualmente lo convencen de la necesidad de transferir dinero a su cuenta. A pesar de la naturaleza fantástica del escenario descrito, fue así en la primavera de 2018 que los atacantes
atrajeron 19 millones de euros de la sucursal holandesa de la compañía de cine francesa Pathé .
Dispositivos sorpresa
Los atacantes no se quedan quietos. Seremos testigos de nuevas formas de ataques dirigidos a usuarios ingenuos y no todos se distribuirán a través de Internet. Un ejemplo es un ataque a través de una unidad flash gratuita. En eventos de socios, presentaciones, conferencias y solo como un regalo, los empleados a menudo reciben unidades flash con materiales de trabajo. Un empleado que no conoce los conceptos básicos de seguridad de la información probablemente insertará inmediatamente una unidad flash USB en la computadora al llegar a la oficina, y puede recibir una sorpresa maliciosa. A veces, los organizadores del evento ni siquiera saben que la computadora desde la que se grabaron los materiales publicitarios en la unidad flash USB estaba infectada con algo.
Esta técnica también se puede utilizar para infectar intencionalmente la computadora de una víctima. En 2016, se realizó un experimento en la Universidad de Illinois, esparciendo 300 unidades flash “cargadas” en todo el campus para verificar cuántas personas las usarán y qué tan pronto sucederá. Los resultados del experimento sorprendieron a los investigadores: la
primera unidad flash se conectó a la computadora después de 6 minutos , y solo el 48% de los que encontraron las unidades flash encontraron la unidad flash, y todos abrieron al menos un archivo en ella.
Uno de los ejemplos a gran escala de un ataque real (
DarkVishnya ), cuando los oficiales de seguridad del banco no notaron un dispositivo oculto conectado a la red. Para llevar a cabo el ataque, los atacantes ingresaron a las oficinas del banco bajo la apariencia de correos o visitantes, y luego conectaron silenciosamente una mini computadora Bash Bunny disfrazada como una unidad flash USB, una netbook económica o una computadora basada en Raspberry Pi de una sola placa equipada con un módem 3G / LTE a la red local del banco. El dispositivo se disfrazó como un entorno para que sea más difícil de detectar. Además, los atacantes se conectaron de forma remota a su dispositivo, escanearon la red del banco en busca de vulnerabilidades, lo penetraron y robaron dinero. Como resultado, varios bancos en Europa del Este sufrieron, y el daño de los ataques de DarkVishnya ascendió a varias decenas de millones de dólares.
El rendimiento impresionante de un ataque con unidades flash perdidas muestra cuán frívolas son las personas con respecto a la seguridad y cuán importante es educar a los usuarios sobre el comportamiento correcto en tales situaciones.
¿Qué hacer al respecto?
A pesar de la abundancia de protección de software y hardware en el mercado, vale la pena asignar parte del presupuesto para contrarrestar los ataques dirigidos a los empleados. Estas son las recomendaciones más importantes:
-
Para entrenar. Todos los empleados deben comprender que la ignorancia de los principios de seguridad de la información no exime de responsabilidad y, por lo tanto, deben estar interesados en aumentar su conciencia sobre este asunto. Por parte de la empresa, los costos de organizar y llevar a cabo seminarios de capacitación sobre seguridad de la información deben considerarse inversiones para reducir riesgos y prevenir daños.
-
entrenar. El conocimiento teórico se exprime rápidamente de la memoria por información más popular. Fortalecer las habilidades en la práctica ayudará a entrenar ataques. Con su ayuda, puede identificar a los empleados que no han aprendido la información y realizar una nueva capacitación para ellos.
-
Implementar la política "Ver algo, decir algo". Ante una amenaza cibernética, un empleado puede permanecer en silencio sobre esto hasta el final, por temor a ser despedido o tratar de eliminarlo de forma independiente. Mientras tanto, la notificación oportuna de un incidente ayuda a prevenir la propagación de malware a través de la red corporativa. En base a esto, es importante crear regulaciones de servicio de tal manera que el empleado que informa el ataque reciba gratitud, y el servicio de seguridad de la información pueda solucionar la amenaza y comenzar a eliminarla.
Conclusión
Cualquier sistema informático es vulnerable y, como regla, el eslabón más débil es una persona. La tarea de cada líder empresarial es minimizar los riesgos en el campo de la seguridad de la información asociados con los ataques a los empleados. Para resolver este problema, la capacitación, la capacitación y la organización adecuada del procesamiento de incidentes cibernéticos ayudarán. Idealmente, tener una comprensión básica de la ciberseguridad debería ser parte de una filosofía corporativa.