Funcionários analfabetos são perigosos para a empresa. Eles podem quebrar tanta lenha que terão que ser retirados pelos trens. Isso se aplica a qualquer setor, segurança de posição e informações. Aplica-se a toda a extensão: clicar em um anexo ou em uma unidade flash infectada trazida de casa - isso é tudo, um ransomware ransomware entra na rede da empresa, o trabalho é paralisado, o departamento de TI pesquisa backups atualizados para restaurar discos de computador criptografados pelo vírus e o localizador calcula as perdas de tempo de inatividade.Além disso, de acordo com o conhecido efeito Dunning-Krueger, os funcionários analfabetos continuam confiantes de que estão fazendo tudo certo ou, pelo menos, não estão fazendo nada terrível. E é exatamente isso que muitas vezes leva a conseqüências desastrosas.
De fato, quase todo sistema de proteção é inútil se os funcionários não possuem pelo menos o básico de segurança da informação. Esses funcionários se tornam as principais vulnerabilidades no sistema de computadores da sua empresa.
Para entender esse estado de coisas, os cibercriminosos estão usando cada vez mais as empresas vítimas como vulnerabilidades em seus ataques. Usar o analfabetismo humano é muito mais fácil do que encontrar uma vulnerabilidade em uma rede corporativa. Devido ao analfabetismo de segurança da informação, mesmo de um funcionário, uma organização corre o risco de perder dinheiro, dados e reputação, obter reivindicações legais ou perder equipamentos.
Os especialistas da Trend Micro falaram sobre os tipos de ataques que os funcionários enfrentam: dispositivos comprometidos, phishing e lembranças maliciosas.
Comprometimento do dispositivo
Usar seus próprios gadgets e laptops (Traga seu próprio dispositivo, BYOD) para trabalhar na empresa é uma tendência da moda, especialmente popular entre as startups. Parece que essa organização do processo é a personificação do princípio Win-Win: a empresa não precisa gastar dinheiro na compra e manutenção do local de trabalho, e o funcionário trabalha em um laptop que ele próprio selecionou e configurou. Se ele quiser trabalhar em casa, ele não precisará copiar arquivos de trabalho e o acesso aos sistemas corporativos já está configurado. O custo da compra do dispositivo é compensado pela capacidade de dormir mais tempo ou até ficar em casa, trabalhando remotamente.
Do ponto de vista da segurança da informação, o uso de um dispositivo para resolver tarefas domésticas e de trabalho é uma fonte de riscos sérios, especialmente se o funcionário não for muito diligente no aprendizado dos conceitos básicos de segurança da informação.
Depois de um dia agitado, quero me distrair. Baixar filmes e músicas, procurar jogos ou programas pirateados pode causar danos ao computador. E então, quando conectado a uma rede corporativa, todos os dados da empresa serão comprometidos.
Se você encontrar um café e se conectar à rede corporativa por meio de um Wi-Fi público para concluir o relatório de uma xícara de café, as credenciais poderão ser interceptadas e usadas para roubar informações confidenciais. E um laptop ou tablet pode ser roubado ou levado da casa para o escritório. Juntamente com o laptop, os dados contidos nele também vazam.
Muitas faces de phishing
A maneira tradicional de organizar um fluxo de trabalho na forma de computadores estacionários remove parcialmente os riscos típicos do BYOD, mas também neste caso, um nível insuficiente de conhecimento de informações pode se tornar fatal para uma organização. Todos os funcionários usam o email, o que significa que são possíveis vítimas de phishing - emails fraudulentos disfarçados de emails de serviços de entrega, prestadores de serviços, suporte técnico ou gerenciamento.
Usando phishing, os cibercriminosos podem forçar a vítima a iniciar o malware anexado à carta, inserir suas credenciais para entrar na rede ou até mesmo efetuar um pagamento usando os detalhes de fraudadores em vez de uma contraparte real.
O spear phishing é um perigo particular, no qual os cibercriminosos primeiro coletam dados sobre a organização, sua estrutura, funcionários e processos de trabalho e, em seguida, preparam cartas contendo nomes e posições reais, elaborados de acordo com os padrões da organização. O reconhecimento dessas cartas é mais difícil, portanto, a eficácia dessas correspondências é muito maior.
Os e-mails de phishing podem não conter anexos maliciosos e parecer completamente inofensivos quando se trata de um tipo de phishing que compromete a correspondência comercial (Compromisso de E-mail Comercial, BEC). Nesse caso, os fraudadores começam a correspondência com um dos líderes da empresa em nome de outra organização e gradualmente o convencem da necessidade de transferir dinheiro para sua conta. Apesar da natureza fantástica do cenário descrito, foi na primavera de 2018 que os atacantes
atraíram 19 milhões de euros da filial holandesa da produtora de cinema francesa Pathé .
Surprise Devices
Os atacantes não ficam parados. Testemunharemos novas formas de ataques direcionados a usuários ingênuos e nem todos serão distribuídos pela Internet. Um exemplo é um ataque através de uma unidade flash gratuita. Em eventos de parceiros, apresentações, conferências e apenas como presente, os funcionários geralmente recebem flash drives com materiais de trabalho. Um funcionário que não conhece o básico de segurança da informação provavelmente inserirá imediatamente uma unidade flash USB no computador após a chegada ao escritório - e poderá receber uma surpresa maliciosa. Às vezes, os organizadores do evento nem sabem que o computador no qual os materiais publicitários foram gravados na unidade flash USB estava infectado com alguma coisa.
Essa técnica também pode ser usada para infectar intencionalmente o computador da vítima. Em 2016, um experimento foi realizado na Universidade de Illinois, espalhando 300 pen drives "carregados" pelo campus para verificar quantas pessoas os usarão e em quanto tempo isso acontecerá. Os resultados do experimento surpreenderam os pesquisadores: o
primeiro pen drive foi conectado ao computador após 6 minutos , e apenas 48% dos que encontraram os pen drives encontraram o pen drive, e todos abriram pelo menos um arquivo nele.
Um dos exemplos em larga escala de um ataque real (
DarkVishnya ), quando os agentes de segurança do banco não notaram um dispositivo oculto conectado à rede. Para realizar o ataque, os atacantes entraram nos escritórios do banco sob o disfarce de correios ou visitantes e, em seguida, conectaram silenciosamente um minicomputador Bash Bunny disfarçado de unidade flash USB, um netbook barato ou um computador baseado em Raspberry Pi de placa única equipado com um modem 3G / LTE à rede local do banco. O dispositivo se disfarçou de ambiente para dificultar a detecção. Além disso, os atacantes se conectaram remotamente ao dispositivo, examinaram a rede do banco em busca de vulnerabilidades, o penetraram e roubaram dinheiro. Como resultado, vários bancos da Europa Oriental sofreram e os danos dos ataques de DarkVishnya totalizaram várias dezenas de milhões de dólares.
O desempenho impressionante de um ataque com flash drives perdidos mostra o quão frívola é a segurança e como é importante educar os usuários sobre o comportamento correto nessas situações.
O que fazer sobre isso?
Apesar da abundância de proteção de software e hardware no mercado, vale a pena alocar parte do orçamento para combater ataques direcionados aos funcionários. Aqui estão as recomendações mais importantes:
Treinar. Todos os funcionários devem entender que o desconhecimento dos princípios de segurança da informação não exime de responsabilidade e, portanto, deve estar interessado em conscientizar sobre esse assunto. Por parte da empresa, os custos de organização e realização de seminários de treinamento em segurança da informação devem ser considerados investimentos na redução de riscos e na prevenção de danos.
Treinar. O conhecimento teórico é rapidamente extraído da memória por informações mais populares. O fortalecimento de habilidades na prática ajudará no treinamento de ataques. Com a ajuda deles, você pode identificar funcionários que não aprenderam as informações e realizar reciclagem para eles.
-
Implementar a política "Veja algo, diga algo". Diante de uma ameaça cibernética, um funcionário pode permanecer calado sobre isso até o último, por medo de demissão ou tentar eliminá-lo de forma independente. Enquanto isso, a notificação oportuna de um incidente ajuda a impedir a disseminação de malware na rede corporativa. Com base nisso, é importante criar regulamentos de serviço de forma que o funcionário que relata o ataque receba gratidão, e o serviço de segurança da informação possa corrigir a ameaça e começar a eliminá-la.
Conclusão
Qualquer sistema de computador é vulnerável, e o elo mais fraco dele, em regra, é uma pessoa. A tarefa de cada líder de negócios é minimizar os riscos no campo da segurança da informação associados a ataques a funcionários. Para solucionar esse problema, o treinamento, o treinamento e a organização adequada do processamento de incidentes cibernéticos ajudarão. Idealmente, ter um entendimento básico de segurança cibernética deve fazer parte de uma filosofia corporativa.