Авторизация
Сейчас вы перейдете на новый портал развития Positive Education.
Если ранее у вас была учетная запись на предыдущем портале, проверьте почту, вы должны были получить письмо со ссылкой для активации вашей новой учетной записи.
Если вы здесь впервые, пройдите процедуру регистрации.
Рекомендуем проходить курсы на ПК. При возникновении вопросов пишите в телеграм-бота или на почту edu@ptsecurity.com
Если ранее у вас была учетная запись на предыдущем портале, проверьте почту, вы должны были получить письмо со ссылкой для активации вашей новой учетной записи.
Если вы здесь впервые, пройдите процедуру регистрации.
Рекомендуем проходить курсы на ПК. При возникновении вопросов пишите в телеграм-бота или на почту edu@ptsecurity.com
Как человеческий фактор помогает злоумышленникам?
Как человеческий фактор помогает злоумышленникам?
По статистике, более трети утечек данных, взломов и атак происходят в результате человеческих ошибок. Применение слабых паролей, фишинговые атаки, неправильная конфигурация оборудования — вот только часть ситуаций, в которых недостаточная осведомленность пользователей играет злоумышленникам на руку: они используют ее, чтобы получить доступ к конфиденциальной информации.
Содержание
Почему это важно
Человек — слабое звено в системе информационной безопасности. Даже самую мощную защиту можно обойти, если человек совершит неправильное действие, например щелкнет на фишинговую ссылку или предоставит свой пароль злоумышленнику. Соблюдение практик ИБ пользователем — критически важный элемент защиты от кибератак.
Как снизить риск влияния человеческого фактора на информационную безопасность компании
Есть два пути, которые в перспективе позволяют добиться заметных результатов:
1. Регулярное обучение сотрудников для повышения их осведомленности в вопросах безопасности.
Такое обучение должно быть обязательным для всех и практико-ориентированным: включать информацию о базовых принципах ИБ, распространенных угрозах и способах защиты от них. Чтобы обучение давало результаты, программу нужно регулярно обновлять с учетом актуальных угроз и лучших методов предотвращения утечек данных.
2. Внедрение технических решений, помогающих бороться с ошибками, вызванными человеческим фактором.
Такие решения гарантируют соблюдение политик ИБ и попросту не дают пользователю совершить опасную ошибку. Например, многофакторная аутентификация, политика паролей и контроль доступа снижают риск несанкционированного проникновения во внутреннюю сеть компании. А система мониторинга и протоколирования помогает обнаружить подозрительные действия и обеспечить быстрое реагирование на инциденты.
1. Регулярное обучение сотрудников для повышения их осведомленности в вопросах безопасности.
Такое обучение должно быть обязательным для всех и практико-ориентированным: включать информацию о базовых принципах ИБ, распространенных угрозах и способах защиты от них. Чтобы обучение давало результаты, программу нужно регулярно обновлять с учетом актуальных угроз и лучших методов предотвращения утечек данных.
2. Внедрение технических решений, помогающих бороться с ошибками, вызванными человеческим фактором.
Такие решения гарантируют соблюдение политик ИБ и попросту не дают пользователю совершить опасную ошибку. Например, многофакторная аутентификация, политика паролей и контроль доступа снижают риск несанкционированного проникновения во внутреннюю сеть компании. А система мониторинга и протоколирования помогает обнаружить подозрительные действия и обеспечить быстрое реагирование на инциденты.
Факторы, увеличивающие риск человеческих ошибок
Нередко пользователи непреднамеренно становятся причиной утечки данных — как из-за собственной некомпетентности в вопросах ИБ, так и из-за влияния окружения и сложившихся внутри компании установок.
Вот ключевые факторы, на которые стоит обратить внимание:
1. Недостаток мотивации. Не все организации умеют правильно мотивировать сотрудников на безопасное обращение с информацией.
2. Недостаток осведомленности. Пользователи или сотрудники не имеют базовых знаний о киберугрозах и, как следствие, не могут защитить личные и корпоративные данные.
3. Убеждения. В компании или личном окружении транслируются неверные убеждения: к примеру, считается, что антивирусного ПО достаточно, чтобы обеспечить безопасность, и другие средства защиты не нужны.
4. Неграмотное использование технологий. Несанкционированные изменения в системах, доступ к чужим паролям и их передача без соблюдения требований ИБ, нарушение интеллектуальных прав, конфиденциальности информации и т. п.
Чтобы минимизировать влияние факторов, однократного обучения или блокировки зараженного устройства недостаточно: основы информационной безопасности должны стать культурным кодом компании, транслируемым для всех сотрудников, а руководители должны подавать пример подчиненным, соблюдая политики.
Вот ключевые факторы, на которые стоит обратить внимание:
1. Недостаток мотивации. Не все организации умеют правильно мотивировать сотрудников на безопасное обращение с информацией.
2. Недостаток осведомленности. Пользователи или сотрудники не имеют базовых знаний о киберугрозах и, как следствие, не могут защитить личные и корпоративные данные.
3. Убеждения. В компании или личном окружении транслируются неверные убеждения: к примеру, считается, что антивирусного ПО достаточно, чтобы обеспечить безопасность, и другие средства защиты не нужны.
4. Неграмотное использование технологий. Несанкционированные изменения в системах, доступ к чужим паролям и их передача без соблюдения требований ИБ, нарушение интеллектуальных прав, конфиденциальности информации и т. п.
Чтобы минимизировать влияние факторов, однократного обучения или блокировки зараженного устройства недостаточно: основы информационной безопасности должны стать культурным кодом компании, транслируемым для всех сотрудников, а руководители должны подавать пример подчиненным, соблюдая политики.
Потенциальные риски, связанные с человеческим фактором
К сожалению, в большинстве случаев о безопасности начинают думать всерьез уже после того, как инцидент произошел, — либо когда его чудом удалось избежать.
Последствия ошибок могут быть разными: от раскрытия конфиденциальной информации до полной компрометации данных с кражей личности и неправомерными операциями от имени человека или компании.
Наиболее распространенные угрозы и их последствия:
Перейдя по непроверенной ссылке, ответив на подозрительное сообщение вы можете не только обнародовать или передать в руки хакеров конфиденциальные сведения, но и заразить устройство вредоносными программами, впустив их за периметр компании.
Подобрать пароль и получить доступ к вашим данным — достаточно простая задача для хакера, если вы не соблюдаете базовые требования парольной политики (делаете пароли слишком короткими и простыми, используете даты и словарные слова, не меняете регистры, не добавляете символы) и в целом халатно обращаетесь со своими паролями: храните их на видном месте, используете одну и ту же комбинацию для разных ресурсов и устройств, передаете третьим лицам и т. п.
Компании-разработчики неслучайно регулярно выпускают обновления: так они не только дорабатывают функциональность программ, но и устраняют ранее обнаруженные баги и уязвимости. Откладывая установку обновлений раз за разом, вы оставляете лазейку злоумышленникам и, соответственно, увеличиваете риск потенциальной утечки информации.
Вредоносные программы могут проникнуть на ваше устройство как из-за случайного скачивания неофициального ПО, так и из-за банальной неосмотрительности — в результате фишинговой атаки или получения злоумышленником доступа к оставленному без присмотра устройству.
Чтобы не допустить утечки информации и нарушения собственной конфиденциальности, соблюдайте базовые правила, и помните — безопасность создают не инструкции, а люди.
Последствия ошибок могут быть разными: от раскрытия конфиденциальной информации до полной компрометации данных с кражей личности и неправомерными операциями от имени человека или компании.
Наиболее распространенные угрозы и их последствия:
- Фишинг. Пользователи могут быть обмануты злоумышленниками, которые выдают себя за доверенных лиц.
Перейдя по непроверенной ссылке, ответив на подозрительное сообщение вы можете не только обнародовать или передать в руки хакеров конфиденциальные сведения, но и заразить устройство вредоносными программами, впустив их за периметр компании.
- Слабые пароли. Использование слабых и легко угадываемых паролей делает аккаунты уязвимыми.
Подобрать пароль и получить доступ к вашим данным — достаточно простая задача для хакера, если вы не соблюдаете базовые требования парольной политики (делаете пароли слишком короткими и простыми, используете даты и словарные слова, не меняете регистры, не добавляете символы) и в целом халатно обращаетесь со своими паролями: храните их на видном месте, используете одну и ту же комбинацию для разных ресурсов и устройств, передаете третьим лицам и т. п.
- Отсутствие обновлений ПО.
Компании-разработчики неслучайно регулярно выпускают обновления: так они не только дорабатывают функциональность программ, но и устраняют ранее обнаруженные баги и уязвимости. Откладывая установку обновлений раз за разом, вы оставляете лазейку злоумышленникам и, соответственно, увеличиваете риск потенциальной утечки информации.
- Недостаточная осведомленность. Незнание базовых правил безопасности может привести к ошибкам, таким как скачивание вредоносных файлов или публикация конфиденциальной информации.
Вредоносные программы могут проникнуть на ваше устройство как из-за случайного скачивания неофициального ПО, так и из-за банальной неосмотрительности — в результате фишинговой атаки или получения злоумышленником доступа к оставленному без присмотра устройству.
Чтобы не допустить утечки информации и нарушения собственной конфиденциальности, соблюдайте базовые правила, и помните — безопасность создают не инструкции, а люди.
Полезные ссылки с материалами о безопасности мобильных устройств:
Понравилась ли вам статья?