Социотехническое тестирование. Что это и для чего нужно?

НОВОСТИ

30 мая 2021

Социотехническое тестирование. Что это и для чего нужно?

30 мая 2021

Надежная система управления информационной безопасностью включает технологии в виде технических инструментов, процессов и ресурсов, в том числе и работников компании. Осведомленность сотрудников о том, как противостоять кибератакам — фундамент обеспечения защищенности компании. Именно для контроля и управления осведомленностью работников предприятия и проводится социотехническое тестирование.


Для оценки осведомленности сотрудников имитируется максимально приближенная к реальности псевдо-атака и проводится проверка и анализ, как работники реагируют на нее. Для этого, например, рассылаются поддельные email-сообщения с вредоносными ссылками или вложениями (фишинговые письма); осуществляются телефонные звонки, в которых злоумышленники под прикрытием ответственных лиц или ИТ-службы пытаются узнают у человека пароли, доступы (вишинг).

Разберем пару кейсов, какие кибератаки могут происходить в реальности.

Кейс 1

Офисному сотруднику пришло письмо с вложенным excel-файлом и сопроводительным текстом, будто бы необходимо ознакомиться с новыми условиями премирования. Человек открыл файл, и это действие в свою очередь предоставляет злоумышленнику доступ к его компьютеру. Среди других тем, которым зачастую верят офисные сотрудники: изменения в ИТ-системах, скидки и бонусы, события в компании, графики отпусков, объявления о необходимости пройти медосмотр, рассылки государственных сервисов и так далее.

Потенциальные риски: утечка информации различной степени важности, хранимой на компьютерах сотрудников; потеря доступа к информации (шифровальщики); использование инфраструктуры заказчика для проведения атак; использование ресурсов компании для добычи криптовалют, в ботнетах.

На что следовало обратить внимание: поддельный email-адрес отправителя, который имитирует почту реального сотрудника или службы, но при внимательном рассмотрении все же отличается. Возможные ошибки в нижнем колонтитуле (неверное название отдела, некорректный адрес или телефон компании). Требовательный и срочный тон письма. Некоторая обезличенность сообщения; создание эффекта общей рассылки.

Кейс 2

В выходной день сотрудникам пришло письмо от службы ИТ о проверке наличия доступа к рабочему порталу. Получателям предлагалось до 15.00 ввести свои учетные данные в портал, для удобства прилагалась ссылка на него (поддельный ресурс). После ввода данных происходило перенаправление на настоящий портал; со стороны все выглядело правдоподобно. Сотрудники, догадавшись, что это фишинговая рассылка, начали писать шуточные данные, но их ответа было достаточно для того, чтобы получить информацию о конфигурации рабочей станции. Другими словами, не предоставив учетные данные, они все же передали достаточно большое количество информации злоумышленникам.

Потенциальные риски: получение злоумышленником индивидуальных учетных данных, дающих доступ к внутренним корпоративным ресурсам компании и конфиденциальной информации на них.

На что следовало обратить внимание: возможные ошибки в почте и подписи отправителя, обезличенный тон письма и требование незамедлительного действия; подозрителен сам факт рассылки массовых рабочих писем в выходной день.

Никита Мохнаткин, руководитель сектора защиты информационных систем Университета Иннополис:

— Для того, чтобы снизить количество инцидентов информационной безопасности, необходимо привлекать экспертов и проводить комплексные мероприятия по повышению осведомленности сотрудников, а еще лучше комплексную оценку защищенности системы ИБ. Осведомленность — это не только знание правил цифровой гигиены, но также знание и понимание требований внутренней нормативной документации компании наравне с требованиями законодательства и регуляторов. Проведите опрос, сколько работников вашей компании знают положения политики информационной безопасности? По нашим данным, менее 10% работников действительно ознакомлены с внутренней документацией. Большинство ставят роспись в листе ознакомления бездумно. Тем не менее, есть пара элементарных правил, которые могут в какой-то мере оградить сотрудников от киберпреступлений: компаниям необходима качественная фильтрация электронной почты, регулярное обучение и опрос сотрудников, разграничение доступа и минимизация прав пользователей. Подробнее о средствах защиты от кибератак мы рассказываем на наших обучающих курсах, а также продолжим делиться информацией в статьях. Всем безопасности!