Читая о возрастающих рисках в области информационной безопасности, мы часто представляем команду злобных хакеров, укрытых в каком-то темном подвале, ждущих идеального момента, чтобы нанести удар беззащитным пользователям Интернета и ограбить их деньги. Однако реальность не так проста.
Если бы мы искали самую слабую ссылку в информационной безопасности, то было бы не нужно смотреть дальше чем на самих себя. Будь то частная или профессиональная сфера, наши системы безопасности менее вероятно подведут нас, чем люди.
Какие самые распространённые риски безопасности, вызванные людьми?
Здесь приведены самые распространенные риски в области информационной безопасности, вызванные недостатком информированности и неправильными практиками — вы можете даже делать некоторые из этих безопасностных ошибок в данный момент…
Плохая практика создания паролей: почему важно следить за безопасностью?
Чтобы избежать такой ситуации, не используйте одинаковые пароли или парольные фразы для разных аккаунтов, а также убедитесь, что все ваши пароли достаточно сложные. Вы можете использовать онлайн-инструменты, которые проверяют прочность пароля, чтобы быть уверенными в безопасности.
Избегайте аутентификации: простой способ защитить свои данные.
Следует отметить, что хотя люди, использующие многофакторную аутентификацию, гораздо меньше подвержены хакерским атакам, сама аутентификация не делает их невосприимчивыми к проблемам слабой аутентификации, таким как перехват сессий, распыление паролей и фишинг-атаки.
Неправильная настройка безопасности: последствия и предотвращение.
Даже собственные сотрудники и системные администраторы компании не застрахованы от ошибок человека. Например, необходимость обновления программного обеспечения безопасности или забыть изменить пароли по умолчанию на серверах компании увеличивает шансы того, что киберпреступники смогут найти способ взломать систему.
Кроме того, недостаточный контроль удаленного доступа, недостаточное управление оборудованием, отключенная защита антивирусов, незащищенные файлы, ошибки в кодировании; и это далеко не полный список.
Такие ошибки создают серьезные пробелы в безопасности, которые делают все приложения, данные и саму компанию легкой мишенью для кибератак и проникновения в данные.
Небезопасное использование беспроводных сетей: риски и последствия.
Общедоступные сети могут быть заражены вирусами и вредоносным ПО, а эти могут попасть на ваше устройство, пока вы пытаетесь войти в свой аккаунт электронной почты или социальные сайты. Если хакер находит способ поместить себя между вами и точкой подключения, то есть применить атаку «Man-in-the-Middle» (MitM), они получат доступ к вашим логинам и всем остальным информациям, которые вы отправляете и получаете в Интернете. Как только они это сделают, они смогут попасть в ваши системы, как если бы это были вы.
Ошибки в физической безопасности: риски и последствия.
Хотя многие обычные причины нарушения безопасности данных могут быть отнесены к кибератакам, компании также могут быть подвержены физическим угрозам безопасности. Например, если несанкционированный лицо попадает на территорию компании, они могут украсть конфиденциальную информацию, учетные данные пользователей или другие конфиденциальные данные.
Хотя эти типы ошибок безопасности приходят в различных формах и размерах, самые распространенные включают в себя оставление конфиденциальных документов без присмотра, оставление дверей незапертыми и предоставление незнакомцам доступа к защищенному предприятию или доступ к компьютерам компании.
Как киберпреступники используют людские ошибки против вас?
Как и в других случаях, атакующие могут использовать ошибки человека для проведения различных рансом-атак, которые могут причинить вред как отдельным лицам, так и компаниям. В итоге это всегда приводит к блокировке доступа к вашим устройствам или конфиденциальным данным, а также к потребованию выкупа за ключ расшифровки. Также существуют другие виды вредоносного программного обеспечения, которые похищают данные, принимают над вашими устройствами контроль или начинают процесс «майнинга» криптовалют.
Но это далеко не все. Хакеры могут использовать простые ошибки человека против вас на множество различных способов.
- Кража интеллектуальной собственности (ИС): Это так просто, как копирование чьей-то идеи, продукта или услуги без выполнения самостоятельной работы. Оно популярно, потому что просто и может быть очень прибыльным. Оба лица и компании могут стать жертвами кражи ИС.
- Воровство корпоративных секретов: Так называемое промышленное или корпоративное воровство секретов является таким же, как и политическое воровство, но проводится с целью достижения коммерческой выгоды, а не для национальной безопасности. В этом виде киберпреступлений преступники не целесообразно направляться на отдельных лиц, если те не являются частью конкурирующих компаний. В конце концов, основная цель заключается в получении коммерческих секретов и получении преимущества над конкурентами.
- Разрушение репутации: Будь то публичная личность или компания, главным последствием успешной кибератаки часто является доверие. Это может быть и намеренным, и вторичным результатом (например, получение материальной выгоды), но в любом случае оно может оставить постоянный след на репутации.
Почему люди являются легкой добычей для киберпреступников?
Люди созданы для рутины и большинство из нас не возражает против этого. К сожалению, это делает нас уязвимыми для взлома, такого как фишинговые атаки. Например, если вы проверяете свою электронную почту сразу после того, как встаете утром, киберпреступники могут отправить фишинговое письмо в это время. Затем, не думая дважды, вы можете открыть сообщение, нажать на ссылку и потерять свои личные данные.
В конечном итоге, мы можем быть эмоциональными, что может затемнить наше правосудие и сделать нас легко поддающимися социальной инженерии. Всего один неправильный шаг, сделанный нами или другим сотрудником, может подвергнуть всю компанию и ее пользователей риску.
Можем ли мы преодолеть риски, связанные с человеческими ошибками?
Так как самая серьезная угроза в области информационной безопасности не является сложным хакерским атакам, а просто людским фактором, мы должны избавиться от него, не так ли? Однако убрать людей из этого уравнения гораздо проще сказать, чем сделать. Ошибки неизбежны, но мы можем распространить осведомленность в области информационной безопасности и убедиться, что мы и те, на кого мы полагаемся, осведомлены о рисках информационной безопасности. Мы также можем использовать мощные инструменты безопасности, просить помощи у экспертов по информационной безопасности и создать культуру, в которой люди чувствуют себя свободно делиться любыми проблемами или обеспокоиться о информационной безопасности. Несмотря на то, что люди не могут быть полностью исключены из уравнения, мы все же можем найти способы борьбы с киберпреступностью благодаря преодолению этого фактора.