Ни для кого не секрет, что многие офисные сотрудники отправляются на праздники в путешествия и берут с собой в поездку ноутбук или смартфон, чтобы, например, показать родственникам забавные видеоролики, или чтобы запечатлеть, как отмечают праздник в других городах. Но используя в поездке ноутбук или смартфон, они, часто не подозревая, подвергают себя и свои компании многочисленным рискам. Какой же интерес путешествующие сотрудники представляют для злоумышленников, и как уберечься?



Ответ на этот вопрос довольно прост – для этого достаточно всего лишь понять, что именно злоумышленники смогут сделать с интеллектуальной собственностью компании, если они смогут похитить таковую с персонального устройства, принадлежащего жертве.

Кража спецификаций технической продукции, инвестиционных планов, аналитической документации по сделкам слияния или поглощения, маркетинговых планов или иной подобной информации может не только привести к потере доходов или утрате рыночных позиций, но и к намного более пагубным последствиям. Более того, возможны даже более масштабные последствия, например, торговые войны или экономическая блокада, срыв пассажирских или грузовых перевозок с использованием вредоносного кода и кибератак.

Чтобы получить ценную информацию, хакеры могут воспользоваться сложными и высокотехнологичными инструментами, позволяющими похищать интеллектуальную собственность в момент ее передачи сотрудником с потенциально незащищенного телефона, планшетного устройства или ноутбука. Сегодня уже никого не удивишь кибератаками, направленными на гостиничные сети. Злоумышленники вполне способны заразить компьютерную сеть гостиницы вредоносным кодом, чтобы похищать информацию с устройств постояльцев. Или атаковать плохо защищенную домашнюю Wi-Fi сеть родственников, которых на праздники приехал навестить сотрудник.

К счастью, компании могут помочь своим сотрудникам, намеренным провести праздники вне дома, защитить себя от этих и других цифровых угроз. В частности, этого можно добиться за счет принятия ряда мер безопасности на оборудовании, которое используют сотрудники, а также путем инструктажа о необходимости следования стандартным правилам цифровой безопасности.

Приведем пять основных правил безопасности для представителей деловых кругов, которые отправляются на праздники в путешествие, а также для организаций, в которых они работают:

1. Внедряйте технологии многофакторной аутентификации (МФА)

В своем отчете о расследованиях утечек данных за 2017 год (2017 Data Breach Investigations Report, DBIR), компания Verizon Enterprise сообщает, что в 81% всех утечек данных для реализации атаки злоумышленники воспользовались украденными или слабыми паролями. Организации могут помочь своим сотрудникам защититься от подобных утечек, если внедрят у себя политику многофакторной аутентификации (MFA). Подобные меры позволят защитить корпоративные учетные записи в том случае, если злоумышленникам удастся получить пароль от корпоративного аккаунта путешествующего сотрудника.

2. Используйте политики управления доступом

Сотрудникам, оказавшимся на праздничные дни вне офиса, может потребоваться доступ со своих мобильных устройств к корпоративным ресурсам, размещенным в облаке. Компании могут проследить, что только авторизованные пользователи получат доступ к подобной интеллектуальной собственности в облаке, если реализуют политики управления доступом, которые бы регламентировали доступ к облачным приложениям в зависимости от целого ряда различных факторов, в том числе, данных геолокации, типа устройства и характера запрашиваемых данных.

3. Осуществляйте шифрование закрытых данных

При достаточной мотивации злоумышленники могут найти способ обойти корпоративную систему управления доступом и получить в свое распоряжение закрытые корпоративные данные. Компании могут защититься от подобного сценария, реализовав у себя шифрование данных. Подобные меры должны включать в себя шифрование данных в состоянии покоя (то есть обеспечение безопасности данных, где бы они ни хранились), а также шифрование данных во время их перемещения (то есть защиту данных в момент их передачи по сети).

4. Отключайте Bluetooth и воздержитесь от доступа к открытым сетям Wi-Fi

Чтобы перехватывать данные у путешествующих представителей бизнес-сообщества злоумышленники могут подключаться к публичным Wi-Fi сетям или устраивать атаки на устройства со включенным Bluetooth. Чтобы не попасть в сети злоумышленников, сотрудникам следует работать только в защищенных Wi-Fi сетях и, по возможности, отключить Bluetooth на своих устройствах на время поездки. Кроме того, им следует задуматься об использовании VPN-подключения для осуществления поисковых запросов, а также реализованного в компании корпоративного VPN-решения для доступа к любым бизнес-системам.

5. Своевременно обновляйте программное обеспечение

Злоумышленникам известно, что сотрудники далеко не всегда своевременно обновляют программное обеспечение на своих устройствах. В результате они могут создавать вредоносный код, который бы использовал остающуюся открытой уязвимость. Поэтому перед тем, как отправиться на каникулы, сотрудникам рекомендуется установить все доступные обновления. А по возвращении домой им следует проверить наличие новых обновлений и просканировать свои компьютеры на вирусы и вредоносный код.

Обеспечивайте информационную безопасность путешествующих сотрудников вашей компании, применяйте передовые практики для защиты данных и праздники не будут омрачены тяжелыми последствиями для ваших данных. С наступающим!

Комментарии (5)


  1. Akon32
    28.12.2017 12:32
    +2

    Мне кажется, более актуальны другие пункты:
    1) Не брать рабочий ноут на пьянку;
    2) Выкладывать из карманов криптоключи и флешки перед пьянкой;
    3) Не ставить рабочий ноут на стол во время корпоратива, и лучше вообще не использовать его для музыки;
    4) Не оставлять вышеперечисленное добро в машине или в другом небезопасном месте;
    5) Не бухать до чёртиков, чтобы не сболтнуть лишнее конкурентам;
    6) Закрывать, блеать, офис, уходя на праздники.


    1. murzik_a
      28.12.2017 13:28

      7) Не хранить важную информацию и всякие непотребные фото/видео на телефоне, который будет потерян на пьянке.


  1. vin2809
    28.12.2017 14:07

    Странно читать все эти пункты обеспечения безопасности от автора, который позиционирует себя как «Эксперт по безопасности». Потому что это описание необходимых мероприятий для работы с любой коммерческой информацией.

    Со специнформацией никто (если он действительно нормальный сотрудник) не работает ни в облаке, ни с мобильных устройств. И тем более вне служебных помещений.

    В случае крайней необходимости, под которую никак не подходит поездка к родственникам или поход на корпоратив, используются спецсредства со спецканалами связи…


  1. estatic
    28.12.2017 14:49

    Я бы написал:
    1. Не берите с собой работу на выходные и праздники (читай пьянку)
    2. Не надо брать с собой работу на выходные и праздники (читай пьянку)
    3. Лучше не берите работу на выходные и праздники, а то будет хуже (читай пьянку)
    4. Не обсуждайте серьезные вещи с клиентами вне работы


  1. Lopar
    28.12.2017 16:37

    Вообще по тексту пункт про «Планируете личную поездку с ноутбуком? Не пользуйтесь wifi и bluetooth!» просто выбивает из колеи…

    Главный отрицательный момент в тексте:

    с интеллектуальной собственностью компании, если они смогут похитить таковую с персонального устройства, принадлежащего жертве


    Я не технический специалист, но здравый смысл прямо кричит, что:

    1. Не пользоваться личным устройством для работы с данными, представляющими собой коммерческую тайну.
    2. Если не получается — не хранить данные, являющиеся коммерческой тайной на личном устройстве
    3. Если не хранить не получается — хранить на зашифрованном диске.
    4. Не расшифровывать диск за пределами работы.
    5. Если надо всё таки поработать, то обязательно зашифровать всё назад по окончанию.

    Причём можно достаточно витиевато сплясать от ситуации, когда работать надо именно с личных устройств (комфорт сотрудника/экономия средств), когда сотруднику на устройство можно добавить зашифрованный раздел, а криптоключи сделать не выносимыми за пределы офиса, делая исключения для удалёнщиков, по запросу с обязательным expirartion time.