По мнению экспертов, российским компаниям до сих пор просто везет: кибермошенникам достаточно денег, сворованных у физических лиц. Но это быстро закончится, как только государство включит все возможные регуляторные механизмы, и тогда хакеры уже в полной мере сосредоточатся на корпоративных ИБ-атаках. Об этом было заявлено в ходе конференции по социальной инженерии StopPhish 2025.
Кибербез начинается с семьи
В Москве прошла StopPhish Conference 2025 «Люди vs атаки», посвященная социальной инженерии, фишингу, дипфейкам и хардкордному awareness. По словам эксперта по услугам в сфере экономической безопасности компании Kept Андрея Осипова, отечественным компания последние 2-3 года просто везет, потому что кибермошенникам «хватает денег», сворованных у физических лиц, у населения. Злоумышленники разводят 5 млн человек из 160 млн жителей РФ, и этих денег пока достаточно.
«Но эта ситуация закончится, как только государство включит все регуляторные механизмы, существующие на свете – от запрета звонков и так далее. И очень натренированные кибермошенники – в плане социальной инженирии, с отличным методологическим бэкграундом - переключатся на корпоративный сектор. И будет всем «кайф» - мало не покажется», - подчеркнул Андрей Осипов.
Пока же, по его мнению, киберзащита в компании начинается с информационных безопасников, которые в России почему-то зачастую не в состоянии простым языком объяснить коллегам, что нужно делать и чего не стоит. По его словам, на курсах по ИБ делают упор на ссылках, на которые не нужно переходить ни при каких условиях, иначе есть риск «быть взломанным». И практически никогда на таких курсах не говорят о том, что полноценная киберзащита компании начинается далеко за её периметром, в частности, с семьи каждого сотрудника. В связи с чем, необходимо спрашивать у своих детей и родителей, активированы ли у них запреты на портале «Госуслуги» на получение кредитов, отчуждение имущественных прав? А также, сколько на них них зарегистрировано sim-карт?
«Awareness компании начинается с этого, а не с кликов на ссылочку. И пока, в какую компанию я бы не заходил как эксперт, сколько бы ни общался с безопасниками, такого понимания ни у кого нет. Все почему-то считают, что предприятию нет никакого дела до того, что с сотрудниками происходит «за забором», - добавил он.
Напомним, awareness (информированность или осознание) - понятие, которое связано с пониманием последствий действий и способности учитывать последствия принимаемых решений. В ИБ-сфере awareness - это понимание того, что киберугрозы не существуют в абстрактном пространстве: хакеры могут дотянуться до любого сотрудника.
Дотянуться можно до каждого
Как пояснил TelecomDaily Андрей Осипов, его практика показывает, что дотянуться до любого, даже не самого высокопоставленного сотрудника, можно за 15 минут и практически бесплатно «в пересчете на одного человека». В этой связи позиция «моё место маленькое, я никому не нужен» больше не работает. Злоумышленники ищут любую точку входа, и ею может стать самый простой инженер. Главное для них, - чтобы сотрудник нажал на вредоносную ссылку и впустил их внутрь периметра компании, при этом точкой входа для злоумышленников становятся члены семей сотрудников.
По его словам, если в 2023-2024 годах компании ограничивались покупкой курсов по обучению фишингу, то сейчас они начинают прислушиваться к мнению, что этого недостаточно, и что требуется более глубокое обучение людей - для этого используется термин awareness. Это значит, что акцент смещается с простого тренинга, где сотрудников учат не кликать на вредоносные ссылки, на формирование у них поведенческих шаблонов с целью сформировать в сознании персонала понимание, как себя вести, чтобы не стать жертвой мошенника. Необходимо обучать всю семью сотрудника: следить за детьми и за престарелыми родителями. На данный момент этого понимания у российских компаний практически нет.
По мнению Андрея Осипова, по-прежнему существует мнение, что работодатель не несет ответственности за то, что происходит с сотрудником за пределами рабочего места. «Один из начальников службы безопасности крупной компании высказал такую позицию: ем не платят за то, что с сотрудниками происходит за периметром предприятия. Такой подход в корне не верен. Сотрудник проводит большую часть времени за «забором», и жертвой таргетированной атаки на корпорацию может стать не сам сотрудник, а члены его семьи. Точкой входа может быть престарелый родитель, который кликнет на ссылку, после чего его возьмут в оборот, чтобы добраться до целевого сотрудника. Поэтому необходимо учить всю семью, закладывая эту ответственность в голову самого сотрудника. Он должен прийти домой и проверить настройки безопасности в аккаунтах «Госуслуи» у ребенка и родителей, рассказать и показать членам семьи, как работают мошеннические схемы», - пояснил он в интервью TelecomDaily.
Андрей Осипов также напомнил, что хакеры заходят в компании через их подрядчиков и клиентов.
«Компании начинают понимать, что их периметр безопасности включает не только их собственную инфраструктуру, но и периметр их подрядчиков. Однако подход к обеспечению этой безопасности часто оказывается формальным. Пример из моей текущей практики. Крупная компания при аккредитации подрядчика высылает ему опросник. В опроснике есть пункт, где сказано: приложите свою политику по информационной безопасности. Подрядчик прикладывает этот документ, компания ставит галочку, что такая информационная политика есть. Такой подход можно охарактеризовать как «защищены по-ленивому». Реальные аудиты, в ходе которых IT-специалисты заказчика проверяли бы, как все устроено у подрядчика, являются редкостью, хотя и должны быть массовой практикой», - отметил он.
Как работает форензика?
Андрей Осипов пояснил, что специфика его работы как эксперта в сфере экономической безопасности включает внутреннее расследование (форензика): выяснение обстоятельств ИБ-инцидента, например, как были украдены деньги, какие действия сотрудников привели к финансовым потерям?
Напомним, форензика (forensics, компьютерная криминалистика) - это процесс сбора, анализа и интерпретации цифровых доказательств для выявления нарушений информационной безопасности, внутреннего мошенничества, утечек конфиденциальной информации и других киберинцидентов внутри организации. Форензику используют правоохранительные органы, корпоративные службы безопасности и специализированные консалтинговые фирмы. Основной фокус делается на трансграничные случаи хищений, мошенничества и проверки контрагентов за рубежом. Это связано с тем, что украденные в одной стране деньги практически всегда выводятся за рубеж. На этом этапе привлекают специалистов, чтобы отследить, куда ушли деньги, и кто за этим стоит?
Андрей Осипов убежден, что реакция компании на ИБ-инцидент и последующие вложения в киберзащиту полностью зависят от менеджеров: если менеджмент понимающий, то подход к безопасности меняется достаточно быстро и эффективно. Когда же это делается «для галочки», то никаких изменений не происходит. Реакция рынка сдерживается, в том числе, незначительными штрафами за утечки данных.
Андрей Осипов привел случай, когда один из перевозчиков по решению суда был оштрафован всего на условные 15 тысяч рублей за утечку персональных данных. «Нас вызывают устранять последствия пожара, вызванного утечками. Когда уже всё произошло. Деньги уже переведены за границу. Зачем тогда обращаемся к нам? Мы представляем подразделение корпоративной разведки. Наша задача выяснить, куда ушли украденные средства, в какой зарубежный банк? Как вернуть их обратно, доказав факт мошенничества? Когда мы приступаем к делу, важно разобраться, какими механизмами воспользовались преступники, как произошла эта операция? Анализируя ситуацию, мы видим, кто и почему никто не предотвратил преступление заранее? Становится ясно, что главная причина проблемы кроется в недостаточном обучении сотрудников», - добавил Андрей Осипов.
Компания Kept занимается кибербезопасностью и специализируется на расследовании инцидентов информационной безопасности, анализе цифровых следов и восстановлении денежных средств, выведенных злоумышленниками за пределы юрисдикции.
Фото: TelecomDaily.