ИТ, ИИ, ИБ: от акронима до стратегии
А дома всё в порядке?
Киберпреступники теперь регулярно нацеливаются на личную кибербезопасность руководителей компаний, имеющих доступ к финансам, конфиденциальной информации и данным, находящимся в собственности. Но корпоративная безопасность не может и не должна заботиться о повседневной ИТ-жизни первого руководителя.
Или нет?
Вообще, крайне неконструктивно полагать, что топ-менеджмент современной организации, к примеру, нефтяной компании, может успешно разделить свою личную и корпоративную жизнь в части гаджетов, и отношение к теме ИБ в частной жизни и в жизни корпорации как-то будет отличаться. Более того, подход топа в повседневной жизни может распространиться и на уровень C-1 и привести к критическим последствиям.
Начнем с того, что как и у обычных людей, личная информация руководителей высшего звена и членов совета директоров доступна во множестве произошедших утечек, у брокеров данных в ТОР, и эту информацию можно найти, купить или спарсить. Во-вторых, при помощи атак социальной инженерии преступники захватывают доступы первых лиц или менеджеров уровня С-1 для обхода многофакторной аутентификации, кражи личных данных и захвата учетных записей, а также получения несанкционированного доступа к конфиденциальным активам вашей компании.
По данных Gartner, более 70% данных первых руководителей были хотя бы один раз слиты или перепроданы. И поскольку 65% паролей повторно используются на нескольких сайтах, согласно исследованию Google, киберпреступники знают, что украденный пароль от личной почты может быть использован для доступа к корпоративной системе или устройству. Все начинается со взлома первого лица либо его подчиненных, затем происходит проникновение в вашу организацию.
Большинство руководителей высшего звена уверены в своих планах по кибербезопасности. Однако правда в том, что только 10-15% демонстрируют хороший уровень готовности к безопасности. По данным исследования IBM, 60% финансовых директоров, директоров по персоналу и директоров по маркетингу чувствуют себя наименее вовлеченными в противодействие угрозам, несмотря на то, что часто имеют дело с самыми важными данными своих компаний. Неэффективное управление угрозами делает эти компании идеальными целями для хакеров и других киберпреступников, стремящихся уничтожить крупные корпоративные предприятия.
В исследовании Оксфордского университета (да-да, те самые британские ученые!) были проведены часовые интервью с генеральными директорами крупных международных компаний из США, Европы и Азии, чтобы понять, что думают и чувствуют генеральные директора о кибербезопасности. Понимание того, что они думают и чувствуют, имеет решающее значение для руководителей служб информационной безопасности (CISO).
Вот вещи, которые руководители служб информационной безопасности должны знать о своем генеральном директоре, чтобы наладить эффективное партнерство по киберустойчивости.
1. Генеральным директорам некомфортно принимать решения по кибербезопасности самостоятельно – что в личной жизни, что в работе. Большинство опрошенных (72%) признались, что им некомфортно принимать решения по кибербезопасности.
Эти СЕО продвигались по карьерной лестнице через традиционные сферы бизнеса, такие как финансы, операции или маркетинг. Очень немногие начинали свою карьеру в сфере технологий, не говоря уже о кибербезопасности, а затем стали генеральным директором. В результате очень немногие знакомы с информационными технологиями и системами кибербезопасности. Когда происходит серьезная кибератака, когда преступники нацелились на первое лицо, его семью или его ближайших заместителей – такое отсутствие знаний может помешать генеральному директору принимать обоснованные решения.
2. Руководители слепо доверяют своим руководителям по информационной безопасности, что и хорошо, и плохо одновременно. Те генеральные директора, которые подверглись атаке, сожалели о том, что бездумно делегировали ответственность и понимание техническим экспертам, не имея возможности полностью понять или критически бросить им вызов.
Когда компания подверглась атаке, делегирование больше не было единственным вариантом для руководителей. В отличие от других более традиционных областей, таких как маркетинг или финансы, у руководителей не было опыта или интуиции для продвижения вперед в киберкризисе. Но поскольку ранее они бездумно доверяли экспертам, атака означала, что им пришлось отдать судьбу компании в руки людей, которые обычно находятся гораздо ниже в иерархии принятия решений, чего они обычно не делают.
Это также дает возможность директорам по информационной безопасности активно поощрять своих генеральных директоров перестать слепо доверять своим командам по кибербезопасности и вместо этого перейти к состоянию информированного доверия, и собственного повышения персональной защиты и киберграмотности.
Что сейчас угрожает первым лицам, их ближнему кругу и семьям?
Как не только защитить вашу организацию от киберрисков, возникающих в личной жизни руководителя, но и уберечь руководителя и его семью от целевых кибератак, цифрового мошенничества, кражи личных данных, ущерба репутации, физических угроз и других проблем цифрового мира? Уязвимости в личной цифровой жизни бесконечны. Возможности для киберпреступников взломать человека, а затем переместиться в вашу организацию, расширяются и растут. Какие основные риски личной цифровой жизни ваших руководителей могут способствовать горизонтальному перемещению в вашу организацию?
По оценкам аналитиков, на почти 90% персональных устройств руководителей не установлены системы безопасности, а на 75% происходит утечка данных из-за неправильных настроек конфиденциальности или отсутствия настроек конфиденциальности. Таким образом, личные телефоны, планшеты и ноутбуки крайне уязвимы для потери данных, несанкционированного доступа, кражи учетных данных и горизонтального распространения вредоносного ПО, а также других атак, на их семьи и далее внутрь предприятия.
Кроме того, в среднем в одном домохозяйстве (семье с разными или одним местом проживания) сейчас более 25 умных устройств. Из этих устройств IoT почти 40% куплены руководителями и потенциально уязвимы или уже содержат вредоносное ПО. Смешивание скомпрометированных и уязвимых устройств в одной и той же домашней сети, используемой для рабочих целей, повышает риск атак, управляемых ботнетами, и горизонтального распространения вредоносного ПО в вашей организации.
Значительное количество интеллектуальных устройств, таких как телевизоры, камеры, дверные звонки и динамики, имеют открытые порты и уязвимости аппаратного или программного обеспечения. Эти устройства, если они неправильно подключены или настроены, могут поставить под угрозу конфиденциальность вашего руководителя, что впоследствии увеличивает риск для бизнеса. Прослушивание, захват устройств, атаки типа «человек посередине» и DNS-спуфинг являются одними из наиболее распространенных угроз, связанных с IoT.
Другой важный и чрезвычайно актуальный для Казахстана цифровой риск – мошенничество, шантаж в отношении генеральных директоров, взлом их эккаунтов и кража данных – представляет значительный риск не только в финансовом плане, но и с точки зрения репутационного ущерба, который они могут нанести лидерам компании и их положению в сообществе. Для генеральных директорових личная репутация часто тесно связана с имиджем их компании. Случай мошенничества в отношении генерального директора может быстро подорвать доверие и авторитет среди сотрудников, клиентов и членов сообщества, бросая тень на лидерство генерального директора и целостность компании.
В закрытых профессиональных сообществах, где руководители бизнеса являются видными фигурами, последствия такого мошенничества могут выйти за рамки профессиональных границ, влияя на личное и социальное положение. Эта ситуация подчеркивает критическую необходимость в надежных мерах кибербезопасности и эффективных стратегиях коммуникации для предотвращения таких атак и управления их потенциальными последствиями. Поддержание сильной позиции кибербезопасности защищает не только бизнес, но и репутацию генерального директора и доверие, которое он завоевал в своем сообществе.
К этой же категории относится такое специфическое (но очень актуальное для казахстанских топов) мошенничество с использованием Honeypot – это атаки социальной инженерии, предназначенные для обмана жертв обещаниями романтики, интимного общения или другими заманчивыми предложениями. В этих сценариях мошенники могут выдавать себя за тех, кем они не являются, поддерживают обширные ложные отношения – даже организовывают личные встречи – чтобы заставить своих жертв поделиться личной информацией, и далее происходит шантаж, вымогательство, и даже передача доступа к ценным цифровым активам компании.
В начале 2024 года в РК (и в СНГ в целом) появилась новая схема атак на топов и их семьи, в ней злоумышленники вымогают деньги голосами родственников и друзей, а в корпоративных фродах – голосами руководителей / акционеров / курирующих чиновников. Больше всего случаев встречается в Телеграме: мошенники взламывают аккаунт, генерируют голос владельца аккаунта и рассылают по всем чатам короткое голосовое сообщение с просьбой выслать денег. С начала года дипфойс-фишинг стал активно применяться в схеме Fake Boss. Если в конце 2023 года от «руководителей» приходили обычные сообщения, то теперь к ним добавляются голосовые сообщения с припиской вроде «звонок не доходит, сейчас голосом объясню».
У схемы дипвойс в контексте обычных людей жертвами становятся оба: тот, кто получает голосовые сообщения, и тот, от чьего имени они приходят. Чаще всего такие атаки проводят в Ватсапе и Телеграме, последний – самая популярная площадка. С помощью социальной инженерии злоумышленники получают данные учетной записи пользователя – через фейковые голосования и фейковую подписку Телеграм Премиум. После входа в аккаунт злоумышленники скачивают голосовые сообщения. Если их недостаточно, хакеры собирают образцы из соцсетей.
Раньше голосовые сообщения нарезали из ограниченного количества записей, которые были у мошенников. Теперь ИИ-инструментам достаточно нескольких образцов, чтобы создать правдоподобную речь в потоке. Далее мошенники используют голос топа или его родственников двумя способами: делают запись заранее, чтобы включить ее на звонке и бросить трубку до момента, как человек начнет задавать вопросы, создают новые сообщения с просьбой занять денег и несколько голосовых сообщений для отработки возражений с посылом: «Да это же я, ну хочешь, на вопрос какой-нибудь отвечу?».
Нейронные сети изучают особенности речи, интонации, скорости произношения и другие характеристики, чтобы создать достоверный голосовой образ, а мошенники используют голосовые сообщения по-разному: одни отправляют его в начале переписки, чтобы сразу вызвать реакцию, другие – по ходу разговора, когда получатель больше всего сомневается в правдоподобности происходящего. Во втором случае мошенники сначала втираются в доверие и начинают диалог с текстовых сообщений – могут продолжить начатый диалог или поднять старую тему, которую обнаруживают в переписке. Когда интерес подогрет, рассылается поддельное голосовое сообщение в личной переписке и во всех чатах, где состоит владелец аккаунта.
Во сколько подобные кейсы уже обошлись первым лицам?
В январе 2024 года сотрудник из Гонконга перевел мошенникам 25 миллионов долларов после видеозвонка с дипфейками – всего он сделал 15 транзакций. Сначала злоумышленники отправили человеку фишинговое письмо с просьбой обсудить конфиденциальные переводы и прикрепили ссылку на созвон. На звонке цифровые копии высшего менеджмента знакомыми голосами убедили жертву перечислить деньги на несколько счетов в Гонконге. Подлинность произошедшего выяснилась только через неделю, когда компания обнаружила потери и сообщила в полицию. Для воссоздания участников собрания мошенники использовали видеоматериалы в открытом доступе.
Уже упомянутая в этом выпуске Colonial Pipeline побывала на допросе в Сенате США через месяц после того, как компания столкнулась с атакой с использованием вируса-вымогателя. Colonial Pipeline – крупный владелец и оператор трубопровода, отвечающий за транспортировку почти половины транспортного топлива в восточные Соединенные Штаты. Разрушительная кибератака поставила генерального директора в центр внимания и была вызвана проникновением преступников в компьютеры топ-менеджмента.
Еще одна из самых известных кибератак всех времен – фишинговое письмо 2016 года – было отправлено производителю аэрокосмической техники FACC. Целевой фишинг в этом случае был более целенаправленным – фишер, выдавая себя за генерального директора компании, поручил сотруднику финансового отдела отправить 42 миллиона евро на банковский счет, контролируемый злоумышленником. Сотрудник, неспособный обнаружить мошенническое письмо, выполнил запрос.
Киберпреступники взломали почтовый эккаунт руководителя на сервере, изучили привычки и причуды руководителя, чтобы сообщение выглядело законным. Финансовые последствия были существенными: стоимость акций FACC резко упала, а компания сообщила о значительном падении прибыли за финансовый год. Генеральный директор был уволен в мае 2016 года по итогу этого кейса.
Еще одна компания, Ubiquiti Networks, отправила платеж в размере 46,7 млн долларов США после электронного письма, отправленного с эккаунта ее генерального директора в результате успешной атаки.
Еще один случай мошенничества с использованием Deepfake Audio, сгенерированного искусственным интеллектом (ИИ) – преступники использовали ИИ для генерирования голоса, имитирующего голос генерального директора материнской компании, базирующейся в Германии, чтобы облегчить незаконный перевод средств. Киберпреступники позвонили генеральному директору британской компании, выдав себя за генерального директора. Злоумышленники потребовали срочно перевести деньги поставщику из Венгрии, а генеральный директор британской компании получил голосовое подтверждение.
Уровень киберзащиты в домашних сетях и личных аккаунтах руководителей несопоставим с качеством их корпоративной киберзащиты. Поэтому хакеры социальной инженерии используют различные тактики, чтобы взломать цифровую жизнь руководителей и их семей, получая доступ к их деловым и личным данным. К сожалению, защита руководства вашей компании, когда оно находится за пределами корпоративных стен, является задачей, которую вы не можете полностью контролировать. Сложно расширить корпоративные политики безопасности, тяжело обеспечить удаленный доступ к личной жизни вашего руководителя, и кроме того, по умолчанию у вас нет полномочий требовать обучения, настраивать личные устройства или обеспечивать соблюдение требований к надлежащему использованию. И вы, конечно, не можете наказывать членов семьи вашего руководителя за несоблюдение.
Но, даже если бы вы могли решить проблему растущего риска для личной жизни ваших руководителей, действительно ли вы хотите заниматься этим лично? Доступ к личной и очень личной информации подвергнет вас повышенному уровню конфиденциальности, ответственности за раскрытие информации, в общем, у вас достаточно поводов для беспокойства, чтобы не добавлять дополнительную головную боль. Дабы избежать этого, есть смысл подумать о сервисе цифровой защиты руководителя и его семьи.
Полноценная стратегия защиты конфиденциальности, личных устройств и домов ваших руководителей, членов совета директоров и ключевого персонала, когда они находятся вне корпоративной безопасности – нужно, чтобы кто-то это взял на себя. Защитить ваших руководителей и членов их семей от рисков для них, предотвратить финансовое мошенничество, остановить кражу учетных данных, попытки выдачи мошенников за другое лицо, утерю личных данных и преследование, а также предусмотреть другие угрозы. Кроме этого, важно учесть, что руководители будут использовать личные устройства и подключаться к сетям, в которых отсутствует контроль корпоративного уровня, понимать угрозы в социальных сетях и мессенджерах, оценивать персональный уровень киберграмотности каждого менеджера – и все это важно делать с высочайшим уровнем эмпатии и на уровне сервиса, привычного для топ-менеджмента.
Кто-то должен защитить персональную цифровую жизнь ваших руководителей и гарантировать им спокойствие и комфорт в цифровом мире – в любое время и в любом месте.