Эксперты: деловая переписка в мессенджерах и соцсетях создает киберугрозы для компаний
Например, если в переписке видны номера телефонов коллег, этой информацией могут воспользоваться злоумышленники - для взлома, спама, выуживания данных с помощью социальной инженерии, рассказал генеральный директор IT-компании SAS Россия/СНГ Александр Тихонов
МОСКВА, 17 июля. /ТАСС/. Отправленные сотрудниками компаний третьим лицам скриншоты с рабочей перепиской могут попасть в руки мошенников. Такие действия приводят не только к репутационным и финансовым рискам для компаний, но и к риску киберугроз, считают опрошенные ТАСС эксперты.
Согласно данным опроса аналитического центра "АльфаСтрахование", который есть в распоряжении ТАСС, более 60% россиян отправляют скриншоты с рабочей перепиской в мессенджерах или выкладывают их в социальные сети. Также, на вопрос о том, какой корпоративный способ коммуникации принят в их компании, большая часть опрошенных ответила, что для этих целей либо по договоренности используется один из стандартных мессенджеров (43%), либо способ общения вовсе не регулируется (23%).
Эксперты рассказали ТАСС, чем чревата такая практика, когда сотрудники делятся рабочей перепиской в мессенджерах с коллегами и друзьями. "Последствия могут быть очень разными, так как, вынося рабочие переписки вовне, человек создает не только риск киберугроз, но также репутационные риски, финансовые, ставит под сомнение действия коллег, их компетентность, решения руководства и так далее", - отметил генеральный директор IT-компании SAS Россия/СНГ Александр Тихонов.
Он пояснил, что, если в переписке видны номера телефонов коллег, этой информацией могут воспользоваться злоумышленники - для взлома, спама, выуживания данных с помощью социальной инженерии. Тихонов уточнил, что злоумышленник может попытаться втереться к кому-то в доверие, если в сообщении видны имена коллег. Кроме того, по его словам, если в переписке кто-то из коллег выглядит некомпетентно, то это ставит под сомнение профессионализм команды, говорит о напряженных отношениях внутри коллектива. "Хорошо, если этим воспользуются рекрутеры, но могут воспользоваться и конкуренты или, что хуже, мошенники, применяя манипулятивные техники и давление", - добавил Тихонов.
Исполнительный директор Artezio (входит в группу "Ланит") Павел Адылин отметил, что не все пользователи социальных сетей достаточно четко представляют себе последствия публичного распространения любой информации. Причем не важно, будут ли это личные данные, фото и видео или служебная информация, включая фотографии из офисов или какие-то рабочие заметки, уточнил он. "Нужно признать, что в обществе отсутствует культура пользования новыми публичными цифровыми сервисами, они появились относительно недавно и воспринимаются как простой и доступный инструмент для коммуникации с друзьями и знакомыми. Человек обычно предполагает, что социальные сети не несут опасности, в цифровом пространстве его окружают друзья", - указал Адылин.
Он добавил, что решить проблему можно за счет постепенного повышения уровня грамотности и цифровой безопасности бизнеса. По его словам, как бы бизнес ни старался контролировать этот процесс, избежать утечек будет очень сложно, а попытки контролировать и запрещать могут привести к негативным последствиям, сказаться на рабочей атмосфере или отношениях между нанимателем и работником.
Александр Тихонов также отметил, что публикация рабочей переписки - это вопрос бизнес-этики, корректности и уважительного отношения к коллегам, вопрос соблюдения границ. Он считает, что в компании должны быть приняты форматы приемлемого и неприемлемого поведения. Эксперт пояснил, что, если хочется поделиться какими-то рабочими моментами, то это нужно делать осознанно, с полным пониманием того, что за этим может последовать.
О сервисах для корпоративной переписки
В "Лаборатории Касперского" ТАСС сообщили, что для компании большое значение имеет выбор сервиса для корпоративного общения.
Там отметили, что в качестве сервиса для коммуникации внутри компании важно обязательно использовать один из утвержденных IT- или ИБ-службой ресурсов, так как они проходят проверку на надежность и соответствие корпоративным стандартам.
В "Лаборатории Касперского" указали, что с переходом на "удаленку" стал все чаще проявляться феномен так называемых теневых IT. Это не одобренные компанией сервисы, которые тем не менее используются сотрудниками для работы. Также дополнительным благоприятным фактором для развития теневых IT стало размывание границ между личным и рабочим пространствами в связи с удаленным характером работы. Сотрудники все чаще используют личные гаджеты, а также установленные на них программы для личного пользования в рабочих целях, пояснили в компании.
Например, согласно проведенному во время первой волны пандемии исследованию "Лаборатории Касперского", 59% россиян используют личную почту для решения рабочих вопросов, и половина из них признают, что такое использование участилось при удаленной работе. Также 55% респондентов в России общаются по работе в мессенджерах, не одобренных IT-отделами компаний, а 55% из них делают это чаще именно в новых обстоятельствах. На глобальном уровне меньшая доля сотрудников - 38% - используют личные мессенджеры для рабочих целей.
"Не секрет, что сейчас многие компании в России охотно используют социальные сети для организации удаленных рабочих мест. Существующие мессенджеры, группы в соцсетях представляются бизнесу дешевым способом наладить удаленные коммуникации. Но такая стратегия может оказаться очень опасной, ведь соцсети - это публичные платформы, поэтому чувствительная информация может стать доступной злоумышленникам. Мы уже видим примеры, как телефонные мошенники находят в соцсетях данные для своих сценариев психологического давления на клиентов банков. Никто не может исключить вероятности, что в будущем их заинтересует бизнес-информация из соцсетей", - отметил исполнительный директор Artezio Павел Адылин.
В "Лаборатории Касперского" рекомендуют повышать цифровую грамотность сотрудников, запланировать обучение основам информационной безопасности, в том числе онлайн. Там отмечают, что это позволит выработать понимание, какими данными и с помощью каких сервисов делиться можно, а какими - нет. А также рекомендуют установить проверенное ПО, которое содержит функцию защиты от применения сотрудниками сторонних (а не теневых) IT-решений.