В начале этого года в Пекине состоялась, по выражению журнала Wired, «Олимпиада одноразовых телефонов». «Burner Phone», для непосвященных, называют мобильный телефон, который используют в течение ограниченного периода времени, а затем выбрасывают. Одноразовые телефоны, или попросту «горелки», раньше были в ходу у преступников, а теперь своим командированным сотрудникам их выдают государственные корпорации.
Вот и Британская олимпийская ассоциация наряду с другими предложила своим спортсменам и представителям команды в Пекине временные телефоны: чиновники опасались, что китайские власти могут получить доступ к данным, хранящимся на их цифровых устройствах. Допустим, через приложение My2022, которое китайское правительство обязало установить всех участников и гостей зимних игр. К слову, Олимпийский комитет Нидерландов пошел еще дальше, велев своим делегатам оставить личные телефоны и ноутбуки дома.
Одним словом, необходимость комплексных мер по кибербезопасности в организациях, в том числе для деловых путешественников, стала острее.
В России в марте количество хакерских атак на компании увеличилось в восемь раз! А самая длительная атака продолжалась 145 часов, рассказали газете «Известия» эксперты «Лаборатории Касперского».
Рунли Го, директор по информационной безопасности Gett, замечает, что «перехват данных может быть направлен как на отдельного путешественника, так и на его работодателя». В первом случае, говорит г-н Го, «большинство киберпреступников — оппортунисты, которые, узнав данные кредитной карты или банковского счета жертвы, стремятся к быстрой наживе. А вот более амбициозные хакеры ищут через устройства сотрудников доступ к секретам компании.
«Как путешественник, вы подвергаетесь большему риску. Зона для кибератаки расширяется. Какие бы данные вы не носили на портативных устройствах, ими можно завладеть электронным способом или путем банальной кражи, при этом меры противодействия, которые вы можете предпринять, ограничены», — говорит Питер Дэвис, ИТ-директор компании-поставщика услуг по управлению рисками в поездках Anvil Group.
Однако даже ими не стоит пренебрегать. Одна из них — защита устройств паролями. И здесь нужно следовать двум правилам. «Во-первых, на действительно важных ресурсах (электронная почта, мессенджеры) нужно обязательно установить так называемую двухфакторную аутентификацию. Пароль и СМС или пароль и PUSH-нотификация с кодом подтверждения. Причем PUSH-нотификации в России предпочтительнее. Для всех остальных сервисов (социальные сети, видеохостинги) устанавливайте разные пароли», — разъясняет Сергей Владимиров, ведущий разработчик ООО «Яндекс Финансовые технологии».
Вообще по Вассенаарскому соглашению деловым путешественникам можно пересекать международные границы с зашифрованными мобильными устройствами (криптофонами). Однако не все страны его подписали, а если и подписали, то не поддерживают исключение, позволяющее личное использование криптофонов. В числе государств, которые допускают его только при наличии разрешения, Беларусь, Китай, Венгрия, Иран, Израиль, Казахстан, Молдова, Марокко, Мьянма, Россия, Саудовская Аравия, Тунис и Украина.
Важно, конечно, и самим организациям предпринимать шаги для повышения кибербезопасности своих деловых путешественников. Лучшее, что они могут сделать, — это информирование.
«Крайне необходимо регулярно проводить тренинги по информационной безопасности. На устройстве сотрудника, в том числе на смартфоне, должно быть установлено антивирусное ПО с последними обновлениями», — рекомендует Михаил Прибочий, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии.
Большой угрозой для организации остается отсутствие элементарных мер предосторожности у персонала, добавляет г-н Го, а это использование незащищенных точек доступа Wi-Fi или Bluetooth, оставление устройства без присмотра или его потеря в общественном месте.
«Многие, не задумываясь, подключаются к бесплатному Wi-Fi в кафе или в аэропорту. Увы, это не всегда безопасно, — согласен с коллегой Михаил Прибочий. — Нередко путешественники заходят в интернет-банкинг через общественный Wi-Fi, совершают покупки онлайн и посещают конфиденциальные веб-сайты. Именно в этот момент злоумышленники могут украсть у туристов, независимо от того, является ли поездка личной или деловой, персональные данные, корпоративную информацию или деньги».
Путешественникам в принципе важно избегать или сводить к минимуму все виды онлайн-подключений. «Если вы отправляетесь в определенные страны, и вам это не нужно для какой-либо конкретной цели, я бы посоветовал заблокировать функцию автоподключения на своих телефонах», — говорит г-н Дэвис.
«Когда риск государственного шпионажа особенно высок, соблюдение мер предосторожности начинается еще на пограничном контроле, — замечает директор по информационной безопасности BCD Travel Фрэнк Шухард. — Если ваш ноутбук забирают и возвращают спустя 30 минут, не уверен, что можно им пользоваться во время поездки. Лучше найти другой».
Еще более разумно, продолжает эксперт, брать в дорогу девайс, на котором удалены все файлы, кроме необходимых в поездке, а также выходить в интернет исключительно через виртуальную частную сеть своей компании. По возвращении ноутбук лучше снова чистить.
Также компания может ограничить права доступа сотрудника на время командировки. Если вы знаете, что он едет для общения с определенным контрагентом, возможно, в поездке ему понадобятся лишь конкретные данные.
В любом случае, даже если речь идет об офисном оборудовании, нужно обязательно отслеживать, куда и как сотрудник отправляет информацию. Существуют системы, позволяющие контролировать весь трафик компании. Организации, которые могут себе позволить такое программное обеспечение, чаще всего достаточно лояльны к тому, что сотрудник проводит какое-то время в социальных сетях. Но, разумеется, если он попытается поделиться корпоративной информацией без разрешения, используя любой канал передачи информации, это с большой долей вероятности может быть отслежено и часто пресечено«, — обращает внимание Сергей Владимиров.
Потом все мы знаем, что благодаря возможности делиться геопозицией можно определить, где находится пользователь. И отправлять ему информацию о событиях, происходящих с ним рядом. «Оставьте геолокацию включенной, но отключите другие функции — так вы сведете к минимуму потерю данных, которыми пользуетесь», — советуют эксперты.
Г-н Дэвис также призывает компании напоминать путешественникам о необходимости использовать биометрические функции безопасности, такие как распознавание лиц или отпечатки пальцев. «Устройство с бОльшей степенью защиты скорее всего вернут или бросят, потому что это усложняет доступ к данным. И потом вы выиграете время», — говорит он.
А время понадобится для того, чтобы, например, сообщить о случившемся в службу безопасности. Это, кстати, важное условие хорошей кибергигиены — поднимать тревогу при обнаружении проблемы. Доступ к горячей линии такой службы очень важен, и хранить этот номер нужно где-то еще, кроме телефона или ноутбука.
Наконец, деловым путешественникам нужно периодически напоминать о сдержанности в социальных сетях. Очень хочется рассказать, что на следующей неделе собираетесь в Стамбул, чтобы встретиться со своим деловым партнером? Уверены, что это не лишняя для всех информация?
Классическим предостережением здесь может быть история бывшего футболиста сборной Англии Джона Терри. В 2017 году Джон показал своим подписчикам фотографии, на которых он с женой отдыхает в Альпах. Грабители их увидели и проникли в дом пары. А по возвращении супруги обнаружили пропажу дорогих дизайнерских сумок и драгоценностей...
Как говорили еще великие мудрецы, осторожность никогда не бывает излишней. А осторожность — это принцип, придерживаясь которого вы обретаете безопасность.
Мария Коваль,
По материалам BTN Europe
