• Назад

    Кібербезпека в корпоративному електронному навчанні: стереотипи, загрози та методи захисту

    Дата публикации: 04.04.2024
    Просмотры: 532

    Извините, этот текст доступен только на “UA” и “EN”.

    Пропонуємо вам провести маленький експеримент. Вбийте у пошуковику запит “ключові фактори при виборі LMS”, прочитайте декілька матеріалів на цю тему та підрахуйте, як багато з них радять звертати увагу не тільки на функціональність, доступність і масштабованість системи дистанційного навчання, але й на її безпечність.

    Дамо підказку – один з десяти. І це ще у кращому разі.

    Така ситуація відверто дивує, особливо зважаючи на той факт, що, згідно зі статистикою, кожна п’ята людина віком від 18 років ставала жертвою кібератак у соціальних мережах або через мобільні пристрої.

    Насправді ж, питання безпеки має бути одним із пріоритетних при пошуку сервісу для корпоративного онлайн-навчання. Чому? Про це нам розповів CTO & Co-Founder LMS Collaborator Олександр Слубський.

    Ключовий критерій вибору LMS

    Кібербезпека – це цілий комплекс дій, направлений на покращення та захист конфіденційних даних організації. Адже, будьмо відвертими, здебільшого все зводиться саме до інформації, яка, по суті, і є основною цінністю будь-якої компанії, незалежно від її розміру.

    Що ж стосується онлайн-навчання, то здається, нібито нічого страшного не станеться, якщо ваші лекції, вебінари або тести потраплять не в ті руки. Дійсно, це не так критично, як, наприклад, для банківського сектору, коли мова йде про втрату грошей, або ж сфери охорони здоров’я, коли зловмисники можуть отримати дані щодо хвороб ваших клієнтів.

    blankМенше з тим, великий та середній бізнес завжди оцінює ризики і дивиться на безпечність того рішення, яке він купує, позаяк від цього залежить його репутація. Нещодавній кейс зі зламом одного з найбільших українських операторів зв’язку – яскравий доказ того, які руйнівні наслідки може мати стороннє втручання.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

     

    Крім того, не варто забувати про те, що корпоративні курси не обмежуються знайомством з історією та цінностями компанії. Вони можуть містити якусь чутливу інформацію, як то рецептуру продукту, яку зловмисники радо продадуть конкурентам або ж використають з метою шантажу.

    Також у кібербезпеці є таке поняття як горизонтальний злам, коли хакер не може вийти на когось напряму. Але отримавши доступ до іншої ланки, він проникне і до цієї. Тож якщо система дистанційного навчання розгорнута у клієнта і її зламають, то далі відкривається можливість доступу і до іншої інформації.

    Шахрайство такого типу працює більше на рівні масовості. Тобто якщо ми не говоримо про топ-менеджмент компанії, то зловмисників не цікавить якийсь конкретний співробітник. Кожен працівник є маленьким гвинтиком у компанії, і таких гвинтиків може бути сотні тисяч. Тому, найімовірніше, задача шахраїв – отримати базу даних персоналу через зламану LMS, щоб використовувати її потім для спаму, фейкових продажів або ж блокування роботи сервісу.

    Російські хакери працюють саме за таким принципом, кидаючи мільйонам людей фейкові емейли з вірусом. Певний відсоток отримувачів їх відкриває, і вони свого таки досягають, але не якістю, а кількістю.

    blank

    Ось чому кібербезпека – це ключовий критерій при виборі LMS.

    Та перш ніж починати пошук надійного провайдера, треба зрозуміти, з якими саме небезпеками може зіштовхнутися ваша компанія.

    Загроза №1. Спам

    Думаємо пояснювати, що це, немає необхідності, адже кожен з нас хоча б раз та отримував листа від принца Нігерії з проханням позичити йому трохи грошенят. Спам, в принципі, може прийти на будь-який емейл, навіть попри використання спам-фільтрів. На жаль, стовідсоткового захисту від нього поки не існує. Та спам-фільтри все одно бажано таки мати. Тим паче, що цей функціонал вже включений у більшість сучасних поштових сервісів за замовчуванням.

    blank

    Хороші провайдери захищатимуть персонал компанії від спаму, але варто розуміти, що працювати це буде тільки частково. Тому співробітникам потрібно просто включати критичне мислення і дивитися, хто надіслав цей лист. Якщо він прийшов від колеги, з яким не було жодної попередньої комунікації, то можна написати йому не на пошту, а, скажімо, у Telegram, Viber або корпоративний месенджер і впевнитися, що відправником був саме він.

    Поки цього не станеться, підозрілий лист бажано навіть не відкривати. Більшість людей думає, що “Я просто його прочитаю та відмічу як спам – нічого страшного від цього не буде”. Ні, такий лист потрібно одразу ж видаляти, бо його відкриття вже дорівнює взаємодії і передачі персональної інформації, до прикладу, тієї ж IP-адреси, зловмиснику.

    Рідше, але крім таких однотипних творів, з яких одразу видно, що це спам, трапляються і справжні поеми. Я знаю такий випадок, коли CEO досить відомої компанії прийшов лист від фінансового директора з рахунком за користування певним IT-сервісом. Він його прочитав, узгодив, підписав своїм ключем і відправив у роботу. Фактично ж то був шахрайський лист, але дуже грамотно зроблений. Зловмисник просто представився цим фінансовим директором і підсунув свій рахунок.

    Зараз хакери пішли навіть далі. Так одна транснаціональна компанія втратила 26 мільйонів доларів після того, як шахраї обдурили її співробітників, створивши фальшивий груповий відеодзвінок за допомогою технології deepfake. І в майбутньому подібні випадки відбуватимуться все частіше.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Це вже більш цільовий спам, але він також має місце бути. Організувати таку схему складніше, ніж зробити стандартну масову розсилку, проте і вирахувати її в рази важче. Крім того, розвиток ChatGPT спростив цей процес, і стає все важче відрізнити, чи листа писала людина, чи штучний інтелект.

    Загроза №2. Фішинг

    Суть цього типу кібератак полягає у тому, що зловмисник імітує форму для вводу логіну та паролю, до якої ми вже звикли, до прикладу, Google, Facebook або ж інших соціальних мереж.

    Співробітник може отримати посилання з коментарем “Дивись, хто на фото” або “О, я тебе впізнав”. Йому, звісно, стає цікаво, що ж там таке. Він клікає на це посилання, яке начебто перекидає його на форму входу в Instagram, та вводить свій логін і пароль для авторизації. Насправді ж ця сторінка є просто дуже майстерною копією, тож співробітник може навіть і не помітити, що власноруч віддав свої персональні дані зловмиснику.

    blank

    І якщо спам-фільтри можуть врятувати у 90% випадків, то тут відповідальність повністю лягає на людину, яка переходить за отриманим посиланням. Поки що майже не існує механізмів, які захистять персонал компанії від фішингу. Ось чому треба пильно дивитися на URL-адресу сторінки. Вона може бути дуже схожою на оригінальну: не Facebook, а Facebock, не Google, а Googgle тощо. Хоча більшість крупних соцмереж намагаються викуповували такі домени, ми також маємо уважно за цим слідкувати.

    Загроза №3. Витік облікових даних

    Яким чином зловмисники можуть отримати доступ до конфіденційної інформації?

    Тут, як правило, є два варіанти.

    Або LMS зламують так званим класичним методом, коли хакери знаходять якусь вразливість і крадуть необхідні їм дані.

    Або ж покладаються на людський фактор: підбирають чи ж бо обманом виманюють пароль когось із адмінів і під його виглядом заходять до системи. Тоді і зламувати нічого не треба. Шахраї вже мають всі доступи і можуть скачувати те, що їм заманеться.

    Від першого варіанту захищають перевірки та аудити. Це може бути тест на проникнення, коли білі хакери за ваші гроші намагаються вас же і зламати, а потім надають звіт про знайдені та потенційні вразливості. Зазвичай, крупні компанії мають таких людей у штаті, або ж наймають аутсорс-спеціалістів.

    А от від другого методу, коли крадуть пароль, найефективнішим способом захисту залишається двофакторна аутентифікація. Її механізм простий, але від того не менш дієвий. Отож один фактор – це пароль співробітника, який він знає, а інший – тимчасовий. Він генерується випадковим чином і може приходити у додатку, Viber, Telegram або ж через SMS.

    blank

    Двофакторна аутентифікація в LMS Collaborator

    І ось цей тимчасовий код відправляється виключно на телефон співробітника. Тобто якщо зловмисник якимось чином отримав або підібрав основний пароль, то на тому вся атака і скінчиться, адже далі він не зможе пройти. Єдиним виключенням у цій ситуації стане ще й крадіжка телефона, але то вже якась організована схема виходить.

    Саме тому категорично не можна використовувати один пароль для різних сервісів. Таким чином ми просто полегшуємо зловмисникам їх роботу. За допомогою того ж фішингу хтось може вкрасти у співробітника пароль від Instagram і використати його для входу в систему дистанційного навчання, корпоративну пошту, CRM…

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Зараз вже сервіси самі навчилися контролювати цей процес, і, наприклад, коли працівник вводитиме такий пароль, система буде йому підказувати, що він не є надійним. Багатьох дратує, коли з’являється спливаюче вікно з проханням додати одну цифру, спеціальний знак або велику літеру. Та вони потрібні не для забави, а для нашого з вами захисту.

    blank

    Якщо пароль складається тільки з цифр, то сучасні програми можуть буквально за кілька годин перебрати мільярди комбінацій і визначити необхідний пароль. Коли ми додаємо сюди ще букви та спеціальні символи, це ускладнює процес у рази. Тоді на підбір потрібні вже не години, а місяці, тому і такі вимоги.

    blankТак, я знаю, що сервісів дуже багато, і запам’ятати унікальні дані для входу до кожного з них просто неможливо. Тому зазвичай у багатьох людей є спеціальний файл, у якому зберігаються всі їх паролі. Решта ж навпаки боїться, що таким чином зловмисник зможе спокійно зайти у будь-який додаток. Так і виник стереотип, що краще мати один універсальний пароль, але тримати його у пам’яті.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Однак саме для таких випадків і існує менеджер паролів. У ньому можна спокійно зберігати всю необхідну інформацію. Він зашифрований, тож навіть якщо цей файл хтось вкраде, то не зможе нічого з ним зробити. А головне, що у підсумку потрібно тримати у голові тільки один пароль – від свого менеджера.

    У цьому принципова різниця між тим, щоб зберігати персональні дані у звичайному вордівському документі на робочому столі та у спеціальному програмному забезпеченні. Хакери часто свідомо зламують саме бухгалтерів або секретарів і знаходять у них цілий каталог таких паролей, записаний у файлі з відкритим доступом. По суті, це те ж саме, що залишити їх на листочку, прикріпленому до монітора.

    Плануєте впроваджувати онлайн-навчання у компанії, але все ще знаходитесь у пошуку безпечної платформи, яка захистить ваші конфіденційні дані? Тоді залишайте заявку, і наші менеджери продемонструють вам усі захисні механізми LMS Collaborator у дії.

    Загроза №4. Використання публічного Wi-Fi

    Співробітники, як правило, працюють на девайсах компанії, що, найімовірніше, забезпечені елементарним захистом. Яким би він не був – гіршим або кращим – свої функції ці сервіси таки виконують.

    Та бувають випадки, коли людина, до прикладу, захворіла, і має вирішити термінові робочі задачі. Вона лікується вдома і займається всіма питаннями зі свого персонального гаджету. Такі ситуації кожна компанія вирішує вже по-своєму.

    Хтось не дозволяє заходити в систему зі сторонніх пристроїв. Хтось вимагає, щоб на домашніх девайсах також був певний захист. А хтось зобов’язує встановити спеціальний додаток, який перевірятиме, чи можна переходити на той чи інший сайт.

    Я рекомендую почати хоча б з мінімальної бази – купівлі VPN, що шифруватиме інтернет-з’єднання між працівником і сервісами компанії. Він зрізає частину загроз, які можуть виникнути при підключенні з дому чи з іншого місця.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Ті ж віддалені працівники часом люблять вийти в люди і попрацювати з коворкінгу чи кав’ярні на незапароленому Wi-Fi. Якщо заходити через VPN, то користуватися ним, в принципі, можна. Також це припустимо у випадку закритого Wi-Fi, коли для підключення необхідно дізнатися в офіціанта пароль, який шифрує з’єднання між гаджетом співробітника та роутером. Інших варіантів тут бути не може.

    Немає паролю – немає шифрування, а це означає, що трафік не захищений. Тобто працівник просто сидить у закладі на безкоштовному Wi-Fi, а хтось тим часом може перехопити його пароль і непомітно вивантажити необхідні дані. Саме тому VPN став таким популярним, адже це по-справжньому хороший інструмент для захисту трафіку під час роботи поза межами офісу.

    Хакери також користуються ним якраз для того, щоб себе анонімізувати. У підсумку в історії залишаються тільки незрозумілі заходи з Нідерландів, Китаю чи будь-якої іншої країни. Але це вже ми говоримо про безкоштовні VPN. Тут важливо не плутати. Якщо у компанії немає власного VPN, і співробітник встановлює якусь загальнодоступну версію, то з вірогідністю у 99,9% він міститиме рекламу або віруси.

    Потрібно розуміти, що більшість безкоштовних речей насправді такими не є. Все має свою ціну. І реклама – то ще не найгірше, що може статися. Тому компанії важливо мати свій VPN, щоб контролювати кожне підключення.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Загроза №5. Шкідливе програмне забезпечення

    В Україні це питання почало загострюватися у 2016-2017 роках, коли з’явився вірус Petya, який шифрував усе, до чого добирався на комп’ютері. Тоді від нього дуже постраждав наш енергетичний сектор та інші державні установи. Саме з того часу люди почали більш серйозно перейматися кібербезпекою, бо до цього про неї дбали тільки крупні компанії. Інші ж, переважно, думали, що “Та якось воно буде”.

    Після колапсу, який спричинив Petya, навіть дрібні компанії намагалися покращити свій захист. Тому на початку повномасштабного вторгнення ми були вже більш підготовленими до таких ситуацій. Це стало очевидним навіть не у лютому, а наприкінці січня 2022 року, коли кібератаки з Росії набули масового характеру.

    blankКожен співробітник може визначити, чи становить програмне забезпечення, яке він хоче завантажити, небезпеку, керуючись тим самим принципом, що безкоштовне дуже рідко буває таким просто так. Необхідно елементарно критично мислити. Якщо ми говоримо про встановлення якоїсь програми, тобто ініціатором виступає сам працівник, то потрібно себе запитати, чому це вона лежить у відкритому доступі.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Схожа історія з розширеннями браузера та телефонними додатками, але ті ж Play Market та App Store намагаються їх контролювати. Вони використовують спеціальні інструменти для пошуку та блокування недобросовісних виробників, хоча це, знову ж таки, не гарантує стовідсоткову безпеку.

    Також співробітник може скачати, на перший погляд, звичайний PDF або архів RAR з назвою “Наказ” чи іншим словом, яке автоматично чіпляє увагу. Таким чином часто атакують наші урядові організації. Тобто, здавалось би, це не програма і не плагін, а простий документ, але з його допомогою можна зламати телефон або комп’ютер.

    І неважливо, який саме файл відкриває працівник – PDF, JPEG чи будь-який інший. Абсолютно безпечних форматів не існує. Кожен з них може нести потенційну загрозу. Все, що виглядає якось дивно і не мало б прийти, має ігноруватися або ж одразу видалятися. Це моя головна порада.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Крім того, потрібно регулярно робити резервну копію важливих даних та оновлювати свій девайс до останньої версії. Це дуже важливо, оскільки хакери постійно знаходять все нові й нові вразливості. Відповідно, компанія виробник працює над тим, щоб їх закрити.

    blank

    Так і відбувається біг по колу. Але важливо з цього кола не випадати і не нехтувати запропонованими оновленнями, адже, на жаль, нині не існує інструментів, які б гарантували абсолютну безпеку. Тож покладатися ми можемо тільки на себе.

    Як убезпечити дані компанії?

    Насамперед кожне рішення залежить від тих задач, які ви перед собою ставите. І, звісно ж, від бюджету, бо в когось є кошти на придбання дорогих сервісів для захисту корпоративних даних, а у когось ні. Тому тут немає однієї відповіді.

    Це може бути щось просте, як встановлення антивірусу або регулярне проведення аудитів. Такі варіанти є досить бюджетними і займають мінімум часу. Або ж можна заморочитися, як це зробили ми, і пройти сертифікацію по стандарту ISO 27001, який встановлює вимоги до створення, впровадження та підтримки інформаційної безпеки в компанії.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Також не обов’язково брати фахівця з кібербезпеки у штат. Ви можете найняти когось на аутсорсі: людей, які впровадять, пропишуть алгоритми дій, навчать. Однак контроль все одно має бути за вами. Безпека компанії не повинна повністю керуватися кимось ззовні. Хтось однаково має перебувати у контексті та відстежувати проблемні місця зсередини, адже ви не можете один раз взяти, все налаштувати і забути про це.

    Крім того, варто пам’ятати, що співробітники здатні самі себе захистити. Передусім їх головна задача полягає у тому, щоб включати логічне мислення і думати перед тим, як виконувати якісь дії. Здавалось би, дуже проста порада, але вона надважлива, адже закриває половину всіх потенційних проблем.

    Багато зламів відбувається саме через те, що працівники поспішали, були неуважними або ж думали “Та нащо мені та двофакторна аутентифікація? Це ж довго і незручно”, що випливало потім у злам системи і, як наслідок, втрату грошей і репутації компанії. Нібито з безпекової точки зору вони нічого не роблять, адже за них все налаштовують адміни. Проте кінцева взаємодія відбувається саме з ними, тому кожен співробітник повинен розуміти потенційні наслідки своїх дій.

    Компанія не має сподіватися на самосвідомість персоналу. Її задача полягає у тому, щоб регулярно доносити важливість дотримання безпекових правил і забезпечувати цифрову грамотність працівників.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Тому це дорога з двостороннім рухом. З одного боку, компанія має налаштувати усі IT-сервіси, щоб забезпечити максимальний захист. Співробітник же, у свою чергу, приймає кінцеве рішення, коли йдеться про відкриття листа, перехід за посиланням чи завантаження підозрілого файлу. Тож він має знати, які загрози існують. Тільки в комплексі ця система буде працювати.

    Критерії вибору LMS

    При пошуку системи дистанційного навчання необхідно врахувати кілька важливих факторів. Вони можуть бути неочевидними, але, повірте нам на слово, у подальшому матимуть суттєвий вплив на кібербезпеку компанії.

    Фактор №1. Визначення з типом сервісу

    Хвилинка термінології.

    On-premise LMS розміщується локально на серверах компанії і керується вашим штатним ІТ-спеціалістом. На практиці це означає, що ніхто не гарантує вам якість її роботи, оскільки розробник відповідає тільки за саму систему дистанційного навчання, тоді як на неї може впливати робота мережі, сервера, стороннього ПЗ тощо.

    При цьому локальна LMS виглядає наче більш безпечною, ніж хмарна, адже не виходить за межі компанії. Вона налаштовується виключно на корпоративних девайсах і знаходиться під повним вашим контролем.

    Що ж стосується SaaS платформ, то тут розробник виступає одночасно і в ролі провайдера. Він повністю контролює всю необхідну інфраструктуру, а також стан оновлень ПЗ, і, відповідно, може давати гарантії роботи сервісу (SLA).

    blankОбидва підходи мають як свої переваги, так і недоліки, тож зрештою все залежить від ваших потреб. Та все ж, коли це SaaS-рішення, то ми, як провайдер, повністю за нього відповідаємо. Нам простіше постійно контролювати та оновлювати систему, щоб усі вразливі місця були закриті, а потенційні безпекові проблеми виявлені за допомогою тих же тестів та аудитів. І головне тут те, що ви взагалі не маєте цим перейматися.

    Олександр Слубський, CTO & Co-Founder LMS Collaborator

    Фактор №2. Репутація

    Не варто соромитися ставити незручні питання.

    Ви повинні точно знати, де розгорнута LMS, у якого провайдера, чи є в неї резервні копії, щоб одного дня не втратити свої навчальні матеріали, як, скажімо, компанія Union Group.

    Зважайте також на репутаційні ризики. При більш детальному розгляді може виявитися, що провайдер має російське коріння. Перевірити цей факт досить легко. Якщо сервіс ненадійний, то ви обов’язково знайдете на нього негативні відгуки у мережі. Це те мінімальне, що ви можете зробити зі свого боку.

    blank

    Потім варто запитати, які методи аутентифікації підтримує обране рішення. Більшості компаній важливо, як саме користувачі будуть входити у систему: чи потрібно співробітникам кожного разу вводити пароль, чи це відбуватиметься автоматично через єдиний центр авторизації (SSO).

    Фактор №3. Відповідність міжнародним стандартам

    Можемо відверто сказати, що LMS Collaborator як продукт вийшла на якісно новий рівень саме коли пройшла сертифікацію з безпеки, про яку ми вже згадували вище. Тобто у нас є сертифікат від українського аудитора, а у нього – від міжнародного консорціуму. Щоб відповідати стандарту ISO 27001, необхідно виконати доволі суворі умови, тому його вважають таким собі гарантом безпеки.

    Що отримає користувач такого сервісу?

    • Безпечний канал для передачі даних через мережу
    • Двофакторну аутентифікацію
    • Шифрування та захист даних від несанкціонованого доступу
    • Журналювання подій для аналізу та виявлення незвичної активності
    • Можливість відновлення даних у разі їх втрати або пошкодження
    • Керування доступом
    • Регулярні тестування на проникнення, які допомагають ідентифікувати слабкі місця в системі та захистити їх
    • Моніторинг зловмисної активності

    Тобто у більшості випадків достатньо буде запитати, чи має провайдер сертифікат ISO 27001 або SOC 2. Якщо він є, то з точки зору безпеки така система дистанційного навчання може заслуговувати на довіру.

    blank

    І наостанок

    На жаль, у наших реаліях просто встановити надійний антивірус недостатньо. Кібербезпека – це комплексна проблема, яка потребуватиме вашої постійної уваги. Ось чому кожній компанії так важливо не тільки мати детальний безпековий план з покроковим алгоритмом дій, але й регулярно нагадувати співробітникам про його існування.

    І цей процес ніколи не закінчується. Його потрібно постійно контролювати і покращувати, бо все змінюється. Технології не стоять на місці. Щодня зловмисники вишукують все нові й нові вразливості у вашій безпеці. А це означає, що те ж саме в плані захисту маєте робити і ви.

    Испытайте LMS Collaborator в действии
    Нужны рекомендации по выбору правильных функций для оцифровки и автоматизации корпоративных процессов обучения? Мы здесь, чтобы помочь.
    Заказать демо
    Или звоните нашему менеджеру
    +38(067)217-0440