Выпуск №44: Как топ-менеджеру защитить себя от вымогателей
Топ-менеджеры чаще других игнорируют правила информационной безопасности. Вдумайтесь, 81% членов советов директоров хранят закрытую и дорогостоящую информацию на своих телефонах. Это чревато неприятностями и для них, и для возглавляемых ими компаний.
На днях бизнес-мир взбудоражила новость о том, что у двух топ-менеджеров кинокомпании Pathé в электронной переписке выманили €19 млн. Потрясает и размер потерянной суммы, и та легкость, с которой была провернута афера.
Топ-менеджмент — одна из самых «лакомых» мишеней и в корпорациях, и в небольших компаниях. И если руководители попадаются на удочку мошенников, то ущерб для организации или для них лично всегда серьезный.
В то же время топ-менеджеры чаще других обходят или вовсе игнорируют общие правила информационной безопасности. В сентябре PwC рассказалао результатах опроса руководителей российских компаний. Оказалось, что 81% членов советов директоров хранят на своих телефонах закрытую и дорогостоящую информацию. К тому же 29% респондентов предпочитают общаться с другими членами советов директоров с помощью личной электронной почты.
Как такое возможно, что под угрозу компанию ставит ее собственный руководитель? Служба безопасности могла бы вовремя пресечь опасность, но зачастую она вовсе не имеет доступа к ПК и прочим устройствам руководителей. То есть у службы безопасности просто нет технической возможности активировать защитную политику.
Главный мотив в такой ситуации: руководители имеют доступ к конфиденциальной информации, которую ИБ-специалистам знать нельзя. Все логично, но проблема решается очень просто. Например, у нас в компании реализовано два контура безопасности: один для рядовых сотрудников, второй — для топ-менеджмента. Ко второму контуру имеют доступ только два доверенных лица.
Вторая причина, почему отделу ИБ приходит указание полностью исключить устройства топ-менеджмента из мониторинга, связан с комфортом. Специальное ПО, которое анализирует угрозы, может в какой-то момент замедлить операции с устройством. В такой ситуации вместо того, чтобы пойти на диалог с техническим или ИБ-подразделением и поменять настройки, сверху спускают приказ полностью отключить средства безопасности.
Противоборство менеджмента и службы безопасности — это и есть главная проблема. Топ-менеджеры считают, что служба безопасности следит за ними из недоверия. На деле же это просто работа с единственной целью — помочь бизнесу. Выходит, что топ-менеджмент, который отвергает регламенты и использует в работе незащищенное оборудование с критичной информацией, сам создает проблемы себе и компании.
В чем опасность?
Если топ-менеджмент будет игнорировать общие правила безопасности, а какому-то злоумышленнику придет в голову получить информацию о компании, ему достаточно украсть или взломать одно мобильное устройство — принадлежащее руководителю, — и у него в руках окажутся критически важные доступы и переписки. Личный e-mail также взломать в разы проще, чем корпоративную почту. Это подарок для мошенников, ведь действовать против одного человека проще и дешевле, чем пытаться брать на абордаж защищенную сеть компании.
Вот пример. В июне преступники сделали копию SIM-карты московского бизнесмена, чтобы получить контроль над банковскими приложениями. Без проблем сняли 26 млн рублей с его личного счета и со счета организации, который был подвязан к тому же мобильнику.
На слуху сейчас другая подобная история — юный хакер украл больше $1 млн у ИТ-боссов Кремниевой долины. Все это он провернул при помощи социальной инженерии, сбора данных о жертвах и подмены SIM-карт. Дело ИБ-специалистов вовремя сигнализировать о подобной опасности.
В ситуации с руководством Pathé также могла вмешаться служба безопасности. «Секретные переводы» по нескольку миллионов евро в любом случае попали бы в их поле зрения.
Мошенник может втереться в доверие руководителя где угодно. Мой начальник службы безопасности делился кейсом в тему. Во время авиаперелета один из его знакомых руководителей увидел, что сосед по креслу с айпадом в руках отслеживает курсы криптовалют. Он сам заговорил с собеседником, договорились встретиться, чтобы обсудить возможности инвестирования. Сделка состоялась, бизнесмен инвестировал в создание собственной криптовалюты около $300 000. Увы, ни с кем бизнесмен сделку не обсуждал и не советовался. В итоге собеседник оказался мошенником и пропал с деньгами. Уже позже топ-менеджер понял, что таких совпадений не бывает, он явно был в разработке, и попутчик оказался с ним в одном самолете не случайно.
Истории в духе фильма «11 друзей Оушена» случаются и в жизни. Фальшивый «рокфеллер» Кристофер Роканкурт, которого считают одним из самых больших мошенников века, прикрывался дружбой с Микки Рурком и Жан-Клодом Ван Даммом. Так под «инвестирование в кинобизнес» он собрал больше $40 млн.
Делаем выводы?
Для большинства топ-менеджеров характерно ощущение контроля над ситуацией. Они действуют и принимают решения в режиме очень ограниченного времени и вынуждены довольствоваться поверхностной информацией. Получают ее из доверенного, довольно узкого круга лиц, но зато кредит доверия у этого круга большой. Иногда в этот круг попадают мошенники, которые знают, на что давить. Здесь просто необходим трезвый взгляд профессионального параноика — специалиста по безопасности. А топы, пользуясь корпоративной властью, наоборот, строят между службой безопасности и собой трехметровые заборы.
Использовать возможности, которые сами идут в руки, принимать решения быстро и не подвергать их сомнению, — это сила и одновременно слабость тех, кто однажды встал на путь предпринимательства. Но уж если вы принимаете решения о том, каким правилам должны следовать сотрудники, и стараетесь максимально защитить компанию, странно считать себя «самым умным» и делать исключения. Правила для руководителей должны быть даже строже, чем для рядовых сотрудников. Ведь у них в руках более важная информация и охотятся за ней гораздо более подготовленные люди.