Социальные сети: киберпреступники ставят ловушки на СМБ
Большинство компаний в последние годы изменили или в настоящее время стремятся изменить способы общения с клиентами и целевой аудиторией. Организации все больше обращают внимание на сообщество пользователей и стараются развить диалог. Однако корпоративные стратегии и политики безопасности, применяемые к социальным сетям, обычно не учитывают вопросы достоверности, безопасности и конфиденциальности. Компании должны понимать, что проекты Web 2.0 – это не просто дешёвые источники полезной маркетинговой информации, они могут нести многочисленные угрозы безопасности.
По данным первого ежегодного исследования "Индекс риска социальных сетей для предприятий малого и среднего бизнеса" (проводился компанией Panda Security, производителем "облачных" решений безопасности), 78% опрошенных предприятий используют социальные сети для мониторинга деятельности конкурентов, улучшения качества обслуживания, а также для продвижения своей продукции, проведения маркетинговых программ и увеличения дохода.
Исследование показало, что Facebook является наиболее частой причиной заражения вредоносным ПО (71,6%) и нарушения конфиденциальности (73,2%). YouTube занял второе место по количеству заражения вредоносным ПО (41,2%), в то время как Twitter явился причиной значительного количества нарушений конфиденциальности (51%). Среди компаний, которые понесли финансовые потери из-за утечки данных, на первом месте снова оказался Facebook (62%), затем Twitter (38%), YouTube (24%) и LinkedIn (11%). То, что социальные ресурсы интернета стали наиболее активными источниками распространения вредоносного ПО, подтверждают и в компании Eset. Впрочем, есть альтернативные сведения. Так, сайты Facebook и Twitter никогда не размечались антивирусами, встроенными в поиск "Яндекса", как содержащие зловредный код.
Защита бренда и конфиденциальности данных должна стать приоритетным направлением для всех предприятий. Однако в действительности ни социальные сети, ни сами компании не уделяют этому аспекту достаточного внимания. Тот факт, что любой желающий может создать поддельную страницу, назвавшись именем реально существующей компании, означает, что любой человек может говорить от имени компании, даже не имея ничего общего с ней.
Компании подвержены тем же угрозам, что и обычные пользователи социальных сетей, но с более разрушительными последствиями. К основным проблемам безопасности относятся: похищение личных данных; риск заражения; уязвимости платформ.
Защитить корпоративную конфиденциальность помогут: грамотное управление паролями, например, их регулярная смена и усложнение (с помощью сочетания букв и цифр); бдительность, своевременное выявление угроз, а также осведомленность администраторов корпоративных страниц о технологиях безопасности и новейших угрозах.
Кроме того, нужно учитывать, что до 77% работников малого и среднего бизнеса используют социальные сети в рабочее время и также могут опубликовать конфиденциальную информацию (по данным исследования).
"Корпоративные стратегии безопасности, будь то большие или малые предприятия, должны включать планы действий в случае общественных кризисов, вызванных любой из интернет-платформ, которые могут повлечь за собой ущерб репутации и финансовые потери, - убеждён Луис Корронс, технический директор PandaLabs. - Очевидно и то, что кибер-преступники переключили свое внимание на компании, использующие социальные сети, и организуют целенаправленные атаки на них, так как это сулит большие выгоды, чем отдельные пользователи".
Однако многие эксперты не склонны драматизировать вопросы безопасности при работе в социальных медиа. "Безусловно, рост популярности любого сайта, в том числе и сайтов социальных сетей, приведет к повышенному вниманию злоумышленников, однако на текущий момент риск заражения вредоносным ПО при посещении социальных сетей лишь немногим выше, чем у любого другого популярного сайта с контентом, создаваемым пользователями", - говорит Владимир Иванов, заместитель руководителя департамента эксплуатации компании "Яндекс". Таким образом, по его словам, сотрудники компаний должны применять обычные меры предосторожности при посещении таких сайтов (использование антивирусов, осторожное отношение с ПО, скачиваемому из интернета с малоизвестных сайтов и т.д.). Для социальных сетей в настоящее время достаточно актуальна проблема фишинга, однако и она успешно решается во всех современных браузерах, успокаивает Владимир Иванов. Конечно, cамый простой и действенный метод избежать утечек конфиденциальной информации – просто перекрыть сотрудникам доступ к социальным сетям. "На работе человек должен работать, а социальные сети он может посещать с домашнего компьютера и в свободное от работы время, - делится мнением Владислав Исаев, пресс-секретарь ИХ "Финам" .- В связи со спецификой финансового бизнеса в нашей компании придерживаются именно такой практики. Для работы по продвижению в социальных сетях можно использовать машины, не включенные в общую сеть компании, а лучше сотрудников на аутсорсе – специфика этой работы как раз предполагает предпочтительность свободного графика. Ну и, конечно, должны соблюдаться все стандартные правила по защите паролей, их своевременная смена, тщательное инструктирование сотрудников по правилам безопасности, применение антивирусов и т.д.".
"Правила работы в Сети очень просты: не стоит делиться той информацией, которую вы не хотели бы выносить за пределы компании, - говорит Анна Артамонова, вице-президент Mail.Ru. Интернет – сам по себе публичное место. Сегодня Сеть – одно из самых влиятельных средств массовой информации, об этом всегда следует помнить". По словам г-жи Артамоновой, предупреждение утечек конфиденциальной информации – это работа службы безопасности компании и юридического отдела. Очевидно, что доступ к конфиденциальным сведениям должен быть только у ограниченного круга лиц. Также компании следует позаботиться о защите корпоративных аккаунтов в соцсетях от действий злоумышленников: не создавать простых паролей и периодически их менять, использовать последние версии браузеров и антивирусных программ, не переходить по подозрительным ссылкам и т.д. В идеале корпоративными аккаунтами в соцсетях должен заведовать один человек, с которым следует заключить письменное, соответствующее нормам российского законодательства соглашение об ответственности за сохранность данных и неразглашение коммерческой тайны, рекомендует Анна Артамонова.
Рекомендации для компаний по поведению в социальных сетях немногим отличаются от рекомендаций для обычных пользователей, поскольку продвижение на таких ресурсах ведется опять-таки с пользовательского аккаунта, который необходимо защищать от злоумышленников. "Желательно, чтобы сотрудник, работающий под таким административным аккаунтом, был опытным пользователем интернета, не переходил по незнакомым ссылкам, так как это может привести к краже регистрационных данных и другой конфиденциальной информации, - советует Борис Грейдингер, директор по ИТ компании Eset. - Кроме того, необходимо тщательно следить за контентом, которые оставляют пользователи социальной сети на странице компании, поскольку она рискует сама стать источником спама и вредоносного ПО, что непременно скажется на ее репутации". Также необходимо постоянно менять пароли для административного аккаунта, предоставлять к ним доступ только узкому кругу специалистов.
В социальных сетях есть ряд неявных пока узроз, которые могут стать весьма опасными в ближайшем будущем. Весьма вероятная и близкая угроза, которая уже сейчас отчасти воплощается в реальность – дискредитация со стороны конкурентов в социальных сетях. "Подобные сообщества очень настороженно относятся к попыткам продвижения услуг через сеть и к любому позитиву – есть немало примеров, когда попытки рекламы в блогах и социальных сетях порождали обратный эффект, - отмечает Владислав Исаев. - А вот негативные сообщения эта среда подхватывает охотно, активно разносит и преувеличивает. Реализовать такую компанию достаточно просто, нужны лишь несколько "заводил" и правильно составленные сообщения, а вот противодействовать на текущий момент очень сложно – найти и вычистить негативные сообщения достаточно трудно, даже если удастся доказать факт клеветы администраторам сетей, да и "осадочек" все равно останется".