Аудит информационной безопасности в Счетной палате: берегите свои учетные записи

Департамент цифровой трансформации получил некоторые результаты аудита информационной безопасности, который сейчас проводится в Счетной палате. Исполнитель работ — сторонняя организация, действующая в рамках государственного контракта со Счетной палатой, — исследовал, в частности, знание сотрудниками основных правил информационной безопасности, владение навыками безопасной работы в информационной системе, умение противостоять действиям возможных злоумышленников.

Один из самых распространенных видов мошенничества в интернете — так называемый фишинг, «выуживание» конфиденциальных данных, пользуясь беспечностью пользователей. Имитацию такого рода атаки произвел исполнитель работ по аудиту информационной безопасности Счетной палаты.

Специалисты исполнителя разослали по случайной выборке сотрудников Счетной палаты фишинговое письмо от имени некоего Департамента информационной безопасности, в котором сообщали об обновлении корпоративного почтового портала и предлагали пользователям актуализировать свои адреса электронной почты. Для этого предлагалось перейти на страницу, похожую на стандартную страницу аутентификации почтовой службы, но расположенную по адресу owa.it-department.ru.com. Рассылка фишингового письма проводилась с электронного адреса [email protected].

Таким образом, письмо содержало все основные признаки, по которым можно уверенно распознать фишинг: отправлено с некорпоративного адреса и от имени несуществующего подразделения, содержит предложение перейти по ссылке и ввести учетные данные, ссылка ведет на неизвестный сайт. К тому же, в письме специально были допущены несколько грубых грамматических ошибок. Тем не менее, некоторые пользователи послушно перешли по предложенной ссылке и ввели на фишинговой странице свои учетные данные.

Исполнитель не сохранял эти данные, а лишь фиксировал факт их ввода. Но если б на его месте был реальный злоумышленник, то он получил бы в свое распоряжение подлинные логины и пароли сотрудников Счетной палаты!

— Это все равно как продиктовать данные своей банковской карты неизвестному человеку, позвонившему по телефону и представившемуся «службой безопасности банка», — комментирует начальник отдела вычислительной инфраструктуры и ресурсного обеспечения информационных систем Департамента цифровой трансформации Сергей Федоров. — Конечно, одних только учетных данных злоумышленнику было бы недостаточно для входа в информационную систему Счетной палаты: мы применяем многоуровневую защиту. Но сама возможность того, что действующая пара логин-пароль может оказаться в чужих руках, должна быть полностью исключена. Все, что для этого нужно сделать, — соблюдать элементарные правила компьютерной безопасности. Главное из них — никогда не кликать по ссылкам, полученным в письмах от непроверенного источника.

Всего в ходе имитации атаки случайно выбранным сотрудникам Счетной палаты были разосланы 136 фишинговых писем. 10% из них оказались результативными: 14 пользователей перешли по предложенной ссылке на фейковую страницу и ввели там свои учетные данные. Четверо из них даже вступили в переписку с «техподдержкой» и выполнили присланные им дополнительные инструкции, которые могли бы привести, например, к утечке конфиденциальных данных.

Департамент цифровой трансформации приглашает всех пользователей информационной системы Счетной палаты еще раз изучить правила безопасности, с которыми каждого сотрудника знакомят при приеме на работу.

Полезные ссылки

🔺Тематический раздел на «старом» внутреннем портале: Техподдержка - Информационная безопасность (только для внутреннего контура)

🔺Презентация ДЦТ по информационной безопасности: https://cloud.ach.gov.ru/s/e3NQEtZ6kWJ9ZSm?dir=undefined&openfile=949969

🔺Видеозапись вебинара ДЦТ, посвященного информационной безопасности: https://cloud.ach.gov.ru/s/Qt5x8bgfbddWM2f