В 2015 году старший исполнительный директор Mattel получил электронное письмо от недавно назначенного генерального директора компании. В записке запрашивалась обработка просроченного платежа знакомому производителю. Действуя по электронной почте, руководитель допустил ошибку на 3 миллиона долларов.
Кибератаки такого рода известны как «китовые» электронные письма, которые вместо метода «копирования-вставки» фишинговых сообщений, знакомого любому, у кого есть адрес электронной почты, используют очень конкретную, ультрареалистичную мимикрию для нападения на руководителей высокого уровня.
Электронные письма для китов могут содержать различные гнусные элементы, такие как ссылки на вредоносное ПО или запросы на перевод средств или конфиденциальных данных. Независимо от конкретного подхода злоумышленника, успех попыток китобойного промысла зависит от пробелов в цифровой грамотности цели.
Обеспокоенность по поводу кибербезопасности особенно остро стоит в повестке дня в отрасли финансовых услуг: как Банк Англии, так и Европейский центральный банк недавно потребовали от крупных кредиторов предоставить подробные планы того, как они будут реагировать на кибер-взлом на фоне более широкого призыва принять жесткие меры. по кибербезопасности в отрасли. В рамках своего подхода к решению этой проблемы организации, предоставляющие финансовые услуги, должны обеспечить повышение квалификации сотрудников всех уровней для выявления нарушений кибербезопасности и реагирования на них.
На подъеме
45% специалистов по безопасности и ИТ в последнее время опрошенных PwC предсказал рост числа атак программ-вымогателей, а искусственный интеллект позволяет хакерам, использующим китобойный промысел, совершать мошенничество с невиданной ранее точностью. В 60 году в Великобритании произошло более 2022 «значительных» кибератак национального масштаба.
по данным Национальный центр кибербезопасности
Даже при наличии программ кибербезопасности отдельные сотрудники часто являются брешью в броне компании. Брандмауэры, фишинговые фильтры и антивирусное программное обеспечение важны, но наличие хорошего образования и навыков в области кибербезопасности среди сотрудников является важнейшей линией защиты от серьезной утечки данных, которая приводит к потере миллионов долларов.
Хотя инструменты, используемые для облегчения атак, таких как китобойный промысел, могут быть сложными, есть несколько простых, но очень эффективных процессов, которым можно обучить людей, чтобы защитить бизнес от китобойного промысла и других видов кибератак.
Навыки кибербезопасности для всех
Цифровая грамотность является обязательным условием для любой должности, связанной с работой с технологиями, что охватывает подавляющее большинство должностей в сфере финансовых услуг. Осведомленность о кибербезопасности является важной частью этого. Компании в значительной степени осознают необходимость систем кибербезопасности высокого уровня, но часто упускают из виду роль цифровых возможностей отдельных лиц в поддержании безопасной цифровой экосистемы.
Поэтому кибербезопасность следует рассматривать не как отдельную функцию, за которую отвечает исключительно технический отдел, а как набор навыков, который должен присутствовать во всей организации. Персонал должен регулярно проходить обучение по кибербезопасности, чтобы держать сотрудников в курсе протокола и обеспечивать осведомленность всей компании о потенциальных угрозах и передовых методах.
Например, знание того, как идентифицировать мошеннические адреса электронной почты, стараться не открывать нежелательные вложения и знать надлежащие каналы для сообщения о предполагаемых атаках, являются базовыми, но высокоэффективными навыками, которым должны обучаться все сотрудники. Также важно, чтобы все сотрудники обучены немедленным действиям, которые они должны предпринять, если их устройства были заражены вредоносным ПО или поддельная электронная почта была успешной, чтобы гарантировать максимально возможное смягчение воздействия атаки.
Усердие во всем
Сила китобоев заключается в их способности точно имитировать сотрудника, используя адрес электронной почты на одну букву от подлинного адреса, язык, соответствующий типичному голосу подлинного отправителя, и детали реальных сделок или событий, которые знакомы цели. Независимо от того, составляется ли сообщение с помощью ИИ или человеком, китобойный промысел опирается на исходные данные для имитации.
Личная информация, такая как дни рождения и увлечения, взятые из профилей в социальных сетях, может добавить убедительных деталей к фальсифицированным сообщениям, и, как известно, хакеры даже используют данные расписания из выброшенных документов, чтобы избежать контакта с жертвой, когда они находятся на встрече с человеком, которого выдают за него.
Постоянное повышение квалификации в области кибербезопасности должно стать основой для создания культуры осведомленности об операционной безопасности. Понимание того, какая информация может представлять опасность, и знание того, как должным образом защитить информацию, гарантирует, что люди смогут выявлять и пресекать, казалось бы, безобидные действия, которые подпитывают хакеров. Члены команды должны быть обучены тому, как гарантировать, что их личное присутствие в сети не позволит хакерам воспользоваться навыками настройки конфиденциальности, настройки брандмауэров, антивирусного программного обеспечения и использования шифрования.
Два - магическое число
Хотя внедрение осведомленности о кибербезопасности среди сотрудников может обеспечить мощную защиту от многих взломов, также необходим второй фильтр для проверки любых конфиденциальных действий, таких как перевод средств или данных.
Нападения китов во многом зависят от авторитета человека, на которого они направлены. Даже для руководителей высокого уровня должен быть установлен протокол, чтобы никто не мог проверить действие без дополнительных разъяснений.
Двухэтапная проверка может быть автоматизированным процессом, встроенным в программное обеспечение компании, или ручным процессом. Независимо от того, исходит ли второй этап проверки от отдельного лица или от того же лица, но на другой платформе, бизнес должен убедиться, что персонал обладает всеми необходимыми навыками для надлежащей практики двухэтапной проверки, а регулярное обучение кибербезопасности делает эту практику привычной.
Навыки кибербезопасности — не роскошь
Даже самые надежные автоматизированные системы кибербезопасности могут стать излишними из-за хакеров, способных мобилизовать против них сотрудников организации. Постоянные усилия и актуальное обучение методам обеспечения безопасности имеют решающее значение для предотвращения китобойного промысла и других видов кибератак.
Предприятия должны проводить регулярные оценки своей инфраструктуры кибербезопасности, политик и навыков своих сотрудников, чтобы убедиться, что все они работают эффективно для защиты от всего спектра возможных атак. Это требует, чтобы люди были обучены правильно проводить эти оценки и придерживаться передового опыта, или фирмы могут инвестировать во внешнюю поддержку кибербезопасности.
Инвестиции в навыки кибербезопасности — это не роскошь, а необходимость, и те, кто не может должным образом настроить и поддерживать системы и протоколы для защиты от хакеров, становятся уязвимыми для мошенничества или утечки данных. Поскольку регулирующие органы и государственные органы уделяют особое внимание уязвимости сектора финансовых услуг к кибератакам, эта проблема не может позволить себе ждать.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs
- :имеет
- :является
- :нет
- $3
- $UP
- 2015
- 2022
- a
- способность
- в состоянии
- По
- через
- Действие
- деятельность
- Добавить
- адрес
- адреса
- против
- повестка дня
- AI
- Все
- причислены
- Среди
- an
- и
- антивирус
- любой
- кто угодно
- назначенный
- подхода
- МЫ
- AS
- оценки
- At
- атаковать
- нападки
- попытки
- внимание
- аутентичный
- власть
- Автоматизированный
- избежать
- осведомленность
- прочь
- Банка
- Банк Англии
- основной
- BE
- было
- до
- не являетесь
- ЛУЧШЕЕ
- лучшие практики
- доска
- органов
- изоферменты печени
- нарушение
- нарушения
- бизнес
- бизнес
- но
- by
- призывают
- CAN
- не могу
- возможности
- нести
- Причинение
- центральный
- Центральный банк
- Генеральный директор
- каналы
- Закрыть
- тесно
- выходит
- совершать
- Связь
- Связь
- Компания
- Компании
- Проводить
- сознательный
- Обложки
- трещина
- решающее значение
- Культура
- кибер-
- Кибер-атаки
- информационная безопасность
- кибератаки
- Информационная безопасность
- данным
- Данные нарушения
- Нарушения данных
- Время
- Акции
- защита
- Кафедра
- зависит
- подробный
- подробнее
- развивающийся
- Устройства
- различный
- Интернет
- цифровая экосистема
- Документация
- приносит
- долларов
- вниз
- составлен
- экосистема
- Обучение
- Эффективный
- фактически
- усилия
- элементы
- Писем
- встроенный
- Сотрудник
- сотрудников
- включить
- позволяет
- шифрование
- Англия
- обеспечивать
- особенно
- существенный
- Европейская кухня
- Европейский Центральный Банк
- Даже
- События
- пример
- исполнительный
- руководителей высшего звена.
- эксперты
- и, что лучший способ
- содействовал
- FAIL
- не настоящие
- фальсифицированный
- знакомый
- фильтр
- фильтры
- финансовый
- финансовые услуги
- Finextra
- межсетевые экраны
- Компаний
- Что касается
- Год основания
- мошенничество
- мошенники
- и мошенническими
- часто
- от
- топливо
- полный
- полностью
- функция
- средства
- подлинный
- хорошо
- Правительство
- Хакеры
- взломы
- Есть
- сильно
- High
- на высшем уровне
- очень
- Как
- How To
- HTTPS
- определения
- идентифицирующий
- if
- немедленная
- Влияние
- Осуществляющий
- важную
- in
- включают
- Увеличение
- individual
- лиц
- промышленность
- информация
- Инфраструктура
- в
- Грин- карта инвестору
- вопрос
- IT
- JPG
- Сохранить
- Вид
- знание
- известный
- язык
- в значительной степени
- Оставлять
- кредиторы
- письмо
- уровень
- уровни
- лежит
- линия
- связи
- грамотность
- посмотреть
- от
- Роскошь
- магия
- поддерживать
- Сохранение
- основной
- Большинство
- ДЕЛАЕТ
- вредоносных программ
- руководство
- ПРОИЗВОДИТЕЛЬ
- многих
- Mattel
- Май..
- Медиа
- заседания
- Участники
- Сообщения
- метод
- миллиона
- миллионы
- ошибка
- самых
- движение
- должен
- национальный
- в национальном
- Необходимость
- никогда
- of
- от
- .
- on
- ONE
- постоянный
- онлайн
- открытый
- открытие
- оперативный
- or
- заказ
- организация
- Организации
- Другое
- внешний
- за
- часть
- особый
- особенно
- платить
- оплата
- Люди
- человек
- личного
- фишинг
- Часть
- Планы
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- позиции
- возможное
- потенциал
- мощный
- практика
- практиками
- Точность
- предсказанный
- присутствие
- представить
- предотвращать
- предупреждение
- политикой конфиденциальности.
- процесс
- Процессы
- обработка
- Профили
- программы
- правильный
- должным образом
- для защиты
- протокол
- протоколы
- обеспечивать
- приводит
- PWC
- ассортимент
- вымогателей
- Атаки вымогателей
- скорее
- получила
- недавно
- Несмотря на
- регулярный
- регулярно
- Регулирующие органы
- отчету
- Запросы
- требуется
- Реагируйте
- ответ
- ответственность
- Снижение
- надежный
- Роли
- то же
- мошенничество
- график
- Во-вторых
- вторичный
- сектор
- безопасный
- безопасность
- Безопасность
- видел
- старший
- смысл
- чувствительный
- отдельный
- серьезный
- Услуги
- набор
- установка
- настройки
- Щит
- должен
- просто
- квалифицированный
- навыки
- набор навыков
- Sky
- Соцсети
- социальные сети
- Software
- некоторые
- сложный
- Источник
- конкретный
- Персонал
- автономные
- Шаг
- Шаги
- Stop
- прочность
- успех
- успешный
- такие
- поддержка
- системы
- взять
- цель
- целевое
- команда
- Члены команды
- технологии
- чем
- который
- Ассоциация
- Великобритании
- их
- Их
- сами
- Там.
- следовательно
- Эти
- они
- этой
- те
- угрозы
- Через
- по всему
- в
- приняли
- инструменты
- специалистов
- Обучение
- перевод
- Типы
- типичный
- Uk
- под
- Незапрошенный
- новейший
- использование
- используемый
- через
- различный
- Огромная
- проверка
- проверка
- с помощью
- Жертва
- Режимы
- уязвимость
- ждать
- ЧТО Ж
- Что
- когда
- будь то
- который
- Шире
- будете
- без
- Трудовые ресурсы
- работает
- бы
- еще
- зефирнет