Лидия, добрый день! Расскажите, чем вы занимаетесь в рамках Moldcell в роли специалиста по кибербезопасности?

В моей работе можно выделить два основных направления. Первое связано со стратегией, разработкой процедур и политик, а также проведением тренингов, на которых мы объясняем, почему вопросы кибербезопасности важны и как внедрять соответствующие практики в повседневную деятельность.

Второе направление – это ежедневная техническая работа, направленная на обеспечение внутренней безопасности компании. Она включает расследование инцидентов, анализ произошедших атак и выяснение их источников.

Правильно ли я понимаю, что внутренние тренинги по безопасности – это неотъемлемая часть культуры такой компании, как Moldcell?

Да, мы проводим множество тренингов, которые помогают нашим сотрудникам повышать осведомлённость в области информационной безопасности.

Ключевой акцент мы делаем на теме фишинга. Мы подробно разъясняем, почему этому вопросу следует уделять особое внимание, какие риски он в себе несёт, и почему именно сотрудники нередко становятся наиболее уязвимым звеном. Злоумышленники зачастую используют именно человеческий фактор как самый простой способ получить доступ к корпоративной среде.

Кроме того, мы внедрили специальную кнопку для сообщений о фишинге, так называемый Report Phishing button. С её помощью сотрудники могут оперативно пересылать нам подозрительные письма, после чего мы их анализируем и предоставляем обратную связь.

То есть, если я сотрудник компании и получаю письмо, которое вызывает у меня подозрение, у меня есть возможность воспользоваться специальным инструментом. Я нажимаю эту кнопку, и письмо автоматически направляется в отдел кибербезопасности, где вы уже более детально анализируете его и определяете, представляет ли оно угрозу. Я правильно понимаю, как это работает?

Да, всё верно. У нас есть инструменты, которые позволяют точно выявлять подобные угрозы и оперативно блокировать подозрительную активность. Мы проводим более глубокий технический анализ, после чего даём сотруднику обратную связь и подтверждаем, действительно ли это была фишинговая атака.

А как за последние полгода–год трансформировался фишинг? Меняются ли его приёмы, или это, скорее, эволюция уже существующих подходов?

На самом деле фишинг, как и многие другие виды атак, с которыми мы сталкиваемся, постоянно развивается. Буквально с каждым днём он становится всё более изощрённым. Особенно заметно это с распространением ИИ. Такие инструменты сделали создание убедительных атак значительно доступнее, как для менее опытных пользователей, так и для профессиональных злоумышленников.

Мы говорим о том, что атаки становятся всё более сложными. С какими примерами вы сталкивались в последнее время?

Чаще всего мы наблюдаем целевые фишинговые рассылки, направленные на сотрудников конкретной компании. Такие письма отправляются ограниченному кругу получателей, при этом их содержание во многом схоже. Как правило, злоумышленники апеллируют к темам, которые особенно чувствительны для большинства людей. Например, к зарплате или бонусам. В письмах могут содержаться призывы проверить начисления или подтвердить выплаты, после чего пользователя просят перейти по ссылке и ввести свои данные.

Интересно, что такие сообщения становятся всё более персонализированными. Злоумышленники используют реальные адреса электронной почты сотрудников, благодаря чему письма выглядят достаточно правдоподобно.

При этом, если присмотреться, зачастую можно заметить, что письма не соответствуют корпоративному стилю компании. Они остаются достаточно поверхностными и не учитывают внутренние стандарты коммуникации. Основной акцент делается на создании ощущения срочности или возможности получить «лёгкие деньги», чтобы побудить человека к действию.

А какие цели обычно преследуют те, кто проводит фишинговые атаки? Речь идёт о получении персональных данных или, например, доступе к банковским счетам?

На самом деле цели могут быть разными. Иногда это могут быть активисты с определённой политической мотивацией. Однако чаще всего мы сталкиваемся с более прагматичными задачами и стремлением получить персональные данные, чтобы затем использовать их, например, для оформления кредитов или доступа к банковской информации.

В частности, злоумышленники могут пытаться получить доступ к учётным данным сотрудников, чтобы проникнуть во внутренние системы компании. Это, в свою очередь, открывает возможности для дальнейших атак и кражи информации. Например, системы и базы данных могут подвергаться шифрованию с целью получения выкупа за восстановление доступа.

И часто ли происходят атаки, направленные на компанию?

Да, мы сталкиваемся с ними ежедневно и регулярно проводим их расследование. На самом деле таких атак очень много.

То есть, если вы обнаруживаете попытку атаки, как вы действуете? Как вы реагируете в таких ситуациях?

Скажем так, фишинг чаще всего является именно попыткой проникновения, а не самой атакой. Поэтому наша работа начинается ещё на этапе профилактики. Мы проводим тренинги и показываем сотрудникам, какими могут быть подобные письма, чтобы снизить вероятность того, что кто-то на них отреагирует.

Далее, когда сотрудники отправляют нам подозрительные письма, мы их проверяем. Нередко оказывается, что это легитимные сообщения, и тогда мы даём обратную связь, что ссылка безопасна. Если же письмо представляет угрозу, мы предупреждаем не переходить по ссылкам, ничего не открывать и не вводить свои данные.

В случае, если сотрудник уже ввёл пароль, мы можем оперативно его сбросить и заменить. После этого предпринимаются дополнительные меры, в частности, блокируются адреса отправителей.

Если речь идёт о более масштабной атаке, информация может передаваться дальше для реагирования на более высоком уровне. Однако в большинстве случаев ограничиваемся оперативной блокировкой и предотвращением распространения. По сути, фишинг – это первая линия атаки.

Если говорить о тренингах, какие 2–3 ключевых акцента вы бы выделили в первую очередь?

Первое, на чём мы делаем особый акцент – надёжность пароля. Важно использовать сложные пароли, не менее 14 символов, с сочетанием заглавных и строчных букв, цифр и специальных символов. Это критически важно, потому что подбор пароля одна из первых вещей, которую пытаются осуществить хакер. Чем сложнее пароль, тем более трудоёмкой становится так называемая атака методом перебора (brute force), и тем выше уровень защиты.

Это то, что касается паролей. Но, вероятно, есть и рекомендации, связанные с поведением. Что сотрудникам стоит делать или, наоборот, избегать?

Наши тренинги как раз направлены на формирование базовой культуры информационной безопасности. В первую очередь мы говорим о простых, но критически важных правилах. Например, блокировать экран при уходе с рабочего места, не оставлять конфиденциальные данные без присмотра, не переходить по подозрительным ссылкам.

Кроме того, у нас недавно появился новый тренинг, посвящённый классификации данных. В компании внедрена система, которая отслеживает документы и информационные поток. Как данные перемещаются внутри организации, и кто имеет к ним доступ. В связи с этим мы просим сотрудников маркировать уровень конфиденциальности информации, чтобы в дальнейшем, в соответствии с установленными правилами, такие данные не могли быть переданы или утечь за пределы компании.

То есть, если я создаю документ внутри компании или отправляю письмо, я должен указывать уровень конфиденциальности? И дальше он уже циркулирует внутри системы с соответствующей пометкой?

Да, всё верно.

А уровень конфиденциальности один, или существует определённая градация?

На данный момент у нас предусмотрено четыре уровня: секретный, конфиденциальный, внутренний (internal) и публичный.

И публичный это единственный уровень, при котором информацию можно свободно распространять?

Да, это общедоступная информация, которую можно передавать без ограничений. Уровень «internal» предполагает использование данных внутри компании, это например, внутренние процедуры и рабочие материалы.

Уровень «конфиденциально» требует уже более строгого контроля. «Секретно» – это наивысший уровень конфиденциальности. К таким данным, как правило, относятся, например, бизнес-планы, доступ к которым имеет ограниченный круг лиц.

Если говорить о тренингах, которые вы проводите не для компаний, а для внешней аудитории, как часто они проходят?

У нас был проект с EGA, в котором я участвовала как волонтёр Moldcell Foundation, где мы подготовили презентацию о том, как обычному пользователю защитить себя, в том числе в социальных сетях, не только в корпоративной среде, но и в повседневной жизни, например, дома. Мы объясняли, почему это важно и что каждый из нас в целом может стать целью атаки. Даже наши персональные данные представляют ценность для злоумышленников.

В рамках этого проекта мы вместе с коллегами провели более 100 сессий по всей Молдове.

То есть это была аудитория от предприятий до школ?

Да, это были и предприятия, и школы, а также, в том числе, пожилые люди. То есть, можно сказать, что проект охватывал все возрастные категории.

Сколько длился этот проект, примерно год или полгода?

Около полугода, насколько я помню

Окей, о первой части вашей работы мы поговорили. Вы также упоминали техническое направление, в чём оно заключается?

Это ежедневный мониторинг систем, алертов и логов, что происходит в различных системах, какие атаки уже имели место, особенно если речь идёт о более серьёзных попытках проникновения, не через социальную инженерию, а напрямую через системы. Я отслеживаю все эти процессы, если замечаю какие-то инциденты, фиксирую их и провожу расследование, что произошло, где и когда, а также какой ущерб был причинён.

После анализа ситуации я оформляю отчёт и предпринимаю действия для минимизации рисков, устраняя инцидент. Если он носит серьёзный характер, выполняю эскалацию на следующий уровень — к офицеру по информационной безопасности.

Какие рекомендации вы могли бы дать по паролям? Должны ли они быть полностью разными или могут в чём-то совпадать? И как их лучше хранить?

Пароли должны быть полностью уникальными для каждого сервиса, они не должны повторяться. Это даже не рекомендация, а обязательное требование. Для каждого сервиса должен быть свой уникальный пароль.

Существуют также специальные онлайн-сервисы, которые помогают генерировать сложные, случайные пароли с комбинацией различных символов. Это позволяет значительно повысить уровень безопасности.

Кроме того, есть менеджеры паролей, которые мы рекомендуем сотрудникам. Они безопасны и позволяют хранить все данные в одном месте. Например, KeePass или менеджер паролей от Google, такие решения помогают удобно и надёжно управлять паролями.

Менеджер паролей отдельное приложение или сервис, где нужно дополнительно зарегистрироваться?

Да, менеджер паролей — это отдельное приложение или сервис. Для его использования создаётся доступ, который защищается мастер-паролем. Именно он открывает доступ к зашифрованному хранилищу паролей. Это особенно важно, потому что если использовать один и тот же пароль на разных сервисах, злоумышленник, получив доступ к одному из них, как правило, будет пытаться использовать те же данные и на других платформах.

Как часто стоит обновлять пароль?

Если говорить про Moldcell, то у нас в компании пароль меняется каждые 30 дней обязательно. Также, если происходит три неправильные попытки ввода пароля, доступ к аккаунту блокируется, это тоже мера безопасности.

А как вы пришли к этой должности в Moldcell?

Я училась на бизнес-управлении и начала свою карьеру в финансовом департаменте. Позже я посетила лекцию Сергея Узуна, которая настолько меня вдохновила, что я приняла решение сменить профессиональное направление и поступить на магистратуру, чтобы развиваться уже в новой области. В результате, я перешла в его отдел, он стал моим руководителем, а со временем и наставником.

Я тоже с ним знаком, но, скорее с точки зрения его литературных талантов, он прекрасно пишет…

Полностью согласна. Могу назвать его любимую фразу, обращенную к нам, сотрудникам, когда у нас возникают вопросы…

Какую?

«Загугли». Это отражает его подход к обучению – он всегда стимулирует самостоятельный поиск решений и развитие критического мышления. В первую очередь он ожидает, что мы попробуем разобраться сами, и только после этого подключается, чтобы помочь и направить.

Помогает?

Неоднократно. Этот совет побуждал меня мыслить самостоятельно и принимать решения, при этом Сергей всегда был рядом и направлял. Он всегда общался со мной на высоком профессиональном уровне. Использовал сложные термины, ставил задачи, которые на тот момент казались мне непростыми. Я безмерно благодарна ему за этот опыт, поддержку и вклад в моё профессиональное развитие.

Влияет ли ваша профессия на повседневные привычки и поведение? Например, у меня был случай, в нашем доме произошёл пожар между этажами, и в тот момент я задумался. Где документы, где деньги? С тех пор я храню всё самое важное в одном месте. Я называю это «тревожной сумкой», если нужно срочно выйти из дома, я могу за пару минут взять всё необходимое. Есть ли у вас привычки, которые сформировались благодаря профессии?

Скорее, это повлияло на образ мышления. Моя работа во многом аналитическая, и она требует умения думать на несколько шагов вперёд, предвидеть возможные сценарии, обращать внимание на детали и быть более внимательной и наблюдательной. И, наверное, это одно из тех изменений, которые действительно во многом повлияли и на мой характер.