25% сотрудников используют один и тот же пароль для всех учетных записей

13/06/2018

Согласно докладу OpenVPN из них 81% вообще не защищает паролем свой телефон или компьютер.

Согласно докладу OpenVPN, сотрудники – самый крупный актив любой компании, однако они же составляют самый большой риск кибербезопасности.

Несмотря на повышенное внимание к обучению безопасности, 25% опрошенных 500 американских сотрудников сообщили, что они используют один и тот же пароль для каждой своей учетной записи. А еще 23% сказали, что часто нажимают на ссылки до того, как проверят что они безопасны.

Согласно данным отчета, из тех сотрудников, которые используют один и тот же пароль для всех своих учетных записей, 81% заявили, что не защищают паролем свой смартфон или компьютер.

Сегодня компании сосредоточены на внешних угрозах и упускают из виду то, что их собственные сотрудники все чаще оказываются угрозой внутри организации.

Разумеется, повторное использование паролей является рискованным поведением, которое может поставить под угрозу всю компанию, так как слабые пароли можно легко обойти с помощью атак грубой силы.

Кроме того, это может нанести ущерб пользователю, так как использование одного и того же пароля для защиты банковских счетов, электронной почты и социальных сетей может подвергнуть риску как личную, так и рабочую информацию.

Традиционные рекомендации к паролям (использование прописных и заглавных букв, спецсимволов и регулярная смена паролей, по словам Билла Берна, уже не являются полезными. Вместо этого гораздо полезнее использовать длинные, запоминающиеся фразы. Кроме того, необходимо чтобы в случае возможной компрометации пользователь мог легко сменить свой пароль.

Сегодня некоторые компании для повышения уровня аутентификации используют биометрические сервисы. Такие методы приветствуются сотрудниками: 77% заявляют, что доверяют биометрическим пароля, а 62% считают, что использование биометрии только усиливает их аутентификацию. На данный момент около половины сотрудников (55%) используют биометрические пароли. Хотя увеличивает ли это безопасность или нет – весьма спорный вопрос. Но это несомненно усиливает удобство использования.

Реклама

Сказки о безопасности: Невнимательность не останется без внимания

25/05/2018

— Доброе утро, Иоганн!

— Доброе утро, Софи! Предлагаю выпить кофе с утра, вы не против?

— С миндальным печеньем, шеф?

— Безусловно! Софи, зачем спрашивать? Просто несите! И себе захватите! Что у нас на сегодня?

— Пришло интересное письмо из одной столичной школы. Как по мне, такой проект не имеет права на существование. Но директор школы просит ваше мнение.

— Когда директор просила приехать?

— Да хоть сегодня.

— Попроси Марка выделить оперативную группу, пусть поедут, посмотрят. Заодно проветрятся.

— Хорошо.

Прошло четыре часа.

— Марк, группа вернулась?

— Да. Я как раз собираюсь к вам. Там интересная ситуация. У одной из учительниц муж — директор ИТ-компании.

— И что?

— Он создали проект, который позволяет отслеживать невнимательных учеников на уроках.

— ???

— Да, шеф, глаза у нас были такими же круглыми. Но действительно, мы сами сидели на уроке и убедились, что это работает! Сейчас систему установили только в одном классе, но к лету директор хочет установить ее во всех классах. Система состоит из трех камер с доской, которые могут определить настроение человека по выражению лица. Так, если ученик отвлекается во время уроков — учителю приходит оповещение, в котором говорится, кто именно из присутствующих его не слушает.

По мнению руководителей учебного учреждения, такая система никак не нарушает частную жизнь школьников.

— Н-да… С грустью вспоминаю школу. Тогда я мог подремать на уроках биологии…

— Шеф, я надеюсь, вы не говорите подобное своему ребенку?

— Конечно! И не дай Бог кто-то из вас проговорится!

— А если серьезно, как вы считаете, это хорошо или плохо?

— Как по мне, Марк, это плохо. У хорошего учителя на уроке всегда интересно. А к плохому идти всегда не хочется!

На самом деле такая система уже испытывается в школах Китая. Так что это совсем не фантастика!


Задумался…

05/04/2018

Следует признать, что подготовка специалистов в области безопасности должна начинаться со школы. И чем умнее и талантливее учителя, тем выше престиж работы. Чем лучше учителя, тем лучше будут подготовлены кадры. Мораль проста. Хотите обеспечить безопасность — учитесь! Учитесь и учите, иначе так и будете использовать неизвестные продукты и технологии, в которые ваши конкуренты вполне смогут разместить всевозможные закладки. А вы об этом и знать-то не будете.

_______________________________________________________________________________

Давно необходимо понимать, что учить безопасности должны свои специалисты. Хороший безопасник и хороший преподаватель ИБ зачастую совершенно разные люди. Преподаватели товар штучный, поэтому к ним и относиться нужно соответствующим образом. Боюсь только такое счастливое будущее это просто сказка.


Сказки о безопасности: Крик отчаяния

02/04/2018

https://www.itweek.ru/security/article/detail.php?ID=200283

К императору на прием попросился руководитель его службы безопасности.

— Ваше величество! Вот мое прошение об отставке! Хочу жить в пригороде и выращивать капусту!

— Милый Генрих! Что случилось? Вы и вдруг капуста?

— Не могу больше! Я уже и домик присмотрел в пригороде. Маленький, но свой. С небольшим садом и огородом! Там небольшой огород, но для меня хватит! Главное, что там людей не будет! Устал я от них! На-до-ели! Не могу я больше! Понимаете, просто не могу! Или я просто кого-то пристрелю или уйду от всех. Не хотите, не буду выращивать капусту! Тогда уйду в монастырь молчунов. Там монахи молчат всю жизнь! Тишина и покой! Никто не пристает! Ничего не спрашивает…

— Понятно. Тебе срочно нужно в отпуск. Причем длительный и на нашем острове тишины. Там ничего не работает. Ни телефон, ни радио, нет интернета, компьютеров и телевизора. Только спи, ешь, купайся да лови рыбу. Правда ты взвоешь там через неделю-две. Я ж тебя знаю.

— Взвою. Согласен. Но я взвою и здесь! Причем скорее.

— Что тебя так взволновало?

— Люди! Бестолковые пользователи. Объясняешь им, объясняешь! Рассказываешь. А толку? Ну сколько ж можно говорить одно и то же. Сколько лет говорим, что нужно ставить устойчивые пароли?

— Много!

— А результат? Наиболее популярный пароль «123456».

— Да! Но вспомни, год назад это было «12345». Уже лучше.

— Ага, лучше. Такими темпами еще лет 300 и будет «123456789».

— А если серьезно?

— А если серьезно, то понимаю, что наша профессия с одной стороны — вечна, потому как всегда будет полно тех, кому придется оказывать помощь, а с другой понимаю, что мы всегда будем несчастны, потому как придется наблюдать несовершенство пользователей.

— Ты прав. Увы, это так. Разработчику всегда нужны только деньги. Продукты всегда содержали и будут содержать уязвимости. Разрабатывать безопасные продукты — сложно, долго и дорого. А значит вас всегда могут обойти конкуренты, выпустив может и менее безопасный, но зато более удобный продукт. И тут уж точно мы ничего не сделаем. Но мы должны бороться. Даже если и не верим в выигрыш. Вот такая грустная получается история.

А вы верите в то, что продукты могут быть безопасны, а пользователи ответственны? Я, увы, нет!


Утечка персональных данных из Департамента образования Пенсильвании

15/03/2018

https://www.devicelock.com/ru/blog/utechka-personalnyh-dannyh-iz-departamenta-obrazovaniya-pensilvanii.html

Утечка данных из онлайн системы Департамента образования штата Пенсильвания, вызванная ошибкой государственного служащего, скомпрометировала персональную информацию учителей, включая номера социального страхования.

Пользователи, вошедшие в систему TIMS (система проверки и управления заявками на сертификацию преподавателей в Пенсильвании) 22-го февраля, могли просматривать персональную информацию других пользователей — нынешних и бывших учителей.

В настоящее время TIMS работает в автономном режиме. Так будет продолжаться до тех пор, пока служащие не убедятся в решении проблемы. Ожидается что через неделю ошибка будет исправлена.

Буквально две недели назад на форумах в Dark Web появилась база данных, содержащая персональные данные учеников и учителей школ Флориды.

Автор: Владимир Безмалый


Сказки о безопасности: Личная безопасность на поверку — 3

13/03/2018

https://www.itweek.ru/security/article/detail.php?ID=199973

После успешного взлома личных данных г-на Грина настала очередь его сотрудников.

— Питер, а не попробовать ли нам развернуть фальшивую точку доступа в закусочной напротив офиса г-на Грина? В обеденный перерыв там бывает много народа.

— Отличная мысль. Завтра сделаем.

Учтите, когда вы работаете через открытую точку доступа, все ваши письма, запросы, фактически все ваше общение можно легко отследить. Вы готовы поделиться вашими данными?

На следующий день Питер сидел в закусочной, притворившись что работает за своим ноутбуком. Фактически он развернул бесплатную точку доступа беспроводной сети и собирал данные посетителей. Те, обрадовавшись, что в кафе наконец-то появился бесплатный Wi-Fi, активно его использовали. Так прошел день.

На следующий день у Питера и Джейсона была масса работы. В перехваченном трафике нужно было выделить пароли от почты, работы, социальных сетей. Прочесть массу писем и вообще переварить полученную информацию. Особенно интересны были пароли, ведь очень часто пароли люди используют одни и те же и на работе, и для домашней почты, и в социальной сети.

А вы знаете, как обезопасить себя от хищения вашей информации при использовании бесплатного WiFi? Для этого используйте два подхода:

1. Двухэтапная аутентификация. Все чаще это становится стандартом. На первом этапе вы используете пароль, а вторым фактором может быть SMS, которая присылается вам сайтом, или генератор кодов, установленный на вашем смартфоне. Учтите, если вы остановитесь на SMS, желательно использовать для этого отдельную SIM-карту, вставленную в простой мобильный телефон. Вы никогда не должны использовать эту карту для других целей. Еще один вариант — электронный ключ-токен, но это дороже.

2. Используйте VPN. Тогда весь обмен трафиком осуществляется по шифрованным каналам.

В результате атаки было собрано достаточно данных для последующих атак направленной социальной инженерии.

— Г-н Грин, вот пароли ваших сотрудников и данные о них. Учтите, они отдали это все добровольно!

— Что вы посоветуете сделать?

— В первую очередь позаботиться об осведомленности пользователей. Учите их! Ведь большинство атак сегодня происходит именно через ваших сотрудников. Делайте это регулярно, поощряйте желание учиться!

На этом проверка Грина была закончена, а отдел доказал свою незаменимость. Это было первое дело в истории отдела. Следующим, как уже решило руководство, будет атака на членов семьи. Кто-то скажет, что это некрасиво, может даже подло. Но! Шантажировать вас преступники могут и через ваших близких, подумайте об этом.

— Вы согласны, г-н Грин?

— Безусловно! Более того, предлагаю включить не только мою семью, а и семьи моих ведущих сотрудников.

Так начался следующий этап проверки.

Продолжение следует.


Сдал!

25/12/2017

Сдал очередной экзамен от Kaspersky Lab

KL 035.10 Защита сетевых хранилищ