Сотрудники глобальных банков делают их уязвимыми для хакеров не меньше, чем старый софт
В целях корпоративной безопасности работников приходится перевоспитывать
Сотрудники банков невольно способствуют мошенничеству, открывая вредоносные ссылки, с помощью которых хакеры выуживают пароли и другую информацию. В 2014 г. атаке подвергся JPMorgan, к мошенникам попали данные о 76 млн клиентов. После этого банк устроил проверку своим 250 000 сотрудников – они получили сообщение, похожее на то, что рассылали хакеры. 20% его открыли. Теперь JPMorgan запрещает сотрудникам пользоваться рабочей почтой в личных целях, например для регистрации в магазинах и соцсетях. В 2016 г. он потратит на кибербезопасность $500 млн – вдвое больше, чем в 2014 г.
Гендиректор Bank of America (BofA) Брайан Мойнихан не раз говорил, что бюджет банка на кибербезопасность практически безграничен: «Мы тратим много денег и строго следим за сотрудниками». BofA просит сотрудников не рассылать сообщения об отсутствии в офисе: это может стать сигналом, что компьютер остался без присмотра.
Мы тратим прорву денег на кибербезопасность – это единственная статья расходов, о которой я спрашиваю, достаточно ли там денег
Труднее банкам решить, могут ли они контролировать действия сотрудников в соцсетях. Некоторые сообщают должность и служебные обязанности, что может дать наводку хакерам. Еще сложнее с постами личного характера, например фотографиями из отпуска: увидев, что человек в отпуске, хакеры могут украсть из дома сотрудника его рабочий ноутбук.
В 2015 г. примерно 30% утечек происходило из-за ошибок сотрудников (данные Association of Corporate Counsel). «Они не понимают, что их действия увеличивают риски компании», – отмечает Теодор Коубус из юридической фирмы BakerHostetler.
В отдел ФБР, расследующий киберпреступления, «практически каждый день» обращаются банки, ставшие жертвами фишинг-мошенничества, говорит представитель ФБР Ричард Джейкобс.
Небольшой ($6 млрд активов) Pinnacle Financial Partners раз в три месяца рассылает своим сотрудникам проверочные письма со ссылками или вложениями, имитирующие письма хакеров. Уже все шутят по поводу этих писем, говорит директор Pinnacle по информационной безопасности Клейтон Вебер, но все равно 2% сотрудников их открывают.
WSJ, 20.12.2015