Большая Фарма под угрозой: 68% топ-менеджеров утекли свои полномочия
В недавнем отчете под названием «Путь наименьшего сопротивления» исследователи из BlackCloak рассказали о кибератаках, нацеленных на высокопоставленных руководителей, работающих в фармацевтической промышленности. Прежде чем мы перейдем к основным выводам, давайте посмотрим, почему эксперты выбрали именно это название для своей исследовательской работы.
Table of Contents
Насколько сложно атаковать руководителей уровня С?
Вы можете подумать, что напасть на высокопоставленного руководителя в большой компании будет очень сложно. Можно подумать, что в крупных организациях работают эксперты по кибербезопасности, которые предсказали все сценарии и приняли все необходимые меры предосторожности, чтобы обеспечить надежную защиту корпоративной сети. В какой-то степени это правда.
Все крупные компании, независимо от отрасли, в которой они работают, занимают кибербезопасность в своих приоритетных списках. Целым командам отказывают в работе, оставаясь на шаг впереди киберкруков, и по большей части им удается это сделать. К сожалению, некоторые вещи находятся вне их контроля.
Сами сотрудники, включая руководителей высшего звена, могут с одной ошибкой отменить всю работу, выполненную экспертами по безопасности. Это происходит слишком часто.
Эксперты BlackCloak хотели доказать, что для того, чтобы проникнуть в корпоративную сеть крупной фармацевтической компании, хакерам необязательно нужно преодолевать все защитные меры, установленные командами, отвечающими за кибербезопасность. Есть намного более простые способы, и преступники использовали их, отсюда и название отчета.
Полномочия руководителей можно легко найти в темной сети
Эксперты составили список руководителей, которые работают в крупнейших фармацевтических компаниях мира. Благодаря профессиональным социальным сетям, таким как LinkedIn, это было совсем не сложно, а также было довольно легко найти адреса электронной почты и контактную информацию, что, учитывая позиции этих людей, не должно вызывать удивления.
Вооруженные этой информацией, исследователи BlackCloak просканировали темные веб-рынки, чтобы увидеть, сколько из руководителей высшего звена взломали свои личные данные. Выяснилось, что 68% электронных писем были раскрыты во время взлома за последние 5-10 лет. Из них 57% были объединены с незашифрованным паролем.
Дальнейший анализ данных показал, что большая часть учетных данных была раскрыта во время взлома данных LinkedIn в 2015 году, и выяснилось, что, хотя они доказали свои навыки управления компанией, когда дело доходит до управления паролями, некоторые из испытуемых отстают позади совсем немного.
Около 3% известных руководителей использовали названия компаний, в которых они работают, в качестве своих паролей, и они делали это в течение тревожного числа лет. По словам исследователей, повторное использование паролей между личными учетными записями и учетными записями, связанными с работой, является самой большой проблемой, и они опасаются, что это окажет еще большее влияние.
COVID-19 пандемия и плохое управление паролями руководителей высшего звена
Пандемия коронавируса заперла многих людей дома и заставила их работать удаленно. По всей вероятности, это включает руководителей, включенных в исследование BalckCloak, и эксперты опасаются, что это может быть большой проблемой.
Тот факт, что они склонны использовать одни и те же слабые пароли как в своих личных, так и в служебных учетных записях, может дать злоумышленникам возможность более легко получить доступ к корпоративным сетям целей, которые содержат все виды важной информации компании. Надо сказать, что это возможно и в офисе, но потенциальное присутствие ИТ-команды, которая может вмешаться в короткие сроки, в некоторой степени снижает риск.
До боли ясно, что большинство проблем, с которыми сталкиваются в настоящее время крупные компании, не связаны с созданием или настройкой ИТ-инфраструктуры. Обычно проблемы возникают из-за необдуманных методов управления паролями и недостаточного понимания основных принципов кибербезопасности. Вот почему правильное обучение и образование для всех, от низкоуровневых сотрудников до высшего руководства, стоит вложений.
