Как не стать слабым звеном в ИБ. Гид для личных помощников руководителей

Наряду с карьеристами ключевой статус персонального ассистента понимают и киберпреступники. Поэтому личные помощники руководителя нередко становятся мишенями для таргетированных атак.

На вас будут давить

Например, поздний вечер перед советом директоров. Ассистент получает в мессенджере сообщение якобы от руководителя: «Срочно дай доступ консультантам, вот их почта». Аватар как у шефа, стиль сообщений и пунктуация – всё выглядит очень правдоподобно. И вот уже помощник открывает компьютер и готовится отправить ссылку и пароли к материалам по запросу на присланный мейл. Но есть сомнения.

Развеивает их короткий звонок шефу. Руководитель удивлён: «Ничего не просил». Дальше — стандартный сюжет: у мошенников был слитый аватар и публичный график встреч, они создали фальшивый аккаунт в мессенджере и давили на срочность. От утечки материалов перед сделкой ассистента спас звонок, причем не в «телегу», а на номер мобильного телефона.

Почему ассистенты — цель для хакеров

Для злоумышленника личный помощник руководителя – это предпочтительная цель. Ведь ассистент - это центр консолидации: календари, встречи, личная и корпоративная переписка, черновики сделок, всевозможные доступы к информационным системам, нередко - платёжные поручения. Взломав его, можно много чего узнать и много чем «порулить».

А если добавить к этому чисто российскую традицию делегировать помощникам нерабочие, а то и вовсе глубоко личные задачи, то к вопросу об экономической безопасности компании добавится персональная безопасность ее владельца или руководителя. Вот почему сознательность в вопросах ИБ – это важная часть компетенций личного помощника.

Типовые векторы подобных атак хорошо знакомы. Они основываются на том, что воля начальника — закон для персонального ассистента, а личный помощник по умолчанию готов выполнять директивы руководителя так быстро, как только это возможно. Тактика мошенников — не дать жертве включить критическое мышление и усомниться в источнике указаний. Для этого они загоняют ассистента в режим цейтнота, когда «нет времени объяснять».

Вот почему в сообщениях преступников содержатся слова «срочно», «немедленно» и «прямо сейчас». Они сопровождают сообщения «от шефа» срочно перевести предоплату «нашему новому перспективному подрядчику на вот этот счет вот этого банка», «дать доступ консультантам» или «выслать базу клиентов». Пожелание поделиться доступом к календарю на внешний адрес. Указания «оперативно оформить пропуск», передать наличные «курьеру от нового партнера», «максимально срочно» внести правки в договор почему-то поздним вечером — идеальная среда для ошибок.

Плюс пересечение личного и рабочего: домашние устройства, личные мессенджеры, семейные адреса и череда новых контактов. Всё это каналы, через которые легко пробиться средствами социальной инженерии.

Преступники постоянно совершенствуют арсенал уловок. Поэтому неудивительно, что даже максимально бдительный личный помощник может оказаться жертвой хакеров. Как и всегда в критической ситуации, важно сохранять самообладание и не бояться запросить помощь у департамента информационной безопасности. У них на этот счет есть собственные протоколы и регламенты. Самое главное для персонального ассистента — не усложнять коллегам из ИБ их работу.

Алгоритм действий

• Ничего не удаляйте и не подчищайте. Попытка скрыть собственный просчет приведет к утере важных улик. Это недопустимо.
• Сделайте скриншоты: права доступа, список последних действий с файлами и папками, сведения и загрузках, содержимое писем или чатов — всё это имеет значение.
• Не пишите киберпреступникам, даже если они первыми инициировали коммуникацию. Общение с ними лучше передать опытным кибербезопасникам.
• Перекройте доступы. Переведите спорную ссылку в режим «только по приглашению» и/или обновите ее. Старая в этом случае перестанет работать. Контрагентам, которые наверняка зададут вопрос об утраченном доступе, можно отправить следующую фразу: «Мы обновляем политику доступа. Пожалуйста, ожидайте повторного приглашения от корпоративной системы». Этого достаточно, подробности ни к чему.
• Позвоните владельцу данных. Не бойтесь говорить как есть: вероятен инцидент, доступ перекрыт, предприняты такие-то действия, с ИБ-событием работает профильный департамент. Идеально, чтобы владелец данных вместе с ИБ-специалистом проверил содержимое папки на наличие «дублей» — в таких файлах может скрываться вредноносный код.

Очевидно, что отсутствие инцидента — намного лучше, чем самое оперативные и профессиональные действия по его нейтрализации. Давайте обсудим, какой может быть последовательность шагов, которая не даст шанса личному помощнику руководителя стать слабым звеном в корпоративном кибербезе.

Если вы – тот самый персональный ассистент руководителя, то ваш «секрет фирмы» в этом случае – в дисциплине и гигиене каналов коммуникаций, а также в простом для реализации подходе с временными доступами. Как это может выглядеть?

Пять простых шагов

• Шаг первый. Все поручения руководителя проходят через единое окно — корпоративный таск-трекер, либо закрытый канал, где вещает шеф, а все остальные могут только задавать вопросы в комментариях. Срочные поручения отправляются туда же. Относительная публичность (когда задания читают как минимум еще несколько директоров) отбивает у руководителя охоту давать «небизнесовые» указания. Это сокращает вероятную поверхность атаки.
• Шаг второй. Любая директива от якобы начальника из нового канала коммуникации (личный мессенджер, незнакомая почта) подтверждается 10-секундным звонком: «Это точно вы?» Без подтверждения — никаких действий.
• Шаг третий. Доступы выдаются и календари шарятся в рамках ролей «читатель/редактор/владелец», с ограничением по времени (1–7 дней) и возможностью отозвать доступ в любой момент. Так снизится вероятность «вечных доступов» к данным, о которых забыли в суматохе.
• Шаг четвертый. Вложения и ссылки открываются во встроенном просмотрщике (viewer), виртуальной машине или в изолированном браузере. Для продвинутых в плане ИБ компаний можно рассмотреть Content Disarm & Reconstruction, когда специальный софт «пересобирает» присланные материалы, вырезая активный контент/эксплойты, и отдает безопасную копию. Все процедуры с присланными файлами проводятся только на стороне компании. Никаких публичных облачных дисков.
• Шаг пятый. Подрядчики и важные гости (например, инвесторы или внешние независимые директора) проходят по заявкам: пропуск, доступ в помещения, подключение к звонку — со сроком и ответственным. Чтобы не было повторения инцидента весны 2025 года, когда журналиста случайно добавили в чат высших функционеров американской администрации для обсуждения планов войны на Ближнем Востоке.

Ритуалы (или, если хотите – рутина) один из любимых приемов современной психотерапии по противодействию стрессам. Простая очередность действий с понятным результатом позволяет меньше отвлекаться на внешние обстоятельства. Как итог – снижение общего градуса беспокойства и уменьшение количества ошибок, за которые, как правило, критикуют.

Пример того, как действует ритуал

Получено указание → стоп (ничего не делать сразу!) → сверка канала: действительно ли указание получено от руководителя, а не от липового аккаунта → если от руководителя поступает требование срочной оплаты, эта задача делегируется коллегам из финансого департамента. Если речь идет о том, чтобы поделиться некоей бизнес-информацией, тогда ассистент указывает роль адресата (читатель/редактор/владелец) и обязательно лимитирует время доступа. Всё это также помогут настроить айтишники → любые входящие данные обязательно отправляются в просмотрщик → и только после всего этого персональный ассистент приступает к выполнению задания.

Эта последовательность снимает до 80% типовых попыток давления на ассистентов — от «срочно переведи оплату» до фишинговых ссылок на якобы «папку с материалами для совета директоров».

Мы уже говорили: персональный ассистент – это самый близкий к владельцу бизнеса сотрудник компании. По этой же причине помощник руководителя – постоянная цель хакеров. А значит, ему надлежит стать частью контура информационной безопасности.

Ваша сознательность – это часть экономической безопасности фирмы и физической безопасности ее собственника. Поэтому, чтобы не стать слабым звеном в корпоративной ИБ, возьмите инициативу в свои руки. Главное - согласуйте с руководителем новый ритуал и сделайте его нормой, даже если поначалу его (или её) это может раздражать. Но не поддавайтесь давлению: вы лучше вашего шефа знаете, как будет правильнее.

А руководителям стоит честно признать: через ассистента проходит половина управленческой жизни. Немного дисциплины в каналах и доступах — и вы защищаете не только себя, но и компанию.