С января Цифровой блок запустил новое решение для обеспечения большей защиты корпоративных электронных адресов пользователей от нелегальных рассылок. Почему отказались от прошлой системы, какая система выбрана сейчас и в чем её преимущества, какие ещё изменения ожидают Вышку в ближайшем будущем – рассказали инициаторы этого перехода директор Центра информационной безопасности Александр Хомко и директор по информационным технологиям Борис Линецкий.

Как появилась идея перехода?

А. Хомко: Изначально проект был инициирован Центром информационной безопасности, но здесь важна совместная работа с Дирекцией информационных технологий, потому что мы находимся на стыке системы защиты и функциональности почтовой системы. Поэтому это проект двух подразделений Цифрового блока.

Расскажите, какие задачи перед Вами стояли, какое решение сейчас применяется в Высшей школе экономики и почему выбрали именно его?

А. Хомко: Мы перешли на более усовершенствованную систему защиты. Перед нами стояла важная задача – избавить университет от ненужных рассылок: спама и фишинга. Особенно опасен среди нелегальных входящих писем именно фишинг, так как мошенники используют этот формат для получения конфиденциальных данных пользователей. При открытии вложений из фишинговых писем и/или при переходе по вредоносным ссылкам можно потерять контроль над своей учётной записью и даже деньги, когда такие фишинговые сайты запрашивают ввод данных банковской карты.

К сожалению, полностью избавиться от спама невозможно – это уже неотъемлемая часть современного мира. Если мы закроем почтовые ящики в наших подъездах, чтобы нам не раскладывали рекламные материалы, мы не будем получать и легитимную почту. Точно так же и с электронной почтой: мы не можем полностью избавиться от спама и фишинга, но мы должны максимально обезопасить наших пользователей и минимизировать риски.

Под эти задачи подошла новая антиспам система. Мы провели пилотирование и пришли к выводу, что оно удовлетворяет поставленным задачам. Поэтому в этом году мы обеспечим защиту входящей почты в Вышке благодаря новой системе.

«Сейчас 100% входящего трафика работает через новую систему»

Как долго длился процесс перехода?

Б. Линецкий: Практически год. Он начинался с выбора решения и дальше мы проводили много тестов. Были моменты, когда мы возвращались к старому решению, и в очередной раз убеждались, что сделали правильный выбор. В частности, в один воскресный день в октябре прилетело по 17-19 явных спам-писем каждому корпоративному пользователю и старая система их не задержала.

В течение 2020 года проводились работы, связанные с выбором решения, тестированием, настройкой нашей инфраструктуры, много чего было сделано. Потребовалось время для перевода входящего трафика на новую систему, потому что мы не должны были допустить, чтобы в Вышку прорвался спам. Скажем, если бы мы работали совсем без антиспам системы, в почтовые ящики пользователей приходило бы по несколько спам-писем в минуту.

Какое решение было раньше и почему от него все-таки пришлось отказаться?

А. Хомко: Вышка – открытый университет, все наши данные, почтовые адреса, информация о сотрудниках, находятся в открытом доступе, в интернете. Это политика университета, и мы её придерживаемся. Однако она несёт и дополнительные риски: злоумышленники скачивают наши адреса, формируют из них базы рассылки и пытаются спамить. А отсюда возникают особые требования к системе защиты.

Предыдущая система – проприетарное решение от иностранного вендора «Софос» – работала более пяти лет, и надо сказать, что она справлялась. Проблема в том, что в последние годы мошенники активизировались, и писем стало приходить в разы больше. Массовые рассылки в месяц достигали десятки раз. Нам приходилось оповещать пользователей, что произошла фишинговая атака и вычищать эти письма из ящиков. Это доставляло неудобство как самим пользователям, так и сотрудникам Дирекции информационных технологий, потому что отвлекало от текущей работы. Поэтому мы вместе приняли решение, что нужно совершенствовать защиту.

В 2019 году мы рассматривали различные варианты и остановились на облачном решении, которое имеет многоступенчатую систему защиты: различные сэндбоксы – песочницы, через которые проходят все письма. Если письмо содержит файл, то он оттуда извлекается, запускается в этой песочнице и проверяется на вредоносность. Кстати, если письмо содержит ссылку, то она проверяется таким же способом. Кроме этого, существуют ещё различные параметры сканирования текстов и рисунков, есть несколько степеней анализа почтового трафика. И на основании проведённого анализа каждому письму присваивается так называемый «спам-рейтинг». Порог рейтинга мы можем регулировать сами. К слову, когда мы использовали проприетарное решение в «коробочном» виде, то там не было возможности тонкой настройки спам-рейтинга и функционала дополнительных проверок, а облачное решение, которое мы используем сейчас, позволяет нам это делать.

«Найти этот баланс всегда очень сложно, потому что чем больше мы «прикручиваем» защиту, тем большая вероятность, что нужные письма могут попасть в спам. И, наоборот, если снижаем уровень защиты, к нам приходит больше писем, но среди них, могут быть и спамовые. Нахождение этого баланса – это всегда сложная история»

Сейчас по истечению 2-3 месяцев мы считаем, что нашли некий баланс, потому что спама приходит значительно меньше. Иногда коллеги получают информационные рассылки от легитимных отправителей и воспринимают их как спам, при этом они сами когда-то оформили подписку и забыли об этом. И даже такой спам мы отслеживаем и пытаемся блокировать, чтобы в будущем такие письма не приходили.

Для борьбы со спамом и фишингом создан специальный ящик: antispam@hse.ru. Мы просим всех корпоративных пользователей пересылать нелегальные письма на этот ящик в виде вложений. Стандартная процедура пересылки письма не позволяет нам увидеть технические заголовки, которые используются для обучения антиспам системы. Обучение системы имеет двунаправленный характер: вредоносные письма больше не доходят до корпоративных адресатов, а легитимные письма (ошибочно отнесенные в спам) приходят пользователям.

«Если приходит все-таки спам, то нужно на e-mail: antispam@hse.ru, отправить вложением это письмо, чтобы после обучения антиспам системы подобные письма блокировались автоматически и не попадали в почтовые ящики пользователей Вышки»

Как отправить письмо вложением в Outlook

А что делать тем пользователям, которым спам все-таки приходит?

А. Хомко: Отписаться от рассылки, если в информационном письме есть соответствующий инструмент. Все легальные рассылки дают такую возможность пользователям.

Б. Линецкий: Можно добавить отправителя в «Нежелательную почту» стандартными средствами почтового клиента. В данном случае письма от отправителя автоматически будут попадать в папку «Спам» вашего почтового ящика. А если вы перешлёте спам-письмо на antispam@hse.ru, блокировка отправителя будет сделана на уровне сервера, и спам-письма от этого отправителя не будут доставляться не только вам, но и другим пользователям Вышки.

«Переслать, удалить и забыть. Лучше мошеннические рассылки блокировать на уровне сервера, переслав письмо вложением, а не блокировать только в своей почте. Тем самым вы защитите не только себя, но и других коллег»

Б. Линецкий: Пользователям надо быть внимательными. 100% защиты от спама и фишинга не существует, так как мошенники постоянно развиваются, зачастую быстрее чем средства защиты. Поэтому, шанс, что такое письмо когда-нибудь прилетит, есть.

Не надо бояться фишинговых писем – просто перешлите нам это письмо вложением и удалите. И тогда ничего страшного не произойдет. Если просто прочитать содержимое письма, не переходить по ссылкам и не открывать вложения, оно безопасно.

Пользователи заметят переход на новое решение и чего им ждать?

А. Хомко: Единственное, что должны заметить пользователи – сокращение спама. Мы хотели сделать этот переход максимально незаметным. Но это не означает, что легитимные письма потеряются. Мы постоянно исследуем почтовый трафик на и корректируем «порог спама». Система постоянно обучается, чтобы правильно определять, где спам, а где нет.

В дальнейшем мы планируем дать пользователям возможность самостоятельно определять необходимость доставки писем, задержанных в карантине. В почтовый ящик будет приходить список «подозрительных» писем, задержанных в карантине. В этот список не попадут письма с высоким спам-рейтингом, только письма близкие по оценке к легитимным. Если человек считает, что письмо задержано ошибочно, достаточно нажать на ссылку и письмо будет доставлено. Если ничего не делать с этим уведомлением, то входящее письмо останется в спаме. Сейчас такая возможность тестируется.

Сейчас мы решаем задачу внедрения антиспам фильтра на исходящий трафик. Задача не менее важная, чем защита входящего трафика, так как заблокированные исходящие письма могут привести к срыву мероприятий и другим серьезным последствиям. В Вышке много отправителей, которые ежедневно делают рассылки. Количество их адресатов достигает несколько десятков тысяч. Поэтому нам важно, чтобы этот переход прошёл максимально прозрачно, без проблем и ложных блокировок писем.

Зачем настраивать антиспам на исходящий трафик?

А. Хомко: Пользователям важно, чтобы их письма гарантированно доставлялись до адресатов. Это возможно только в одном случае: если наши почтовые серверы не попадут в «черные списки» внешних почтовых серверов и сервисов.

Б. Линецкий: Это больше защита наших почтовых серверов от того, чтобы они не попадали в «черные списки». Не секрет, что Вышка делает много информационных рассылок внешним адресатам. И не всегда наши коллеги используют собственные базы рассылки с зарегистрированными (заинтересованными) в информации от НИУ ВШЭ пользователями. Мы регистрируем случаи, когда с корпоративных адресов уходят письма на почтовые адреса тысяч пользователей таких распространенных сервисов, как Google, Yandex, Rambler, Mail.ru и т.д. без предварительного предупреждения и без возможности отписаться от рассылки. В данном случае наши почтовые серверы могут автоматически или по жалобам пользователей попасть в «черные списки». И тогда никакие письма с нашего почтового сервера не будут доставляться на другие серверы. Во избежание этого риска и нужен исходящий антиспам.

Как нужно себя правильно вести, например, организаторам мероприятий, чтобы их письма с сервера Вышки были доставлены участникам?

Б. Линецкий: Во-первых, не рекомендуется использовать приобретённые сторонние базы адресатов. Во-вторых, лучше всего заранее опубликовать новость в общедоступных источниках, например, на портале Вышки. Такие материалы хорошо индексируются поисковыми системами. В-третьих, сделать форму регистрации, чтобы все желающие принять участие в мероприятии зарегистрировались и добровольно указали свои почтовые адреса. И после этого, именно профильным пользователям делать рассылку. При формировании рассылки рекомендую давать возможность пользователям самостоятельно отписаться от рассылки. Если Вы используете вложения, не прикладывайте к письмам исполняемые файлы (bat, com, exe и т.п.), старайтесь не прикреплять к письмам архивы (rar, zip).

Обращаясь ко всем пользователям НИУ ВШЭ, какие актуальные рекомендации можете им дать, чтобы они могли дополнительно обезопасить себя от спама?

А Хомко: Мы часто публикуем советы на сайте www.it.hse.ru и делаем информационные рассылки пользователям. Основная рекомендация – не теряйте бдительность. Дело в том, что как только мы избавляем пользователей от спама, они расслабляются. Нужно обращать внимание, от кого пришло письмо, с какого домена, что содержит внутри. А также не поддавайтесь на провокации, на мошеннические призывы, не паникуйте, потому что мошенники рассчитывают на эту мгновенную реакцию, когда человек видит, что в письме содержатся какие-то похожие личные данные или обращения, и воспримет это очень близко, при этом начиная действовать необдуманно. Если вы получили такое письмо и не знаете, что с этим делать, можете обратиться к нам.

«Кроме отправки спам-письма вложением, вы можете подать заявку в личном кабинете, используя одну из соответствующих форм заявок:«Инцидент ИБ» или «Консультация ИБ»»

«Инцидент ИБ» – это любое событие, которое вы расцениваете как потенциальную угрозу информационной безопасности. Мы рассмотрим все случаи, проверим причины возникновения и заблокируем, если этого потребует ситуация, почтовый или сетевой трафик. А «Консультация ИБ» касается работы различных систем защиты, в том числе, антивирусной. Например, получили и открыли подозрительный файл или возник вопрос в части защиты персональных данных. Каждый запрос по заявкам будет рассмотрен в кратчайшие сроки и оказана квалифицированная консультация.

«Мы приветствуем любую обратную связь от пользователей. Именно для этого мы создали эти формы заявок и опубликовали в общем доступе для корпоративных пользователей»

Кроме перевода исходящего трафика на новую систему, какие у вас ещё планы по развитию?

А. Хомко: Наша основная задача – идти в ногу со временем, с развитием информационных технологий и адекватно реагировать на современные угрозы, которые мы имеем в киберпространстве.

«Глобальная задача – развиваться вместе со всеми. В плане защиты от спама у нас также есть мероприятия, которые мы хотели бы провести, и в дальнейшем поставить на поток – это киберучения»

Что из себя представляют киберобучения?

А Хомко: Киберобучения – это контролируемый процесс создания, рассылки фишинговых писем, с целью обучения и повышения бдительности пользователей в части фишинга.

«Основная цель киберучений – обучить, повысить бдительность пользователей и, соответственно, уровень защищённости информации. Если мы научим пользователей критически относится ко всем входящим письмам, не открывать сомнительные ссылки и файлы, это будет польза всем нам»

Главная цель киберучений, чтобы наши пользователи не «попадались на удочку», ведь фишинг и переводится дословно как «рыбная ловля».

Проект по киберобучению реализуется совместно с авторами стартапа StopPhish, который родился на базе «Бизнес-инкубатора» Высшей школы экономики. Мы считаем целесообразным продолжить проведение тестирования и обучения по проекту StopPhish на выбранных группах сотрудников с целью повышения их осведомлённости по информационной безопасности.

Есть клиентские группы, которые наиболее подвержены фишинговым атакам: приёмная комиссия, учебный блок, финансовый блок и цифровой блок. Это те, кто имеет много внешних коммуникаций и получает доступ к конфиденциальной информации. Мы будем привлекать этих коллег к киберучениям в первую очередь.

Пилот киберобучений мы уже провели среди сотрудников Цифрового блока. Хочу отметить, что даже в нашем Блоке нашлись коллеги, которые не распознали угрозу.

Б. Линецкий: Самое важное, чтобы пользователи не боялись никаких последствий. Киберучения не несут для них никаких рисков и проводятся исключительно для их же безопасности. Нужно, чтобы они разбирались в том, что такое фишинг.

А какие этапы будет включать киберучения?

Мы создадим и отправим пользователям фишинговые письма, которые содержат запросы к действиям: скачать файл, перейти по ссылке, отправить конфиденциальную информацию, вступить в диалог и т.п. Предварительно участникам придёт предупреждение о наших планах по проведению обучений. И, если пользователь оказывается подвержен такому влиянию, мы получаем сигнал о потенциальном риске. Пользователей, которые открыли ссылку или скачали файл, проинформируют об ошибках и предложат пройти короткий обучающий курс, который научит их, как действовать при получении такого письма и в целом распознавать фишинговую атаку, чтобы в будущем не совершать подобные действия.

БОЛЬШЕ О НОВЫХ РЕЛИЗАХ ЦИФРОВОГО БЛОКА – В ТЕЛЕГРАМ-КАНАЛЕ  ВЫШКА.DIGITAL INSIGHT