Роль співробітників: людський фактор у безпеці АЗС

Майстер-клас: секрети випікання найсмачніших млинців!

25.07.2025

Сучасні АЗС є складними об’єктами з численними цифровими системами – від платіжних терміналів до систем моніторингу резервуарів. В Україні АЗС входять до паливно-енергетичного сектору критичної інфраструктури, тож вимоги до їх інформаційної та кібербезпеки особливо високі. Втім, навіть найдосконаліші технічні засоби не гарантують безпеки, якщо не враховано людський фактор. Численні дослідження та експерти підтверджують: саме співробітники часто становлять найслабшу ланку. Зокрема, звіт Verizon DBIR 2023 (більше тут: https://www.verizon.com/business/resources/Ta5a/reports/2023-dbir-public-sector-snapshot.pdf) показав, що 74% інцидентів кібербезпеки починаються через помилки людей або їх умисні дії (наприклад, використання вкрадених даних доступу чи атаки соціальної інженерії). Інші аналітики зазначають, що до 95% витоків інформації спричинені саме людськими помилками – від кліку на небезпечне посилання до підроблених email-листів.
У попередніх статтях ми розглянули питання державної регуляції інформаційної безпеки для паливно-енергетичного сектору та рекомендації для підготовки підприємств до змін у середовищі загроз інформаційної безпеки (читайте більше тут: «АЗС як об’єкти критичної інфраструктури: які вимоги висуває державний регулятор до АЗС і як підготуватись до нових реалій?», «Аудити відповідності АЗС: з чого почати підготовку»). У цій статті розглянемо, яку роль відіграють співробітники в гарантуванні кібербезпеки АЗС, які загрози несе людський фактор і як мінімізувати ризики через навчання та побудову корпоративної культури безпеки.

Людський фактор як ключовий елемент кіберстійкості АЗС

Фахівці з кібербезпеки часто називають людей «найслабшою ланкою» в системі захисту. Це правда: зловмисники регулярно намагаються обійти технічні бар’єри саме через помилки або необережність співробітників. Водночас обізнаний і пильний персонал може стати першою лінією оборони компанії. Для АЗС людський фактор набуває особливого значення. Оператори, касири, інженери, ІТ-фахівці – всі вони мають доступ до різних сегментів системи і впливають на її безпеку. Достатньо одному співробітнику клікнути на фішингове посилання чи проігнорувати застереження системи захисту – і наслідки можуть бути відчутними для всього бізнесу. З іншого боку, якщо кожен працівник дотримується кібергігієни, підприємство отримує потужний «щит» від більшості масових атак. Таким чином, персонал може бути як найслабшою ланкою, так і найсильнішою обороною – залежно від уваги до нього.

Чому працівники – бажана ціль для хакерів!

З погляду зловмисників, найлегше «зламати» не програму чи брандмауер, а людину. Співробітники володіють повноваженнями та доступами, які потрібні хакерам, тому останні активно використовують саме людей. Для цього використовується весь арсенал методів соціальної інженерії – психологічних маніпуляцій, що змушують людину добровільно віддати в руки хакерів доступ до систем чи даних. Кіберзлочинці можуть видавати себе за когось авторитетного (наприклад, за адміністратора або представника постачальника обладнання), апелювати до почуття терміновості чи страху («терміново надішліть звіт, інакше будуть проблеми»), або зіграти на зацікавленості («відкрийте вкладення, там нові ціни на пальне»). Працівники АЗС нерідко працюють під тиском часу та з чергами клієнтів, тому можуть не завжди безпечно оцінити несподіване прохання чи лист. Цим і користуються зловмисники.
Крім того, поширена хибна думка, що «нашу АЗС ніхто не буде атакувати, це ж не банк». Навпаки, середній бізнес та критична інфраструктура стали привабливою мішенню, адже рівень захисту там часто нижчий, а потенційна вигода – значна.

Основні загрози, пов’язані з діями персоналу

Людський фактор проявляється у різних видах загроз для інформаційної безпеки АЗС. Найпоширеніші з них: 
● Фішинг та соціальна інженерія. Зовнішні атаки націлені на обман працівників, щоб проникнути всередину мережі та ІТ-систем або отримати фізичний доступ до активів підприємства. Найпоширеніший приклад – фішингові email-листи або повідомлення, замасковані під легітимні. Співробітник може отримати лист нібито від ІТ-відділу чи керівництва з проханням терміново змінити пароль або оновити програму. Перейшовши за шкідливим посиланням чи відкривши вкладений файл, він несвідомо запускає шкідливе програмне забезпечення і надає нападникам доступ до систем. Так сталося в одному з інцидентів, описаних аналітиками Visa: група хакерів надіслала фішингові листи співробітникам паливної компанії, інфікувала комп’ютер для віддаленого доступу і через нього проникла в мережу АЗС, заразивши POS-термінали шкідливим ПЗ. У підсумку зловмисники перехопили дані платіжних карток клієнтів, завдавши фінансової та репутаційної шкоди бізнесу. Цей випадок наочно демонструє, як звичайний клік за посиланням може перерости у масштабний кіберінцидент.
● Інсайдерські загрози. Не всі загрози приходять ззовні – іноді загроза криється всередині колективу. Співробітники можуть стати джерелом загроз як через випадковість, так і з корисливим умислом. Зловмисні інсайдери – це персонал, який свідомо краде інформацію чи саботує роботу систем, можливо, заради наживи або на користь конкурентів. Інсайдерські загрози особливо небезпечні тим, що походять від осіб, яким система довіряє за замовчуванням і в основному мотивами інсайдерів найчастіше є гроші, образа або тиск сторонніх (вербування, шантаж), і без належного контролю такі дії важко вчасно виявити.
 Ненавмисні помилки та недотримання процедур. Більшість працівників не прагнуть зашкодити компанії, але через брак знань або належної уваги можуть стати причиною інцидентів інформаційної безпеки. Типові сценарії: використання простих паролів чи однакових паролів всюди, записування їх на папірцях, нехтування двофакторною автентифікацією. До помилок можна віднести та порушення регламентів: наприклад, інженер забув вчасно оновити прошивку мережевого обладнання АЗС або відключив антивірус, щоб «не заважав роботі», – цим створив вікно можливостей для атак. Іноді працівники, самі того не розуміючи, залишають критичні системи без захисту. Дослідження показали, що ряд систем моніторингу паливних резервуарів на АЗС у США були підключені до інтернету без належного захисту, відкриваючи шлюз для потенційної атаки. Експерти Black Hat попереджали, що через такі прорахунки зловмисники можуть віддалено втручатися в роботу колонок: відключати їх (DDoS-атака), вносити хибні показники або навіть змінювати налаштування дозаправлення (наприклад, наливати дизель замість бензину). Таким чином, незнання або ігнорування правил кібербезпеки персоналом без перебільшення ставить під удар і дані, і фізичну безпеку роботи АЗС.

Низька обізнаність і її наслідки: уроки для АЗС

На жаль, рівень обізнаності персоналу щодо кібербезпеки на багатьох підприємствах залишається низьким. Співробітники можуть просто не усвідомлювати, які загрози приховані в електронному листі на поштовій скриньці чи флешці, знайденій у роздягальні. Нерідко проігнорованою лишається культура та елементарні правила інформаційної безпеки: повідомляти про інцидент (якщо касир випадково клікнув на підозрілий файл, він може промовчати, боячись покарання, і тим часом шкідливе ПЗ пошириться мережею). Наслідки подібної недбалості можуть бути серйозними. Окрім фінансових втрат від крадіжки даних чи простоїв систем, удару зазнає і репутація. Клієнти втрачають довіру, дізнавшись про витік їхніх карткових даних або неможливість заправитися, коли система оплати «лежить». Показовим був випадок у жовтні 2023 року, коли через кібератаку (DDoS) на сервери однієї з найбільших мереж АЗС України клієнти протягом кількох годин не могли ні оплатити пальне, ні скористатися бонусними програмами. Утворились черги, водії були роздратовані, компанія зазнала фінансових втрат та втратила частину лояльності споживачів. І хоча в тій атаці людський фактор прямо не фігурував (це була технічна DDoS-атака), ситуація демонструє крихкість бізнесу АЗС перед кіберзагрозами. Якщо ж подібна зупинка роботи станеться через дії інсайдерів або успішний фішинг, результати будуть аналогічними або й гіршими. 
Недостатня обізнаність призводить і до того, що політики безпеки залишаються лише на папері. Наприклад, компанія може запровадити строгі правила доступу чи інструкції реагування на інциденти, але чи виконує їх кожен оператор? Якщо люди не розуміють, навіщо правила потрібні, вони схильні їх ігнорувати. Реальний випадок: після серії інцидентів мережа АЗС запровадила регламент, що при будь-якому дзвінку з вимогою провести нестандартну операцію співробітник зобов’язаний спершу повідомити свого менеджера. Проте в описаній вище історії зі Speedway оператор новачок цього не зробив – чи то через брак досвіду, чи то не був належно проінструктований. Лише після збитків у $2000 керівництво більш прискіпливо взялося за навчання нічного персоналу і повторило всім процедури перевірки дзвінків.

Свою роль відіграє і відсутність культури інформаційної безпеки. Якщо керівництво АЗС не подає приклад і не контролює дотримання правил, працівники швидко розслабляються. Згідно з опитуваннями, значна частка українських бізнесів визнає, що їх топменеджмент недостатньо усвідомлює кіберризики та не інвестує в навчання людей. Для заправних станцій це може бути критично: ціна помилки – не тільки гроші, а й потенційна небезпека для життя (адже зловмисник може, наприклад, відключити системи безпеки чи спричинити збій у технологічному обладнанні). 

Умовний кейс. Як приклад, уявімо сценарій на типовій АЗС. Бухгалтер регіонального офісу отримує, на перший погляд, офіційний електронний лист від «дирекції» мережі із вкладеним файлом «Наказ_№27.pdf». У листі йдеться, що це терміновий наказ про нові правила обліку пального, і вимагається негайно ознайомити всіх менеджерів. Бухгалтер відкриває вкладення, не підозрюючи, що PDF-файл містить експлойт. Комп’ютер працівника непомітно заражається шкідливим ПЗ, яке дає хакерам віддалений доступ до внутрішньої мережі. Протягом наступних днів зловмисники досліджують мережу, поширюють вірус на касові термінали АЗС, встановлюють кейлогери для збору паролів. За тиждень атаки вони отримують доступ до серверів та баз даних компанії. Раптово система оплати виходить з ладу, каси не працюють. Виявляється, хакери запустили шкідливий скрипт, що шифрує бази даних (ransomware) і вимагає викуп. Робота десятків заправок паралізована, збитки йдуть на мільйони, а все почалося з відкритого листа. Цей умовний випадок недалекий від реальності – саме так діють багато сучасних атак через персонал. Тому підвищення обізнаності кожного співробітника – не формальність, а питання виживання сучасного бізнесу.

Рекомендації для підвищення рівня обізнаності персоналу: політики, навчання та контроль

Жодна компанія не застрахована від помилки людини на 100%, але зменшити ймовірність таких помилок і їх наслідки цілком реально, і ось ключові кроки для цього: 
● Розробка чітких політик та процедур безпеки. Керівництво повинно впровадити зрозумілі правила роботи з інформацією та обладнанням. Політика інформаційної безпеки має охоплювати вимоги до паролів (складність, регулярна зміна), використання робочих пристроїв і носіїв, порядок оновлення ПЗ, резервне копіювання даних, правила доступу до критичних систем тощо. Не менш важливо затвердити процедури реагування на інциденти: куди повідомляти у разі підозри на фішинговий лист або вірус, як діяти при виявленні незнайомого пристрою в мережі, хто відповідальний за що. Чіткі інструкції дозволяють працівникам знати наперед, що робити у нестандартній ситуації. Це зменшує паніку та випадкові помилки. 
● Постійне навчання та інструктажі співробітників. Одноразового тренінгу при прийнятті на роботу недостатньо – підвищення обізнаності повинно бути безперервним процесом. Рекомендується проводити ввідні курси для всіх новачків, щоб з перших днів закласти культуру безпеки. Надалі – регулярні практичні заняття для всього персоналу: як розпізнати фішингові листи та SMS, як реагувати на підозрілі дзвінки, як безпечно користуватися внутрішніми системами. Досить ефективними є симуляції атак, наприклад, періодична розсилка фішингових листів від ІТ-відділу з подальшим аналізом, хто «клюнув» і де треба покращити навчання. Такі навчання варто проводити щонайменше раз на квартал, аби знання закріпилися. Окремо слід проводити спеціалізовані інструктажі для різних ролей: для ІТ-відділу – про захист промислових систем АЗС, для касирів – про безпечне поводження з POS-терміналами та даними клієнтів, для менеджменту – про соціальну інженерію на рівні керівників (атаки типу BEC, коли шахраї видають себе за директора). Після кожного навчання доцільно проводити невеликий тест чи сертифікацію знань. Це дисциплінує співробітників та закладає культуру відповідальності. 
● Контроль, перевірки та стимулювання безпечної поведінки. Компанія повинна впровадити систему контролю виконання політик, але зробити це не каральним, а мотивувальним інструментом. По-перше, важливо технічно відстежувати дотримання правил: аудити безпеки (як внутрішні, так і зовнішні) допоможуть виявити, чи не пишуть співробітники паролі «під клавіатурою», чи виконуються вимоги щодо оновлень, чи немає в мережі неавторизованих пристроїв. По-друге, варто використовувати спеціальні технічні засоби для мінімізації наслідків людських помилок. Наприклад, розмежування доступів і принцип мінімальних привілеїв: кожен працівник повинен мати лише ті права в системі, які потрібні для його роботи. Адміністратори мають слідкувати, щоб облікові записи звільнених негайно блокувалися, а важливі операції вимагали двох рівнів підтвердження. Сегментація мережі ізолює критичні вузли – навіть якщо атаковано комп’ютер касира, вірус не повинен дістатися серверів АЗС. 
● Культура кібербезпеки. Позитивна мотивація працює краще за страх покарання. Можна запровадити програму невеликих бонусів або відзнак для співробітників, які виявили та повідомили про фішингову атаку чи вразливість. Так працівники відчуватимуть свою особисту залученість у захист компанії. Важливо, щоб ні в якому разі не карали людину, якщо вона чесно зізналась про помилку (наприклад, клікнув на фішинг) – краще сфокусуватися на швидкому виправленні ситуації та додатковому навчанні. 
Кібербезпека – це не одноразова акція, а безперервний процес. Загрози еволюціонують, і питання людського фактора потребує постійної уваги. Проводьте регулярні аудити та тестування: перевіряйте персонал соціальною інженерією, оцінюйте їхні знання, переглядайте політики щороку з урахуванням нових викликів. Кібергігієна має стати такою ж звичною, як і правила охорони праці.

Висновок

Людський фактор дійсно може звести нанівець будь-які інвестиції в захист, якщо його ігнорувати. Водночас обізнаний і пильний співробітник – це найкраща «кіберзброя» компанії. Умовно кажучи, захист АЗС на 50% складається з технічних рішень, а на інші 50% – з обізнаності персоналу. Інформаційна безпека повинна стати спільною відповідальністю: керівництво забезпечує умови та навчання, а кожен працівник – сумлінно дотримується правил. Лише так критично важлива інфраструктура, як АЗС, залишатиметься стійкою перед сучасними кіберзагрозами та збереже стабільну роботу навіть у непрості часи.
Компанія «IT Specialist» готова супроводжувати вас на кожному етапі цього шляху. Інформаційна безпека це не витрати, а інвестиція в безперервність, довіру клієнтів і стабільність вашого підприємства.

IT Specialist — безпечна інтеграція в майбутнє!

Автор статті: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)