- PVSM.RU - https://www.pvsm.ru -

Информационная безопасность и сотрудники — загадка отношений

Информационная безопасность и сотрудники — загадка отношений
В среднем, более трети всех утечек [1] информации случаются по вине сотрудников. Понятно, что гибкость и универсальность людей работают в обе стороны и позволяют нам не только воспринимать и обрабатывать любую информацию, но и терять её большим количеством способов. Странно то, что несмотря на простоту и очевидность правил, которые препятствуют утечкам, их постоянно нарушают, что приводит к курьёзным и не очень случаям.

Незамысловатое правило: следите за доверенными вам вещами. Согласитесь, ведь глупо оставить чемоданчик с секретными документами [2] на видном месте, а самому уйти обедать. Почему так происходит? Секретные документы забывают где угодно: в закусочных [3], поездах [4], трамваях [5], такси [6], отелях [7] и телестудиях [8]. И ведь делают это не какие-то простые люди, а премьер-министры и сотрудники спецслужб. Даже Штирлиц может оставить секретные документы впопыхах (на следующий день в Попыхи нагрянуло Гестапо).

К тому же правилу можно отнести мирно лежащие на столе мобильники и незаблокированные рабочие компьютеры, просто о таких вещах журналистам не интересно писать. Большинство сотрудников быстро привыкают к рабочей обстановке и чувствуют себя в офисе как дома. Часто это приводит к тому, что незнакомый народ с улицы: курьеры, клиенты и кандидаты на вакансию — автоматически становятся гостями, которых нужно радушно принять. Чайку изволите? Постойте тут пока рядом с моей табличкой с клиентами, а я вам схожу чаю налью. Действительно, что может быть плохого?

Пароли

Кроме оставленных нараспашку биллингов и CRM-ок многие грешат забывчивостью в отношении паролей: записывают всё в блокнотик, и кладут на видном месте. В самой записи ничего плохого нет, об этом говорят специалисты в Майкрософте [9], даже сам Брюс Шнайер [10] советует записывать пароли [11]. Но смысл записывания теряется, если бумажка с паролем валяется где попало. Ведь простое правило: берегите свои пароли. Вы бы стали разбрасываться ключами от сейфа? Нет. А с паролями такое постоянно случается. Может быть это происходит из-за эффекта наслаивания: чужие гипотетические деньги от абстрактных клиентов защищаются мудрёной волшебной фразой. Причинно-следственную связь сходу не установить, поэтому пароли не воспринимаются всерьёз.

Другое следствие несерьёзного отношения это существование «любимых паролей». Уважаемые системные администраторы, читающие эту статью, если в вашей фирме сотрудники могут самостоятельно менять пароли к корпоративной почте или другим аккаунтам, то можете быть уверены, что они везде поставят именно его. Типичная логика неуловимого Джо «кому я нужен, никто не станет меня ломать» в организации не работает, потому что у фирмы всегда существуют конкуренты, а им то уж точно нужны все возможные преимущества.

Спамеры и мошенники

Есть особая категория граждан, которая тоже готова пойти на многое ради достижения цели. Именно из-за них разбор входящей почты доставляет столько проблем. Как минимум мусорное письмо отнимет время, как максимум — предложит срочно скачать антивирус. В письме, ага. Возможно для вас может быть очевидным, что это чепуха, и антивирусы не присылают по почте, но если на секунду забыть про существующие традиции, то такая схема выглядит вполне правомерной. Почему бы и нет? Без серьёзных знаний можно и запутаться. А учитывая популярность социальных сетей, учащение целевых атак [12] и изобретательность спамеров [13], скоро распознать зловредное письмо будет совсем не просто. Так что лучше помнить следующее правило: нельзя доверять никаким письмам, особенно от незнакомцев.

Правда есть ещё один момент. Был свидетелем ситуаций, когда знакомые получали подозрительные смски и письма, понимали, что это спам и развод, но всё равно хотели узнать, а правда ли это, вдруг не лохотрон? Ужасно хочется проверить! Наверное в такие моменты в мозгу [14] срабатывает какая-то извращённая форма пари Паскаля [15]: если это спам, то я возможно потеряю немного денег, но если это правда, то ого-го! Я богач!

Мусор

Кроме мусора в почтовом ящике и интернете есть ещё обычный мусор. А что с ним не так, спросите вы? Оказывается, что правильно выбрасывать мусор умеют далеко не все. Я говорю даже не про заботу о природе и раздельный сбор мусора, а банальное внимание к тому, что попадает в корзину. Среди мусора можно найти секреты NASA [16] и ВВС Южной Кореи [17], план поездки Обамы [18], личные дела военных [19]. Даже Эдвард Сноуден не нужен.

Неспроста бумажная документация по-прежнему является самым популярным каналом утечки [20] информации. Чтобы такого не случалось можно выработать хорошую привычку — рвать все документы перед отправкой в корзину. Дёшево и сердито. Немногим дороже обойдётся покупка офисного шредера, с ним точно никакие отчёты не окажутся в посторонних руках.

С жесткими дисками и электроникой немного сложнее, их не порвёшь руками (перевелись на Руси богатыри), зато их можно почистить перед утилизацией специальными программами, например такой [21]. Главное не забывать, что информация сама по себе не исчезает, а наоборот всегда стремится куда-нибудь просочиться.

Как быть

В принципе все перечисленные проблемы решаются банальным повышением грамотности. Намного проще принимать правильные решения, когда понятно что такое конфиденциальная информация, откуда она берётся, и как с ней поступать. Образованные сотрудники это всегда хорошо, не так ли?

За границей, любят снимать видеоролики, например, есть компания Twist and Shout [22], которая снимает весёлые короткометражки [23]. А в британском Центре защиты национальной инфраструктуры [24] наоборот запугивают:


По уровню паранойи США, разумеется, лидируют, в честь десятилетия Министерства внутренней безопасности в октябре проходит месяц осведомлённости о кибер-безопасности [25]. Российское правительство ничем таким похвастаться не может, этим в основном занимаются коммерческие организации. Из отечественных фирм, программа повышения осведомлённости есть, например, в LETA [26].

Вообще, как вы думаете, почему обычные житейские мудрости (следи за вещами, не болтай и пр.) не переносятся автоматически на сферу информационных технологий? Почему их надо разъяснять?

Автор: BasmanovDaniil

Источник [27]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/upravlenie-proektami/46483

Ссылки в тексте:

[1] более трети всех утечек: https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Ponemon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf

[2] оставить чемоданчик с секретными документами: http://dailyonline.ru/news/v-mire/britanskiy-premer-ostavil-bez-prismotra-chemodan-s/

[3] закусочных: http://www.pravda.ru/news/interesting_news/17-02-2012/1108509-data-0/

[4] поездах: http://tltonline.ru/news/2012/01/18/v_britanii_sotrydnik_policii_ostavil_v_metro_papky_s_sekretnymi_dokymentami/

[5] трамваях: http://www.utro.ru/news/2008/10/28/777829.shtml

[6] такси: http://vz.ua/kriminal/proisshestviya/rabotnik_sbu_zabyl_v_taksi_sekretnye_dokumenty

[7] отелях: http://www.mignews.com/news/disasters/world/260411_221449_85274.html

[8] телестудиях: http://izvestia.ru/news/451975

[9] говорят специалисты в Майкрософте: http://news.cnet.com/Microsoft-security-guru-Jot-down-your-passwords/2100-7355_3-5716590.html

[10] Брюс Шнайер: http://ru.wikipedia.org/wiki/Шнайер,_Брюс

[11] советует записывать пароли: https://www.schneier.com/blog/archives/2005/06/write_down_your.html

[12] учащение целевых атак: http://www.securelist.com/ru/analysis/208050777/Kaspersky_Security_Bulletin_2012_Razvitie_ugroz_v_2012_godu

[13] изобретательность спамеров: https://www.securelist.com/ru/analysis/208050782/Spam_v_2012_godu

[14] мозгу: http://www.braintools.ru

[15] пари Паскаля: http://ru.wikipedia.org/wiki/Пари_Паскаля

[16] секреты NASA: http://www.aif.ru/techno/news/74985

[17] ВВС Южной Кореи: http://www.pravda.ru/news/world/21-11-2011/1099408-korea-0/

[18] план поездки Обамы: http://www.pravda.ru/news/world/20-11-2011/1099304-obama-0/

[19] личные дела военных: http://rbcdaily.ru/society/562949987433402

[20] самым популярным каналом утечки: http://www.infowatch.ru/analytics/reports/3011

[21] такой: http://eraser.heidi.ie/

[22] Twist and Shout: http://www.twistandshout.co.uk/

[23] весёлые короткометражки: http://vimeo.com/21447848

[24] Центре защиты национальной инфраструктуры: http://www.cpni.gov.uk/

[25] месяц осведомлённости о кибер-безопасности: http://www.dhs.gov/national-cyber-security-awareness-month

[26] LETA: http://tb.leta.ru/

[27] Источник: http://habrahabr.ru/post/198834/