Информационная безопасность и сотрудники — загадка отношений

Информационная безопасность и сотрудники — загадка отношений
В среднем, более трети всех утечек информации случаются по вине сотрудников. Понятно, что гибкость и универсальность людей работают в обе стороны и позволяют нам не только воспринимать и обрабатывать любую информацию, но и терять её большим количеством способов. Странно то, что несмотря на простоту и очевидность правил, которые препятствуют утечкам, их постоянно нарушают, что приводит к курьёзным и не очень случаям.

Незамысловатое правило: следите за доверенными вам вещами. Согласитесь, ведь глупо оставить чемоданчик с секретными документами на видном месте, а самому уйти обедать. Почему так происходит? Секретные документы забывают где угодно: в закусочных, поездах, трамваях, такси, отелях и телестудиях. И ведь делают это не какие-то простые люди, а премьер-министры и сотрудники спецслужб. Даже Штирлиц может оставить секретные документы впопыхах (на следующий день в Попыхи нагрянуло Гестапо).

К тому же правилу можно отнести мирно лежащие на столе мобильники и незаблокированные рабочие компьютеры, просто о таких вещах журналистам не интересно писать. Большинство сотрудников быстро привыкают к рабочей обстановке и чувствуют себя в офисе как дома. Часто это приводит к тому, что незнакомый народ с улицы: курьеры, клиенты и кандидаты на вакансию — автоматически становятся гостями, которых нужно радушно принять. Чайку изволите? Постойте тут пока рядом с моей табличкой с клиентами, а я вам схожу чаю налью. Действительно, что может быть плохого?

Пароли

Кроме оставленных нараспашку биллингов и CRM-ок многие грешат забывчивостью в отношении паролей: записывают всё в блокнотик, и кладут на видном месте. В самой записи ничего плохого нет, об этом говорят специалисты в Майкрософте, даже сам Брюс Шнайер советует записывать пароли. Но смысл записывания теряется, если бумажка с паролем валяется где попало. Ведь простое правило: берегите свои пароли. Вы бы стали разбрасываться ключами от сейфа? Нет. А с паролями такое постоянно случается. Может быть это происходит из-за эффекта наслаивания: чужие гипотетические деньги от абстрактных клиентов защищаются мудрёной волшебной фразой. Причинно-следственную связь сходу не установить, поэтому пароли не воспринимаются всерьёз.

Другое следствие несерьёзного отношения это существование «любимых паролей». Уважаемые системные администраторы, читающие эту статью, если в вашей фирме сотрудники могут самостоятельно менять пароли к корпоративной почте или другим аккаунтам, то можете быть уверены, что они везде поставят именно его. Типичная логика неуловимого Джо «кому я нужен, никто не станет меня ломать» в организации не работает, потому что у фирмы всегда существуют конкуренты, а им то уж точно нужны все возможные преимущества.

Спамеры и мошенники

Есть особая категория граждан, которая тоже готова пойти на многое ради достижения цели. Именно из-за них разбор входящей почты доставляет столько проблем. Как минимум мусорное письмо отнимет время, как максимум — предложит срочно скачать антивирус. В письме, ага. Возможно для вас может быть очевидным, что это чепуха, и антивирусы не присылают по почте, но если на секунду забыть про существующие традиции, то такая схема выглядит вполне правомерной. Почему бы и нет? Без серьёзных знаний можно и запутаться. А учитывая популярность социальных сетей, учащение целевых атак и изобретательность спамеров, скоро распознать зловредное письмо будет совсем не просто. Так что лучше помнить следующее правило: нельзя доверять никаким письмам, особенно от незнакомцев.

Правда есть ещё один момент. Был свидетелем ситуаций, когда знакомые получали подозрительные смски и письма, понимали, что это спам и развод, но всё равно хотели узнать, а правда ли это, вдруг не лохотрон? Ужасно хочется проверить! Наверное в такие моменты в мозгу срабатывает какая-то извращённая форма пари Паскаля: если это спам, то я возможно потеряю немного денег, но если это правда, то ого-го! Я богач!

Мусор

Кроме мусора в почтовом ящике и интернете есть ещё обычный мусор. А что с ним не так, спросите вы? Оказывается, что правильно выбрасывать мусор умеют далеко не все. Я говорю даже не про заботу о природе и раздельный сбор мусора, а банальное внимание к тому, что попадает в корзину. Среди мусора можно найти секреты NASA и ВВС Южной Кореи, план поездки Обамы, личные дела военных. Даже Эдвард Сноуден не нужен.

Неспроста бумажная документация по-прежнему является самым популярным каналом утечки информации. Чтобы такого не случалось можно выработать хорошую привычку — рвать все документы перед отправкой в корзину. Дёшево и сердито. Немногим дороже обойдётся покупка офисного шредера, с ним точно никакие отчёты не окажутся в посторонних руках.

С жесткими дисками и электроникой немного сложнее, их не порвёшь руками (перевелись на Руси богатыри), зато их можно почистить перед утилизацией специальными программами, например такой. Главное не забывать, что информация сама по себе не исчезает, а наоборот всегда стремится куда-нибудь просочиться.

Как быть

В принципе все перечисленные проблемы решаются банальным повышением грамотности. Намного проще принимать правильные решения, когда понятно что такое конфиденциальная информация, откуда она берётся, и как с ней поступать. Образованные сотрудники это всегда хорошо, не так ли?

За границей, любят снимать видеоролики, например, есть компания Twist and Shout, которая снимает весёлые короткометражки. А в британском Центре защиты национальной инфраструктуры наоборот запугивают:


По уровню паранойи США, разумеется, лидируют, в честь десятилетия Министерства внутренней безопасности в октябре проходит месяц осведомлённости о кибер-безопасности. Российское правительство ничем таким похвастаться не может, этим в основном занимаются коммерческие организации. Из отечественных фирм, программа повышения осведомлённости есть, например, в LETA.

Вообще, как вы думаете, почему обычные житейские мудрости (следи за вещами, не болтай и пр.) не переносятся автоматически на сферу информационных технологий? Почему их надо разъяснять?

Автор: BasmanovDaniil

Источник

Оставить комментарий