У 2008 годзе мне ўдалося пабываць у адной ІТ-кампаніі. У кожным супрацоўніку счытвалася нейкая нездаровая напруга. Чыннік апынулася простая: мабільнікі - у скрыню на ўваходзе ў кабінет, за спіной - камера, 2 вялікіх дадатковых «глядзяць» камеры на кабінет і кантралюючы софт з кейлагерам. І так, гэта не тая кампанія, якая распрацоўвала САВМ або сістэмы жыццезабеспячэння самалётаў, а проста распрацоўшчык прыкладнога бізнэс ПЗ, цяпер паглынуты, раздушаны і больш не існуючы (што здаецца лагічным). Калі вы зараз пацягнуліся і думаеце, што ў вашым офісе з гамакамі і M&M у вазачках такога сапраўды няма, вы можаце моцна памыляцца - проста за 11 гадоў кантроль навучыўся быць незаўважным і карэктным, без разборак за наведаныя сайты і запампаваныя фільмы.
Дык няўжо нельга без усяго гэтага, а як жа давер, лаяльнасць, вера ў людзей? Не паверыце, але кампаній без сродкаў бяспекі не менш. Але супрацоўнікі прымудраюцца касячыць і там, і там - проста таму што чалавечы фактар здольны разбураць светы, не тое што вашу кампанію. Такім чынам, дзе ж могуць начудзіць вашыя супрацоўнікі?
Гэта не вельмі сур'ёзны пост, у якога роўна дзве функцыі: крыху палепшыць працоўныя будні і нагадаць аб базавых штуках у бяспецы, якія нярэдка забываюцца. А, ну і лішні раз нагадаць аб - Хіба такі софт не грань бяспекі? 🙂
Пагналі ў рандомным рэжыме!
Паролі, паролі, паролі…
Кажаш аб іх і накатвае хваля абурэння: як так, ужо колькі разоў паўтаралі міру, а воз і цяпер тамака! У кампаніях усіх узроўняў, ад ІП да транснацыянальнай карпарацыі, гэта вельмі балючае месца. Мне часам здаецца, што калі заўтра пабудуюць рэальную Зорку Смерці, у адмінцы будзе нешта кшталту admin/admin. Дык чаго ж чакаць ад простых карыстачоў, для якіх уласная старонка ВКонтакте значна даражэй карпаратыўнай ўліку? Вось кропкі, якія трэба правяраць:
- Запіс пароляў на паперках, на абарачэнні клавіятуры, на маніторы, на стале пад клавіятурай, на налепцы знізу мышы (ушлые!) - супрацоўнікі ніколі не павінны гэтага рабіць. І не таму што зойдзе страшны хакер і за абед запампуе ўсю 1С на флешку, а таму што ў офісе можа быць пакрыўджаны Саша, які збіраецца звольніцца і нагадаць ці забраць інфармацыю напрыканцы. Чаму б гэта не зрабіць у чарговы абед?
Вось гэта? Гэтая штука захоўвае ўсе мае паролі
- Усталяванне простых пароляў на ўваход у ПК і на працоўныя праграмы. Даты нараджэння, qwerty123 і нават asdf - гэта спалучэнні, якім месца ў анекдотах і на башоргу, а не ў сістэме карпаратыўнай бяспекі. Усталёўвайце патрабаванні да пароляў і іх даўжыні, выстаўляйце перыядычнасць замены.
Пароль гэта як ніжняя бялізна: змяняйце яго часцей, не дзяліцеся ім са сваімі сябрамі, доўгі - лепш, будзьце загадкавымі, не раскідвайце паўсюль
- Паролі вендара на ўваход у праграму па змаўчанні заганныя хаця б таму, што іх ведаюць амаль усе супрацоўнікі вендара, і, калі вы маеце справу з web-сістэмай у воблаку, дастаць дадзеныя не складзе працы ні ў каго. Асабліва, калі ў вас яшчэ і сеткавая бяспека на ўзроўні "шнур не выдзіраць".
- Растлумачце супрацоўнікам, што падказка для пароля ў аперацыйнай сістэме не павінна выглядаць як "мой дзень нараджэння", "імя дачкі", "Гваздзіка-78545-ап#1!" на англ.» або «кверці і адзінка з нулікам».
Мой каток выдае мне цудоўныя паролі! Ён ходзіць па маёй клавіятуры
Фізічныя доступы да спраў
Як у вас у кампаніі арганізаваны доступ да ўліковай і кадравай дакументацыі (напрыклад, да асабістых спраў супрацоўнікаў)? Дайце адгадаю: калі невялікі бізнэс, то ў бухгалтэрыі ці ў боса ў кабінеце ў тэчках на паліцах ці ў шафе, калі вялікі - у аддзеле кадраў на стэлажах. А вось калі вельмі вялікі, то хутчэй за ўсё, усё правільна: асобны кабінет ці блок з магнітным ключом, куды маюць доступ толькі асобныя супрацоўнікі і, каб туды патрапіць, трэба патэлефанаваць камусьці з іх і зайсці ў гэты вузел у іх прысутнасці. Няма нічога складанага ў тым, каб зрабіць такую абарону ў любым бізнэсе ці хаця б навучыцца не пісаць пароль ад офіснага сейфа дробным на дзверы або на сцяне (усё заснавана на рэальных падзеях, не смейцеся).
Чаму гэта важна? Па-першае, у работнікаў ёсць паталагічная цяга даведацца адзін пра аднаго самае таемнае: сямейнае становішча, памер заработнай платы, медыцынскія дыягназы, адукацыя і г.д. Гэта такі кампрамат у офіснай канкурэнтнай барацьбе. І вам зусім не на руку тыя сваркі, якія ўзнікнуць, калі дызайнер Пеця даведаецца, што ён атрымлівае на 20 тыс. менш, чым дызайнер Аліса. Па-другое, там жа супрацоўнікі могуць атрымаць доступ да фінансавай інфармацыі кампаніі (балансы, гадавыя справаздачы, дамовы). Па-трэцяе, элементарна нешта можа быць страчана, сапсавана або выкрадзена з мэтай замесці сляды ў сваёй жа працоўнай біяграфіі.
Склад, дзе камусьці страту, камусьці - скарб
Калі ў вас ёсць склад, лічыце, што вы рана ці позна гарантавана сутыкнецеся з правапарушальнікамі - проста так уладкованая псіхалогія чалавека, які бачыць вялікі аб'ём прадукцыі і цвёрда верыць, што ад шмат чаго патрошку - не рабаванне, а дзяльба. А адзінка тавару з гэтай кучы можа каштаваць і 200 тыс., і 300 тыс., і некалькі мільёнаў. На жаль, крадзяжы не можа спыніць нічога, акрамя педантычнага і татальнага кантролю і ўліку: камеры, прыёмка і спісанне па штрых-кодах, аўтаматызацыя складскога ўліку (напрыклад, у нашай складскі ўлік арганізаваны такім чынам, што менеджэр і кіраўнік могуць бачыць рухі тавару па складзе ў рэжыме рэальнага часу).
Таму узброіце свой склад да зубоў, забяспечце фізічную бяспеку ад вонкавага ворага і поўную бяспеку - ад унутранага. Супрацоўнікі на транспарце, у лагістыцы, на складзе павінны дакладна ўсведамляць, што кантроль ёсць, ён працуе і ледзь што яны самі сябе пакараюць.
*укі, не суньце ў інфраструктуру рукі
Калі гісторыя пра серверную і прыбіральшчыцу ўжо перажыла сама сябе і даўно перавандравала ў байкі іншых галін (напрыклад, такая ж хадзіла пра містычнае адключэнне ШВЛ у адной і той жа палаце), то астатнія так і застаюцца рэальнасцю. Сеткавая і ІТ-бяспека кампаніі ў малым і сярэднім бізнэсе пакідаюць жадаць лепшага, прычым гэта часта не залежыць ад таго, свой у вас сісадмін або запрошаны. Апошні нярэдка спраўляецца нават лепей.
Дык вось, на што здольныя супрацоўнікі тут?
- Самае мілае і бяскрыўднае - схадзіць у серверную, паторгваць правады, паглядзець, праліць гарбату, нанесці бруду або самастойна паспрабаваць нешта наладзіць. Асабліва гэтым хварэюць "упэўненыя і прасунутыя карыстачы", якія па-геройску вучаць калегаў адключаць антывірус і абыходзіць абарону на ПК і ўпэўненыя, што яны прыроджаныя багі сервернай. Увогуле, аўтарызаваны абмежаваны доступ - ваша ўсё.
- Крадзеж абсталявання і падмена кампанентаў. Вы любіце сваю кампанію і паставілі ўсім магутныя відэакарты, каб выдатна працавалі білінгавая сістэма, CRM і ўсё астатняе? Выдатна! Толькі хітрыя хлопцы (а часам і дзяўчыны) папросту заменяць іх на хатнюю, а дамы будуць ганяць гульні на новай офіснай мадэлі - паўсвету ж не даведаецца. Тая ж гісторыя з клавіятурамі, мышамі, кулерамі, КБС і ўсім тым, што можна неяк падмяніць у рамках жалезнай канфігурацыі. У выніку вы нясеце рызыку псуты маёмасці, яе поўнай згубы і адначасова не атрымліваеце жаданую хуткасць і якасць працы з інфармацыйнымі сістэмамі і прыкладаннямі. Ратуе сістэма маніторынгу (ITSM-сістэма) з настроеным кантролем канфігурацый), якая павінна пастаўляцца ў камплекце з непадкупным і прынцыповым сісадмінам.
Можа, ты хочаш пашукаць сістэму бяспекі лепш? Не ўпэўнены, што гэтага вось знака дастаткова
- Выкарыстанне сваіх мадэмаў, кропак доступу, якога-небудзь сумеснага Wi-Fi робіць доступ да файлаў меней абароненым і практычна некантралюемым, чым могуць скарыстацца зламыснікі (у тым ліку ў змове з супрацоўнікамі). Ну і да таго ж, верагоднасць таго, што супрацоўнік "са сваім інтэрнэтам" будзе праседжваць працоўны час на ютубе, гумарыстычных сайтах і ў сацсетках, значна вышэй.
- Адзіныя паролі і лагіны для доступу ў адмінку сайта, CMS, прыкладное ПА – страшныя штукі, якія ператвараюць няўмелага ці злоснага супрацоўніка ў няўлоўнага мсціўца. Калі ў вас 5 чалавек з адной падсеткі пад адным лагінам/паролем зайшлі павесіць банэр, праверыць рэкламныя спасылкі і метрыкі, паправіць вёрстку і заліць апдэйт, вы ніколі не адгадаеце, хто з іх выпадкова ператварыў CSS у гарбуз. Таму: розныя лагіны, розныя паролі, лагіраванне дзеянняў і размежаванне правоў доступу.
- Ці варта казаць пра неліцэнзійнае ПЗ, якое цягнуць супрацоўнікі да сябе на ПК, каб адрэдагаваць у працоўны час пару фотак ці звярстаць нешта там моцна хобійнае. Не чулі пра праверку аддзела "К" ГУУС? Тады яна ідзе да вас!
- Антывірус павінен працаваць. Так, некаторыя з іх могуць тармазіць працу ПК, раздражняць і наогул здавацца прыкметай баязлівасці, але лепш прадухіліць, чым потым расплачвацца прастоем у працы ці, чаго горш, крадзенымі дадзенымі.
- Папярэджанні аперацыйнай сістэмы аб небяспецы ўстаноўкі прыкладання не павінны ігнаравацца. Сёння спампаваць нешта для працы - справа лічаных секунд і хвілін. Напрыклад, Директ.Камандэр або рэдактар Адвордс, які-небудзь SEO-парсер і інш. Калі з прадуктамі Яндэкса і Гугла ўсё больш-менш ясна, то вось чарговы пікрэсайзер, бясплатны клінер вірусаў, відэарэдактар з трыма эфектамі, скрыншоцілкі, запісвалкі скайпа і іншыя «маленечкія праграмкі» могуць нанесці шкоду як асобнаму ПК, так і ўсёй сетцы кампаніі. Прывучыце карыстачоў чытаць, што ад іх жадае кампутар, да таго, як яны патэлефануюць сісадміну і скажуць, што "усё памерла". У некаторых кампаніях пытанне вырашаецца проста: шмат запампаваных карысных утыліт ляжыць на сеткавай шары, тамака жа размяшчаецца спіс прыдатных анлайн-рашэнняў.
- Палітыка BYOD або, наадварот, палітыка дазволу карыстання працоўнай тэхнікай па-за офісам - вельмі злы бок бяспекі. У гэтым выпадку да тэхнікі маюць доступ родныя, знаёмыя, дзеці, публічныя неабароненыя сеткі і інш. Гэта чыста руская рулетка - можна 5 гадоў хадзіць і абыдзецца, а можна страціць або сапсаваць усе дакументы і каштоўныя файлы. Ну і акрамя таго, калі ў супрацоўніка ёсць злы намер, з «гуляючым» абсталяваннем зліць дадзеныя рэальна як два байта пераслаць. Таксама трэба памятаць, што супрацоўнікі часта перадаюць файлы паміж сваімі персанальнымі кампутарамі, што зноў-такі можа стварыць шчыліны ў бяспецы.
- Блакаванне прылад падчас адсутнасці - добрая звычка як у карпаратыўнай, так і ў асабістай сферы. Ізноў жа, засцерагае ад цікаўных калег, знаёмых і зламыснікаў у публічных месцах. Да гэтага цяжка прызвычаіць, але на адным з маіх месцаў працы быў выдатны досвед: да незалочанага ПК падыходзілі калегі, на ўсё акно разгортваўся Paint з надпісам "Хоч комп!" і нешта змянялася ў працы, напрыклад, знасілася апошняя накачаная зборка або выдаляўся апошні заведзены баг (гэта была група тэставання). Жорстка, але 1-2 разоў хапала нават для самых драўляных. Хоць, падазраю, не-айцішнікі могуць і не зразумець такога гумару.
- Але самы страшны грэх, вядома, ляжыць на сісадміне і кіраўніцтве - у тым выпадку, калі яны катэгарычна не выкарыстоўваюць сістэмы кантролю трафіку, абсталявання, ліцэнзій і г.д.
Гэта, вядома, база, таму што ІТ-інфраструктура - тое самае месца, дзе чым далей у лес, тым больш дроў. І гэтая база павінна быць ва ўсіх, а не замяняцца словамі "ў нас усё адзін аднаму давяраюць", "мы сям'я", "ды каму яно трэба" - нажаль, гэта да сітавіны да часу.
Гэта інтэрнэт, дзетка, тут могуць аб табе шмат ведаць
Бяспечнае абыходжанне з інтэрнэтам час уводзіць у курс АБЖ у школе — і гэта зусім не пра тыя меры, у якія нас апускаюць звонку. Гэта менавіта пра ўменне адрозніць спасылку ад спасылкі, зразумець, дзе фішынг, а дзе развод, не адчыняць укладанні лістоў з тэмай «Акт зверкі» ад незнаёмага адрасу, не разабраўшыся і г.д. Хоць, здаецца, школьнікі гэта ўсё ўжо асвоілі, а вось супрацоўнікі - не. Ёсць куча выкрутаў і памылак, якія могуць паставіць пад пагрозу ўсю кампанію зараз.
- Сацыяльныя сеткі - раздзел інтэрнэту, якому не месца на працы, але блакаваць іх на ўзроўні кампаніі ў 2019 годзе мера непапулярная і дэматывуе. Таму трэба проста напісаць усім супрацоўнікам, як правяраць нелегальнасць спасылак, расказаць пра віды махлярства і папрасіць на працы працаваць.
- Пошта - балючае месца і ці ледзь не самы папулярны спосаб сагнаць інфармацыю, падсадзіць шкоднаснае ПА, заразіць ПК і ўсю сетку. Нажаль, але шматлікія працадаўцы лічаць паштовы кліент прадметам эканоміі і карыстаюцца бясплатнымі сэрвісамі, у якія сыплецца па 200 лістоў спаму ў дзень, які лезе праз фільтры і т.д. А некаторыя несвядомыя асобы адкрываюць такія лісты і ўкладанні, спасылкі, карцінкі - відаць, спадзяюцца, што негрыцянскі прынц пакінуў спадчыну менавіта ім. Пасля чаго ў адміна з'яўляецца шматліка-шмат працы. Ці так і было задумана? Дарэчы, яшчэ адна жорсткая гісторыя: у адной кампаніі за кожны ліст спаму сісадміну змяншалі KPI. Увогуле, праз месяц спаму не было - практыка перанята галаўной арганізацыяй, і спаму няма да гэтага часу. Мы ж вырашылі гэтае пытанне хупава - распрацавалі свой паштовы кліент і ўбудавалі яго ў сваю ж , таму ўсе нашы кліенты таксама атрымліваюць такую зручную фічу.
У наступны раз, калі атрымаеш дзіўны ліст са знакам сашчэпкі, не клікай па ёй!
- Месенджары таксама крыніца ўсякіх небяспечных спасылак, але гэта значна меншае зло, чым пошта (не лічачы чакай, забітага на балбатню ў чатах).
Здаецца, гэта ўсё дробязі. Аднак кожная з гэтых дробязяў можа мець катастрафічныя наступствы, асабліва, калі ваша кампанія - мэта нападу канкурэнтаў. А гэта можа здарыцца літаральна з кожным.
Балбатлівыя супрацоўнікі
Гэта той самы чалавечы фактар, якога вам будзе цяжка пазбавіцца. Супрацоўнікі могуць абмяркоўваць працу ў калідоры, у кафэ, на вуліцы, у кліента гучна казаць пра іншага кліента, расказваць пра працоўныя дасягненні і праекты дома. Вядома, верагоднасць таго, што за спіной стаіць канкурэнт, нікчэмна малая (калі вы не ў адным БЦ - такое хаджала), а вось таго, што выразна выкладае бізнес-справы хлопца здымуць на смартфон і выкладуць на YouTube, як ні дзіўна вышэй. Але і гэта бздура. Не бздура, калі вашы супрацоўнікі ахвотна выкладаюць інфармацыю аб прадукце ці кампаніі на трэнінгах, канферэнцыях, мітапах, прафесійных форумах, ды хоць на Хабры. Тым больш што нярэдка людзі спецыяльна выклікаюць апанента на такія размовы, каб правесці канкурэнтную разведку.
Паказальная гісторыя. На адной ІТ-канферэнцыі галактычнага маштабу спікер секцыі выклаў на слайдзе поўную схему арганізацыі ІТ-інфраструктуры вялікай кампаніі (топ-20). Схема была мега ўражлівая, проста касмічная, яе сфатаграфавалі амаль усё, і яна імгненна паляцела па сацыяльных сетках з захопленымі водгукамі. Ну а потым спікер адлоўліваў па геатэгах, стэндах, сац. сеткам тых, хто запасціў, і маліў выдаліць, бо яму даволі хутка патэлефанавалі і сказалі а-та-та. Балбатун - знаходка для шпіёна.
Няведанне… вызваляе ад пакарання
Згодна з глабальнай справаздачай Лабараторыі Касперскага за 2017 год сярод прадпрыемстваў, якія сутыкнуліся з інцыдэнтамі кібербяспекі за 12 месяцаў, адзін з дзесяці (11%) найбольш сур'ёзных тыпаў інцыдэнтаў тычыўся нядбайных і не інфармаваных супрацоўнікаў.
Не мяркуйце, што супрацоўнікі ведаюць усё аб мерах карпаратыўнай бяспекі, абавязкова папярэдзьце іх, правядзіце навучанне, зрабіце цікавыя перыядычныя рассылкі аб праблемах бяспекі, правядзіце сустрэчы за піцай і растлумачце пытанні яшчэ раз. І так, класны лайфхак - маркіруйце ўсю друкаваную і электронную інфармацыю колерам, знакамі, надпісамі: камерцыйная таямніца, сакрэтна, для службовага карыстання, агульны доступ. Гэта рэальна працуе.
Сучасны свет паставіў кампаніі ў вельмі далікатнае становішча: трэба выканаць баланс паміж імкненнем супрацоўніка на працы не толькі араць, але і фонам / у перапынках атрымліваць забаўляльны кантэнт і строгімі правіламі карпаратыўнай бяспекі. Калі вы ўключыце гіперкантроль і дэбільныя праграмы сачэння (так, не памылка друку - гэта не бяспека, гэта параноя) і камеры за спіной, то давер супрацоўнікаў да кампаніі ўпадзе, хоць захаванне даверу - таксама інструмент карпаратыўнай бяспекі.
Таму ведайце меру, паважайце супрацоўнікаў, рабіце бэкапы. І галоўнае - стаўце ў раздзел кута менавіта бяспека, а не персанальную параною.
Калі вам патрэбна і супастаўце іх магчымасці са сваімі мэтамі і задачамі. Будуць пытанні і цяжкасці - пішыце, тэлефануйце, мы арганізуем для вас індывідуальную прэзентацыю онлайн - без рэйтынгаў і пузамерак.
, у якім без рэкламы пішам не зусім фармальныя рэчы аб CRM і бізнэсе.
Крыніца: habr.com