2008. aastal sain külastada ühte IT-firmat. Igas töötajas oli mingi ebaterve pinge sees. Põhjus osutus lihtsaks: mobiiltelefonid on kontori sissepääsu juures karbis, taga on kaamera, kontoris 2 suurt lisa “vaatavad” kaamerat ja klahvilogijaga jälgimise tarkvara. Ja jah, see ei ole ettevõte, kes arendas SORM-i või lennukite elu toetavaid süsteeme, vaid lihtsalt ärirakenduste tarkvara arendaja, mis on nüüdseks sisse võetud, purustatud ja enam mitte olemas (mis tundub loogiline). Kui te praegu venitate end ja arvate, et teie kontoris, kus on võrkkiiged ja M&M vaasides, see kindlasti nii ei ole, võite väga eksida – lihtsalt 11 aasta jooksul on kontroll õppinud olema nähtamatu ja korrektne, ilma jõukatsumisteta. külastatud saite ja alla laaditud filme.
Nii et kas see on tõesti võimatu ilma selle kõigeta, aga kuidas on lood usalduse, lojaalsuse, usuga inimestesse? Uskuge või mitte, aga turvameetmeteta ettevõtteid on sama palju. Kuid töötajatel õnnestub nii siin kui seal sassi ajada – lihtsalt sellepärast, et inimfaktor võib hävitada maailmu, mitte ainult teie ettevõtet. Niisiis, kust saavad teie töötajad pahandust teha?
Tegemist ei ole väga tõsiseltvõetava postitusega, millel on täpselt kaks funktsiooni: argipäeva veidi särama panna ja meelde tuletada elementaarseid ohutusasju, mis sageli ununevad. Oh, ja veel kord meelde tuletada — Kas selline tarkvara pole turvalisuse serv? 🙂
Lähme juhuslikus režiimis!
Paroolid, paroolid, paroolid...
Räägid neist ja pahameele laine veereb: kuidas see nii saab, nad on nii palju kordi maailmale rääkinud, aga asjad on alles! Kõigi tasandite ettevõtetes, alates üksikettevõtjatest kuni rahvusvaheliste korporatsioonideni, on see väga valus koht. Mõnikord tundub mulle, et kui nad homme ehitavad tõelise Death Stari, siis on administraatori paneelis midagi sellist nagu admin/admin. Mida siis oodata tavakasutajatelt, kelle jaoks nende enda VKontakte leht on palju kallim kui ettevõtte konto? Siin on punktid, mida kontrollida:
- Paroolide kirjutamine paberitükkidele, klaviatuuri tagaküljele, monitorile, lauale klaviatuuri alla, kleebisele hiire põhjas (kaval!) - töötajad ei tohiks seda kunagi teha. Ja mitte sellepärast, et kohutav häkker tuleb sisse ja laadib lõuna ajal kogu 1C mälupulgale, vaid sellepärast, et kontoris võib olla solvunud Sasha, kes kavatseb lõpetada ja teha midagi musta või võtta viimast korda teabe ära. . Miks mitte teha seda järgmisel lõunal?
See on mis? See asi salvestab kõik mu paroolid
- Lihtsate paroolide seadistamine arvutisse ja tööprogrammidesse sisenemiseks. Sünnikuupäevad, qwerty123 ja isegi asdf on kombinatsioonid, mis kuuluvad naljadesse ja bashorgisse, mitte aga ettevõtte turvasüsteemi. Määrake nõuded paroolidele ja nende pikkusele ning määrake asendamise sagedus.
Parool on nagu aluspesu: vaheta seda sageli, ära jaga seda sõpradega, parem on pikk, ole salapärane, ära puista seda kõikjale
- Tarnija vaikimisi programmi sisselogimise paroolid on vigased, kasvõi juba sellepärast, et neid teavad peaaegu kõik müüja töötajad ja kui tegemist on pilves oleva veebipõhise süsteemiga, siis pole kellelgi raske andmeid hankida. Eriti kui teil on ka võrgu turvalisus tasemel "ära tõmba juhet".
- Selgitage töötajatele, et operatsioonisüsteemis olev paroolivihje ei tohiks välja näha "minu sünnipäev", "tütre nimi", "Gvoz-dika-78545-ap#1! inglise keeles." või "kvarti ja üks ja null".
Minu kass annab mulle suurepäraseid paroole! Ta kõnnib üle mu klaviatuuri
Füüsiline juurdepääs juhtumitele
Kuidas teie ettevõte korraldab juurdepääsu raamatupidamisele ja personalidokumentidele (näiteks töötajate isikutoimikutele)? Las ma arvan: kui tegemist on väikeettevõttega, siis raamatupidamisosakonnas või ülemuse kabinetis riiulitel kaustades või kapis; kui tegemist on suure ettevõttega, siis personaliosakonnas riiulitel. Aga kui see on väga suur, on tõenäoliselt kõik õige: eraldi kontor või magnetvõtmega blokk, kuhu pääsevad ainult teatud töötajad ja sinna pääsemiseks peate helistama ühele neist ja minema nende juuresolekul sellesse sõlme. Sellise kaitse tegemises pole üheski äris midagi keerulist või vähemalt õppida kontoriseifi parooli kriidiga uksele või seinale mitte kirjutama (kõik põhineb tõsistel sündmustel, ärge naerge).
Miks see oluline on? Esiteks on töötajatel patoloogiline soov üksteise kohta teada saada kõige salajasemad asjad: perekonnaseis, palk, meditsiinilised diagnoosid, haridus jne. See on kontorikonkurentsis selline kompromiss. Ja te ei saa absoluutselt kasu tülidest, mis tekivad, kui disainer Petya saab teada, et ta teenib 20 tuhat vähem kui disainer Alice. Teiseks pääsevad töötajad ligi ettevõtte finantsteabele (bilansid, majandusaasta aruanded, lepingud). Kolmandaks võib midagi lihtsalt kaduma minna, kahjustada või varastada, et varjata jälgi enda tööajaloos.
Ladu, kus keegi on kahju, keegi on varandus
Kui teil on ladu, arvestage sellega, et varem või hiljem kohtute kindlasti kurjategijatega – lihtsalt nii toimib inimese psühholoogia, kes näeb suurt hulka tooteid ja usub kindlalt, et vähe palju pole röövimine, vaid jagamine. Ja kaubaühik sellest hunnikust võib maksta 200 tuhat või 300 tuhat või mitu miljonit. Kahjuks ei saa vargust peatada miski peale pedantse ja totaalse kontrolli ja raamatupidamise: kaamerad, vöötkoodide abil vastuvõtmine ja mahakandmine, laoarvestuse automatiseerimine (näiteks meie laoarvestus on korraldatud nii, et juhataja ja juhendaja näevad reaalajas kauba liikumist läbi lao).
Seetõttu relvastage oma ladu hambuni, tagage füüsiline turvalisus välisvaenlase eest ja täielik turvalisus sisemise vaenlase eest. Transpordi, logistika ja ladude töötajad peavad selgelt aru saama, et kontroll on olemas, see toimib ja nad karistavad end peaaegu.
*hei, ära topi käsi infrastruktuuri
Kui jutt serveriruumist ja koristajaprouast on end juba ära elanud ja ammu teiste tööstusharude juttudesse rännanud (nt sama juhtus samas palatis ventilaatori müstilise seiskamisega), siis ülejäänud jäävad reaalsuseks. . Väike- ja keskmise suurusega ettevõtete võrgu- ja IT-turvalisus jätab soovida ja see ei sõltu sageli sellest, kas teil on oma süsteemiadministraator või kutsutud. Viimane tuleb sageli isegi paremini toime.
Milleks siis siinsed töötajad võimelised on?
- Kõige toredam ja kahjutum on minna serveriruumi, tõmmata juhtmeid, vaadata, valada teed, määrida mustust või proovida midagi ise seadistada. See puudutab eriti "kindlaid ja edasijõudnud kasutajaid", kes õpetavad kangelaslikult oma kolleege arvutis viirusetõrjet keelama ja kaitsest mööda minema ning on kindlad, et nad on serveriruumi sünnipärased jumalad. Üldiselt on volitatud piiratud juurdepääs teile kõik.
- Seadmete vargus ja komponentide asendamine. Kas armastate oma ettevõtet ja olete kõigile paigaldanud võimsad videokaardid, et arveldussüsteem, CRM ja kõik muu saaks ideaalselt toimida? Suurepärane! Ainult kavalad poisid (ja mõnikord ka tüdrukud) asendavad need hõlpsasti kodumudeliga ja kodus mängivad nad uue kontorimudeliga - kuid pool maailma ei saa sellest teada. Sama lugu on klaviatuuride, hiirte, jahutite, UPSide ja kõigega, mida saab riistvarakonfiguratsioonis kuidagi asendada. Selle tulemusena kannate vara kahjustamise, selle täieliku kadumise riski ning samal ajal ei saa te infosüsteemide ja rakendustega soovitud kiirust ja kvaliteeti. Päästab on konfigureeritud konfiguratsioonikontrolliga monitooringusüsteem (ITSM-süsteem), mis tuleb tarnida koos rikkumatu ja põhimõttekindla süsteemiadministraatoriga.
Võib-olla soovite otsida paremat turvasüsteemi? Ma pole kindel, kas sellest märgist piisab
- Oma modemite, pääsupunktide või mõne jagatud Wi-Fi kasutamine muudab juurdepääsu failidele vähem turvaliseks ja praktiliselt kontrollimatuks, mida ründajad saavad ära kasutada (kaasa arvatud töötajatega kokkumängus). Pealegi on tõenäosus, et "oma Internetiga" töötaja veedab töötunde YouTube'is, humoorikatel saitidel ja suhtlusvõrgustikes, palju suurem.
- Ühtsed paroolid ja sisselogimised saidi administraatorialale, CMS-ile ja rakendustarkvarale juurdepääsuks on kohutavad asjad, mis muudavad oskamatu või pahatahtliku töötaja tabamatuks kättemaksjaks. Kui teil on 5 inimest samast alamvõrgust sama sisselogimise/parooliga, tulevad bännerit üles panema, reklaamilinke ja mõõdikuid kontrollima, paigutust parandama ja värskenduse üles laadima, siis te ei arva kunagi, kes neist kogemata CSS-i muutis. kõrvits. Seetõttu: erinevad sisselogimised, erinevad paroolid, toimingute logimine ja juurdepääsuõiguste eristamine.
- Litsentseerimata tarkvara kohta, mida töötajad arvutisse tirivad, et tööajal paari fotot töödelda või midagi väga hobiga seotud luua, pole vaja öeldagi. Kas te pole kuulnud siseasjade keskdirektoraadi K osakonna kontrollist? Siis ta tuleb sinu juurde!
- Viirusetõrje peaks töötama. Jah, mõned neist võivad teie arvutit aeglustada, teid ärritada ja üldiselt tunduda arguse märgina, kuid parem on seda ennetada, kui maksta hiljem seisaku või, mis veelgi hullem, varastatud andmetega.
- Operatsioonisüsteemi hoiatusi rakenduse installimisega kaasnevate ohtude kohta ei tohiks ignoreerida. Tänapäeval on töö jaoks millegi allalaadimine sekundite ja minutite küsimus. Näiteks Direct.Commander või AdWordsi redaktor, mõni SEO parser vms. Kui Yandexi ja Google'i toodetega on kõik enam-vähem selge, siis võib teine picreizer, tasuta viirusepuhastaja, kolme efektiga videoredaktor, ekraanipildid, Skype'i salvestid ja muud “pisikesed programmid” kahjustada nii üksikut arvutit kui ka kogu ettevõtte võrku. . Harjutage kasutajaid lugema, mida arvuti neilt soovib, enne kui nad helistavad süsteemiadministraatorile ja ütlevad, et "kõik on surnud". Mõnes ettevõttes lahendatakse probleem lihtsalt: paljud allalaaditud kasulikud utiliidid on salvestatud võrgu jagamisele ja sinna postitatakse ka sobivate võrgulahenduste loend.
- BYOD poliitika või vastupidi, töövahendite kasutamise lubamine väljaspool kontorit on turvalisuse väga kuri pool. Sellisel juhul on tehnoloogiale juurdepääs sugulastel, sõpradel, lastel, avalikel kaitsmata võrkudel jne. See on puhtalt vene rulett - võite minna 5 aastat ja saate hakkama, kuid võite kaotada või kahjustada kõik oma dokumendid ja väärtuslikud failid. Pealegi, kui töötajal on pahatahtlikud kavatsused, on see sama lihtne kui kahe baidi saatmine andmete lekitamiseks "kõndiva" seadmega. Samuti peate meeles pidama, et töötajad edastavad sageli faile oma personaalarvutite vahel, mis võib taas tekitada turvalünki.
- Seadmete lukustamine eemaloleku ajal on hea harjumus nii ettevõtte kui ka isiklikuks kasutamiseks. Jällegi kaitseb see teid uudishimulike kolleegide, tuttavate ja avalikes kohtades sissetungijate eest. Sellega on raske harjuda, kuid ühes oma töökohas sain suurepärase kogemuse: kolleegid lähenesid lukustamata arvutile ja Paint avati üle terve akna kirjaga "Lukusta arvuti!" ja töös muutus midagi, näiteks lammutati viimati ülespumbatud koost või eemaldati viimane sissetoodud viga (see oli testimisgrupp). See on julm, aga 1-2 korrast piisas ka kõige puisematele. Kuigi ma kahtlustan, et mitte-IT-inimesed ei pruugi sellisest huumorist aru saada.
- Aga kõige hullem patt on muidugi süsteemiadministraatoril ja juhtkonnal – kui nad kategooriliselt ei kasuta liikluskorraldussüsteeme, seadmeid, litsentse jne.
See on muidugi baas, sest IT infrastruktuur on just see koht, kus mida rohkem metsa, seda rohkem on küttepuid. Ja see alus peaks olema kõigil ja seda ei tohiks asendada sõnadega "me kõik usaldame üksteist", "me oleme perekond", "kes seda vajavad" - paraku see on praegu.
See on Internet, kallis, nad võivad sinust palju teada.
On aeg tuua koolis eluohutuskursusesse Interneti ohutu käsitsemine – ja see ei puuduta üldse meetmeid, millesse me väljastpoolt sukeldume. See puudutab konkreetselt võimalust eristada linki lingist, aru saada, kus on andmepüük ja kus on pettus, mitte avada võõrast aadressist mõistmata meilimanuseid teemaga „Leppimisaruanne” jne. Kuigi tundub, et koolilapsed on selle kõigega juba selgeks saanud, aga töötajad mitte. Seal on palju nippe ja vigu, mis võivad kogu ettevõtte korraga ohtu seada.
- Sotsiaalvõrgustikud on osa Internetist, millel pole tööl kohta, kuid nende blokeerimine ettevõtte tasandil 2019. aastal on ebapopulaarne ja demotiveeriv meede. Seetõttu peate lihtsalt kirjutama kõigile töötajatele, kuidas kontrollida linkide ebaseaduslikkust, rääkima neile pettuste liikidest ja paluma neil tööl töötada.
- E-post on valus koht ja võib-olla kõige populaarsem viis teabe varastamiseks, pahavara istutamiseks ning arvuti ja kogu võrgu nakatamiseks. Paraku peavad paljud tööandjad meiliklienti säästuvahendiks ja kasutavad tasuta teenuseid, mis saavad päevas 200 rämpsposti, mis läbivad filtrid jne. Ja mõned vastutustundetud inimesed avavad selliseid kirju ja manuseid, linke, pilte - ilmselt nad loodavad, et must prints jättis neile pärandi. Pärast mida on administraatoril palju-palju tööd. Või oli see nii mõeldud? Muide, veel üks julm lugu: ühes ettevõttes vähendati iga süsteemiadministraatorile saadetud spämmikirja eest KPI-d. Üldiselt ei olnud kuu aja pärast rämpsposti - emaorganisatsioon võttis selle praktika kasutusele ja rämpsposti pole ikka veel. Lahendasime selle probleemi elegantselt – arendasime välja oma meilikliendi ja ehitasime selle enda omaks , seega saavad kõik meie kliendid ka sellise mugava funktsiooni.
Järgmine kord, kui saate kirjaklambri sümboliga kummalise meili, ärge sellel klõpsake!
- Sõnumitoojad on ka igasuguste ebaturvaliste linkide allikaks, kuid see on palju vähem kurjast kui post (kui mitte arvestada vestlustes lobisemisele raisatud aega).
Tundub, et need on kõik pisiasjad. Kõigil neil pisiasjadel võivad aga olla katastroofilised tagajärjed, eriti kui teie ettevõte on konkurendi rünnaku sihtmärk. Ja see võib juhtuda sõna otseses mõttes igaühega.
Vestluslikud töötajad
See on väga inimlik tegur, millest teil on raske vabaneda. Töötajad saavad arutada tööd koridoris, kohvikus, tänaval, kliendi majas, rääkida valjuhäälselt teisest kliendist, rääkida töösaavutustest ja projektidest kodus. Muidugi on tõenäosus, et teie selja taga seisab konkurent, tühine (kui te ei asu samas ärikeskuses - see on juhtunud), kuid võimalus, et tüüp, kes selgelt oma äriasju kirjeldab, filmitakse nutitelefoni ja postitatakse YouTube on kummalisel kombel kõrgem. Aga see on ka jama. See ei ole jama, kui teie töötajad tutvustavad koolitustel, konverentsidel, kohtumistel, professionaalsetel foorumitel või isegi Habré's meelsasti teavet toote või ettevõtte kohta. Pealegi kutsuvad inimesed sageli sellistele vestlustele meelega oma vastased, et läbi viia konkurentsiluure.
Paljastav lugu. Ühel galaktilise mastaabiga IT-konverentsil pani sektsiooniesineja slaidile välja täieliku diagrammi suurettevõtte IT-taristu korraldusest (20 parimat). Skeem oli mega muljetavaldav, lihtsalt kosmiline, peaaegu kõik pildistasid seda ja see lendas koheselt üle sotsiaalvõrgustike kiitvate arvustuste saatel. Siis tabas kõneleja nad geosiltide, stendide ja sotsiaalmeedia abil. selle postitanud ja kustutamist palunud võrgustikud, sest nad helistasid talle üsna kiiresti ja ütlesid ah-ta-ta. Vestluskast on spiooni jaoks jumala kingitus.
Teadmatus... vabastab teid karistusest
Kaspersky Labi 2017. aasta globaalse 12-kuulise perioodi jooksul küberjulgeoleku intsidente kogenud ettevõtete aruande kohaselt oli iga kümnes (11%) kõige tõsisemas intsidenditüübis tegemist hooletute ja informeerimata töötajatega.
Ärge eeldage, et töötajad teavad ettevõtte turvameetmetest kõike, kindlasti hoiatage neid, korraldage koolitusi, koostage huvitavaid perioodilisi turvaprobleemide infolehti, korraldage pitsa ajal koosolekuid ja selgitage probleeme uuesti. Ja jah, lahe eluhäkk - märgi kogu trükitud ja elektrooniline teave värvide, siltide, pealdistega: ärisaladus, salajane, ametlikuks kasutamiseks, üldine juurdepääs. See tõesti toimib.
Kaasaegne maailm on pannud ettevõtted väga delikaatsesse olukorda: tuleb säilitada tasakaal töötaja soovi mitte ainult tööl pingutada, vaid ka taustal/pauside ajal meelelahutussisu saada, ja ettevõtte rangete turvareeglite vahel. Kui lülitate sisse hüperkontrolli ja debiilsed jälgimisprogrammid (jah, mitte kirjaviga - see pole turvalisus, see on paranoia) ja kaamerad selja taga, siis töötajate usaldus ettevõtte vastu langeb, kuid usalduse säilitamine on ka ettevõtte turvatööriist.
Seetõttu teadke, millal lõpetada, austage oma töötajaid ja tehke varukoopiaid. Ja mis kõige tähtsam, seadke esikohale ohutus, mitte isiklik paranoia.
Kui vajate ja võrrelda nende võimeid oma eesmärkide ja eesmärkidega. Küsimuste või raskuste korral kirjutage või helistage, korraldame teile individuaalse veebiesitluse - ilma hinnangute ja kellade-viledeta.
, milles me kirjutame ilma reklaamideta mitte täiesti formaalseid asju CRM-i ja äri kohta.
Allikas: www.habr.com