2008-ban meglátogathattam egy informatikai céget. Minden alkalmazottban volt valami egészségtelen feszültség. Az ok egyszerűnek bizonyult: az iroda bejáratánál egy dobozban vannak a mobiltelefonok, a háta mögött van egy kamera, az irodában 2 további nagy „néző” kamera és egy keyloggerrel ellátott monitorozó szoftver. És igen, ez nem az a cég, amelyik kifejlesztette a SORM-et vagy a repülőgépek életfenntartó rendszereit, hanem egyszerűen egy üzleti alkalmazásszoftver fejlesztője, amely mára felszívódott, összetört és már nem létezik (ami logikusnak tűnik). Ha most nyújtózkodik, és azt gondolja, hogy az irodájában függőágyakkal és M&M-vel vázában ez biztosan nem így van, akkor nagyot tévedhet – csak arról van szó, hogy 11 év alatt a vezérlő megtanult láthatatlannak és helyesnek lenni, leszámolások nélkül. meglátogatott oldalak és letöltött filmek.
Szóval tényleg lehetetlen mindezek nélkül, de mi a helyzet a bizalommal, a hűséggel, az emberekbe vetett hittel? Akár hiszi, akár nem, ugyanannyi cég van biztonsági intézkedések nélkül. Ám az alkalmazottaknak sikerül itt is, ott is elrontani – egyszerűen azért, mert az emberi tényező világokat is tönkretehet, nem csak az Ön cégét. Szóval, hol tudnak az alkalmazottai huncutkodni?
Nem túl komoly posztról van szó, aminek pontosan két funkciója van: egy kicsit feldobja a hétköznapokat, és emlékeztet a sokszor elfelejtett alapvető biztonsági dolgokra. Ó, és még egyszer emlékeztess rá – Az ilyen szoftverek nem a biztonság széle? 🙂
Menjünk véletlenszerű módban!
Jelszavak, jelszavak, jelszavak...
Beszélsz róluk, és felháborodás hulláma kerekedik: hogy lehet, annyiszor mondták a világnak, de a dolgok még mindig ott vannak! Minden szintű vállalatnál, az egyéni vállalkozóktól a multinacionális vállalatokig ez nagyon fájó pont. Néha úgy tűnik számomra, hogy ha holnap egy igazi Halálcsillagot építenek, akkor az adminisztrációs panelen lesz valami admin/admin. Tehát mit várhatunk a hétköznapi felhasználóktól, akiknek a saját VKontakte oldaluk sokkal drágább, mint egy vállalati fiók? Itt vannak az ellenőrizendő pontok:
- Jelszavak írása papírra, a billentyűzet hátuljára, a monitorra, a billentyűzet alatti asztalra, az egér alján lévő matricára (ravaszság!) - ezt soha ne csinálják a dolgozók. És nem azért, mert bejön egy szörnyű hacker, és letölti az egész 1C-t egy pendrive-ra ebéd közben, hanem azért, mert lehet, hogy egy sértett Sasha van az irodában, aki kilép, és valami piszkos dolgot csinál, vagy utoljára elveszi az információkat. . Miért nem csinálja ezt a következő ebédjén?
Ez az, amit? Ez a dolog tárolja az összes jelszavamat
- Egyszerű jelszavak beállítása a számítógépbe és a munkaprogramokba való belépéshez. A születési dátumok, a qwerty123 és még az asdf is olyan kombinációk, amelyek a viccekhez és a bashorghoz tartoznak, és nem a vállalati biztonsági rendszerhez. Állítsa be a jelszavakra és azok hosszára vonatkozó követelményeket, és állítsa be a csere gyakoriságát.
A jelszó olyan, mint a fehérnemű: cseréld gyakran, ne oszd meg a barátaiddal, a hosszú jobb, légy titokzatos, ne szórd szét mindenhol
- A gyártó alapértelmezett programbejelentkezési jelszavai hibásak, már csak azért is, mert a gyártó szinte minden alkalmazottja ismeri őket, és ha webes rendszerrel van dolgunk a felhőben, akkor senkinek sem lesz nehéz az adatok beszerzése. Főleg, ha a hálózat biztonsága is a „ne húzza a zsinórt” szinten.
- Magyarázza el az alkalmazottaknak, hogy az operációs rendszerben a jelszóra vonatkozó utalás nem úgy nézhet ki, mint „születésnapom”, „lánya neve”, „Gvoz-dika-78545-ap#1! angolul." vagy „negyed, egy és egy nulla”.
A macskám remek jelszavakat ad nekem! Átmegy a billentyűzetemen
Az ügyekhez való fizikai hozzáférés
Hogyan szervezi meg cége a számviteli és személyi dokumentációhoz (például a munkavállalók személyes aktáihoz) való hozzáférést? Hadd tippeljek: ha kisvállalkozásról van szó, akkor a könyvelési osztályon vagy a főnöki irodában a polcokon vagy a szekrényben lévő mappákban; ha nagy üzletről van szó, akkor a HR osztályon a polcokon. De ha nagyon nagy, akkor nagy valószínűséggel minden rendben van: egy külön iroda vagy blokk mágneskulccsal, ahová csak bizonyos alkalmazottak férhetnek hozzá, és ahhoz, hogy odaérjen, fel kell hívnia az egyiket, és be kell mennie ebbe a csomópontba a jelenlétében. Semmi nehézség nincs abban, hogy bármilyen vállalkozásban ilyen védelmet készítsenek, vagy legalább megtanulják, hogy az irodai széf jelszavát ne írják krétával az ajtóra vagy a falra (minden valós eseményeken alapul, ne nevess).
Miért fontos? Először is, a dolgozóknak kóros vágyuk van, hogy megtudják egymásról a legtitkosabb dolgokat: családi állapot, fizetés, orvosi diagnózisok, végzettség stb. Ez egy ilyen kompromisszum az irodai versenyben. És egyáltalán nem profitálsz abból a civakodásból, ami akkor keletkezik, amikor Petya tervező megtudja, hogy 20 ezerrel kevesebbet keres, mint Alice tervező. Másodszor, ott az alkalmazottak hozzáférhetnek a cég pénzügyi információihoz (mérlegek, éves jelentések, szerződések). Harmadszor, valami egyszerűen elveszhet, megsérülhet vagy ellopható, hogy elfedje a nyomokat a saját munkatörténetében.
Egy raktár, ahol valaki veszteség, valaki kincs
Ha van raktárod, gondolj arra, hogy előbb-utóbb garantáltan találkozhatsz bűnözőkkel – egyszerűen így működik annak az embernek a pszichológiája, aki nagy mennyiségű terméket lát, és szilárdan hiszi, hogy a kevés nem rablás, hanem megosztás. És ebből a kupacból egy egységnyi áru 200 ezerbe, vagy 300 ezerbe, vagy több millióba is kerülhet. Sajnos a lopást a pedáns és totális ellenőrzésen és könyvelésen kívül semmi sem állíthatja meg: kamerák, vonalkódos átvétel és leírás, raktári könyvelés automatizálása (pl. a raktári könyvelést úgy szervezik meg, hogy a vezető és a felügyelő valós időben láthassa az áruk mozgását a raktáron keresztül).
Ezért élesítse fel raktárát fogig, biztosítson fizikai biztonságot a külső ellenségtől, és teljes biztonságot a belső ellenséggel szemben. A közlekedésben, logisztikában és raktárakban dolgozóknak világosan meg kell érteniük, hogy van kontroll, működik, és szinte megbüntetik magukat.
*hé, ne dugja be a kezét az infrastruktúrába
Ha a szerverszobáról és a takarítónőről szóló történet már túlélte magát, és már rég átvándorolt más iparágak meséibe (például ugyanazon a kórteremben történt a lélegeztetőgép misztikus leállítása), akkor a többi valóság marad. . A kis- és középvállalkozások hálózat- és informatikai biztonsága sok kívánnivalót hagy maga után, és ez gyakran nem attól függ, hogy saját rendszergazdával vagy meghívottal rendelkezik-e. Ez utóbbi gyakran még jobban megbirkózik.
Tehát mire képesek az itt dolgozók?
- A legkedvesebb és legártalmatlanabb dolog az, hogy bemész a szerverszobába, meghúzod a vezetékeket, megnézed, kiöntözöd a teát, felkened a szennyeződést, vagy megpróbálsz magad beállítani valamit. Ez különösen érinti a „magabiztos és haladó felhasználókat”, akik hősiesen megtanítják kollégáikat a vírusirtó letiltására és a védelem megkerülésére a PC-n, és biztosak abban, hogy ők a szerverterem veleszületett istenei. Általánosságban elmondható, hogy az engedélyezett korlátozott hozzáférés a mindened.
- Berendezések ellopása és alkatrészek cseréje. Szereti a cégét, és mindenkihez erős videokártyákat telepített, hogy a számlázási rendszer, a CRM és minden más tökéletesen működjön? Nagy! Csak a ravasz srácok (és néha lányok) fogják könnyedén lecserélni őket otthoni modellre, otthon pedig új irodai modellen futnak majd játékokat – de a fél világ ezt nem fogja tudni. Ugyanez a történet a billentyűzetekkel, egerekkel, hűtőkkel, UPS-ekkel és mindennel, ami a hardverkonfiguráción belül valahogy helyettesíthető. Ennek eredményeként Ön viseli az anyagi károk, azok teljes elvesztésének kockázatát, ugyanakkor nem kapja meg a kívánt sebességet és minőséget az információs rendszerekkel és alkalmazásokkal végzett munka során. Amit megtakarít, az egy konfigurált konfigurációs vezérléssel rendelkező felügyeleti rendszer (ITSM rendszer), amelyet kompletten kell szállítani egy megvesztegethetetlen és elvi rendszergazdával.
Talán jobb biztonsági rendszert szeretne keresni? Nem vagyok benne biztos, hogy ez a jel elég
- A saját modemek, hozzáférési pontok vagy valamilyen megosztott Wi-Fi használata kevésbé biztonságos és gyakorlatilag ellenőrizhetetlenné teszi a fájlokhoz való hozzáférést, amit a támadók kihasználhatnak (beleértve az alkalmazottakkal való összejátszást is). Nos, emellett sokkal nagyobb a valószínűsége annak, hogy egy „saját internettel rendelkező” alkalmazott munkaidejét a YouTube-on, humoros oldalakon és közösségi hálózatokon tölti.
- Az egyesített jelszavak és bejelentkezési adatok a webhely adminisztrációs területéhez, a CMS-hez és az alkalmazásszoftverekhez való hozzáféréshez szörnyű dolgok, amelyek egy alkalmatlan vagy rosszindulatú alkalmazottat megfoghatatlan bosszúállóvá változtatnak. Ha ugyanarról az alhálózatról, ugyanazzal a bejelentkezési névvel/jelszóval 5 ember jön be, hogy bannert helyezzen el, ellenőrizze a hirdetési linkeket és mérőszámokat, javítsa az elrendezést és töltsön fel frissítést, soha nem fogja kitalálni, melyikük alakította véletlenül a CSS-t tök. Ezért: különböző bejelentkezések, különböző jelszavak, műveletek naplózása és a hozzáférési jogok megkülönböztetése.
- Mondanom sem kell azokról a licenc nélküli szoftverekről, amelyeket az alkalmazottak a számítógépükre húznak, hogy munkaidőben szerkeszthessenek néhány fotót, vagy valami nagyon hobbihoz kapcsolódó dolgot készítsenek. Nem hallott a Központi Belügyi Igazgatóság „K” osztályának ellenőrzéséről? Aztán eljön hozzád!
- A vírusirtónak működnie kell. Igen, némelyikük lelassíthatja a számítógépet, irritálhatja, és általában a gyávaság jelének tűnik, de jobb megelőzni, mint később leállással vagy rosszabb esetben ellopott adatokkal fizetni.
- Nem szabad figyelmen kívül hagyni az operációs rendszer figyelmeztetéseit az alkalmazások telepítésének veszélyeiről. Ma a munkához való letöltés csak másodpercek és percek kérdése. Például Direct.Commander vagy AdWords szerkesztő, valamilyen SEO elemző stb. Ha minden többé-kevésbé egyértelmű a Yandex és a Google termékeivel, akkor egy másik picreizer, egy ingyenes vírustisztító, egy három effektusos videószerkesztő, képernyőképek, Skype-felvevők és egyéb „apró programok” árthatnak mind az egyéni számítógépnek, mind a teljes vállalati hálózatnak. . Tanítsd meg a felhasználókat, hogy olvassák el, mit akar tőlük a számítógép, mielőtt felhívnák a rendszergazdát, és azt mondanák, hogy „minden meghalt”. Egyes cégeknél egyszerűen megoldják a problémát: sok letöltött hasznos segédprogramot a hálózati megosztáson tárolnak, és ott felkerül a megfelelő online megoldások listája is.
- A BYOD irányelv, vagy fordítva, a munkaeszközök irodán kívüli használatának engedélyezése a biztonság nagyon rossz oldala. Ebben az esetben rokonok, barátok, gyerekek, nyilvános, nem védett hálózatok stb. férhetnek hozzá a technológiához. Ez tisztán orosz rulett – 5 évig elboldogul, de elveszítheti vagy megsérülhet az összes dokumentuma és értékes fájlja. Nos, ha egy alkalmazottnak rosszindulatú szándéka van, akkor olyan egyszerű, mintha két bájtot küldene az adatok kiszivárogtatására „járó” berendezéssel. Ne feledje azt is, hogy az alkalmazottak gyakran helyeznek át fájlokat személyi számítógépeik között, ami ismét biztonsági résekhez vezethet.
- Eszközeinek zárolása, amíg Ön távol van, jó szokás vállalati és személyes használatra egyaránt. Ismét megvédi Önt a kíváncsi kollégáktól, ismerősöktől és nyilvános helyeken behatolóktól. Nehéz ezt megszokni, de az egyik munkahelyemen egy csodálatos élményben volt részem: a kollégák egy zárolatlan PC-hez közeledtek, és a Paint az egész ablakban kinyílt „Zárd be a számítógépet!” felirattal. és valami megváltozott a munkában, például az utoljára felpumpált szerelvényt lebontották, vagy az utolsó bevezetett hibát eltávolították (ez egy tesztcsoport volt). Kegyetlen, de a legfásabbaknak is elég volt 1-2 alkalom. Bár gyanítom, a nem informatikusok nem értik az ilyen humort.
- De a legrosszabb bűn természetesen a rendszergazdát és a menedzsmentet terheli – ha kategorikusan nem használnak forgalomirányító rendszereket, berendezéseket, engedélyeket stb.
Ez természetesen egy bázis, mert az informatikai infrastruktúra az a hely, ahol minél beljebb kerül az erdő, annál több a tűzifa. És mindenkinek meg kell lennie ennek az alapnak, és nem helyettesíthető a „mindannyian megbízunk egymásban”, „egy család vagyunk”, „kinek kell” szavakkal - sajnos, ez egyelőre.
Ez az internet, bébi, sokat tudnak rólad.
Ideje bevezetni az internet biztonságos kezelését az iskolai életbiztonsági kurzusba – és ez egyáltalán nem azokról az intézkedésekről szól, amelyekbe kívülről belemerülünk. Ez konkrétan arról szól, hogy meg lehet különböztetni egy hivatkozást a hivatkozástól, megérteni, hol van adathalászat és hol átverés, nem szabad megnyitni az „Összeegyeztetési jelentés” tárgyú e-mail mellékleteket egy ismeretlen címről anélkül, hogy megértené, stb. Bár úgy tűnik, az iskolások mindezt már elsajátították, de az alkalmazottak nem. Rengeteg trükk és hiba van, ami egyszerre veszélyeztetheti az egész céget.
- A közösségi hálózatok az internet olyan részei, amelyeknek nincs helye a munkahelyen, de ezek vállalati szintű blokkolása 2019-ben népszerűtlen és demotiváló intézkedés. Ezért csak meg kell írnia minden alkalmazottnak, hogyan ellenőrizheti a linkek jogellenességét, elmondja nekik a csalás típusait, és meg kell kérnie őket, hogy dolgozzanak a munkahelyen.
- A levelezés egy fájó pont, és talán a legnépszerűbb módja az információk ellopásának, a rosszindulatú programok telepítésének, valamint a számítógép és a teljes hálózat megfertőzésének. Sajnos sok munkáltató költségtakarékos eszköznek tekinti az e-mail klienst, és ingyenes szolgáltatásokat vesz igénybe, amelyek naponta 200 spam e-mailt kapnak, amelyek átjutnak a szűrőkön stb. És néhány felelőtlen ember nyit ilyen leveleket és mellékleteket, linkeket, képeket - láthatóan abban reménykednek, hogy a fekete herceg hagyott örökséget rájuk. Ami után az adminisztrátornak sok-sok munkája van. Vagy erre szánták? Egyébként egy másik kegyetlen történet: az egyik cégnél minden rendszergazdának küldött spam levélre csökkentették a KPI-t. Általánosságban elmondható, hogy egy hónap elteltével nem volt spam – a gyakorlatot a szülői szervezet is átvette, és még mindig nincs spam. Elegánsan megoldottuk ezt a problémát – kifejlesztettük saját e-mail kliensünket és beépítettük a sajátunkba , így minden ügyfelünk egy ilyen kényelmes funkciót is kap.
Ha legközelebb furcsa e-mailt kap gemkapocs szimbólummal, ne kattintson rá!
- Az üzenetküldők is mindenféle nem biztonságos link forrásai, de ez sokkal kevésbé rossz, mint a levél (nem számítva a chatekben fecsegéssel elvesztegetett időt).
Úgy tűnik, ezek mind apróságok. Azonban ezeknek az apróságoknak mindegyike katasztrofális következményekkel járhat, különösen, ha az Ön cége egy versenytárs támadásának célpontja. És ez szó szerint bárkivel megtörténhet.
Csevegő alkalmazottak
Ez az az emberi tényező, amitől nehéz lesz megszabadulnod. Az alkalmazottak megbeszélhetik a munkájukat a folyosón, a kávézóban, az utcán, az ügyfél házában, hangosan beszélhetnek egy másik ügyfélről, beszélhetnek a munkahelyi eredményekről és otthoni projektekről. Természetesen annak a valószínűsége, hogy egy versenytárs áll mögötted, elhanyagolható (ha nem ugyanabban az üzletközpontban tartózkodik - ez megtörtént), de annak a lehetősége, hogy egy srácot, aki egyértelműen elmondja üzleti ügyeit, egy okostelefonon filmre veszik és közzéteszik A YouTube, furcsa módon, magasabb. De ez is baromság. Nem baromság, amikor az alkalmazottak szívesen mutatnak be információkat egy termékről vagy cégről képzéseken, konferenciákon, találkozókon, szakmai fórumokon vagy akár a Habrén. Sőt, az emberek gyakran szándékosan hívják fel ellenfeleiket ilyen beszélgetésekre, hogy versenyképes intelligenciát végezzenek.
Leleplező történet. Az egyik galaktikus léptékű informatikai konferencián a szekcióelőadó egy nagyvállalat informatikai infrastruktúrájának szervezeti felépítésének teljes diagramját fektette le diára (top 20). A séma nagyon lenyűgöző volt, egyszerűen kozmikus, szinte mindenki lefotózta, és azonnal átrepült a közösségi hálózatokon, dicsérő kritikákkal. Nos, akkor a hangszóró elkapta őket geotag-ek, állványok, közösségi média segítségével. azoknak a hálózatai, akik közzétették és könyörögtek, hogy töröljék, mert elég gyorsan felhívták, és azt mondták, ah-ta-ta. A chatterbox isten ajándéka egy kémnek.
A tudatlanság... megszabadít a büntetéstől
A Kaspersky Lab 2017-es, 12 hónapos időszak alatt kiberbiztonsági incidenseket átélt vállalkozásokról szóló globális jelentése szerint a legsúlyosabb incidenstípusok minden tizede (11%) gondatlan és tájékozatlan alkalmazottakat érintett.
Ne feltételezze, hogy az alkalmazottak mindent tudnak a vállalati biztonsági intézkedésekről, mindenképpen figyelmeztesse őket, tartsanak képzést, készítsenek érdekes időszakos hírleveleket a biztonsági kérdésekről, tartsanak értekezleteket a pizza mellett, és ismét tisztázzák a kérdéseket. És igen, egy klassz life hack - jelöljön meg minden nyomtatott és elektronikus információt színekkel, táblákkal, feliratokkal: üzleti titok, titkos, hivatalos használatra, általános hozzáférés. Ez tényleg működik.
A modern világ nagyon kényes helyzetbe hozta a vállalatokat: egyensúlyt kell tartani a munkavállaló azon vágya között, hogy ne csak keményen dolgozzon, hanem a háttérben/szünetekben is kapjon szórakoztató tartalmat, és a szigorú vállalati biztonsági szabályok között. Ha bekapcsolod a hiperkontroll és debil nyomkövető programokat (igen, nem elírás - ez nem biztonság, ez paranoia) és a kamerákat a hátad mögött, akkor az alkalmazottak cégbe vetett bizalma csökken, de a bizalom fenntartása is vállalati biztonsági eszköz.
Ezért tudja, mikor kell abbahagynia, tisztelje alkalmazottait, és készítsen biztonsági másolatot. És ami a legfontosabb, a biztonságot helyezze előtérbe, ne a személyes paranoiát.
Ha szükséged van és hasonlítsa össze képességeiket az Ön céljaival és célkitűzéseivel. Ha kérdése, nehézsége van, írjon vagy hívjon, egyéni online prezentációt szervezünk Önnek - értékelések és csengetések nélkül.
, amelyben reklám nélkül nem teljesen formális dolgokat írunk a CRM-ről és az üzletről.
Forrás: will.com