חוסר ביטחון תאגידי

בשנת 2008 הצלחתי לבקר חברת IT. היה איזשהו מתח לא בריא בכל עובד. הסיבה התבררה כפשוטה: טלפונים ניידים נמצאים בקופסה בכניסה למשרד, יש מצלמה מאחורי הגב, 2 מצלמות "מסתכלות" נוספות גדולות במשרד ותוכנת ניטור עם keylogger. וכן, זו לא החברה שפיתחה SORM או מערכות תומכות חיים במטוס, אלא פשוט מפתחת של תוכנות אפליקציות עסקיות, שעכשיו נקלטו, מרוסקות ואינן קיימות יותר (מה שנראה הגיוני). אם אתה עכשיו מתמתח וחושב שבמשרד שלך עם ערסלים ו-M&M באגרטלים זה בהחלט לא המקרה, אתה יכול לטעות מאוד - רק שבמשך 11 שנים השליטה למדה להיות בלתי נראית ונכונה, בלי עימותים על ביקר באתרים והורדת סרטים.

אז האם באמת אי אפשר בלי כל זה, אבל מה לגבי אמון, נאמנות, אמונה באנשים? תאמינו או לא, יש לא פחות חברות ללא אמצעי אבטחה. אבל העובדים מצליחים לבלבל גם פה וגם שם - פשוט כי הגורם האנושי יכול להרוס עולמות, לא רק את החברה שלך. אז, איפה העובדים שלך יכולים להיתקל בשובבות?

זה לא פוסט רציני במיוחד, שיש לו בדיוק שתי פונקציות: להאיר מעט את חיי היומיום ולהזכיר לכם דברים בסיסיים בטיחותיים שנשכחים לא פעם. אה, ושוב להזכיר לך מערכת CRM מגניבה ומאובטחת - האם תוכנה כזו אינה קצה האבטחה? 🙂

בוא נלך במצב אקראי!

סיסמאות, סיסמאות, סיסמאות...

אתה מדבר עליהם וגל של זעם מתגלגל: איך זה יכול להיות, הם אמרו לעולם כל כך הרבה פעמים, אבל הדברים עדיין שם! בחברות מכל הרמות, מיזמים בודדים ועד לתאגידים רב לאומיים, זו נקודה כואבת מאוד. לפעמים נדמה לי שאם מחר יבנו כוכב מוות אמיתי, יהיה משהו כמו admin/admin בפאנל הניהול. אז מה אנחנו יכולים לצפות ממשתמשים רגילים, שעבורם דף VKontakte שלהם הוא הרבה יותר יקר מחשבון ארגוני? להלן הנקודות שצריך לבדוק:

• כתיבת סיסמאות על פיסות נייר, על גב המקלדת, על הצג, על השולחן מתחת למקלדת, על מדבקה בתחתית העכבר (ערמומי!) - אסור לעובדים לעשות זאת. ולא בגלל שהאקר נורא יכנס ויוריד את כל 1C לכונן הבזק בארוחת הצהריים, אלא בגלל שאולי יש סשה נעלבת במשרד שעומדת להפסיק לעשות משהו מלוכלך או לקחת את המידע בפעם האחרונה. . למה שלא תעשה את זה בארוחת הצהריים הבאה שלך?

זה מה? הדבר הזה מאחסן את כל הסיסמאות שלי

• הגדרת סיסמאות פשוטות לכניסה למחשב האישי ולתוכניות העבודה. תאריכי לידה, qwerty123 ואפילו asdf הם שילובים ששייכים בבדיחות וב-bashorg, ולא למערכת האבטחה הארגונית. הגדר דרישות לסיסמאות ואורכן, וקבע את תדירות ההחלפה.

סיסמה היא כמו תחתונים: שנה אותה לעתים קרובות, אל תשתף אותה עם חבריך, עדיף סיסמה ארוכה, תהיה מסתורי, אל תפזר אותה לכל מקום

• ברירת המחדל של סיסמאות ההתחברות של תוכנית הספק לוקה בחסר, ולו בגלל שכמעט כל עובדי הספק מכירים אותן, ואם יש לך עסק עם מערכת מבוססת אינטרנט בענן, לאף אחד לא יהיה קשה להשיג את הנתונים. במיוחד אם יש לך גם אבטחת רשת ברמת "אל תמשוך את הכבל".
• הסבירו לעובדים שרמז הסיסמה במערכת ההפעלה לא אמור להיראות כמו "יום ההולדת שלי", "שם הבת", "Gvoz-dika-78545-ap#1! באנגלית." או "ליטר ואחד ואפס".    

החתול שלי נותן לי סיסמאות נהדרות! הוא עובר על המקלדת שלי

גישה פיזית למקרים

כיצד החברה שלך מארגנת את הגישה לתיעוד חשבונאי וכוח אדם (לדוגמה, לקבצים אישיים של עובדים)? תן לי לנחש: אם זה עסק קטן, אז במחלקת הנהלת חשבונות או במשרד של הבוס בתיקיות על מדפים או בארון; אם זה עסק גדול, אז במחלקת משאבי אנוש על המדפים. אבל אם הוא גדול מאוד, סביר להניח שהכל נכון: משרד נפרד או בלוק עם מפתח מגנטי, שאליו יש רק לעובדים מסוימים גישה וכדי להגיע לשם, אתה צריך להתקשר לאחד מהם ולהיכנס לצומת הזה בנוכחותם. אין שום דבר קשה לעשות הגנה כזו בכל עסק, או לפחות ללמוד לא לכתוב את הסיסמה לכספת המשרדית בגיר על הדלת או על הקיר (הכל מבוסס על אירועים אמיתיים, אל תצחקו).

למה זה חשוב? ראשית, לעובדים יש רצון פתולוגי לגלות את הדברים הסודיים ביותר זה על זה: מצב משפחתי, שכר, אבחונים רפואיים, השכלה וכו'. זו פשרה כזו בתחרות משרדית. ואתם ממש לא מרוויחים מהמריבות שיתעוררו כשהמעצב פטיה יגלה שהוא מרוויח 20 אלף פחות מהמעצבת אליס. שנית, שם העובדים יכולים לגשת למידע הפיננסי של החברה (מאזנים, דוחות שנתיים, חוזים). שלישית, משהו יכול פשוט ללכת לאיבוד, להינזק או לגנוב כדי לכסות עקבות בהיסטוריית העבודה של האדם עצמו.

מחסן שבו מישהו הפסד, מישהו הוא אוצר

אם יש לכם מחסן, קחו בחשבון שבמוקדם או במאוחר מובטח לכם להיתקל בפושעים - כך פשוט עובדת הפסיכולוגיה של אדם, שרואה נפח גדול של מוצרים ומאמין בתוקף שקצת מהרבה זה לא שוד, אבל שיתוף. ויחידת סחורה מהערימה הזו יכולה לעלות 200 אלף, או 300 אלף, או כמה מיליונים. למרבה הצער, שום דבר לא יכול לעצור גניבה מלבד שליטה וחשבונאות פדנטית ומוחלטת: מצלמות, קבלה ומחיקת ברקודים, אוטומציה של הנהלת חשבונות במחסנים (לדוגמה, אצלנו RegionSoft CRM הנהלת חשבונות במחסן מאורגנת כך שהמנהל והממונה יכולים לראות את תנועת הסחורות במחסן בזמן אמת).

לכן, חמש את המחסן שלך עד השיניים, דאג לאבטחה פיזית מהאויב החיצוני ואבטחה מלאה מהפנימי. עובדים בתחבורה, לוגיסטיקה ומחסנים חייבים להבין בבירור שיש שליטה, זה עובד, והם כמעט יענישו את עצמם.

*היי, אל תכניס ידיים לתשתית

אם הסיפור על חדר השרתים והעובדת המנקה כבר האריך ימים והיגר זמן רב לסיפורים של תעשיות אחרות (למשל, אותו אחד עסק בהשבתה המיסטית של מכונת ההנשמה באותה מחלקה), אז השאר נשארים במציאות . אבטחת רשת ו-IT של עסקים קטנים ובינוניים משאירה הרבה מקום לרצון, ולעתים קרובות זה לא תלוי אם יש לך מנהל מערכת משלך או מוזמן. האחרון לעתים קרובות מתמודד אפילו טוב יותר.

אז למה העובדים כאן מסוגלים?

• הדבר הכי נחמד והכי לא מזיק הוא ללכת לחדר השרתים, למשוך בחוטים, להסתכל, לשפוך תה, למרוח לכלוך, או לנסות להגדיר משהו בעצמך. זה משפיע במיוחד על "משתמשים בטוחים ומתקדמים" המלמדים בגבורה את עמיתיהם להשבית את האנטי וירוס ולעקוף את ההגנה במחשב האישי ובטוחים שהם אלים מולדים של חדר השרתים. באופן כללי, גישה מוגבלת מורשית היא הכל שלך.
• גניבת ציוד והחלפת רכיבים. האם אתה אוהב את החברה שלך והתקנת כרטיסי מסך חזקים לכולם כך שמערכת החיוב, ה-CRM וכל השאר יוכלו לעבוד בצורה מושלמת? גדול! רק בחורים ערמומיים (ולפעמים גם בנות) יחליפו אותם בקלות בדגם ביתי, ובבית הם יפעילו משחקים על דגם משרדי חדש - אבל חצי עולם לא יידע. זה אותו סיפור עם מקלדות, עכברים, מצננים, UPS וכל מה שאפשר איכשהו להחליף בתצורת החומרה. כתוצאה מכך אתם נושאים בסיכון של נזק לרכוש, אובדן מוחלט שלו, ויחד עם זאת אינכם זוכים למהירות ואיכות העבודה הרצויה עם מערכות מידע ואפליקציות. מה שחוסך הוא מערכת ניטור (מערכת ITSM) עם בקרת תצורה מוגדרת), אשר חייבת להיות מסופקת עם מנהל מערכת בלתי מושחת ועקרוני.

אולי אתה רוצה לחפש מערכת אבטחה טובה יותר? אני לא בטוח אם השלט הזה מספיק

• שימוש במודמים משלך, נקודות גישה או סוג של Wi-Fi משותף הופך את הגישה לקבצים לפחות מאובטחת ולמעשה בלתי ניתנת לשליטה, מה שיכול להיות מנוצל על ידי תוקפים (כולל בקנוניה עם עובדים). ובכן, חוץ מזה, הסבירות שעובד "עם אינטרנט משלו" יבלה שעות עבודה ביוטיוב, באתרים הומוריסטיים וברשתות חברתיות היא הרבה יותר גבוהה.  
• סיסמאות וכניסות מאוחדות לגישה לאזור ניהול האתר, CMS, תוכנות יישומים הם דברים נוראיים שהופכים עובד לא כשיר או זדוני לנוקם חמקמק. אם יש לך 5 אנשים מאותה רשת משנה עם אותה כניסה/סיסמה שנכנסו כדי לשים באנר, לבדוק קישורים ומדדים לפרסום, לתקן את הפריסה ולהעלות עדכון, לעולם לא תנחש מי מהם הפך בטעות את ה-CSS ל- דלעת. לכן: כניסות שונות, סיסמאות שונות, רישום פעולות ובידול זכויות גישה.
• מיותר לציין על התוכנה ללא רישיון שעובדים גוררים למחשבים האישיים שלהם כדי לערוך כמה תמונות במהלך שעות העבודה או ליצור משהו מאוד קשור לתחביב. לא שמעתם על הביקורת של מחלקה "ק" של מינהלת הפנים המרכזית? ואז היא באה אליך!
• האנטי וירוס אמור לעבוד. כן, חלקם יכולים להאט את המחשב האישי שלך, לעצבן אותך ובאופן כללי להיראות כמו סימן לפחדנות, אבל עדיף למנוע זאת מאשר לשלם מאוחר יותר עם השבתה או, גרוע מכך, נתונים גנובים.
• אין להתעלם מהאזהרות של מערכת ההפעלה על הסכנות בהתקנת אפליקציה. היום הורדת משהו לעבודה היא עניין של שניות ודקות. לדוגמה, Direct.Commander או עורך AdWords, מנתח SEO כלשהו וכו'. אם הכל פחות או יותר ברור במוצרי Yandex וגוגל, אז עוד פיקריייזר, מנקה וירוסים בחינם, עורך וידאו עם שלושה אפקטים, צילומי מסך, מקליטים של סקייפ ו"תוכנות זעירות" אחרות עלולים להזיק למחשב אישי ולרשת החברה כולה. . תאמן את המשתמשים לקרוא מה המחשב רוצה מהם לפני שהם מתקשרים למנהל המערכת ואומרים ש"הכל מת". בחלק מהחברות, הבעיה נפתרת בפשטות: כלי עזר שימושיים רבים שהורדו מאוחסנים בשיתוף הרשת, וגם רשימת פתרונות מקוונים מתאימים מתפרסמת שם.
• מדיניות BYOD או להיפך, מדיניות התרת השימוש בציוד עבודה מחוץ למשרד היא צד מרושע מאוד באבטחה. במקרה זה, קרובי משפחה, חברים, ילדים, רשתות ציבוריות לא מוגנות וכו' יש גישה לטכנולוגיה. זוהי רולטה רוסית גרידא - אתה יכול ללכת 5 שנים ולהסתדר, אבל אתה יכול לאבד או להזיק לכל המסמכים והקבצים היקרים שלך. ובכן, חוץ מזה, אם לעובד יש כוונות זדוניות, זה קל כמו שליחת שני בתים לדליפת נתונים עם ציוד "הליכה". אתה גם צריך לזכור שעובדים מעבירים לעתים קרובות קבצים בין המחשבים האישיים שלהם, מה ששוב יכול ליצור פרצות אבטחה.
• נעילת המכשירים שלך בזמן שאתה לא נמצא הוא הרגל טוב לשימוש ארגוני וגם לשימוש אישי. שוב, זה מגן עליך מפני עמיתים סקרנים, מכרים ופולשים במקומות ציבוריים. קשה להתרגל לזה, אבל באחד ממקומות העבודה שלי הייתה לי חוויה נפלאה: עמיתים ניגשו למחשב לא נעול, וצייר נפתח על פני כל החלון עם הכיתוב "נעל את המחשב!" ומשהו השתנה בעבודה, למשל, המכלול שנשאב האחרון נהרס או שהבאג האחרון שהוצג הוסר (זו הייתה קבוצת בדיקה). זה אכזרי, אבל 1-2 פעמים הספיקו אפילו עבור העץ הכי הרבה. אם כי, אני חושד, אנשים שאינם אנשי IT אולי לא מבינים הומור כזה.
• אבל החטא החמור ביותר טמון כמובן במנהל המערכת וההנהלה - אם הם באופן קטגורי לא ישתמשו במערכות בקרת תנועה, בציוד, ברישיונות וכו'.

זהו, כמובן, בסיס, כי תשתית ה-IT היא המקום שבו ככל שנכנסים לתוך היער, יש יותר עצי הסקה. ולכולם צריך להיות את הבסיס הזה, ולא להחליף אותם במילים "כולנו סומכים אחד על השני", "אנחנו משפחה", "מי צריך את זה" - אבוי, זה בינתיים.

זה האינטרנט, מותק, הם יכולים לדעת עליך הרבה.

הגיע הזמן להכניס טיפול בטוח באינטרנט לקורס בטיחות החיים בבית הספר - וזה בכלל לא קשור לאמצעים שבהם אנחנו שקועים מבחוץ. מדובר ספציפית על היכולת להבחין בין קישור לקישור, להבין היכן התחזות ואיפה הונאה, לא לפתוח קבצים מצורפים למייל עם הנושא "דוח התאמה" מכתובת לא מוכרת מבלי להבין זאת וכו'. אמנם, כך נראה, תלמידי בית הספר כבר שלטו בכל זה, אבל העובדים לא. יש הרבה טריקים וטעויות שיכולות לסכן את כל החברה בבת אחת.

• הרשתות החברתיות הן חלק באינטרנט שאין לו מקום בעבודה, אבל חסימתן ברמת החברה ב-2019 היא צעד לא פופולרי ומפחית מוטיבציה. לכן, רק צריך לכתוב לכל העובדים כיצד לבדוק את אי חוקיות הקישורים, לספר להם על סוגי ההונאה ולבקש מהם לעבוד בעבודה.

• דואר הוא נקודה כואבת ואולי הדרך הפופולרית ביותר לגנוב מידע, לשתול תוכנות זדוניות ולהדביק את המחשב האישי ואת הרשת כולה. למרבה הצער, מעסיקים רבים מחשיבים את לקוח הדוא"ל ככלי לחיסכון בעלויות ומשתמשים בשירותים חינמיים שמקבלים 200 מיילים דואר זבל ביום שעוברים מסננים וכו'. וכמה אנשים חסרי אחריות פותחים מכתבים וקבצים מצורפים כאלה, קישורים, תמונות - כנראה שהם מקווים שהנסיך השחור השאיר להם ירושה. לאחר מכן למנהל יש הרבה, הרבה עבודה. או שזה נועד כך? אגב, עוד סיפור אכזרי: בחברה אחת, על כל מכתב ספאם למנהל המערכת, הצטמצם KPI. באופן כללי, לאחר חודש לא היה ספאם - הנוהג אומץ על ידי ארגון האם, ועדיין אין ספאם. פתרנו את הבעיה הזו בצורה אלגנטית - פיתחנו לקוח דוא"ל משלנו ובננו אותו לשלנו RegionSoft CRM, כך שכל הלקוחות שלנו מקבלים גם תכונה נוחה כזו.

בפעם הבאה שתקבל מייל מוזר עם סמל מהדק, אל תלחץ עליו!

• שליחים הם גם מקור לכל מיני קישורים לא בטוחים, אבל זה הרבה פחות רע מהדואר (לא סופרים את הזמן המבוזבז בפטפוטים בצ'אטים).

נראה שכל אלה הם דברים קטנים. עם זאת, לכל אחד מהדברים הקטנים הללו יכולות להיות השלכות הרות אסון, במיוחד אם החברה שלך היא יעד להתקפה של מתחרה. וזה יכול לקרות ממש לכל אחד.

עובדים פטפטנים

זה הגורם האנושי מאוד שיהיה לך קשה להיפטר ממנו. עובדים יכולים לדון בעבודה במסדרון, בבית קפה, ברחוב, בבית לקוח, לדבר בקול רם על לקוח אחר, לדבר על הישגים בעבודה ופרויקטים בבית. כמובן שהסבירות שמתחרה עומד מאחוריך היא זניחה (אם אתה לא באותו מרכז עסקים - זה קרה), אבל האפשרות שבחור שמציין בבירור את ענייניו העסקיים יצולם בסמארטפון ויפורסם ב יוטיוב, למרבה הפלא, גבוה יותר. אבל גם זה שטויות. זה לא קשקוש כשהעובדים שלך מציגים ברצון מידע על מוצר או חברה בהדרכות, כנסים, מפגשים, פורומים מקצועיים או אפילו ב-Habré. יתרה מכך, לעתים קרובות אנשים קוראים ליריביהם בכוונה לשיחות כאלה כדי לנהל מודיעין תחרותי.

סיפור חושפני. בכנס IT אחד בקנה מידה גלקטי, דובר המדור הציג בשקופית דיאגרמה מלאה של ארגון תשתית ה-IT של חברה גדולה (טופ 20). התוכנית הייתה מגה מרשימה, פשוט קוסמית, כמעט כולם צילמו אותה, והיא עפה מיד על פני רשתות חברתיות עם ביקורות נלהבות. ובכן, אז הדובר תפס אותם באמצעות תיוג גיאוגרפי, מעמדים, מדיה חברתית. רשתות של אלה שפרסמו את זה והתחננו שימחקו, כי התקשרו אליו די מהר ואמרו אה-טה-טה. פטפוט הוא מתת משמים למרגל.

בורות... משחררת אותך מעונש

לפי הדו"ח העולמי של מעבדת קספרסקי לשנת 2017 של עסקים שחווים אירועי אבטחת סייבר בתקופה של 12 חודשים, אחד מכל עשרה (11%) מסוגי האירועים החמורים ביותר כלל עובדים רשלניים וחסרי מידע.

אל תניח שהעובדים יודעים הכל על אמצעי אבטחה ארגוניים, הקפידו להזהיר אותם, לספק הדרכה, להכין ניוזלטרים תקופתיים מעניינים בנושאי אבטחה, לערוך פגישות על פיצה ולהבהיר נושאים שוב. וכן, פריצת חיים מגניבה - סמן את כל המידע המודפס והאלקטרוני בצבעים, שלטים, כתובות: סוד מסחרי, סודי, לשימוש רשמי, גישה כללית. זה באמת עובד.

העולם המודרני העמיד את החברות במצב מאוד עדין: יש צורך לשמור על איזון בין הרצון של העובד לא רק לעבוד קשה בעבודה, אלא גם לקבל תוכן בידורי ברקע / בהפסקות, לבין כללי אבטחה קפדניים של הארגון. אם תפעילו תוכניות שליטה יתר ומעקב מטומטמים (כן, לא שגיאת הקלדה - זו לא אבטחה, זו פרנויה) ומצלמות מאחורי הגב, אז אמון העובדים בחברה יירד, אבל שמירה על אמון היא גם כלי אבטחה תאגיד.

לכן, דע מתי לעצור, לכבד את העובדים שלך ולבצע גיבויים. והכי חשוב, תעדיפו בטיחות, לא פרנויה אישית.

אם אתה צריך CRM או ERP - תסתכל מקרוב על המוצרים שלנו ולהשוות את היכולות שלהם עם המטרות והיעדים שלך. אם יש לכם שאלות או קשיים, כתבו או התקשרו, נארגן עבורכם מצגת אונליין פרטנית - ללא דירוגים או צלצולים.

הערוץ שלנו בטלגרם, שבו, ללא פרסום, אנו כותבים דברים לא לגמרי רשמיים על CRM ועסקים.

מקור: www.habr.com