2008 жылы мен IT компаниясына бардым. Әрбір қызметкерде қандай да бір жағымсыз шиеленіс болды. Мұның себебі қарапайым болып шықты: ұялы телефондар кеңсенің кіреберісінде қорапта, артында камера, кеңседе 2 үлкен қосымша «қарау» камерасы және клавиатурамен бақылау бағдарламалық құралы бар. Иә, бұл SORM немесе ұшақтың өмірін қамтамасыз ету жүйелерін әзірлеген компания емес, жай ғана бизнес қолданбалы бағдарламалық қамтамасыз етуді әзірлеуші, қазір сіңірілген, ұсақталған және енді жоқ (бұл қисынды болып көрінеді). Егер сіз қазір гамак және вазалардағы M&M бар кеңсеңізде олай емес деп ойласаңыз, сіз қатты қателесуіңіз мүмкін - 11 жыл ішінде бақылау көрінбейтін және дұрыс болуға үйренді. сайттарға кіріп, жүктеп алынған фильмдер.
Сонда мұның барлығынсыз мүмкін емес пе, ал адамдарға деген сенім, адалдық, сенім ше? Сенсеңіз де, сенбесеңіз де, қауіпсіздік шаралары жоқ компаниялар да сонша. Бірақ қызметкерлер бұл жерде де, сол жерде де шатастырады - адам факторы сіздің компанияңызды ғана емес, әлемді бұзады. Сонымен, сіздің қызметкерлеріңіз қай жерде бұзақылыққа баруы мүмкін?
Бұл өте маңызды пост емес, оның екі функциясы бар: күнделікті өмірді аздап жарықтандыру және жиі ұмытылатын негізгі қауіпсіздік нәрселерін еске түсіру. О, тағы бір рет еске түсіріңіз — Мұндай бағдарламалық қамтамасыз ету қауіпсіздіктің шегі емес пе? 🙂
Кездейсоқ режимге барайық!
Құпия сөздер, парольдер, парольдер...
Сіз олар туралы айтасыз және наразылық толқыны оралады: бұл қалай болуы мүмкін, олар әлемге бірнеше рет айтты, бірақ бәрі әлі де бар! Жеке кәсіпкерлерден трансұлттық корпорацияларға дейін барлық деңгейдегі компанияларда бұл өте ауыр жер. Кейде маған ертең нағыз Өлім жұлдызын салса, админ панелінде админ/админ деген нәрсе болады деп ойлаймын. Сонымен, «ВКонтакте» желісіндегі жеке парақшасы корпоративтік аккаунттан әлдеқайда қымбат тұратын қарапайым қолданушылардан не күтуге болады? Мұнда тексеру керек нүктелер:
- Құпия сөздерді қағаз парақтарына, пернетақтаның артына, мониторға, пернетақтаның астындағы үстелге, тінтуірдің астыңғы жағындағы стикерге жазу (қулық!) - қызметкерлер мұны ешқашан жасамауы керек. Түскі ас үстінде қорқынышты хакер кіріп, 1С-тің барлығын флэш-дискке жүктеп алатындықтан емес, кеңседе ренжіген Саша болуы мүмкін, ол жұмыстан шығып, лас нәрсе жасайды немесе ақпаратты соңғы рет алып тастайды. . Неге келесі түскі асыңызда мұны жасамасқа?
Бұл сол? Бұл нәрсе менің барлық құпия сөздерімді сақтайды
- Компьютерге және жұмыс бағдарламаларына кіру үшін қарапайым құпия сөздерді орнату. Туған күндер, qwerty123 және тіпті asdf - корпоративтік қауіпсіздік жүйесінде емес, әзілдер мен bashorg-қа жататын комбинациялар. Құпия сөздерге және олардың ұзындығына қойылатын талаптарды орнатыңыз және ауыстыру жиілігін орнатыңыз.
Құпия сөз іш киім сияқты: оны жиі ауыстырыңыз, оны достарыңызбен бөліспеңіз, ұзақ болғаны жақсы, жұмбақ болыңыз, оны әр жерге шашпаңыз.
- Жеткізушінің әдепкі бағдарламасына кіру құпия сөздері ақаулы болып табылады, егер оларды жеткізушінің барлық дерлік қызметкерлері білетіндіктен және бұлтта веб-негізделген жүйемен жұмыс жасасаңыз, деректерді алу ешкімге қиын болмайды. Әсіресе, егер сізде желі қауіпсіздігі «сымды тартпаңыз» деңгейінде болса.
- Қызметкерлерге операциялық жүйедегі құпия сөзге нұсқау «менің туған күнім», «қызымның аты», «Gvoz-dika-78545-ap#1» сияқты болмауы керектігін түсіндіріңіз! ағылшынша.» немесе «кварттар және бір және нөл».
Менің мысығым маған керемет құпия сөздер береді! Ол менің пернетақта арқылы өтіп жатыр
Істерге физикалық қол жеткізу
Сіздің компанияңыз бухгалтерлік және кадрлық құжаттамаға (мысалы, қызметкерлердің жеке істеріне) қолжетімділікті қалай ұйымдастырады? Менің болжауымша: егер бұл шағын бизнес болса, онда бухгалтерияда немесе бастықтың кеңсесінде сөрелердегі папкаларда немесе шкафта; егер бұл үлкен бизнес болса, сөрелерде кадрлар бөлімінде. Бірақ егер ол өте үлкен болса, онда бәрі дұрыс болуы мүмкін: магниттік кілті бар бөлек кеңсе немесе блок, мұнда тек белгілі бір қызметкерлер қол жеткізе алады және оған жету үшін олардың біріне қоңырау шалып, олардың қатысуымен осы түйінге кіру керек. Кез келген бизнесте мұндай қорғауды жасаудың қиын ештеңесі жоқ немесе кем дегенде кеңсе сейфінің паролін есікке немесе қабырғаға бормен жазбауды үйрену (бәрі нақты оқиғаларға негізделген, күлмеңіз).
Неліктен маңызды? Біріншіден, жұмысшылардың бір-біріне қатысты ең құпия нәрселерді білуге патологиялық ниеті бар: отбасылық жағдайы, жалақысы, медициналық диагнозы, білімі және т.б. Бұл кеңселік бәсекелестікте осындай ымыраға келу. Дизайнер Петя дизайнер Алисадан 20 мыңға аз табыс табатынын білгенде пайда болатын дау-дамайдан сіз мүлдем пайда көрмейсіз. Екіншіден, онда қызметкерлер компанияның қаржылық ақпаратына (баланс, жылдық есептер, келісім-шарттар) қол жеткізе алады. Үшіншіден, өз жұмыс тарихындағы іздерді жасыру үшін бірдеңені жоғалтуға, зақымдауға немесе ұрлауға болады.
Біреу – шығын, біреу – қазыналы қойма
Егер сізде қойма болса, ерте ме, кеш пе, қылмыскерлермен кездесуге кепілдік берілетінін ескеріңіз - өнімнің үлкен көлемін көретін және аз ғана көп нәрсе тонау емес, нық сенетін адамның психологиясы осылай жұмыс істейді. бөлісу. Ал бұл үйіндідегі тауар бірлігі 200 мың, 300 мың немесе бірнеше миллион болуы мүмкін. Өкінішке орай, ұрлықты педантикалық және жалпы бақылау мен есепке алудан басқа ештеңе тоқтата алмайды: камералар, штрих-кодтарды қолдану арқылы қабылдау және есептен шығару, қойма есебін автоматтандыру (мысалы, біздің қоймалық есеп менеджер мен жетекші нақты уақыт режимінде қойма арқылы тауар қозғалысын көре алатындай етіп ұйымдастырылады).
Сондықтан қоймаңызды тіске дейін қаруландырыңыз, сыртқы жаудан физикалық қауіпсіздікті және ішкі қауіпсіздікті толық қамтамасыз етіңіз. Көлік, логистика, қойма қызметкерлері бақылаудың барын, оның жұмыс істейтінін және олар өздерін жазалайтынын анық түсінуі керек.
*эй, инфрақұрылымға қолыңызды тигізбеңіз
Егер сервер бөлмесі мен тазалаушы әйел туралы әңгіме әлдеқашан өтіп кетсе және басқа салалардың ертегілеріне ұзақ уақыт ауысса (мысалы, сол палатадағы желдеткіштің мистикалық өшірілуі туралы болды), онда қалғаны шындық болып қала береді. . Шағын және орта бизнестің желілік және АТ-қауіпсіздігі көп нәрсені қалаусыз қалдырады және бұл көбінесе сіздің жүйелік әкімшіңіздің немесе шақырылған адамның бар-жоғына байланысты емес. Соңғысы көбінесе одан да жақсы күреседі.
Сонда мұндағы қызметкерлер не істей алады?
- Ең жақсы және ең зиянсыз нәрсе - сервер бөлмесіне бару, сымдарды тарту, қарау, шай төгу, кірді жағу немесе бір нәрсені өзіңіз конфигурациялауға тырысу. Бұл әсіресе «сенімді және озық пайдаланушыларға» әсер етеді, олар өз әріптестеріне антивирусты өшіруді және компьютердегі қорғауды айналып өтуді ерлікпен үйретеді және олардың сервер бөлмесінің туа біткен құдайлары екеніне сенімді. Жалпы, рұқсат етілген шектеулі қол жеткізу сіздің бәріңіз.
- Жабдықтарды ұрлау және тетіктерді ауыстыру. Сіз өзіңіздің компанияңызды жақсы көресіз бе және есеп айырысу жүйесі, CRM және басқалары тамаша жұмыс істеуі үшін барлығына қуатты бейне карталарды орнаттыңыз ба? Тамаша! Тек айлакер жігіттер (кейде қыздар) оларды үй үлгісімен оңай ауыстырады, ал үйде олар жаңа кеңсе үлгісінде ойындарды жүргізеді - бірақ әлемнің жартысы білмейді. Бұл пернетақталар, тышқандар, салқындатқыштар, UPS және аппараттық конфигурацияда қандай да бір жолмен ауыстыруға болатын барлық нәрселермен бірдей оқиға. Нәтижесінде сіз мүліктің бүліну, оның толық жоғалу қаупін көтересіз, сонымен бірге ақпараттық жүйелермен және қосымшалармен жұмыс істеудің қажетті жылдамдығы мен сапасына қол жеткізе алмайсыз. Конфигурацияланған конфигурацияны басқаруы бар бақылау жүйесі (ITSM жүйесі) сақтайды, ол бұзылмайтын және принципті жүйелік әкімшімен бірге жеткізілуі керек.
Мүмкін сіз жақсырақ қауіпсіздік жүйесін іздегіңіз келе ме? Мен бұл белгінің жеткілікті екеніне сенімді емеспін
- Жеке модемдерді, кіру нүктелерін немесе ортақ Wi-Fi желісін пайдалану файлдарға кіру қауіпсіздігін төмендетеді және іс жүзінде басқарылмайды, оны шабуылдаушылар (соның ішінде қызметкерлермен сөз байласу арқылы) пайдалана алады. Сонымен қатар, қызметкердің «өз интернеті бар» жұмыс уақытын YouTube-те, әзіл-оспақ сайттарында және әлеуметтік желілерде өткізу ықтималдығы әлдеқайда жоғары.
- Сайттың әкімші аймағына, CMS-ке, қолданбалы бағдарламалық жасақтамаға кіруге арналған бірыңғай парольдер мен логиндер - бұл беймаза немесе зиянды қызметкерді қол жетпес кек алушыға айналдыратын қорқынышты нәрселер. Егер сізде бір ішкі желіден 5 адам бірдей логин/парольмен баннер қоюға, жарнамалық сілтемелер мен көрсеткіштерді тексеруге, орналасуды түзетуге және жаңартуды жүктеп салуға келсе, олардың қайсысы CSS-ті кездейсоқ желіге айналдырғанын ешқашан болжай алмайсыз. асқабақ. Сондықтан: әртүрлі логиндер, әртүрлі парольдер, әрекеттерді тіркеу және қол жеткізу құқықтарын саралау.
- Қызметкерлер жұмыс уақытында бірнеше фотосуреттерді өңдеу немесе хоббиге қатысты бірдеңе жасау үшін өз компьютерлеріне сүйреп апаратын лицензиясыз бағдарламалық жасақтама туралы айтудың қажеті жоқ. Орталық ішкі істер басқармасының «Қ» бөліміне тексеру жүргізгенін естіген жоқсыз ба? Сосын ол саған келеді!
- Антивирус жұмыс істеуі керек. Иә, олардың кейбіреулері сіздің компьютеріңізді баяулатады, сізді тітіркендіреді және әдетте қорқақтық белгісі сияқты көрінуі мүмкін, бірақ кейінірек тоқтап тұрған уақытпен немесе одан да жаманы ұрланған деректермен төлегенше, оның алдын алған дұрыс.
- Қолданбаны орнатудың қауіптілігі туралы операциялық жүйе ескертулерін елемеуге болмайды. Бүгінгі күні жұмысқа бір нәрсені жүктеп алу секундтар мен минуттар мәселесі. Мысалы, Direct.Commander немесе AdWords редакторы, кейбір SEO талдаушысы және т.б. Егер Yandex және Google өнімдерінде бәрі азды-көпті түсінікті болса, онда басқа пикрейзер, тегін вирус тазалағыш, үш эффекті бар бейне редактор, скриншоттар, Skype жазу құрылғылары және басқа «шағын бағдарламалар» жеке компьютерге де, бүкіл компания желісіне де зиян тигізуі мүмкін. . Жүйе әкімшісіне қоңырау шалып, «бәрі өлді» деп айтпас бұрын, пайдаланушыларды компьютердің олардан не қалайтынын оқуға үйретіңіз. Кейбір компанияларда мәселе жай ғана шешіледі: көптеген жүктелген пайдалы утилиталар желілік үлесте сақталады, сонымен қатар қолайлы онлайн шешімдердің тізімі сонда орналастырылады.
- BYOD саясаты немесе керісінше, жұмыс жабдықтарын кеңседен тыс пайдалануға рұқсат беру саясаты қауіпсіздіктің өте жаман жағы болып табылады. Бұл жағдайда технологияға туыстары, достары, балалары, қоғамдық қорғалмаған желілер және т.б. Бұл таза ресейлік рулетка - сіз 5 жыл жүре аласыз, бірақ сіз барлық құжаттарыңызды және құнды файлдарыңызды жоғалтуыңыз немесе зақымдауыңыз мүмкін. Сонымен қатар, егер қызметкердің зиянды ниеті болса, деректерді «жаяу» жабдықпен ағып кету үшін екі байт жіберу сияқты оңай. Сондай-ақ қызметкерлердің жеке компьютерлері арасында файлдарды жиі тасымалдайтынын есте ұстаған жөн, бұл қайтадан қауіпсіздік саңылауларын тудыруы мүмкін.
- Сіз жоқ кезде құрылғыларды құлыптау корпоративтік және жеке пайдалану үшін жақсы әдет болып табылады. Тағы да, ол сізді қызықты әріптестерден, таныстардан және қоғамдық орындардағы зиянкестерден қорғайды. Бұған үйрену қиын, бірақ жұмыс орнымның бірінде мен керемет тәжірибе алдым: әріптестер құлпы ашылған компьютерге жақындады, ал Paint бүкіл терезеде «Компьютерді құлыптаңыз!» деген жазумен ашылды. және жұмыста бірдеңе өзгерді, мысалы, соңғы сорылған жинақ бұзылды немесе соңғы енгізілген қате жойылды (бұл сынақ тобы болды). Бұл қатыгез, бірақ ең ағаштар үшін 1-2 рет жеткілікті болды. Дегенмен, менің ойымша, IT емес адамдар мұндай әзілдерді түсінбеуі мүмкін.
- Бірақ ең ауыр күнә, әрине, жүйе әкімшісі мен менеджментінде - егер олар трафикті басқару жүйелерін, жабдықтарды, лицензияларды және т.б. қолданбаса.
Бұл, әрине, негіз, өйткені IT-инфрақұрылымы орманға неғұрлым көп болса, соғұрлым көп отын болатын жер. Әркімде бұл негіз болуы керек, оны «бәріміз бір-бірімізге сенеміз», «біз отбасымыз», «кімге керек» деген сөздермен алмастырмауы керек, өкінішке орай, бұл әзірге.
Бұл интернет, балақай, олар сен туралы көп білуі мүмкін.
Мектептегі өмір қауіпсіздігі курсына Интернетті қауіпсіз пайдалануды енгізудің уақыты келді - бұл біз сырттан енген шаралар туралы емес. Бұл, атап айтқанда, сілтемені сілтемеден ажырата білу, фишингтің қай жерде және алаяқтықтың қай жерде екенін түсіну мүмкіндігі туралы, түсінбестен бейтаныс мекенжайдан «Салыстыру туралы есеп» тақырыбы бар электрондық пошта тіркемелерін ашпау және т.б. Осының барлығын мектеп оқушылары игеріп үлгергенмен, қызметкерлер меңгере алмаған сияқты. Бірден бүкіл компанияға қауіп төндіретін көптеген айлалар мен қателер бар.
- Әлеуметтік желілер - бұл жұмыс орнында орын жоқ Интернет бөлімі, бірақ оларды 2019 жылы компания деңгейінде бұғаттау танымал емес және демотивциялау шарасы болып табылады. Сондықтан, барлық қызметкерлерге сілтемелердің заңсыздығын қалай тексеруге болатынын жазып, оларға алаяқтық түрлері туралы айтып, жұмыста жұмыс істеуді сұрау керек.
- Пошта - ақпаратты ұрлаудың, зиянды бағдарламаларды орнатудың және компьютерді және бүкіл желіні жұқтырудың ең танымал жолы және мүмкін. Өкінішке орай, көптеген жұмыс берушілер электрондық пошта клиентін үнемдейтін құрал деп санайды және сүзгілерден өтетін күніне 200 спам хат алатын тегін қызметтерді пайдаланады. Ал кейбір жауапсыз адамдар осындай хаттар мен қосымшаларды, сілтемелерді, суреттерді ашады - шамасы, олар қара ханзада оларға мұра қалдырған деп үміттенеді. Осыдан кейін администратордың жұмысы көп, көп. Әлде солай ойластырылған ба? Айтпақшы, тағы бір қатыгез оқиға: бір компанияда жүйелік әкімшіге жіберілген әрбір спам хат үшін KPI төмендеді. Тұтастай алғанда, бір айдан кейін спам болмады - тәжірибені бас ұйым қабылдады, және әлі де спам жоқ. Біз бұл мәселені талғампаздықпен шештік - біз өзіміздің электрондық пошта клиентін әзірледік және оны өзімізге енгіздік , сондықтан біздің барлық клиенттеріміз де осындай ыңғайлы мүмкіндікті алады.
Келесі жолы қағаз қыстырғыш таңбасы бар оғаш электрондық хатты алсаңыз, оны баспаңыз!
- Хабарламалар сонымен қатар қауіпті сілтемелердің барлық түрлерінің көзі болып табылады, бірақ бұл поштаға қарағанда әлдеқайда аз зиян (чаттарда сөйлесуге кеткен уақытты есептемегенде).
Мұның бәрі ұсақ-түйек сияқты. Дегенмен, осы кішкентай нәрселердің әрқайсысы, әсіресе сіздің компанияңыз бәсекелестердің шабуылының нысанасы болса, апатты салдары болуы мүмкін. Және бұл сөзбе-сөз кез келген адамда болуы мүмкін.
Әңгімелесушілер
Бұл адами фактор, одан құтылу қиынға соғады. Қызметкерлер дәлізде, кафеде, көшеде, клиенттің үйінде жұмысты талқылай алады, басқа клиент туралы дауыстап айта алады, үйдегі жұмыс жетістіктері мен жобалары туралы айта алады. Әрине, сіздің артыңызда бәсекелестің тұру ықтималдығы шамалы (егер сіз бір бизнес орталығында болмасаңыз - бұл болды), бірақ жігіттің бизнес істерін анық айтып тұрғанын смартфонға түсіріп, оны орналастыру мүмкіндігі. Бір қызығы, YouTube жоғарырақ. Бірақ бұл да ақымақтық. Сіздің қызметкерлеріңіз тренингтерде, конференцияларда, кездесулерде, кәсіби форумдарда немесе тіпті Хабреде өнім немесе компания туралы ақпаратты ықыласпен ұсынса, бұл бос сөз емес. Оның үстіне, адамдар бәсекелестік барлау жүргізу үшін көбінесе қарсыластарын осындай әңгімелерге әдейі шақырады.
Ашық әңгіме. Бір галактикалық ауқымды АТ конференциясында секция спикері слайдта ірі компанияның АТ-инфрақұрылымын ұйымдастырудың толық диаграммасын көрсетті (үздік 20). Схема өте әсерлі болды, жай ғарыштық болды, барлығы дерлік оны суретке түсірді және ол әлеуметтік желілерде бірден жақсы пікірлермен өтті. Ал, содан кейін спикер оларды геотегтерді, стендтерді, әлеуметтік желілерді пайдаланып ұстады. оны жариялағандардың және жоюды өтінгендердің желілері, өйткені олар оған тез қоңырау шалып, ах-та-та деді. Сөйлесу жәшігі барлаушы үшін құдайдың сыйы.
Надандық... жазадан босатады
Касперский зертханасының 2017 жылғы 12 ай ішінде киберқауіпсіздік инциденттерін бастан өткерген бизнес туралы жаһандық есебіне сәйкес, оқиғалардың ең ауыр түрлерінің әрбір оныншы (11%) абайсыз және хабарсыз қызметкерлерге қатысты.
Қызметкерлер корпоративтік қауіпсіздік шаралары туралы бәрін біледі деп ойламаңыз, оларды міндетті түрде ескертіңіз, тренингтер өткізіңіз, қауіпсіздік мәселелері туралы қызықты мерзімді ақпараттық бюллетеньдер жасаңыз, пицца үстінде кездесулер өткізіңіз және мәселелерді қайтадан түсіндіріңіз. Иә, керемет лайфхак - барлық басып шығарылған және электрондық ақпаратты түстермен, белгілермен, жазулармен белгілеңіз: коммерциялық құпия, құпия, ресми пайдалану үшін, жалпы қолжетімділік. Бұл шынымен жұмыс істейді.
Заманауи әлем компанияларды өте нәзік жағдайға қойды: қызметкердің жұмыста қатты жұмыс істеп қана қоймай, сонымен қатар фондық режимде/үзіліс кезінде ойын-сауық мазмұнын алуға деген ұмтылысы мен қатаң корпоративтік қауіпсіздік ережелері арасындағы теңгерімді сақтау қажет. Егер сіз гипербақылау және ақымақ бақылау бағдарламаларын (иә, қате емес - бұл қауіпсіздік емес, бұл паранойя) және артыңыздағы камераларды қоссаңыз, қызметкерлердің компанияға деген сенімі төмендейді, бірақ сенімді сақтау да корпоративтік қауіпсіздік құралы болып табылады.
Сондықтан, қашан тоқтау керектігін біліңіз, қызметкерлеріңізді құрметтеңіз және сақтық көшірме жасаңыз. Ең бастысы, жеке паранойияға емес, қауіпсіздікке басымдық беріңіз.
Қажет болса және олардың мүмкіндіктерін сіздің мақсаттарыңыз бен міндеттеріңізбен салыстырыңыз. Егер сізде қандай да бір сұрақтар немесе қиындықтар туындаса, жазыңыз немесе қоңырау шалыңыз, біз сіз үшін рейтингсіз немесе қоңыраусыз жеке онлайн презентация ұйымдастырамыз.
, онда біз жарнамасыз CRM және бизнес туралы толық ресми емес нәрселерді жазамыз.
Ақпарат көзі: www.habr.com