2008 metais man pavyko apsilankyti IT įmonėje. Kiekviename darbuotojoje buvo kažkokia nesveika įtampa. Priežastis pasirodė paprasta: mobilieji telefonai yra dėžutėje prie įėjimo į biurą, už nugaros yra kamera, 2 didelės papildomos „žiūrinčios“ kameros biure ir stebėjimo programinė įranga su klaviatūros registratoriumi. Ir taip, tai ne ta įmonė, kuri sukūrė SORM ar orlaivių gyvybės palaikymo sistemas, o tiesiog verslo taikomosios programinės įrangos kūrėja, dabar įsisavinta, sutraiškyta ir nebeegzistuoja (kas atrodo logiška). Jei dabar išsitiesiate ir galvojate, kad jūsų biure su hamakais ir M&M vazose taip tikrai nėra, galite labai klysti – tiesiog per 11 metų kontrolė išmoko būti nematoma ir teisinga, be susirėmimų. aplankytose svetainėse ir atsisiųstuose filmuose.
Taigi ar tikrai be viso šito neįmanoma, bet kaip dėl pasitikėjimo, lojalumo, tikėjimo žmonėmis? Tikėkite ar ne, bet tiek pat yra įmonių be apsaugos priemonių. Tačiau darbuotojams pavyksta ir čia, ir ten sumaišyti – vien todėl, kad žmogiškasis faktorius gali sugriauti pasaulius, ne tik jūsų įmonę. Taigi, kur jūsų darbuotojai gali susižavėti?
Tai nėra labai rimtas įrašas, turintis lygiai dvi funkcijas: šiek tiek praskaidrinti kasdienybę ir priminti pagrindinius saugumo dalykus, kurie dažnai pamirštami. O ir dar kartą priminti – Ar tokia programinė įranga nėra saugumo riba? 🙂
Eikime atsitiktiniu režimu!
Slaptažodžiai, slaptažodžiai, slaptažodžiai...
Jūs kalbate apie juos ir užplūsta pasipiktinimo banga: kaip gali būti, jie tiek daug kartų sakė pasauliui, bet viskas vis dar yra! Visų lygių įmonėse – nuo individualių verslininkų iki tarptautinių korporacijų – tai labai skaudi vieta. Kartais man atrodo, kad jei rytoj jie pastatys tikrą Mirties žvaigždę, tai admin skydelyje bus kažkas panašaus į admin/admin. Taigi ko galime tikėtis iš paprastų vartotojų, kuriems jų pačių „VKontakte“ puslapis yra daug brangesnis nei įmonės paskyra? Štai taškai, kuriuos reikia patikrinti:
- Slaptažodžių rašymas ant popieriaus lapų, klaviatūros nugarėlėje, monitoriuje, ant stalo po klaviatūra, ant lipduko pelės apačioje (gudrus!) – darbuotojai to niekada neturėtų daryti. Ir ne todėl, kad per pietus ateis baisus įsilaužėlis ir atsisiųs visą 1C į „flash drive“, o todėl, kad biure gali būti įsižeidęs Sasha, kuris ketina mesti ir padaryti ką nors nešvaraus arba paskutinį kartą atimti informaciją. . Kodėl to nepadarius per kitus pietus?
Štai kas? Šis dalykas saugo visus mano slaptažodžius
- Paprastų slaptažodžių nustatymas norint patekti į kompiuterį ir darbo programas. Gimimo datos, qwerty123 ir net asdf yra deriniai, priklausantys anekdotuose ir bashorg, o ne įmonės apsaugos sistemoje. Nustatykite slaptažodžių ir jų ilgio reikalavimus bei keitimo dažnumą.
Slaptažodis – kaip apatiniai: keiskite jį dažnai, nesidalinkite su draugais, geriau ilgas, būk paslaptingas, nebarstykite jo visur
- Pardavėjo numatytieji prisijungimo prie programos slaptažodžiai yra ydingi, jau vien todėl, kad juos žino beveik visi pardavėjo darbuotojai, o jei turite reikalų su žiniatinklio sistema debesyje, niekam nebus sunku gauti duomenis. Ypač jei tinklo saugumas taip pat yra "netraukite už laido".
- Paaiškinkite darbuotojams, kad slaptažodžio užuomina operacinėje sistemoje neturi atrodyti kaip „mano gimtadienis“, „dukters vardas“, „Gvoz-dika-78545-ap#1! angliškai." arba „kvartai ir vienas ir nulis“.
Mano katė duoda man puikius slaptažodžius! Jis eina per mano klaviatūrą
Fizinė prieiga prie bylų
Kaip Jūsų įmonė organizuoja prieigą prie apskaitos ir personalo dokumentų (pavyzdžiui, prie darbuotojų asmens bylų)? Leiskite atspėti: jei tai mažas verslas, tada buhalterijoje arba viršininko kabinete aplankuose lentynose ar spintoje; jei tai didelis verslas, tada personalo skyriuje lentynose. Bet jei jis labai didelis, greičiausiai viskas yra teisinga: atskiras biuras ar blokas su magnetiniu raktu, prie kurio gali patekti tik tam tikri darbuotojai, o norint ten patekti, reikia paskambinti vienam iš jų ir jiems esant įeiti į šį mazgą. Nėra nieko sudėtingo bet kokiame versle pasidaryti tokią apsaugą ar bent jau išmokti nerašyti biuro seifo slaptažodžio kreida ant durų ar ant sienos (viskas pagrįsta tikrais įvykiais, nesijuokit).
Kodėl tai svarbu? Pirma, darbuotojai turi patologinį norą vienas apie kitą sužinoti slapčiausius dalykus: šeimyninę padėtį, atlyginimą, medicinines diagnozes, išsilavinimą ir kt. Tai yra toks kompromisas biurų konkurse. Ir jums visiškai nenaudingi kivirčai, kurie kils, kai dizaineris Petya sužinos, kad jis uždirba 20 tūkstančių mažiau nei dizainerė Alisa. Antra, ten darbuotojai gali pasiekti įmonės finansinę informaciją (balansus, metines ataskaitas, sutartis). Trečia, ką nors galima tiesiog pamesti, sugadinti ar pavogti, norint užmaskuoti pėdsakus savo darbo istorijoje.
Sandėlis, kuriame kažkas yra nuostolis, kažkas yra lobis
Jei turite sandėlį, pagalvokite, kad anksčiau ar vėliau tikrai susidursite su nusikaltėliais – tiesiog taip veikia psichologija žmogaus, kuris mato didelį kiekį produktų ir tvirtai tiki, kad mažai daug yra ne apiplėšimas, o dalijimasis. O prekių vienetas iš šios krūvos gali kainuoti 200 tūkst., arba 300 tūkst., ar kelis milijonus. Deja, niekas negali sustabdyti vagystės, išskyrus pedantišką ir visišką kontrolę bei apskaitą: kameros, priėmimas ir nurašymas naudojant brūkšninius kodus, sandėlio apskaitos automatizavimas (pvz. sandėlio apskaita organizuojama taip, kad vadovas ir vadovas galėtų matyti prekių judėjimą per sandėlį realiu laiku).
Todėl apginkluokite savo sandėlį iki dantų, užtikrinkite fizinį saugumą nuo išorinio priešo ir visišką saugumą nuo vidinio. Transporto, logistikos, sandėlių darbuotojai turi aiškiai suprasti, kad yra kontrolė, ji veikia, ir vos nenubaus.
*Ei, nekiškite rankų į infrastruktūrą
Jei istorija apie serverio patalpą ir valytoją jau atgyveno ir jau seniai persikėlė į kitų pramonės šakų pasakojimus (pavyzdžiui, ta pati buvo apie mistišką ventiliatoriaus išjungimą toje pačioje palatoje), tai visa kita lieka realybe. . Smulkaus ir vidutinio verslo tinklų ir IT saugumas palieka daug norimų rezultatų ir tai dažnai nepriklauso nuo to, ar turite savo sistemos administratorių, ar pakviestą. Pastarasis dažnai susitvarko dar geriau.
Taigi ką čia sugeba darbuotojai?
- Pats maloniausias ir nekenksmingiausias dalykas yra nueiti į serverio patalpą, tampyti laidus, pažiūrėti, išpilti arbatos, užtepti purvo ar pabandyti ką nors sukonfigūruoti pačiam. Tai ypač nukenčia „pasitikintiems ir pažengusiems vartotojams“, kurie didvyriškai moko savo kolegas išjungti antivirusinę ir apeiti apsaugą kompiuteryje ir yra tikri, kad jie yra įgimti serverio kambario dievai. Apskritai įgaliota ribota prieiga yra viskas.
- Įrangos vagystės ir komponentų keitimas. Ar mylite savo įmonę ir visiems esate sumontavę galingas vaizdo plokštes, kad atsiskaitymo sistema, CRM ir visa kita veiktų nepriekaištingai? Puiku! Tik gudrūs vaikinai (o kartais ir merginos) juos nesunkiai pakeis namų modeliu, o namuose leis žaidimus nauju biuro modeliu – bet pusė pasaulio to nežinos. Ta pati istorija su klaviatūromis, pelėmis, aušintuvais, UPS ir viskuo, ką galima kaip nors pakeisti aparatinės įrangos konfigūracijoje. Dėl to jūs prisiimate turto sugadinimo, visiško jo praradimo riziką, o kartu negaunate norimo greičio ir kokybės darbo su informacinėmis sistemomis ir programomis. Išgelbsti stebėjimo sistema (ITSM sistema) su sukonfigūruota konfigūracijos kontrole), kuri turi būti komplektuojama su nepaperkančiu ir principingu sistemos administratoriumi.
Galbūt norite ieškoti geresnės apsaugos sistemos? Nesu tikras, ar užtenka šio ženklo
- Naudojant savo modemus, prieigos taškus ar kokį nors bendrą „Wi-Fi“, prieiga prie failų tampa mažiau saugi ir praktiškai nekontroliuojama, o tuo gali pasinaudoti užpuolikai (taip pat ir susitarę su darbuotojais). Na, be to, tikimybė, kad „savo internetą turintis“ darbuotojas darbo valandas praleis „YouTube“, humoristinėse svetainėse ir socialiniuose tinkluose, yra daug didesnė.
- Suvienodinti slaptažodžiai ir prisijungimai prie svetainės administratoriaus srities, TVS, taikomosios programinės įrangos yra baisūs dalykai, paverčiantys netinkamą ar piktavališką darbuotoją nepagaunamu keršytoju. Jei 5 žmonės iš to paties potinklio su tuo pačiu prisijungimo vardu/slaptažodžiu ateina, kad iškeltų reklamjuostę, patikrintų reklamos nuorodas ir metrikas, pataisytų išdėstymą ir įkeltų naujinimą, niekada neatspėsite, kuris iš jų netyčia pavertė CSS moliūgas. Todėl: skirtingi prisijungimai, skirtingi slaptažodžiai, veiksmų registravimas ir prieigos teisių diferencijavimas.
- Nereikia nė kalbėti apie nelicencijuotą programinę įrangą, kurią darbuotojai tempia į savo kompiuterius, norėdami darbo valandomis redaguoti keletą nuotraukų ar sukurti ką nors labai susijusio su hobiu. Ar negirdėjote apie Centrinės vidaus reikalų direkcijos „K“ skyriaus patikrinimą? Tada ji ateina pas tave!
- Antivirusinė programa turėtų veikti. Taip, kai kurie iš jų gali sulėtinti jūsų kompiuterį, erzinti ir apskritai atrodyti kaip bailumo ženklas, tačiau geriau to išvengti, nei vėliau mokėti prastovomis ar, dar blogiau, pavogtais duomenimis.
- Nereikėtų ignoruoti operacinės sistemos įspėjimų apie pavojus diegiant programą. Šiandien ką nors atsisiųsti darbui užtenka sekundžių ir minučių. Pavyzdžiui, „Direct.Commander“ arba „AdWords“ redaktorius, koks nors SEO analizatorius ir kt. Jei su „Yandex“ ir „Google“ produktais viskas daugmaž aišku, tai kitas „picreizer“, nemokamas virusų valiklis, vaizdo įrašų rengyklė su trimis efektais, ekrano kopijos, „Skype“ įrašymo įrenginiai ir kitos „mažytės programos“ gali pakenkti tiek atskiram kompiuteriui, tiek visam įmonės tinklui. . Išmokykite vartotojus perskaityti, ko kompiuteris iš jų nori, prieš skambindami sistemos administratoriui ir sakydami, kad „viskas miręs“. Kai kuriose įmonėse problema išspręsta paprastai: daugelis atsisiųstų naudingų paslaugų yra saugomos tinklo dalinime, o ten pat skelbiamas tinkamų internetinių sprendimų sąrašas.
- BYOD politika arba, atvirkščiai, politika, leidžianti naudoti darbo įrangą ne biure, yra labai bloga saugumo pusė. Tokiu atveju prieigą prie technologijos turi artimieji, draugai, vaikai, vieši neapsaugoti tinklai ir kt. Tai grynai rusiška ruletė – galite eiti 5 metus ir išsiversti, bet galite pamesti arba sugadinti visus savo dokumentus ir vertingus failus. Na, be to, jei darbuotojas turi piktų ketinimų, tai taip paprasta, kaip nusiųsti du baitus, kad nutekėtų duomenys naudojant „vaikščiojimo“ įrangą. Taip pat turite atsiminti, kad darbuotojai dažnai perkelia failus iš vieno asmeninio kompiuterio į kitą, o tai vėl gali sukelti saugumo spragų.
- Įrenginių užrakinimas, kol nesate išvykęs, yra geras įprotis tiek įmonės, tiek asmeniniam naudojimui. Vėlgi, tai apsaugo jus nuo smalsių kolegų, pažįstamų ir viešose vietose įsibrovėlių. Sunku prie to priprasti, bet vienoje iš savo darbo vietų patyriau nuostabią patirtį: kolegos priėjo prie atrakinto kompiuterio, o per visą langą atsidarė „Paint“ su užrašu „Užrakink kompiuterį! ir kažkas darbe pasikeitė, pavyzdžiui, buvo nugriautas paskutinis išpumpuotas mazgas arba pašalinta paskutinė įvesta klaida (tai buvo testavimo grupė). Žiauru, bet 1-2 kartų užteko net ir patiems mediškiems. Nors, įtariu, ne IT žmonės gali nesuprasti tokio humoro.
- Tačiau didžiausia nuodėmė, žinoma, tenka sistemos administratoriui ir vadovybei – jeigu jie kategoriškai nesinaudoja eismo valdymo sistemomis, įranga, licencijomis ir pan.
Tai, žinoma, bazė, nes IT infrastruktūra yra ta vieta, kur kuo toliau į mišką, tuo daugiau malkų. Ir kiekvienas turėtų turėti šią bazę, o ne būti pakeistas žodžiais „mes visi pasitikime vieni kitais“, „mes esame šeima“, „kam to reikia“ - deja, tai kol kas.
Tai internetas, mažute, jie gali daug žinoti apie tave.
Atėjo laikas į gyvybės saugos kursą mokykloje įtraukti saugų naudojimąsi internetu – ir tai visai ne apie priemones, į kurias esame panirę iš išorės. Tai konkrečiai apie galimybę atskirti nuorodą nuo nuorodos, suprasti, kur yra sukčiavimas, o kur – sukčiavimas, neatidaryti el. laiškų priedų su tema „Suderinimo ataskaita“ iš nepažįstamo adreso to nesuprantant ir pan. Nors, rodos, visa tai moksleiviai jau yra įvaldę, o darbuotojai – ne. Yra daug gudrybių ir klaidų, kurios gali iš karto kelti pavojų visai įmonei.
- Socialiniai tinklai – tokia interneto dalis, kuriai nėra vietos darbe, tačiau jų blokavimas įmonės lygiu 2019 metais yra nepopuliari ir demotyvuojanti priemonė. Todėl tereikia parašyti visiems darbuotojams, kaip patikrinti nuorodų neteisėtumą, papasakoti apie sukčiavimo rūšis ir paprašyti dirbti darbe.
- Paštas yra skausminga vieta ir, ko gero, populiariausias būdas pavogti informaciją, įdiegti kenkėjiškas programas ir užkrėsti kompiuterį bei visą tinklą. Deja, daugelis darbdavių mano, kad el. pašto klientas yra ekonomiškas įrankis ir naudojasi nemokamomis paslaugomis, kurios per dieną gauna 200 el. pašto laiškų, kurie patenka per filtrus ir pan. O kai kurie neatsakingi žmonės atsiverčia tokius laiškus ir priedus, nuorodas, paveikslėlius – matyt, tikisi, kad juodasis princas paliko jiems palikimą. Po to administratoriui tenka daug, daug darbo. O gal taip buvo numatyta? Beje, dar viena žiauri istorija: vienoje įmonėje už kiekvieną šlamšto laišką sistemos administratoriui buvo sumažintas KPI. Apskritai po mėnesio šlamšto nebuvo – tokią praktiką perėmė pagrindinė organizacija, o šlamšto vis dar nėra. Šią problemą išsprendėme elegantiškai – sukūrėme savo el. pašto programą ir įdiegėme ją į savo , todėl visi mūsų klientai taip pat gauna tokią patogią funkciją.
Kai kitą kartą gausite keistą el. laišką su sąvaržėlės simboliu, nespauskite jo!
- Messengers taip pat yra įvairių nesaugių nuorodų šaltinis, tačiau tai yra daug mažesnė blogybė nei paštas (neskaitant laiko, sugaišto plepėjant pokalbiuose).
Atrodo, kad visa tai yra smulkmenos. Tačiau kiekviena iš šių smulkmenų gali turėti pražūtingų pasekmių, ypač jei jūsų įmonė yra konkurento atakos taikinys. Ir tai gali atsitikti bet kam.
Šnekūs darbuotojai
Tai yra pats žmogiškasis veiksnys, kurio jums bus sunku atsikratyti. Darbuotojai gali aptarti darbą koridoriuje, kavinėje, gatvėje, kliento namuose, garsiai kalbėti apie kitą klientą, kalbėti apie darbo pasiekimus ir projektus namuose. Žinoma, tikimybė, kad už tavęs stovės konkurentas, yra nereikšminga (jei nesate tame pačiame verslo centre – taip atsitiko), tačiau tikimybė, kad vaikinas, aiškiai išdėstantis savo verslo reikalus, bus nufilmuotas išmaniuoju telefonu ir paskelbtas Kaip bebūtų keista, „YouTube“ yra aukštesnė. Bet tai irgi nesąmonė. Tai nėra kvailystė, kai jūsų darbuotojai noriai pristato informaciją apie produktą ar įmonę mokymuose, konferencijose, susitikimuose, profesiniuose forumuose ar net Habré svetainėje. Be to, žmonės dažnai sąmoningai kviečia savo oponentus į tokius pokalbius, kad galėtų atlikti konkurencinę žvalgybą.
Atskleidžianti istorija. Vienoje galaktikos masto IT konferencijoje sekcijos pranešėjas skaidrėje išdėstė visą didelės įmonės IT infrastruktūros organizavimo schemą (20 geriausių). Schema buvo mega įspūdinga, tiesiog kosminė, beveik visi ją fotografavo ir ji akimirksniu nuskriejo per socialinius tinklus su pagirtinais atsiliepimais. Na, tada pranešėjas užfiksavo juos naudodamasis geografinėmis žymomis, stendais, socialiniais tinklais. tinklai tų, kurie jį paskelbė ir prašė būti ištrinti, nes gana greitai jam paskambino ir pasakė ah-ta-ta. Šnipui plepukas yra Dievo dovana.
Nežinojimas... išlaisvina nuo bausmės
Remiantis „Kaspersky Lab“ 2017 m. pasauline ataskaita apie įmones, patyrusias kibernetinio saugumo incidentus per 12 mėnesių, vienas iš dešimties (11 %) rimčiausių incidentų buvo susijęs su neatsargiais ir neinformuotais darbuotojais.
Nemanykite, kad darbuotojai viską žino apie įmonės saugumo priemones, būtinai juos įspėkite, apmokykite, periodiškai skelbkite įdomius informacinius biuletenius saugumo klausimais, rengkite susitikimus prie picos ir dar kartą išsiaiškinkite problemas. Ir taip, šaunus gyvenimo įsilaužimas – pažymėkite visą spausdintą ir elektroninę informaciją spalvomis, ženklais, užrašais: komercinė paslaptis, paslaptis, tarnybiniam naudojimui, bendra prieiga. Tai tikrai veikia.
Šiuolaikinis pasaulis įmones pastatė į itin delikačią padėtį: būtina išlaikyti balansą tarp darbuotojo noro ne tik sunkiai dirbti darbe, bet ir gauti pramoginį turinį fone/pertraukų metu bei griežtų įmonių saugumo taisyklių. Jei įjungsite hiperkontrolės ir debilų sekimo programas (taip, ne rašybos klaida – tai ne saugumas, tai paranoja) ir kameras už nugaros, tuomet darbuotojų pasitikėjimas įmone sumažės, tačiau pasitikėjimo išlaikymas taip pat yra įmonės saugumo įrankis.
Todėl žinokite, kada sustoti, gerbkite savo darbuotojus ir pasidarykite atsargines kopijas. Ir svarbiausia, pirmenybę teikite saugumui, o ne asmeninei paranojai.
Jei tau reikia ir palyginkite jų galimybes su savo tikslais ir uždaviniais. Iškilus klausimams ar sunkumams rašykite ar skambinkite, surengsime Jums individualų pristatymą internetu – be įvertinimų ar varpelių ir švilpukų.
, kuriame be reklamos rašome ne visai formalius dalykus apie CRM ir verslą.
Šaltinis: www.habr.com