Pada tahun 2008, saya dapat melawat sebuah syarikat IT. Terdapat beberapa jenis ketegangan yang tidak sihat dalam setiap pekerja. Alasannya ternyata mudah: telefon bimbit berada di dalam kotak di pintu masuk ke pejabat, terdapat kamera di belakang, 2 kamera tambahan besar "melihat" di pejabat dan perisian pemantauan dengan keylogger. Dan ya, ini bukan syarikat yang membangunkan SORM atau sistem sokongan hayat pesawat, tetapi hanya pembangun perisian aplikasi perniagaan, kini diserap, dihancurkan dan tidak lagi wujud (yang kelihatan logik). Jika anda kini meregangkan badan dan berfikir bahawa di pejabat anda dengan buaian dan M&M dalam pasu ini pastinya tidak berlaku, anda mungkin tersilap - cuma lebih 11 tahun kawalan telah belajar untuk menjadi halimunan dan betul, tanpa pertarungan berakhir tapak yang dilawati dan filem yang dimuat turun.
Jadi adakah ia benar-benar mustahil tanpa semua ini, tetapi bagaimana dengan kepercayaan, kesetiaan, kepercayaan kepada orang? Percaya atau tidak, terdapat banyak syarikat yang tidak mempunyai langkah keselamatan. Tetapi pekerja berjaya membuat kucar-kacir di sana sini - semata-mata kerana faktor manusia boleh memusnahkan dunia, bukan hanya syarikat anda. Jadi, di manakah pekerja anda boleh melakukan kerosakan?
Ini bukanlah siaran yang sangat serius, yang mempunyai dua fungsi: untuk menceriakan sedikit kehidupan seharian dan untuk mengingatkan anda tentang perkara keselamatan asas yang sering dilupakan. Oh, dan sekali lagi mengingatkan anda β Bukankah perisian sedemikian merupakan kelebihan keselamatan? π
Mari pergi dalam mod rawak!
Kata laluan, kata laluan, kata laluan...
Anda bercakap tentang mereka dan gelombang kemarahan muncul: bagaimana boleh, mereka memberitahu dunia berkali-kali, tetapi perkara masih ada! Dalam syarikat dari semua peringkat, daripada usahawan individu kepada syarikat multinasional, ini adalah tempat yang sangat menyakitkan. Kadang-kadang saya rasa jika esok mereka membina Death Star sebenar, akan ada sesuatu seperti admin/admin dalam panel admin. Jadi apa yang boleh kita harapkan daripada pengguna biasa, yang mana halaman VKontakte mereka sendiri jauh lebih mahal daripada akaun korporat? Berikut adalah perkara yang perlu diperiksa:
- Menulis kata laluan pada kepingan kertas, di belakang papan kekunci, pada monitor, di atas meja di bawah papan kekunci, pada pelekat di bahagian bawah tetikus (licik!) - pekerja tidak sepatutnya melakukan ini. Dan bukan kerana penggodam yang dahsyat akan masuk dan memuat turun semua 1C ke pemacu kilat semasa makan tengah hari, tetapi kerana mungkin ada Sasha yang tersinggung di pejabat yang akan berhenti dan melakukan sesuatu yang kotor atau mengambil maklumat untuk kali terakhir . Mengapa tidak melakukan ini pada makan tengah hari anda yang seterusnya?
Apakah ini? Perkara ini menyimpan semua kata laluan saya
- Menetapkan kata laluan mudah untuk memasuki PC dan program kerja. Tarikh lahir, qwerty123 dan juga asdf adalah gabungan yang tergolong dalam jenaka dan pada bashorg, dan bukan dalam sistem keselamatan korporat. Tetapkan keperluan untuk kata laluan dan panjangnya, dan tetapkan kekerapan penggantian.
Kata laluan adalah seperti seluar dalam: kerap tukar, jangan kongsi dengan rakan anda, yang panjang lebih baik, jadi misteri, jangan taburkan di mana-mana.
- Kata laluan log masuk program lalai vendor adalah cacat, jika hanya kerana hampir semua pekerja vendor mengetahuinya, dan jika anda berurusan dengan sistem berasaskan web dalam awan, ia tidak akan menjadi sukar bagi sesiapa sahaja untuk mendapatkan data tersebut. Terutama jika anda juga mempunyai keselamatan rangkaian pada tahap "jangan tarik kord".
- Terangkan kepada pekerja bahawa petunjuk kata laluan dalam sistem pengendalian tidak sepatutnya kelihatan seperti "hari lahir saya", "nama anak perempuan", "Gvoz-dika-78545-ap#1! dalam Bahasa Inggeris." atau "kuar dan satu dan sifar."
Kucing saya memberi saya kata laluan yang hebat! Dia berjalan melintasi papan kekunci saya
Akses fizikal kepada kes
Bagaimanakah syarikat anda mengatur akses kepada perakaunan dan dokumentasi kakitangan (contohnya, kepada fail peribadi pekerja)? Biar saya meneka: jika ia adalah perniagaan kecil, maka di jabatan perakaunan atau di pejabat bos dalam folder di rak atau di dalam almari; jika ia adalah perniagaan yang besar, maka di jabatan HR di rak. Tetapi jika ia sangat besar, maka kemungkinan besar semuanya betul: pejabat atau blok berasingan dengan kunci magnet, di mana hanya pekerja tertentu mempunyai akses dan untuk sampai ke sana, anda perlu menghubungi salah seorang daripada mereka dan pergi ke nod ini di hadapan mereka. Tidak ada yang sukar untuk membuat perlindungan sedemikian dalam mana-mana perniagaan, atau sekurang-kurangnya belajar untuk tidak menulis kata laluan untuk peti keselamatan pejabat dalam kapur di pintu atau di dinding (semuanya berdasarkan peristiwa sebenar, jangan ketawa).
Mengapa ia penting? Pertama, pekerja mempunyai keinginan patologi untuk mengetahui perkara paling rahsia tentang satu sama lain: status perkahwinan, gaji, diagnosis perubatan, pendidikan, dll. Ini adalah kompromi dalam pertandingan pejabat. Dan anda sama sekali tidak mendapat manfaat daripada pertengkaran yang akan timbul apabila pereka Petya mengetahui bahawa dia memperoleh 20 ribu kurang daripada pereka Alice. Kedua, di sana pekerja boleh mengakses maklumat kewangan syarikat (lembaran imbangan, laporan tahunan, kontrak). Ketiga, sesuatu boleh hilang, rosak atau dicuri untuk menutup jejak dalam sejarah kerja sendiri.
Sebuah gudang di mana seseorang adalah kerugian, seseorang adalah harta
Sekiranya anda mempunyai gudang, pertimbangkan bahawa lambat laun anda dijamin akan menghadapi penjenayah - ini adalah cara psikologi seseorang berfungsi, yang melihat sejumlah besar produk dan dengan tegas percaya bahawa sedikit daripada banyak bukan rompakan, tetapi perkongsian. Dan satu unit barang dari timbunan ini boleh berharga 200 ribu, atau 300 ribu, atau beberapa juta. Malangnya, tiada apa yang boleh menghentikan kecurian kecuali kawalan dan perakaunan penuh kegilaan dan menyeluruh: kamera, penerimaan dan hapus kira menggunakan kod bar, automasi perakaunan gudang (contohnya, dalam perakaunan gudang disusun sedemikian rupa sehingga pengurus dan penyelia dapat melihat pergerakan barang melalui gudang dalam masa nyata).
Oleh itu, lengkapkan gudang anda, pastikan keselamatan fizikal daripada musuh luar dan keselamatan lengkap dari dalaman. Pekerja dalam pengangkutan, logistik dan gudang mesti memahami dengan jelas bahawa ada kawalan, ia berfungsi, dan mereka hampir akan menghukum diri mereka sendiri.
*hey, jangan cucuk tangan anda ke dalam infrastruktur
Jika cerita tentang bilik pelayan dan wanita pembersih telah hidup lebih lama dan telah lama berhijrah ke kisah industri lain (contohnya, cerita yang sama berlaku mengenai penutupan mistik ventilator di wad yang sama), maka selebihnya kekal realiti . Keselamatan rangkaian dan IT bagi perniagaan kecil dan sederhana meninggalkan banyak perkara yang diingini, dan ini selalunya tidak bergantung pada sama ada anda mempunyai pentadbir sistem anda sendiri atau yang dijemput. Yang terakhir sering mengatasi dengan lebih baik.
Jadi apa yang pekerja di sini mampu?
- Perkara yang paling baik dan paling tidak berbahaya ialah pergi ke bilik pelayan, tarik wayar, lihat, tumpahkan teh, sapukan kotoran, atau cuba konfigurasikan sesuatu sendiri. Ini terutamanya memberi kesan kepada "pengguna yang yakin dan maju" yang dengan berani mengajar rakan sekerja mereka untuk melumpuhkan perlindungan antivirus dan memintas pada PC dan yakin bahawa mereka adalah tuhan semula jadi bagi bilik pelayan. Secara umum, akses terhad yang dibenarkan adalah segala-galanya untuk anda.
- Kecurian peralatan dan penggantian komponen. Adakah anda menyukai syarikat anda dan telah memasang kad video yang berkuasa untuk semua orang supaya sistem pengebilan, CRM dan segala-galanya boleh berfungsi dengan sempurna? Hebat! Hanya lelaki yang licik (dan kadang-kadang perempuan) akan dengan mudah menggantikan mereka dengan model rumah, dan di rumah mereka akan menjalankan permainan pada model pejabat baharu - tetapi separuh dunia tidak akan tahu. Ini adalah cerita yang sama dengan papan kekunci, tetikus, penyejuk, UPS dan segala-galanya yang boleh digantikan dalam konfigurasi perkakasan. Akibatnya, anda menanggung risiko kerosakan harta benda, kehilangan sepenuhnya, dan pada masa yang sama anda tidak mendapat kelajuan dan kualiti kerja yang diingini dengan sistem maklumat dan aplikasi. Apa yang menjimatkan ialah sistem pemantauan (sistem ITSM) dengan kawalan konfigurasi yang dikonfigurasikan), yang mesti dibekalkan lengkap dengan pentadbir sistem yang tidak rosak dan berprinsip.
Mungkin anda ingin mencari sistem keselamatan yang lebih baik? Saya tidak pasti sama ada tanda ini mencukupi
- Menggunakan modem, pusat akses atau beberapa jenis Wi-Fi kongsi anda sendiri menjadikan akses kepada fail kurang selamat dan hampir tidak terkawal, yang boleh diambil kesempatan oleh penyerang (termasuk bersubahat dengan pekerja). Selain itu, kemungkinan pekerja "dengan Internetnya sendiri" akan menghabiskan masa bekerja di YouTube, tapak lucu dan rangkaian sosial adalah lebih tinggi.
- Kata laluan dan log masuk bersatu untuk mengakses kawasan pentadbir tapak, CMS, perisian aplikasi adalah perkara yang mengerikan yang menjadikan pekerja yang tidak cekap atau berniat jahat menjadi pembalas yang sukar difahami. Jika anda mempunyai 5 orang daripada subnet yang sama dengan log masuk/kata laluan yang sama masuk untuk memasang sepanduk, menyemak pautan dan metrik pengiklanan, membetulkan reka letak dan memuat naik kemas kini, anda tidak akan pernah meneka yang mana antara mereka telah menjadikan CSS secara tidak sengaja labu. Oleh itu: log masuk berbeza, kata laluan berbeza, log tindakan dan pembezaan hak akses.
- Tidak perlu dikatakan tentang perisian tidak berlesen yang diseret oleh pekerja ke PC mereka untuk mengedit beberapa foto semasa waktu bekerja atau mencipta sesuatu yang berkaitan dengan hobi. Pernahkah anda mendengar tentang pemeriksaan jabatan "K" Direktorat Hal Ehwal Dalam Negeri? Kemudian dia datang kepada anda!
- Antivirus harus berfungsi. Ya, sesetengah daripada mereka boleh memperlahankan PC anda, mengganggu anda dan secara amnya kelihatan seperti tanda pengecut, tetapi lebih baik untuk mencegahnya daripada membayar kemudian dengan masa henti atau, lebih teruk lagi, data yang dicuri.
- Amaran sistem pengendalian tentang bahaya memasang aplikasi tidak boleh diabaikan. Hari ini, memuat turun sesuatu untuk kerja memerlukan masa beberapa saat dan minit. Contohnya, Direct.Commander atau editor AdWords, beberapa penghurai SEO, dsb. Jika semuanya lebih atau kurang jelas dengan produk Yandex dan Google, maka picreizer lain, pembersih virus percuma, editor video dengan tiga kesan, tangkapan skrin, perakam Skype dan "program kecil" lain boleh membahayakan kedua-dua PC individu dan keseluruhan rangkaian syarikat . Latih pengguna untuk membaca perkara yang komputer inginkan daripada mereka sebelum mereka menghubungi pentadbir sistem dan mengatakan bahawa "semuanya sudah mati." Dalam sesetengah syarikat, isu ini diselesaikan dengan mudah: banyak utiliti berguna yang dimuat turun disimpan pada bahagian rangkaian, dan senarai penyelesaian dalam talian yang sesuai juga disiarkan di sana.
- Dasar BYOD atau, sebaliknya, dasar membenarkan penggunaan peralatan kerja di luar pejabat adalah sisi keselamatan yang sangat jahat. Dalam kes ini, saudara-mara, rakan, kanak-kanak, rangkaian awam yang tidak dilindungi, dsb. mempunyai akses kepada teknologi. Ini adalah rolet Rusia semata-mata - anda boleh pergi selama 5 tahun dan bertahan, tetapi anda boleh kehilangan atau merosakkan semua dokumen dan fail berharga anda. Selain itu, jika pekerja mempunyai niat jahat, ia semudah menghantar dua bait untuk membocorkan data dengan peralatan "berjalan". Anda juga perlu ingat bahawa pekerja sering memindahkan fail antara komputer peribadi mereka, yang sekali lagi boleh mencipta kelemahan keselamatan.
- Mengunci peranti anda semasa anda tiada ialah tabiat yang baik untuk kegunaan korporat dan peribadi. Sekali lagi, ia melindungi anda daripada rakan sekerja, kenalan dan penceroboh yang ingin tahu di tempat awam. Sukar untuk membiasakan diri dengan ini, tetapi di salah satu tempat kerja saya, saya mendapat pengalaman yang menarik: rakan sekerja menghampiri PC yang tidak berkunci, dan Paint dibuka di seluruh tingkap dengan tulisan "Kunci komputer!" dan sesuatu berubah dalam kerja, sebagai contoh, pemasangan terakhir yang dipam telah dirobohkan atau pepijat yang diperkenalkan terakhir telah dialih keluar (ini ialah kumpulan ujian). Ia kejam, tetapi 1-2 kali sudah cukup walaupun untuk yang paling kayu. Walaupun, saya mengesyaki, orang bukan IT mungkin tidak memahami humor sedemikian.
- Tetapi dosa yang paling teruk, tentu saja, terletak pada pentadbir dan pengurusan sistem - jika mereka secara mutlak tidak menggunakan sistem kawalan lalu lintas, peralatan, lesen, dll.
Ini, sudah tentu, asas, kerana infrastruktur IT adalah tempat di mana semakin jauh ke dalam hutan, semakin banyak kayu api yang ada. Dan setiap orang harus mempunyai asas ini, dan tidak digantikan dengan perkataan "kami semua mempercayai satu sama lain", "kami adalah keluarga", "siapa yang memerlukannya" - malangnya, ini untuk sementara waktu.
Ini Internet, sayang, mereka boleh tahu banyak tentang awak.
Sudah tiba masanya untuk memperkenalkan pengendalian Internet yang selamat ke dalam kursus keselamatan hidup di sekolah - dan ini sama sekali bukan tentang langkah-langkah yang kita lakukan dari luar. Ini secara khusus mengenai keupayaan untuk membezakan pautan daripada pautan, memahami di mana pancingan data dan di mana penipuan, bukan membuka lampiran e-mel dengan subjek "Laporan Penyesuaian" daripada alamat yang tidak dikenali tanpa memahaminya, dsb. Walaupun, nampaknya, pelajar sekolah telah pun menguasai semua ini, tetapi pekerja tidak. Terdapat banyak helah dan kesilapan yang boleh menjejaskan keseluruhan syarikat sekaligus.
- Rangkaian sosial ialah bahagian Internet yang tidak mempunyai tempat di tempat kerja, tetapi menyekatnya di peringkat syarikat pada 2019 adalah langkah yang tidak popular dan melemahkan semangat. Oleh itu, anda hanya perlu menulis kepada semua pekerja bagaimana untuk menyemak keabsahan pautan, beritahu mereka tentang jenis penipuan dan minta mereka bekerja di tempat kerja.
- Mel ialah tempat yang menyakitkan dan mungkin cara paling popular untuk mencuri maklumat, menanam perisian hasad dan menjangkiti PC dan keseluruhan rangkaian. Malangnya, ramai majikan menganggap klien e-mel sebagai alat penjimatan kos dan menggunakan perkhidmatan percuma yang menerima 200 e-mel spam setiap hari yang melalui penapis, dsb. Dan beberapa orang yang tidak bertanggungjawab membuka surat dan lampiran, pautan, gambar seperti itu - nampaknya, mereka berharap bahawa putera hitam meninggalkan warisan untuk mereka. Selepas itu pentadbir mempunyai banyak, banyak kerja. Atau adakah ia bertujuan sedemikian? Dengan cara ini, satu lagi kisah kejam: dalam satu syarikat, untuk setiap surat spam kepada pentadbir sistem, KPI dikurangkan. Secara umum, selepas sebulan tiada spam - amalan itu diterima pakai oleh organisasi induk, dan masih tiada spam. Kami menyelesaikan isu ini dengan elegan - kami membangunkan klien e-mel kami sendiri dan membinanya ke dalam kami sendiri , jadi semua pelanggan kami juga menerima ciri yang begitu mudah.
Lain kali anda menerima e-mel aneh dengan simbol klip kertas, jangan klik padanya!
- Pengutus juga merupakan sumber semua jenis pautan yang tidak selamat, tetapi ini lebih kurang jahat daripada mel (tidak mengira masa yang terbuang untuk bersembang dalam sembang).
Nampaknya ini semua perkara kecil. Walau bagaimanapun, setiap perkara kecil ini boleh membawa akibat yang buruk, terutamanya jika syarikat anda menjadi sasaran serangan pesaing. Dan ini boleh berlaku kepada sesiapa sahaja.
Pekerja cerewet
Ini adalah faktor manusia yang sukar untuk anda hilangkan. Pekerja boleh membincangkan kerja di koridor, di kafe, di jalanan, di rumah pelanggan, bercakap dengan kuat tentang pelanggan lain, bercakap tentang pencapaian kerja dan projek di rumah. Sudah tentu, kemungkinan bahawa pesaing berdiri di belakang anda adalah kecil (jika anda tidak berada di pusat perniagaan yang sama - ini telah berlaku), tetapi kemungkinan bahawa seorang lelaki yang menyatakan dengan jelas hal ehwal perniagaannya akan dirakamkan pada telefon pintar dan disiarkan pada YouTube, anehnya, lebih tinggi. Tetapi ini mengarut juga. Bukan omong kosong apabila pekerja anda dengan rela hati membentangkan maklumat tentang produk atau syarikat di latihan, persidangan, pertemuan, forum profesional, malah di HabrΓ©. Lebih-lebih lagi, orang sering dengan sengaja memanggil lawan mereka ke perbualan sedemikian untuk menjalankan risikan daya saing.
Sebuah kisah yang mendedahkan. Pada satu persidangan IT skala galaksi, penceramah bahagian membentangkan pada slaid gambar rajah lengkap organisasi infrastruktur IT sebuah syarikat besar (20 teratas). Skim ini sangat mengagumkan, hanya kosmik, hampir semua orang memotretnya, dan ia serta-merta terbang merentasi rangkaian sosial dengan ulasan yang memberangsangkan. Nah, kemudian penceramah menangkap mereka menggunakan geotag, tempat berdiri, media sosial. rangkaian mereka yang menyiarkannya dan memohon untuk dipadamkan, kerana mereka memanggilnya dengan cepat dan berkata ah-ta-ta. Kotak cerewet adalah anugerah untuk mata-mata.
Kejahilan... membebaskan kamu daripada hukuman
Menurut laporan global Kaspersky Lab 2017 tentang perniagaan yang mengalami insiden keselamatan siber dalam tempoh 12 bulan, satu daripada sepuluh (11%) daripada jenis insiden paling serius melibatkan pekerja yang cuai dan tidak berpengetahuan.
Jangan menganggap bahawa pekerja mengetahui segala-galanya tentang langkah keselamatan korporat, pastikan anda memberi amaran kepada mereka, menyediakan latihan, membuat surat berita berkala yang menarik tentang isu keselamatan, mengadakan mesyuarat mengenai pizza dan menjelaskan isu sekali lagi. Dan ya, penggodaman hidup yang hebat - tandakan semua maklumat bercetak dan elektronik dengan warna, tanda, inskripsi: rahsia perdagangan, rahsia, untuk kegunaan rasmi, akses umum. Ini betul-betul berkesan.
Dunia moden telah meletakkan syarikat dalam kedudukan yang sangat rumit: adalah perlu untuk mengekalkan keseimbangan antara keinginan pekerja untuk bukan sahaja bekerja keras di tempat kerja, tetapi juga menerima kandungan hiburan di latar belakang/semasa rehat, dan peraturan keselamatan korporat yang ketat. Jika anda menghidupkan program penjejakan hypercontrol dan moronic (ya, bukan kesilapan menaip - ini bukan keselamatan, ini adalah paranoia) dan kamera di belakang anda, maka kepercayaan pekerja terhadap syarikat akan jatuh, tetapi mengekalkan kepercayaan juga merupakan alat keselamatan korporat.
Oleh itu, ketahui masa untuk berhenti, hormati pekerja anda dan buat sandaran. Dan yang paling penting, utamakan keselamatan, bukan paranoia peribadi.
Jika kamu perlu dan bandingkan keupayaan mereka dengan matlamat dan objektif anda. Jika anda mempunyai sebarang soalan atau kesulitan, tulis atau hubungi, kami akan menganjurkan pembentangan dalam talian individu untuk anda - tanpa penilaian atau loceng dan wisel.
, di mana, tanpa pengiklanan, kami menulis bukan perkara formal sepenuhnya tentang CRM dan perniagaan.
Sumber: www.habr.com