I 2008 kunne jeg besøke et IT-selskap. Det var en slags usunn spenning i hver ansatt. Årsaken viste seg å være enkel: mobiltelefoner er i en boks ved inngangen til kontoret, det er et kamera bak ryggen, 2 store ekstra "seende" kameraer på kontoret og overvåkingsprogramvare med en keylogger. Og ja, dette er ikke selskapet som utviklet SORM eller livsstøttesystemer for fly, men bare en utvikler av forretningsapplikasjonsprogramvare, nå absorbert, knust og ikke lenger eksisterende (noe som virker logisk). Hvis du nå strekker deg ut og tenker at på kontoret ditt med hengekøyer og M&M i vaser er dette definitivt ikke tilfelle, kan du ta veldig feil – det er bare det at over 11 år har kontrollen lært seg å være usynlig og korrekt, uten oppgjør over besøkte nettsteder og lastet ned filmer.
Så er det egentlig umulig uten alt dette, men hva med tillit, lojalitet, tro på mennesker? Tro det eller ei, det er like mange selskaper uten sikkerhetstiltak. Men ansatte klarer å rote til både her og der – rett og slett fordi den menneskelige faktoren kan ødelegge verdener, ikke bare din bedrift. Så, hvor kan dine ansatte få til ugagn?
Dette er ikke et veldig seriøst innlegg, som har akkurat to funksjoner: å lyse opp hverdagen litt og å minne om grunnleggende sikkerhetsting som ofte glemmes. Å, og igjen minne deg på — Er ikke slik programvare kanten av sikkerhet? 🙂
La oss gå i tilfeldig modus!
Passord, passord, passord...
Du snakker om dem og en bølge av indignasjon ruller inn: hvordan kan det ha seg, sa de til verden så mange ganger, men ting er der fortsatt! I selskaper på alle nivåer, fra individuelle gründere til multinasjonale selskaper, er dette et veldig sårt sted. Noen ganger virker det for meg at hvis de i morgen bygger en ekte Death Star, vil det være noe som admin/admin i admin-panelet. Så hva kan vi forvente av vanlige brukere, for hvem deres egen VKontakte-side er mye dyrere enn en bedriftskonto? Her er punktene du bør sjekke:
- Å skrive passord på lapper, på baksiden av tastaturet, på skjermen, på bordet under tastaturet, på et klistremerke på undersiden av musen (utspekulert!) – dette skal ansatte aldri gjøre. Og ikke fordi en forferdelig hacker vil komme inn og laste ned hele 1C til en flash-stasjon over lunsj, men fordi det kan være en fornærmet Sasha på kontoret som skal slutte og gjøre noe skittent eller ta bort informasjonen for siste gang . Hvorfor ikke gjøre dette til neste lunsj?
Dette er hva? Denne tingen lagrer alle passordene mine
- Sette enkle passord for å gå inn på PC-en og arbeidsprogrammene. Fødselsdato, qwerty123 og til og med asdf er kombinasjoner som hører hjemme i vitser og på bashorg, og ikke i bedriftens sikkerhetssystem. Still krav til passord og deres lengde, og angi hyppigheten for utskifting.
Et passord er som undertøy: bytt det ofte, ikke del det med vennene dine, et langt er bedre, vær mystisk, ikke spred det overalt
- Leverandørens standard programpåloggingspassord er feil, om ikke annet fordi nesten alle leverandørens ansatte kjenner dem, og hvis du har å gjøre med et nettbasert system i skyen, vil det ikke være vanskelig for noen å få tak i dataene. Spesielt hvis du også har nettverkssikkerhet på nivået "ikke trekk i ledningen".
- Forklar ansatte at passordhintet i operativsystemet ikke skal se ut som "bursdagen min", "datterens navn", "Gvoz-dika-78545-ap#1! på engelsk." eller «quarts og en ener og en null».
Katten min gir meg gode passord! Han går over tastaturet mitt
Fysisk tilgang til saker
Hvordan organiserer din bedrift tilgang til regnskaps- og personaldokumentasjon (for eksempel til ansattes personlige filer)? La meg gjette: hvis det er en liten bedrift, så i regnskapsavdelingen eller på sjefens kontor i mapper i hyller eller i et skap; hvis det er en stor bedrift, så i HR-avdelingen i hyllene. Men hvis den er veldig stor, er mest sannsynlig alt riktig: et eget kontor eller blokk med en magnetisk nøkkel, hvor bare enkelte ansatte har tilgang, og for å komme dit, må du ringe en av dem og gå inn i denne noden i deres nærvær. Det er ikke noe vanskelig å lage en slik beskyttelse i enhver virksomhet, eller i det minste lære å ikke skrive passordet til kontorsafen med kritt på døren eller på veggen (alt er basert på virkelige hendelser, ikke le).
Hvorfor er det viktig? For det første har arbeidere et patologisk ønske om å finne ut de mest hemmelige tingene om hverandre: sivilstatus, lønn, medisinske diagnoser, utdanning, etc. Dette er et slikt kompromiss i kontorkonkurranse. Og du har absolutt ikke nytte av krangelen som vil oppstå når designeren Petya finner ut at han tjener 20 tusen mindre enn designeren Alice. For det andre kan ansatte der få tilgang til selskapets økonomiske informasjon (balanser, årsrapporter, kontrakter). For det tredje kan noe ganske enkelt gå tapt, skadet eller stjålet for å dekke over spor i ens egen arbeidshistorie.
Et lager hvor noen er et tap, noen er en skatt
Hvis du har et lager, tenk på at før eller senere er du garantert å møte kriminelle - dette er ganske enkelt hvordan psykologien til en person fungerer, som ser et stort volum av produkter og er overbevist om at litt av mye ikke er ran, men deling. Og en vareenhet fra denne haugen kan koste 200 tusen, eller 300 tusen, eller flere millioner. Dessverre kan ingenting stoppe tyveri bortsett fra pedantisk og total kontroll og regnskap: kameraer, aksept og avskrivning ved bruk av strekkoder, automatisering av lagerregnskap (for eksempel i vår lagerregnskap er organisert på en slik måte at leder og veileder kan se varebevegelsen gjennom lageret i sanntid).
Armer derfor ditt lager til tennene, sørg for fysisk sikkerhet fra den ytre fienden og fullstendig sikkerhet fra den interne. Ansatte i transport, logistikk og lager må tydelig forstå at det er kontroll, det fungerer, og de vil nesten straffe seg selv.
*hei, ikke stikk hendene inn i infrastrukturen
Hvis historien om serverrommet og rengjøringsdamen allerede har overlevd seg selv og lenge har migrert til historier om andre bransjer (for eksempel den samme gikk om den mystiske stansen av ventilatoren på samme avdeling), så forblir resten virkelighet . Nettverks- og IT-sikkerhet for små og mellomstore bedrifter etterlater mye å være ønsket, og dette er ofte ikke avhengig av om du har egen systemadministrator eller en invitert. Sistnevnte takler ofte enda bedre.
Så hva er de ansatte her i stand til?
- Det hyggeligste og mest ufarlige er å gå til serverrommet, dra i ledningene, se, søle te, bruke skitt eller prøve å konfigurere noe selv. Dette rammer spesielt "sikre og avanserte brukere" som heroisk lærer sine kolleger å deaktivere antivirus og omgå beskyttelse på en PC og er sikre på at de er medfødte guder i serverrommet. Generelt er autorisert begrenset tilgang ditt alt.
- Tyveri av utstyr og erstatning av komponenter. Elsker du din bedrift og har installert kraftige skjermkort for alle slik at faktureringssystemet, CRM og alt annet kan fungere perfekt? Flott! Bare utspekulerte gutter (og noen ganger jenter) vil enkelt erstatte dem med en hjemmemodell, og hjemme vil de kjøre spill på en ny kontormodell - men halve verden vil ikke vite det. Det er den samme historien med tastaturer, mus, kjølere, UPS-er og alt som på en eller annen måte kan erstattes i maskinvarekonfigurasjonen. Som et resultat bærer du risikoen for skade på eiendom, fullstendig tap, og samtidig får du ikke ønsket hastighet og kvalitet på arbeidet med informasjonssystemer og applikasjoner. Det som sparer er et overvåkingssystem (ITSM-system) med konfigurert konfigurasjonskontroll), som må leveres komplett med en uforgjengelig og prinsipiell systemadministrator.
Kanskje du vil se etter et bedre sikkerhetssystem? Jeg er ikke sikker på om dette skiltet er nok
- Å bruke dine egne modemer, tilgangspunkter eller en slags delt Wi-Fi gjør tilgangen til filer mindre sikker og praktisk talt ukontrollerbar, noe som kan utnyttes av angripere (inkludert i samarbeid med ansatte). Vel, dessuten er sannsynligheten for at en ansatt "med sitt eget Internett" vil bruke arbeidstimer på YouTube, humoristiske nettsteder og sosiale nettverk mye høyere.
- Samlede passord og pålogginger for å få tilgang til nettstedets administrasjonsområde, CMS, applikasjonsprogramvare er forferdelige ting som gjør en udugelig eller ondsinnet ansatt til en unnvikende hevner. Hvis du har 5 personer fra samme subnett med samme pålogging/passord som kommer inn for å sette opp et banner, sjekke annonseringslenker og beregninger, rette oppsettet og laste opp en oppdatering, vil du aldri gjette hvem av dem som ved et uhell gjorde CSS til en gresskar. Derfor: ulike pålogginger, ulike passord, logging av handlinger og differensiering av tilgangsrettigheter.
- Unødvendig å si om den ulisensierte programvaren som ansatte drar inn på PC-ene sine for å redigere et par bilder i arbeidstiden eller lage noe veldig hobbyrelatert. Har du ikke hørt om inspeksjonen av avdeling "K" i Sentraldirektoratet for innenrikssaker? Da kommer hun til deg!
- Antiviruset skal fungere. Ja, noen av dem kan bremse PC-en din, irritere deg og generelt virke som et tegn på feighet, men det er bedre å forhindre det enn å betale med nedetid eller, enda verre, stjålne data.
- Operativsystemadvarsler om farene ved å installere en applikasjon bør ikke ignoreres. I dag er det å laste ned noe for jobben et spørsmål om sekunder og minutter. For eksempel Direct.Commander eller AdWords editor, noen SEO-parsere osv. Hvis alt er mer eller mindre klart med Yandex- og Google-produkter, kan en annen picreizer, en gratis virusrenser, en videoredigerer med tre effekter, skjermbilder, Skype-opptakere og andre "små programmer" skade både en individuell PC og hele bedriftens nettverk . Lær brukerne til å lese hva datamaskinen vil ha fra dem før de ringer systemadministratoren og sier at "alt er dødt." I noen selskaper løses problemet enkelt: mange nedlastede nyttige verktøy lagres på nettverksandelen, og en liste over passende nettløsninger er også lagt ut der.
- BYOD-policyen eller omvendt policyen om å tillate bruk av arbeidsutstyr utenfor kontoret er en veldig ond side av sikkerheten. I dette tilfellet har slektninger, venner, barn, offentlige ubeskyttede nettverk osv. tilgang til teknologien. Dette er rent russisk rulett - du kan gå i 5 år og klare deg, men du kan miste eller skade alle dine dokumenter og verdifulle filer. Vel, dessuten, hvis en ansatt har ondsinnede hensikter, er det like enkelt som å sende to byte for å lekke data med "gående" utstyr. Du må også huske at ansatte ofte overfører filer mellom sine personlige datamaskiner, noe som igjen kan skape sikkerhetshull.
- Å låse enhetene dine mens du er borte er en god vane for både bedrifts- og personlig bruk. Igjen, det beskytter deg mot nysgjerrige kolleger, bekjente og inntrengere på offentlige steder. Det er vanskelig å venne seg til dette, men på et av arbeidsstedene mine hadde jeg en fantastisk opplevelse: kolleger nærmet seg en ulåst PC, og Paint ble åpnet over hele vinduet med påskriften "Lås datamaskinen!" og noe endret seg i arbeidet, for eksempel ble den siste opppumpede enheten revet eller den siste introduserte feilen ble fjernet (dette var en testgruppe). Det er grusomt, men 1-2 ganger var nok selv for de mest tre. Selv om jeg mistenker at ikke-IT-folk kanskje ikke forstår slik humor.
- Men den verste synden ligger selvfølgelig hos systemadministrator og ledelse - hvis de kategorisk ikke bruker trafikkstyringssystemer, utstyr, lisenser osv.
Dette er selvfølgelig en base, fordi IT-infrastrukturen er selve stedet der jo lenger inn i skogen, jo mer ved er det. Og alle bør ha denne basen, og ikke erstattes av ordene "vi stoler alle på hverandre", "vi er en familie", "hvem trenger det" - dessverre, dette er foreløpig.
Dette er Internett, baby, de kan vite mye om deg.
Det er på tide å innføre sikker håndtering av Internett i livssikkerhetskurset på skolen – og dette handler slett ikke om tiltakene vi er fordypet i fra utsiden. Dette handler spesifikt om muligheten til å skille en lenke fra en lenke, forstå hvor det er phishing og hvor det er svindel, ikke åpne e-postvedlegg med emnet "Reconciliation Report" fra en ukjent adresse uten å forstå det, osv. Selv om det ser ut til at skoleelevene allerede har mestret alt dette, men de ansatte har ikke. Det er mange triks og feil som kan sette hele selskapet i fare på en gang.
- Sosiale nettverk er en del av Internett som ikke har noen plass på jobben, men å blokkere dem på bedriftsnivå i 2019 er et upopulært og demotiverende tiltak. Derfor trenger du bare å skrive til alle ansatte hvordan du kan sjekke ulovligheten til lenker, fortelle dem om typen svindel og be dem om å jobbe på jobben.
- Mail er et sårt sted og kanskje den mest populære måten å stjele informasjon, plante skadelig programvare og infisere en PC og hele nettverket. Dessverre, mange arbeidsgivere anser e-postklienten for å være et kostnadsbesparende verktøy og bruker gratistjenester som mottar 200 spam-e-poster per dag som kommer gjennom filtre osv. Og noen uansvarlige mennesker åpner slike brev og vedlegg, lenker, bilder - tilsynelatende håper de at den svarte prinsen etterlot en arv til dem. Etter det har administratoren mye, mye arbeid. Eller var det ment slik? Forresten, en annen grusom historie: i ett selskap, for hvert spambrev til systemadministratoren, ble KPI redusert. Generelt, etter en måned var det ingen spam - praksisen ble adoptert av overordnet organisasjon, og det er fortsatt ingen spam. Vi løste dette problemet elegant - vi utviklet vår egen e-postklient og bygget den inn i vår egen , så alle våre kunder får også en så praktisk funksjon.
Neste gang du mottar en merkelig e-post med et binderssymbol, ikke klikk på det!
- Messengers er også en kilde til alle slags usikre lenker, men dette er mye mindre ondt enn e-post (ikke medregnet tiden som er bortkastet med chatting).
Det ser ut til at alt dette er småting. Hver av disse små tingene kan imidlertid ha katastrofale konsekvenser, spesielt hvis bedriften din er målet for en konkurrents angrep. Og dette kan skje bokstavelig talt hvem som helst.
Pratsomme ansatte
Dette er selve den menneskelige faktoren som vil være vanskelig for deg å bli kvitt. Ansatte kan diskutere arbeid i korridoren, på en kafé, på gaten, hjemme hos en klient, snakke høyt om en annen klient, snakke om arbeidsprestasjoner og prosjekter hjemme. Sannsynligheten for at en konkurrent står bak deg er selvfølgelig ubetydelig (hvis du ikke er i samme forretningssenter - dette har skjedd), men muligheten for at en fyr som tydelig oppgir sine forretningsforhold vil bli filmet på en smarttelefon og lagt ut på YouTube er, merkelig nok, høyere. Men dette er tull også. Det er ikke tull når de ansatte villig presenterer informasjon om et produkt eller en bedrift på kurs, konferanser, møter, profesjonelle fora eller til og med på Habré. Dessuten kaller folk ofte bevisst sine motstandere til slike samtaler for å drive konkurransemessig etterretning.
En avslørende historie. På en IT-konferanse i galaktisk skala la seksjonstaleren ut på et lysbilde et fullstendig diagram over organiseringen av IT-infrastrukturen til et stort selskap (topp 20). Opplegget var mega imponerende, rett og slett kosmisk, nesten alle fotograferte det, og det fløy umiddelbart over sosiale nettverk med strålende anmeldelser. Vel, så fanget foredragsholderen dem ved å bruke geotagger, stativer, sosiale medier. nettverk av de som postet det og ba om å bli slettet, fordi de ringte ham ganske raskt og sa ah-ta-ta. En chatterbox er en gudegave for en spion.
Uvitenhet... frigjør deg fra straff
I følge Kaspersky Labs globale rapport for 2017 om virksomheter som opplever cybersikkerhetshendelser i løpet av en 12-måneders periode, involverte én av ti (11 %) av de mest alvorlige hendelsestypene uforsiktige og uinformerte ansatte.
Ikke anta at ansatte vet alt om bedriftens sikkerhetstiltak, sørg for å advare dem, gi opplæring, lage interessante periodiske nyhetsbrev om sikkerhetsspørsmål, holde møter over pizza og avklare saker igjen. Og ja, et kult life hack - merk all trykt og elektronisk informasjon med farger, tegn, inskripsjoner: forretningshemmelighet, hemmelighet, for offisiell bruk, generell tilgang. Dette fungerer virkelig.
Den moderne verden har satt bedrifter i en svært ømfintlig posisjon: det er nødvendig å opprettholde en balanse mellom den ansattes ønske om ikke bare å jobbe hardt på jobben, men også motta underholdningsinnhold i bakgrunnen/i pauser, og strenge bedriftssikkerhetsregler. Hvis du slår på hyperkontroll og idiotiske sporingsprogrammer (ja, ikke en skrivefeil - dette er ikke sikkerhet, dette er paranoia) og kameraer bak ryggen din, vil ansattes tillit til bedriften synke, men å opprettholde tillit er også et sikkerhetsverktøy for bedriften.
Vit derfor når du skal stoppe, respekter dine ansatte og ta sikkerhetskopier. Og viktigst av alt, prioriter sikkerhet, ikke personlig paranoia.
Hvis du trenger og sammenligne deres evner med dine mål og mål. Hvis du har spørsmål eller problemer, skriv eller ring, vi organiserer en individuell nettpresentasjon for deg - uten rangeringer eller ringeklokker.
, der vi, uten reklame, skriver ikke helt formelle ting om CRM og virksomhet.
Kilde: www.habr.com