W 2008 roku udało mi się odwiedzić firmę informatyczną. W każdym pracowniku wyczuwało się jakieś niezdrowe napięcie. Powód okazał się prosty: telefony komórkowe znajdują się w pudełku przy wejściu do biura, z tyłu znajduje się kamera, w biurze 2 duże dodatkowe „patrzące” kamery oraz oprogramowanie monitorujące z keyloggerem. I tak, to nie jest firma, która opracowała SORM czy systemy podtrzymywania życia samolotów, ale po prostu twórca oprogramowania aplikacji biznesowych, obecnie wchłoniętego, zmiażdżonego i już nieistniejącego (co wydaje się logiczne). Jeśli teraz się przeciągasz i myślisz, że w Twoim biurze z hamakami i M&M w wazonach na pewno tak nie jest, możesz się bardzo mylić – po prostu przez 11 lat kontrola nauczyła się być niewidoczna i poprawna, bez konfliktów ponad odwiedzane strony i pobrane filmy.
Czy rzeczywiście bez tego wszystkiego jest to niemożliwe, ale co z zaufaniem, lojalnością, wiarą w ludzi? Wierzcie lub nie, ale jest tyle samo firm, które nie stosują środków bezpieczeństwa. Ale pracownikom udaje się namieszać i tu, i tam – po prostu dlatego, że czynnik ludzki może zniszczyć światy, a nie tylko Twoją firmę. Gdzie zatem Twoi pracownicy mogą popełnić przestępstwo?
To niezbyt poważny post, który pełni dokładnie dwie funkcje: rozjaśnić trochę codzienność i przypomnieć o podstawowych kwestiach bezpieczeństwa, o których często się zapomina. Aha, i jeszcze raz przypominam — Czy takie oprogramowanie nie stanowi krawędzi bezpieczeństwa? 🙂
Przejdźmy w trybie losowym!
Hasła, hasła, hasła...
Mówisz o nich i nadpływa fala oburzenia: jak to możliwe, tyle razy mówili światu, a jednak coś się dzieje! W firmach na każdym szczeblu, od indywidualnych przedsiębiorców po międzynarodowe korporacje, jest to bardzo drażliwy punkt. Czasami wydaje mi się, że jeśli jutro zbudują prawdziwą Gwiazdę Śmierci, w panelu administracyjnym będzie coś takiego jak admin/admin. Czego więc możemy oczekiwać od zwykłych użytkowników, dla których własna strona VKontakte jest znacznie droższa niż konto firmowe? Oto punkty do sprawdzenia:
- Zapisywanie haseł na kartkach papieru, z tyłu klawiatury, na monitorze, na stoliku pod klawiaturą, na naklejce na spodzie myszy (spryt!) – pracownicy nigdy nie powinni tego robić. I nie dlatego, że przyjdzie okropny haker i podczas lunchu pobierze całe 1C na dysk flash, ale dlatego, że w biurze może być obrażony Sasha, który odejdzie i zrobi coś brudnego lub po raz ostatni zabierze informacje . Dlaczego nie zrobić tego podczas następnego lunchu?
Co to jest? To coś przechowuje wszystkie moje hasła
- Ustawianie prostych haseł do wejścia do komputera i programów roboczych. Daty urodzenia, qwerty123, a nawet asdf to kombinacje, które należą do żartów i na bashorgu, a nie do korporacyjnego systemu bezpieczeństwa. Ustaw wymagania dotyczące haseł i ich długości oraz ustaw częstotliwość wymiany.
Z hasłem jest jak z bielizną: zmieniaj je często, nie udostępniaj znajomym, lepsze jest długie, bądź tajemniczy, nie rozrzucaj go wszędzie
- Domyślne hasła logowania do programów dostawcy są wadliwe, choćby dlatego, że znają je prawie wszyscy pracownicy dostawcy, a jeśli masz do czynienia z systemem internetowym w chmurze, uzyskanie danych nie będzie dla nikogo trudne. Zwłaszcza, jeśli dodatkowo masz zabezpieczenie sieci na poziomie „nie ciągnij za kabel”.
- Wyjaśnij pracownikom, że podpowiedź do hasła w systemie operacyjnym nie powinna wyglądać następująco: „moje urodziny”, „imię córki”, „Gvoz-dika-78545-ap#1! po angielsku." lub „kwarty i jeden i zero”.
Mój kot daje mi świetne hasła! Chodzi po mojej klawiaturze
Fizyczny dostęp do spraw
Jak Państwa firma organizuje dostęp do dokumentacji księgowej i kadrowej (np. do akt osobowych pracowników)? Niech zgadnę: jeśli jest to mała firma, to w dziale księgowości lub w gabinecie szefa w teczkach na półkach lub w szafie, jeśli jest to duża firma, to w dziale HR na półkach. Ale jeśli jest bardzo duży, najprawdopodobniej wszystko jest w porządku: osobne biuro lub blok z kluczem magnetycznym, do którego dostęp mają tylko niektórzy pracownicy i aby się tam dostać, trzeba zadzwonić do jednego z nich i wejść do tego węzła w ich obecności. Nie ma nic trudnego w zapewnieniu takiego zabezpieczenia w jakimkolwiek biznesie, a przynajmniej nauczeniu się, jak nie pisać kredą hasła do sejfu biurowego na drzwiach lub ścianie (wszystko oparte jest na faktach, nie śmiejcie się).
Dlaczego to jest ważne? Po pierwsze, pracownicy mają patologiczną chęć dowiadywania się o sobie najskrytszych rzeczy: stanu cywilnego, wynagrodzenia, diagnoz lekarskich, wykształcenia itp. To taki kompromis w konkurencji biurowej. I absolutnie nie skorzystasz na kłótniach, które powstaną, gdy projektant Petya dowie się, że zarabia 20 tysięcy mniej niż projektantka Alice. Po drugie, pracownicy mają tam dostęp do informacji finansowych firmy (bilanse, raporty roczne, umowy). Po trzecie, coś można po prostu zgubić, uszkodzić lub ukraść, aby zatrzeć ślady we własnej historii zawodowej.
Magazyn, w którym ktoś jest stratą, ktoś jest skarbem
Jeśli masz magazyn, pamiętaj, że prędzej czy później natkniesz się na przestępców - tak po prostu działa psychologia człowieka, który widzi dużą ilość produktów i mocno wierzy, że trochę dużo to nie rabunek, ale dzielenie się. A jednostka towaru z tej sterty może kosztować 200 tysięcy, 300 tysięcy lub kilka milionów. Niestety nic nie powstrzyma kradzieży poza pedantyczną i całkowitą kontrolą oraz księgowością: kamery, akceptacja i spisywanie za pomocą kodów kreskowych, automatyzacja księgowości magazynowej (np. księgowość magazynu zorganizowana jest w taki sposób, aby kierownik i przełożony mógł w czasie rzeczywistym obserwować przepływ towarów po magazynie).
Dlatego uzbrój swój magazyn po zęby, zapewnij bezpieczeństwo fizyczne przed wrogiem zewnętrznym i pełne bezpieczeństwo przed wrogiem wewnętrznym. Pracownicy transportu, logistyki i magazynów muszą jasno zrozumieć, że jest kontrola, że działa i niemal sami się ukarzą.
*hej, nie wsadzaj rąk w infrastrukturę
Jeśli opowieść o serwerowni i sprzątaczce już się przeżyła i dawno przeniosła się do opowieści o innych branżach (np. ta sama opowiadała o mistycznym wyłączeniu respiratora na tym samym oddziale), to reszta pozostaje rzeczywistością . Bezpieczeństwo sieci i IT małych i średnich firm pozostawia wiele do życzenia, a często nie jest to zależne od tego, czy masz własnego administratora systemu, czy zaproszonego. Ci drudzy często radzą sobie jeszcze lepiej.
Do czego zatem zdolni są pracownicy?
- Najmilszą i najbardziej nieszkodliwą rzeczą jest pójść do serwerowni, pociągnąć za przewody, popatrzeć, rozlać herbatę, zabrudzić lub spróbować samemu coś skonfigurować. Dotyczy to szczególnie „pewnych siebie i zaawansowanych użytkowników”, którzy bohatersko uczą swoich kolegów wyłączania programu antywirusowego i omijania ochrony na komputerze PC, mając pewność, że są wrodzonymi bogami serwerowni. Ogólnie rzecz biorąc, autoryzowany ograniczony dostęp to Twoje wszystko.
- Kradzież sprzętu i wymiana podzespołów. Czy kochasz swoją firmę i zainstalowałeś dla wszystkich wydajne karty graficzne, aby system rozliczeniowy, CRM i wszystko inne mogło działać idealnie? Świetnie! Tylko przebiegli chłopaki (a czasem i dziewczyny) z łatwością zastąpią je domowym modelem, a w domu będą uruchamiać gry na nowym biurowym modelu – ale połowa świata się nie dowie. To samo dotyczy klawiatur, myszy, lodówek, zasilaczy UPS i wszystkiego, co można w jakiś sposób zastąpić w konfiguracji sprzętowej. W rezultacie ponosisz ryzyko uszkodzenia mienia, jego całkowitej utraty, a jednocześnie nie uzyskujesz pożądanej szybkości i jakości pracy z systemami i aplikacjami informatycznymi. Oszczędza to system monitorowania (system ITSM) ze skonfigurowaną kontrolą konfiguracji), który musi być dostarczony w komplecie z nieprzekupnym i pryncypialnym administratorem systemu.
Może chcesz poszukać lepszego systemu bezpieczeństwa? Nie jestem pewien, czy ten znak wystarczy
- Korzystanie z własnych modemów, punktów dostępowych czy pewnego rodzaju współdzielonego Wi-Fi sprawia, że dostęp do plików jest mniej bezpieczny i praktycznie niekontrolowany, co mogą zostać wykorzystane przez atakujących (m.in. w zmowie z pracownikami). Cóż, poza tym prawdopodobieństwo, że pracownik „z własnym Internetem” będzie spędzać godziny pracy na YouTube, stronach humorystycznych i portalach społecznościowych, jest znacznie wyższe.
- Ujednolicone hasła i loginy umożliwiające dostęp do obszaru administracyjnego witryny, CMS i oprogramowania aplikacyjnego to okropna rzecz, która zmienia nieudolnego lub złośliwego pracownika w nieuchwytnego mściciela. Jeśli masz 5 osób z tej samej podsieci, z tym samym loginem/hasłem, które przychodzą, aby wystawić baner, sprawdzić linki reklamowe i metryki, poprawić układ i przesłać aktualizację, nigdy nie zgadniesz, która z nich przypadkowo zamieniła CSS w dynia. A zatem: różne loginy, różne hasła, rejestrowanie działań i różnicowanie praw dostępu.
- Nie trzeba wspominać o nielicencjonowanym oprogramowaniu, które pracownicy przeciągają na swój komputer, aby edytować kilka zdjęć w godzinach pracy lub stworzyć coś bardzo hobbystycznego. Nie słyszałeś o kontroli wydziału „K” Centralnej Dyrekcji Spraw Wewnętrznych? Wtedy ona przyjdzie do ciebie!
- Antywirus powinien działać. Tak, niektóre z nich mogą spowalniać komputer, irytować i ogólnie wydawać się przejawem tchórzostwa, ale lepiej temu zapobiec, niż później płacić przestojami lub, co gorsza, kradzieżą danych.
- Nie należy ignorować ostrzeżeń systemu operacyjnego o niebezpieczeństwach związanych z instalacją aplikacji. Dzisiaj pobranie czegoś do pracy to kwestia sekund i minut. Na przykład edytor Direct.Commander lub AdWords, jakiś parser SEO itp. Jeśli z produktami Yandex i Google wszystko jest mniej więcej jasne, to kolejny picreizer, darmowy program do usuwania wirusów, edytor wideo z trzema efektami, zrzuty ekranu, nagrywarki Skype i inne „małe programy” mogą zaszkodzić zarówno pojedynczemu komputerowi, jak i całej sieci firmowej . Naucz użytkowników, aby czytali, czego chce od nich komputer, zanim zadzwonią do administratora systemu i powiedzą, że „wszystko umarło”. W niektórych firmach problem rozwiązano po prostu: wiele pobranych przydatnych narzędzi jest przechowywanych w udziale sieciowym, a także publikowana jest tam lista odpowiednich rozwiązań online.
- Polityka BYOD lub odwrotnie, polityka zezwalania na korzystanie ze sprzętu roboczego poza biurem to bardzo zła strona bezpieczeństwa. W takim przypadku dostęp do technologii mają krewni, przyjaciele, dzieci, publiczne niezabezpieczone sieci itp. To czysto rosyjska ruletka – możesz grać przez 5 lat i przeżyć, ale możesz stracić lub zniszczyć wszystkie dokumenty i cenne pliki. Cóż, poza tym, jeśli pracownik ma złe zamiary, wystarczy wysłać dwa bajty w celu wycieku danych za pomocą „chodzącego” sprzętu. Należy również pamiętać, że pracownicy często przesyłają pliki między swoimi komputerami osobistymi, co ponownie może powodować luki w zabezpieczeniach.
- Blokowanie urządzeń na czas nieobecności to dobry zwyczaj zarówno w przypadku użytku korporacyjnego, jak i osobistego. Ponownie chroni Cię przed ciekawskimi kolegami, znajomymi i intruzami w miejscach publicznych. Trudno się do tego przyzwyczaić, ale w jednym z miejsc pracy przeżyłem wspaniałe doświadczenie: koledzy podeszli do odblokowanego komputera, a na całym oknie otworzył się Paint z napisem „Zablokuj komputer!” i coś się zmieniło w pracy, np. rozebrano ostatni napompowany zespół lub usunięto ostatni wprowadzony błąd (była to grupa testowa). To okrutne, ale 1-2 razy wystarczyło nawet najbardziej drewnianym. Chociaż podejrzewam, że osoby niebędące specjalistami IT mogą nie rozumieć takiego humoru.
- Ale najgorszy grzech leży oczywiście po stronie administratora systemu i kierownictwa - jeśli kategorycznie nie korzystają z systemów kontroli ruchu, sprzętu, licencji itp.
To oczywiście baza, bo infrastruktura IT to właśnie to miejsce, gdzie im dalej w las, tym więcej drewna na opał. I każdy powinien mieć tę bazę, a nie zastępować ją słowami „wszyscy sobie ufamy”, „jesteśmy rodziną”, „komu to potrzebne” – niestety, to na razie.
To jest Internet, kochanie, mogą dużo o Tobie wiedzieć.
Czas już wprowadzić do zajęć z zakresu bezpieczeństwa życia w szkole zasady bezpiecznego korzystania z Internetu – i wcale nie chodzi tu o środki, w jakie jesteśmy zanurzeni z zewnątrz. Chodzi tu w szczególności o umiejętność odróżnienia linku od linku, zrozumienie, gdzie jest phishing, a gdzie oszustwo, a nie otwieranie bez zrozumienia załączników do wiadomości e-mail o temacie „Raport uzgodnienia” z nieznanego adresu itp. Chociaż wydaje się, że uczniowie już to wszystko opanowali, ale pracownicy nie. Sztuczek i błędów, które mogą zagrozić całej firmie na raz, jest mnóstwo.
- Sieci społecznościowe to część Internetu, dla której nie ma miejsca w pracy, ale blokowanie ich na poziomie firmy w 2019 roku jest działaniem niepopularnym i demotywującym. Wystarczy zatem napisać do wszystkich pracowników, jak sprawdzić nielegalność linków, poinformować ich o rodzajach oszustw i poprosić o pracę w pracy.
- Poczta to newralgiczny punkt i być może najpopularniejszy sposób kradzieży informacji, instalowania złośliwego oprogramowania oraz infekowania komputera i całej sieci. Niestety, wielu pracodawców uważa klienta poczty e-mail za narzędzie oszczędzające koszty i korzysta z bezpłatnych usług, które codziennie odbierają 200 wiadomości spamowych, które przechodzą przez filtry itp. A niektórzy nieodpowiedzialni ludzie otwierają takie listy i załączniki, linki, zdjęcia - najwyraźniej mają nadzieję, że czarny książę pozostawił im spadek. Po czym administrator ma dużo, dużo pracy. A może taki był zamysł? Swoją drogą kolejna okrutna historia: w jednej firmie za każdy spam do administratora systemu spadał KPI. Generalnie po miesiącu spamu nie było – praktyka została przyjęta przez organizację-matkę i spamu nadal nie ma. Rozwiązaliśmy ten problem elegancko - opracowaliśmy własnego klienta poczty e-mail i wbudowaliśmy go w nasz własny , dzięki czemu wszyscy nasi klienci również otrzymują taką wygodną funkcję.
Następnym razem, gdy otrzymasz dziwną wiadomość e-mail z symbolem spinacza do papieru, nie klikaj na nią!
- Komunikatory są również źródłem wszelkiego rodzaju niebezpiecznych linków, ale jest to o wiele mniej szkodliwe niż poczta (nie licząc czasu straconego na gadaniu na czacie).
Wydaje się, że to wszystko są drobnostki. Jednak każda z tych drobnostek może mieć katastrofalne skutki, szczególnie jeśli Twoja firma stanie się celem ataku konkurencji. A to może spotkać dosłownie każdego.
Rozmowni pracownicy
Jest to bardzo ludzki czynnik, którego trudno będzie Ci się pozbyć. Pracownicy mogą rozmawiać o pracy na korytarzu, w kawiarni, na ulicy, w domu klienta, głośno rozmawiać o innym kliencie, rozmawiać o osiągnięciach zawodowych i projektach w domu. Oczywiście prawdopodobieństwo, że za tobą stoi konkurent, jest znikome (jeśli nie jesteś w tym samym centrum biznesowym - tak się stało), ale możliwość, że facet wyraźnie przedstawiający swoje sprawy biznesowe zostanie sfilmowany smartfonem i opublikowany na YouTube jest, co dziwne, wyżej. Ale to też jest bzdura. To nie bzdura, gdy Twoi pracownicy chętnie prezentują informacje o produkcie lub firmie na szkoleniach, konferencjach, spotkaniach, forach branżowych, czy nawet na Habré. Co więcej, ludzie często celowo nawołują do takich rozmów swoich przeciwników, aby przeprowadzić wywiad konkurencyjny.
Odkrywcza historia. Na jednej z galaktycznych konferencji IT prelegent sekcji przedstawił na slajdzie kompletny schemat organizacji infrastruktury IT dużej firmy (20 pierwszych). Projekt był mega imponujący, po prostu kosmiczny, prawie wszyscy go sfotografowali i natychmiast rozprzestrzenił się w sieciach społecznościowych z entuzjastycznymi recenzjami. No cóż, wtedy mówca przyłapał ich na korzystaniu z geotagów, stojaków, mediów społecznościowych. sieci tych, którzy to zamieścili i błagali o usunięcie, ponieważ dość szybko do niego zadzwonili i powiedzieli ah-ta-ta. Gaduła jest darem niebios dla szpiega.
Niewiedza... uwalnia od kary
Według globalnego raportu Kaspersky Lab z 2017 r., obejmującego firmy, które doświadczyły incydentów związanych z cyberbezpieczeństwem w okresie 12 miesięcy, jeden na dziesięć (11%) najpoważniejszych typów incydentów dotyczył nieostrożnych i niedoinformowanych pracowników.
Nie zakładaj, że pracownicy wiedzą wszystko o korporacyjnych środkach bezpieczeństwa, pamiętaj, aby ich ostrzec, zapewnić szkolenia, tworzyć ciekawe okresowe biuletyny na temat kwestii bezpieczeństwa, organizować spotkania przy pizzy i ponownie wyjaśniać kwestie. I tak, fajny lifehack - oznacz wszystkie drukowane i elektroniczne informacje kolorami, znakami, napisami: tajemnica handlowa, tajemnica, do użytku służbowego, ogólnego dostępu. To naprawdę działa.
Współczesny świat postawił firmy w bardzo delikatnej sytuacji: konieczne jest zachowanie równowagi pomiędzy chęcią pracownika, aby nie tylko ciężko pracować w pracy, ale także otrzymywania treści rozrywkowych w tle/w czasie przerw, a rygorystycznymi firmowymi zasadami bezpieczeństwa. Jeśli włączysz hiperkontrolę i kretyńskie programy śledzące (tak, to nie literówka - to nie bezpieczeństwo, to paranoja) i kamery za plecami, to zaufanie pracowników do firmy spadnie, ale utrzymanie zaufania to także narzędzie bezpieczeństwa korporacyjnego .
Dlatego wiedz, kiedy się zatrzymać, szanuj swoich pracowników i rób kopie zapasowe. A co najważniejsze, stawiaj na pierwszym miejscu bezpieczeństwo, a nie osobistą paranoję.
Jeśli potrzebujesz i porównaj ich możliwości z Twoimi celami i zadaniami. Jeśli masz jakieś pytania lub trudności, napisz lub zadzwoń, zorganizujemy dla Ciebie indywidualną prezentację online - bez ocen i bajerów.
, w którym bez reklam piszemy nie do końca formalne rzeczy o CRM i biznesie.
Źródło: www.habr.com