V roku 2008 som mohol navštíviť IT spoločnosť. V každom zamestnancovi bolo akési nezdravé napätie. Dôvod sa ukázal byť jednoduchý: mobilné telefóny sú v krabici pri vchode do kancelárie, za chrbtom je kamera, 2 veľké doplnkové „pohľadové“ kamery v kancelárii a monitorovací softvér s keyloggerom. A áno, toto nie je spoločnosť, ktorá vyvinula SORM alebo systémy na podporu života lietadiel, ale jednoducho vývojár podnikového aplikačného softvéru, ktorý je teraz absorbovaný, rozdrvený a už neexistuje (čo sa zdá logické). Ak sa teraz naťahujete a myslíte si, že vo vašej kancelárii s hojdacími sieťami a M&M vo vázach to tak rozhodne nie je, môžete sa veľmi mýliť – ide len o to, že za 11 rokov sa kontrola naučila byť neviditeľná a správna, bez prekážok. navštívené stránky a stiahnuté filmy.
Bez tohto všetkého to teda naozaj nejde, ale čo dôvera, lojalita, viera v ľudí? Verte či neverte, rovnako veľa firiem je bez bezpečnostných opatrení. Zamestnancom sa však podarí pokaziť aj tu a tam – jednoducho preto, že ľudský faktor môže ničiť svety, nielen vašu firmu. Kde sa teda vaši zamestnanci môžu dostať k neplechám?
Nejde o veľmi vážny príspevok, ktorý má rovno dve funkcie: trochu spríjemniť každodenný život a pripomenúť základné bezpečnostné veci, na ktoré sa často zabúda. A ešte raz ti to pripomeniem — Nie je takýto softvér hranicou bezpečnosti? 🙂
Poďme v náhodnom režime!
Heslá, heslá, heslá...
Hovoríte o nich a valí sa vlna rozhorčenia: ako je to možné, povedali svetu toľkokrát, ale veci sú stále tam! Vo firmách na všetkých úrovniach, od individuálnych podnikateľov až po nadnárodné korporácie, je to veľmi boľavé miesto. Niekedy sa mi zdá, že ak zajtra postavia skutočnú Hviezdu smrti, v admin paneli bude niečo ako admin/admin. Čo teda môžeme očakávať od bežných používateľov, pre ktorých je vlastná stránka VKontakte oveľa drahšia ako firemný účet? Tu sú body, ktoré treba skontrolovať:
- Písanie hesiel na papieriky, na zadnú stranu klávesnice, na monitor, na stôl pod klávesnicu, na nálepku na spodnej strane myši (prefíkanosť!) – toto by zamestnanci nikdy nemali robiť. A nie preto, že príde strašný hacker a cez obed si stiahne celé 1C na flash disk, ale preto, že v kancelárii môže byť urazený Sasha, ktorý sa chystá skončiť a urobiť niečo špinavé alebo si naposledy vziať informácie. . Prečo to neurobíte pri ďalšom obede?
To je čo? Táto vec ukladá všetky moje heslá
- Nastavenie jednoduchých hesiel pre vstup do PC a pracovných programov. Dátumy narodenia, qwerty123 a dokonca aj asdf sú kombinácie, ktoré patria do vtipov a na bashorga, a nie do firemného bezpečnostného systému. Nastavte požiadavky na heslá a ich dĺžku a nastavte frekvenciu výmeny.
Heslo je ako spodná bielizeň: často ho meňte, nezdieľajte ho s priateľmi, dlhšie je lepšie, buďte tajomní, nerozhadzujte ho všade
- Predvolené prihlasovacie heslá do programu dodávateľa sú chybné, už len preto, že ich poznajú takmer všetci zamestnanci dodávateľa, a ak máte do činenia s webovým systémom v cloude, nebude pre nikoho ťažké získať údaje. Najmä ak máte zabezpečenie siete aj na úrovni „neťahajte za šnúru“.
- Vysvetlite zamestnancom, že nápoveda hesla v operačnom systéme by nemala vyzerať ako „moje narodeniny“, „meno dcéry“, „Gvoz-dika-78545-ap#1! v angličtine." alebo „kvarty a jedna a nula“.
Moja mačka mi dáva skvelé heslá! Prechádza po mojej klávesnici
Fyzický prístup k prípadom
Ako vaša spoločnosť organizuje prístup k účtovnej a personálnej dokumentácii (napríklad k osobným spisom zamestnancov)? Dovoľte mi hádať: ak je to malý podnik, potom v účtovnom oddelení alebo v kancelárii šéfa v priečinkoch na policiach alebo v skrini; ak je to veľký podnik, potom v oddelení ľudských zdrojov na policiach. Ale ak je to veľmi veľké, potom je s najväčšou pravdepodobnosťou všetko správne: samostatná kancelária alebo blok s magnetickým kľúčom, kam majú prístup iba určití zamestnanci a aby ste sa tam dostali, musíte zavolať jedného z nich a ísť do tohto uzla v ich prítomnosti. Urobiť takúto ochranu nie je nič ťažké v akomkoľvek podnikaní, alebo sa aspoň naučiť nepísať heslo do kancelárskeho trezoru kriedou na dvere alebo na stenu (všetko je založené na skutočných udalostiach, nesmejte sa).
Prečo je to dôležité? Po prvé, pracovníci majú patologickú túžbu zistiť o sebe najtajnejšie veci: rodinný stav, plat, lekárske diagnózy, vzdelanie atď. To je taký kompromis v konkurencii kancelárií. A absolútne vám neprospievajú hádky, ktoré vzniknú, keď dizajnér Peťa zistí, že zarába o 20 tisíc menej ako dizajnérka Alice. Po druhé, zamestnanci majú prístup k finančným informáciám spoločnosti (súvahy, výročné správy, zmluvy). Po tretie, niečo sa môže jednoducho stratiť, poškodiť alebo ukradnúť, aby sa zakryli stopy vo vlastnej pracovnej histórii.
Sklad, kde je niekto strata, niekto poklad
Ak máte sklad, zvážte, že skôr či neskôr zaručene natrafíte na zločincov – jednoducho takto funguje psychológia človeka, ktorý vidí veľké množstvo produktov a pevne verí, že málo veľa nie je lúpež, ale zdieľanie. A jednotka tovaru z tejto haldy môže stáť 200 tisíc, alebo 300 tisíc, alebo niekoľko miliónov. Žiaľ, krádeži nezabráni nič okrem pedantskej a totálnej kontroly a účtovníctva: kamery, preberanie a odpisovanie pomocou čiarových kódov, automatizácia skladového účtovníctva (napr. skladové účtovníctvo je organizované tak, že vedúci a vedúci môžu vidieť pohyb tovaru cez sklad v reálnom čase).
Vyzbrojte preto svoj sklad po zuby, zabezpečte si fyzickú bezpečnosť pred vonkajším nepriateľom a úplnú bezpečnosť pred tým vnútorným. Zamestnanci v doprave, logistike a skladoch musia jasne pochopiť, že kontrola existuje, funguje a takmer sa potrestajú.
*Hej, nestrkaj ruky do infraštruktúry
Ak sa príbeh o serverovni a upratovačke už prežil a dlho sa presunul do rozprávok iných odvetví (napríklad ten istý hovoril o mystickom vypnutí ventilátora na tom istom oddelení), zvyšok zostáva realitou. . Sieťová a IT bezpečnosť malých a stredných podnikov ponecháva veľa želaní, a to často nezávisí od toho, či máte vlastného správcu systému alebo prizvaného. Ten druhý sa často vyrovnáva ešte lepšie.
Čoho sú tu teda zamestnanci schopní?
- Najkrajšia a najnebezpečnejšia vec je ísť do serverovne, zatiahnuť za káble, pozrieť sa, rozliať čaj, naniesť špinu alebo sa pokúsiť niečo nakonfigurovať sami. To sa týka najmä „sebavedomých a pokročilých používateľov“, ktorí hrdinsky učia svojich kolegov deaktivovať antivírus a obísť ochranu na PC a sú si istí, že sú vrodenými bohmi serverovej miestnosti. Vo všeobecnosti platí, že autorizovaný obmedzený prístup je pre vás všetko.
- Krádež zariadení a výmena komponentov. Milujete svoju spoločnosť a nainštalovali ste výkonné grafické karty pre každého, aby mohol fakturačný systém, CRM a všetko ostatné perfektne fungovať? Skvelé! Len prefíkaní chlapi (a niekedy aj dievčatá) ich bez problémov nahradia domácim modelom a doma budú behať hry na novom kancelárskom modeli – to sa však polovica sveta nedozvie. Rovnaký príbeh je s klávesnicami, myšami, chladičmi, UPS a všetkým, čo sa dá v rámci hardvérovej konfigurácie nejako nahradiť. Tým pádom znášate riziko škody na majetku, jeho úplnú stratu a zároveň nedostanete požadovanú rýchlosť a kvalitu práce s informačnými systémami a aplikáciami. To, čo šetrí, je monitorovací systém (ITSM systém) s nakonfigurovaným riadením konfigurácie), ktorý musí byť dodaný kompletný s nepodplatiteľným a zásadovým správcom systému.
Možno chcete hľadať lepší bezpečnostný systém? Nie som si istý, či toto znamenie stačí
- Používanie vlastných modemov, prístupových bodov alebo nejakého druhu zdieľanej Wi-Fi robí prístup k súborom menej bezpečným a prakticky nekontrolovateľným, čo môžu využiť útočníci (vrátane tajnej dohody so zamestnancami). Okrem toho je oveľa vyššia pravdepodobnosť, že zamestnanec „s vlastným internetom“ strávi pracovný čas na YouTube, humorných stránkach a sociálnych sieťach.
- Zjednotené heslá a prihlasovacie údaje pre prístup do oblasti správy stránok, CMS, aplikačného softvéru sú hrozné veci, ktoré menia neschopného alebo zlomyseľného zamestnanca na nepolapiteľného pomstiteľa. Ak k vám príde 5 ľudí z rovnakej podsiete s rovnakým prihlasovacím menom/heslom, aby umiestnili banner, skontrolovali reklamné odkazy a metriky, opravili rozloženie a nahrali aktualizáciu, nikdy neuhádnete, ktorý z nich omylom zmenil CSS na tekvica. Preto: rôzne prihlasovacie údaje, iné heslá, logovanie akcií a rozlišovanie prístupových práv.
- Netreba hovoriť o nelicencovanom softvéri, ktorý si zamestnanci preťahujú do svojich počítačov, aby počas pracovnej doby upravili pár fotografií alebo vytvorili niečo, čo súvisí s koníčkom. Nepočuli ste o kontrole oddelenia „K“ Ústredného riaditeľstva vnútra? Potom príde k vám!
- Antivírus by mal fungovať. Áno, niektoré z nich môžu spomaľovať váš počítač, dráždiť vás a vo všeobecnosti sa javia ako prejav zbabelosti, no je lepšie tomu zabrániť, ako neskôr platiť prestojmi alebo v horšom prípade ukradnutými dátami.
- Varovania operačného systému o nebezpečenstvách inštalácie aplikácie by sa nemali ignorovať. Dnes je sťahovanie niečoho do práce otázkou sekúnd a minút. Napríklad Direct.Commander alebo AdWords editor, nejaký SEO parser atď. Ak je všetko viac-menej jasné s produktmi Yandex a Google, potom ďalší picreizer, bezplatný čistič vírusov, editor videa s tromi efektmi, snímky obrazovky, rekordéry Skype a ďalšie „drobné programy“ môžu poškodiť individuálny počítač aj celú firemnú sieť. . Naučte používateľov, aby si prečítali, čo od nich počítač chce, skôr než zavolajú správcu systému a povedia, že „všetko je mŕtve“. V niektorých spoločnostiach je problém vyriešený jednoducho: veľa stiahnutých užitočných nástrojov je uložených v zdieľanej sieti a je tam zverejnený aj zoznam vhodných online riešení.
- Politika BYOD alebo naopak politika povoľovania používania pracovných prostriedkov mimo kancelárie je veľmi zlou stránkou bezpečnosti. V tomto prípade majú k technológii prístup príbuzní, priatelia, deti, verejné nechránené siete atď. Toto je čisto ruská ruleta - môžete ísť 5 rokov a vystačiť si, ale môžete stratiť alebo poškodiť všetky svoje dokumenty a cenné súbory. Okrem toho, ak má zamestnanec zlý úmysel, je to také jednoduché, ako poslať dva bajty na únik údajov pomocou „chodiaceho“ zariadenia. Musíte tiež pamätať na to, že zamestnanci často prenášajú súbory medzi svojimi osobnými počítačmi, čo opäť môže vytvárať bezpečnostné medzery.
- Zamykanie zariadení, keď ste preč, je dobrým zvykom pre firemné aj osobné použitie. Opäť vás ochráni pred zvedavými kolegami, známymi a votrelcami na verejných miestach. Je ťažké si na to zvyknúť, ale na jednom z mojich pracovísk som mal úžasný zážitok: kolegovia sa priblížili k odomknutému počítaču a cez celé okno sa otvorila farba Paint s nápisom „Zamknúť počítač! a niečo sa v práci zmenilo, napríklad posledná nadupaná zostava bola zdemolovaná alebo bola odstránená posledná zavedená chyba (to bola testovacia skupina). Je to kruté, ale 1-2 krát stačilo aj tým najdrevenejším. Aj keď mám podozrenie, že ľudia, ktorí nie sú informatici, nemusia pochopiť takýto humor.
- Ale najhorší hriech, samozrejme, spočíva na správcovi systému a manažmente - ak kategoricky nepoužívajú systémy riadenia dopravy, vybavenie, licencie atď.
To je, samozrejme, základ, pretože IT infraštruktúra je práve tým miestom, kde čím ďalej do lesa, tým viac palivového dreva. A každý by mal mať túto základňu a nemal by byť nahradený slovami „všetci si navzájom dôverujeme“, „sme rodina“, „kto to potrebuje“ - bohužiaľ, zatiaľ je to tak.
Toto je internet, zlatko, môžu o tebe veľa vedieť.
Je čas zaviesť bezpečné zaobchádzanie s internetom do kurzu bezpečnosti života v škole – a to vôbec nie je o opatreniach, do ktorých sme zvonku ponorení. Ide konkrétne o schopnosť rozlíšiť odkaz od odkazu, pochopiť, kde je phishing a kde podvod, neotvárať prílohy e-mailu s predmetom „Správa o vyrovnaní“ z neznámej adresy bez toho, aby ste jej rozumeli atď. Aj keď, zdá sa, školáci už toto všetko zvládli, ale zamestnanci nie. Existuje množstvo trikov a chýb, ktoré môžu naraz ohroziť celú firmu.
- Sociálne siete sú časťou internetu, ktorá nemá v práci miesto, no ich blokovanie na firemnej úrovni v roku 2019 je nepopulárne a demotivujúce opatrenie. Preto stačí napísať všetkým zamestnancom, ako skontrolovať nezákonnosť odkazov, povedať im o typoch podvodov a požiadať ich, aby pracovali v práci.
- Mail je boľavé miesto a možno najpopulárnejší spôsob, ako ukradnúť informácie, nasadiť malvér a infikovať počítač a celú sieť. Bohužiaľ, mnohí zamestnávatelia považujú e-mailového klienta za nástroj na šetrenie nákladov a využívajú bezplatné služby, ktoré denne dostanú 200 spamových e-mailov, ktoré prejdú filtrami atď. A niektorí nezodpovední ľudia otvárajú takéto listy a prílohy, odkazy, obrázky - zrejme dúfajú, že čierny princ pre nich zanechal dedičstvo. Po ktorých má správca veľa, veľa práce. Alebo to tak bolo myslené? Mimochodom, ďalší krutý príbeh: v jednej spoločnosti sa za každý spamový list správcovi systému znížil KPI. Vo všeobecnosti po mesiaci nedošlo k žiadnemu spamu – túto prax prevzala nadradená organizácia a stále sa nevyskytuje žiadny spam. Tento problém sme vyriešili elegantne – vyvinuli sme vlastného emailového klienta a zabudovali sme ho do vlastného , takže všetci naši klienti dostávajú aj takúto pohodlnú funkciu.
Keď nabudúce dostanete zvláštny e-mail so symbolom spinky, neklikajte naň!
- Messengery sú tiež zdrojom najrôznejších nebezpečných odkazov, ale to je oveľa menšie zlo ako pošta (nepočítajúc čas stratený chatovaním v chatoch).
Zdá sa, že sú to všetko maličkosti. Každá z týchto maličkostí však môže mať katastrofálne následky, najmä ak je vaša spoločnosť terčom útoku konkurencie. A to sa môže stať doslova každému.
Chatty zamestnanci
To je práve ten ľudský faktor, ktorého sa budete len ťažko zbavovať. Zamestnanci môžu diskutovať o práci na chodbe, v kaviarni, na ulici, v dome klienta, nahlas hovoriť o inom klientovi, hovoriť o pracovných úspechoch a projektoch doma. Pravdepodobnosť, že za vami stojí konkurent, je samozrejme zanedbateľná (ak nie ste v tom istom obchodnom centre – stalo sa to), ale možnosť, že chlapík, ktorý jasne hovorí o svojich obchodných záležitostiach, bude natočený na smartfón a zverejnený na YouTube je, napodiv, vyššie. Ale aj toto je blbosť. Nie je to svinstvo, keď vaši zamestnanci ochotne prezentujú informácie o produkte alebo spoločnosti na školeniach, konferenciách, stretnutiach, odborných fórach alebo dokonca na Habré. Navyše, ľudia často úmyselne volajú svojich oponentov na takéto rozhovory, aby uskutočnili konkurenčné spravodajstvo.
Odhaľujúci príbeh. Na jednej galaktickej IT konferencii rečník sekcie rozložil na diapozitívu kompletnú schému organizácie IT infraštruktúry veľkej spoločnosti (top 20). Schéma bola mega pôsobivá, jednoducho kozmická, fotografoval ju takmer každý a okamžite obletela sociálne siete s nadšenými recenziami. No potom ich rečník zachytil pomocou geotagov, stojanov, sociálnych médií. siete tých, čo to zverejnili a prosili o vymazanie, lebo sa mu celkom rýchlo ozvali a povedali ach-ta-ta. Chatár je dar z nebies pre špióna.
Nevedomosť... ťa oslobodzuje od trestu
Podľa globálnej správy spoločnosti Kaspersky Lab z roku 2017 o podnikoch, ktoré zažili incidenty kybernetickej bezpečnosti v období 12 mesiacov, jeden z desiatich (11 %) najzávažnejších typov incidentov zahŕňal neopatrných a neinformovaných zamestnancov.
Nepredpokladajte, že zamestnanci vedia všetko o podnikových bezpečnostných opatreniach, nezabudnite ich upozorniť, poskytnúť školenia, pravidelne uverejňovať zaujímavé informačné bulletiny o bezpečnostných otázkach, organizovať stretnutia pri pizzi a znova si vyjasňovať problémy. A áno, skvelý životný hack - označte všetky tlačené a elektronické informácie farbami, znakmi, nápismi: obchodné tajomstvo, tajomstvo, na oficiálne použitie, všeobecný prístup. Toto naozaj funguje.
Moderný svet postavil spoločnosti do veľmi chúlostivej situácie: je potrebné udržiavať rovnováhu medzi túžbou zamestnancov nielen tvrdo pracovať v práci, ale aj prijímať zábavný obsah v pozadí/počas prestávok, a prísnymi firemnými bezpečnostnými pravidlami. Ak zapnete hyperkontrolné a debilné sledovacie programy (áno, nie je to preklep – toto nie je bezpečnosť, toto je paranoja) a kamery za chrbtom, potom dôvera zamestnancov v spoločnosť klesne, ale udržiavanie dôvery je tiež nástrojom podnikovej bezpečnosti.
Preto vedzte, kedy prestať, rešpektujte svojich zamestnancov a robte zálohy. A čo je najdôležitejšie, uprednostňujte bezpečnosť, nie osobnú paranoju.
Ak potrebuješ a porovnať ich schopnosti s vašimi cieľmi a zámermi. Ak máte akékoľvek otázky alebo ťažkosti, napíšte alebo zavolajte, zorganizujeme pre vás individuálnu online prezentáciu - bez hodnotenia alebo zvončekov.
, v ktorej bez reklamy píšeme nie úplne formálne veci o CRM a biznise.
Zdroj: hab.com