2008 року мені вдалося побувати в одній ІТ-компанії. У кожному співробітнику зчитувалася якась нездорова напруга. Причина виявилася простою: мобільники — в ящик на вході до кабінету, за спиною — камера, 2 великі додаткові «дивлячі» камери на кабінет і контрольний софт з кейлогером. І так, це не та компанія, яка розробляла СОРМ або системи життєзабезпечення літаків, а просто розробник прикладного бізнес ПЗ, нині поглинений, розчавлений і не існуючий (що здається логічним). Якщо ви зараз потягнулися і думаєте, що у вашому офісі з гамаками та M&M у вазочках такого точно немає, ви можете сильно помилятися – просто за 11 років контроль навчився бути непомітним та коректним, без розборок за відвідані сайти та завантажені фільми.
То невже не можна без цього, а як же довіра, лояльність, віра в людей? Не повірите, але компаній без засобів безпеки не менше. Але співробітники примудряються косячити і там, і там просто тому, що людський фактор здатний руйнувати світи, не те що вашу компанію. Отже, де можуть начудити ваші співробітники?
Це не дуже серйозний пост, який має дві функції: трохи скрасити трудові будні і нагадати про базові штуки в безпеці, які нерідко забуваються. А, та й зайвий раз нагадати про - Хіба такий софт не межа безпеки? 🙂
Погнали у рандомному режимі!
Паролі, паролі, паролі.
Говориш про них і накочує хвиля обурення: як так, скільки разів твердили світові, а віз і нині там! У компаніях усіх рівнів, від ІП до транснаціональної корпорації це дуже хворе місце. Мені іноді здається, що якщо завтра збудують реальну Зірку Смерті, в адмінці буде щось на кшталт admin/admin. Так чого ж чекати від найпростіших користувачів, для яких власна сторінка ВКонтакте набагато дорожче корпоративної обліку? Ось точки, які потрібно перевіряти:
- Запис паролів на папірцях, на звороті клавіатури, на моніторі, на столі під клавіатурою, на наклейці знизу миші (вульгарні!) — співробітники ніколи не повинні цього робити. І не тому, що зайде страшний хакер і за обід скачає всю 1С на флешку, а тому, що в офісі може бути скривджений Сашко, який збирається звільнитися і нагадувати або забрати інформацію наостанок. Чому б це не зробити в черговий обід?
Це те? Ця штука зберігає всі мої паролі
- Встановлення простих паролів на вхід у ПК та на робочі програми. Дати народження, qwerty123 і навіть asdf - це поєднання, яким місце в анекдотах і на башорзі, а не в системі корпоративної безпеки. Встановлюйте вимоги до паролів та їх довжину, виставляйте періодичність заміни.
Пароль це як спідня білизна: міняйте її частіше, не діліться нею зі своїми друзями, довгий — краще, будьте загадковими, не розкидайте всюди
- Паролі вендора на вхід у програму за замовчуванням порочні хоча б тому, що їх знають майже всі співробітники вендора, і, якщо ви маєте справу з web-системою в хмарі, дістати дані не важко ні в кого. Особливо, якщо у вас ще й мережна безпека на рівні «шнур не висмикувати».
- Поясніть співробітникам, що підказка для пароля в операційній системі не має виглядати як «мій день народження», «ім'я доньки», «Гвоз-дика-78545-ап#1! на англ. або «кверті та одиниця з нуліком».
Мій котик видає мені чудові паролі! Він ходить по моїй клавіатурі
Фізичні доступи до справ
Як у вас у компанії організовано доступ до облікової та кадрової документації (наприклад, до особистих справ співробітників)? Дайте вгадаю: якщо невеликий бізнес, то в бухгалтерії чи боса в кабінеті в папках на полицях або в шафі, якщо великий — у відділі кадрів на стелажах. А ось якщо дуже великий, то, швидше за все, все правильно: окремий кабінет або блок з магнітним ключем, куди мають доступ лише окремі співробітники і, щоб туди потрапити, потрібно зателефонувати комусь із них і зайти в цей вузол у їхній присутності. Немає нічого складного в тому, щоб зробити такий захист у будь-якому бізнесі або хоча б навчитися не писати пароль від офісного сейфа дрібним на дверях або на стіні (все ґрунтується на реальних подіях, не смійтеся).
Чому це важливо? По-перше, у працівників є патологічний потяг дізнатися один про одного найтаємніше: сімейний стан, розмір заробітної плати, медичні діагнози, освіта і т.д. Це такий компромат у офісній конкурентній боротьбі. І вам зовсім не на руку ті чвари, які виникнуть, коли дизайнер Петя дізнається, що він отримує на 20 тис. менше, ніж дизайнер Аліса. По-друге, там-таки співробітники можуть отримати доступ до фінансової інформації компанії (баланси, річні звіти, договори). По-третє, елементарно щось може бути втрачено, зіпсовано чи викрадено з метою заміни слідів у своїй трудовій біографії.
Склад, де комусь збиток, комусь скарб
Якщо у вас є склад, вважайте, що ви рано чи пізно гарантовано зіткнетеся з правопорушниками - просто так влаштована психологія людини, яка бачить великий обсяг продукції і твердо вірить, що багато потроху - не грабіж, а поділ. А одиниця товару з цієї купи може коштувати і 200 тис., і 300 тис., і кілька мільйонів. На жаль, розкрадання не може зупинити нічого, крім педантичного та тотального контролю та обліку: камери, приймання та списання по штрих-кодах, автоматизація складського обліку (наприклад, у нашій складський облік організований таким чином, що менеджер та керівник можуть бачити рухи товару по складу в режимі реального часу).
Тому озброїте свій склад до зубів, забезпечте фізичну безпеку від зовнішнього ворога та повну безпеку від внутрішнього. Співробітники на транспорті, в логістиці, на складі повинні чітко усвідомлювати, що контроль є, він працює і що вони самі себе покарають.
*уки, не суньте в інфраструктуру руки
Якщо історія про серверну і прибиральницю вже пережила сама себе і давно перекочувала в байки інших галузей (наприклад, така ж ходила про містичне відключення ШВЛ в одній палаті), то інші так і залишаються реальністю. Мережева та ІТ-безпека компанії в малому та середньому бізнесі залишають бажати кращого, причому це часто не залежить від того, свій у вас сисадмін або запрошений. Останній нерідко справляється навіть краще.
Отже, на що здатні тут співробітники?
- Наймиліше і нешкідливе - сходити в серверну, смикати дроти, подивитися, пролити чай, завдати бруду або самостійно спробувати щось налаштувати. Особливо на це хворіють «впевнені та просунуті користувачі», які геройськи вчать колег відключати антивірус і обходити захист на ПК і впевнені, що вони вроджені боги серверної. Загалом авторизований обмежений доступ — ваше все.
- Розкрадання обладнання та заміна компонентів. Ви любите свою компанію та поставили всім потужні відеокарти, щоб чудово працювали білінгова система, CRM та все інше? Чудово! Тільки хитрі хлопці (а іноді й дівчата) запросто замінять їх на домашню, а вдома ганятимуть ігри на новій офісній моделі — півсвіту не впізнає. Та ж історія з клавіатурами, мишами, кулерами, ДБЖ та всім тим, що можна якось підмінити в рамках металевої конфігурації. У результаті ви несете ризик псування майна, його повної зникнення і одночасно не отримуєте бажану швидкість та якість роботи з інформаційними системами та додатками. Рятує система моніторингу (ITSM-система) з налаштованим контролем конфігурацій), яка має поставлятися в комплекті з непідкупним та принциповим сисадміном.
Може, ти хочеш пошукати систему безпеки краще? Не впевнений, що цього знака достатньо
- Використання своїх модемів, точок доступу, якогось спільного Wi-Fi робить доступ до файлів менш захищеним та практично неконтрольованим, ніж можуть скористатися зловмисники (у тому числі у змові зі співробітниками). Ну і до того ж, ймовірність того, що співробітник «зі своїм інтернетом» просиджуватиме робочий час на ютубі, гумористичних сайтах та в соцмережах, набагато вища.
- Єдині паролі та логіни для доступу в адмінку сайту, CMS, прикладне ПЗ - страшні штуки, що перетворюють невмілого або злісного співробітника в невловимого месника. Якщо у вас 5 людей з однієї підмережі під одним логіном/паролем зайшли повісити банер, перевірити рекламні посилання та метрики, поправити верстку та залити апдейт, ви ніколи не вгадаєте, хто з них випадково перетворив CSS на гарбуз. Тому: різні логіни, різні паролі, логування дій та розмежування прав доступу.
- Чи варто говорити про неліцензійне програмне забезпечення, яке тягнуть співробітники до себе на ПК, щоб відредагувати в робочий час пару фоток або зверстати щось там дуже хобі. Чи не чули про перевірку відділу «К» ГУВС? Тоді вона йде до вас!
- Антивірус має працювати. Так, деякі з них можуть гальмувати роботу ПК, дратувати і взагалі здаватися ознакою боягузтво, але краще запобігти, ніж потім розплачуватися простоєм у роботі або, гірше, краденими даними.
- Попередження операційної системи про небезпеку встановлення програми не повинні ігноруватися. Сьогодні скачати щось для роботи — справа лічені секунди та хвилини. Наприклад, Директ.Коммандер або редактор Адвордс, якийсь SEO-парсер та ін. Якщо з продуктами Яндекса та Гугла все більш-менш ясно, то ось черговий пікресайзер, безкоштовний клінер вірусів, відеоредактор з трьома ефектами, скріншотилки, записувальні скайпи та інші «крихітні програмки» можуть завдати шкоди як окремому ПК, так і всій мережі компанії. Привчіть користувачів читати, що від них хоче комп'ютер, до того, як вони подзвонять сисадміну і скажуть, що все померло. У деяких компаніях питання вирішується просто: багато завантажених корисних утиліт лежить на мережній кулі, там же розміщується список придатних онлайн-рішень.
- Політика BYOD або навпаки політика дозволу користування робочою технікою поза офісом — дуже зла сторона безпеки. У цьому випадку до техніки мають доступ рідні, знайомі, діти, публічні незахищені мережі та ін. Це суто російська рулетка - можна 5 років ходити і обійдеться, а можна втратити або зіпсувати всі документи та цінні файли. Ну і крім того, якщо у співробітника є злий умисел, з обладнанням, що «гуляє», злити дані реально як два байти переслати. Також потрібно пам'ятати, що співробітники часто передають файли між своїми персональними комп'ютерами, що знову-таки може створити лазівки у безпеці.
- Блокування пристроїв під час відсутності – гарна звичка як у корпоративній, так і в особистій сфері. Знову ж таки, уберігає від цікавих колег, знайомих та зловмисників у публічних місцях. До цього важко привчити, але на одному з моїх місць роботи був чудовий досвід: до незалоченого ПК підходили колеги, на все вікно розгортався Paint з написом "Хоч комп!" і щось змінювалося в роботі, наприклад, зносилося останнє накачене складання або видалявся останній заведений баг (це була група тестування). Жорстоко, але 1-2 разів вистачало навіть для дерев'яних. Хоча, підозрюю, не-айтішники можуть і не зрозуміти такого гумору.
- Але найстрашніший гріх, звісно, лежить на сисадміні та настанові — у тому випадку, якщо вони категорично не використовують системи контролю трафіку, обладнання, ліцензій тощо.
Це, звісно, база, бо ІТ-інфраструктура — те саме місце, де що далі в ліс, то більше дров. І ця база має бути у всіх, а не замінюватись словами «у нас всі один одному довіряють», «ми сім'я», «та кому воно треба» — на жаль, це до певного часу.
Це інтернет, дитинко, тут можуть багато про тебе знати
Безпечне поводження з інтернетом настав час вводити в курс ОБЖ у школі — і це зовсім не про ті заходи, в які нас занурюють ззовні. Це саме про вміння відрізнити посилання від посилання, зрозуміти де фішинг, а де розлучення, не відкривати вкладення листів з темою «Акт звірки» від незнайомої адреси, не розібравшись і т.д. Хоча, здається, школярі все це вже освоїли, а ось співробітники — ні. Є купа хитрощів і помилок, які можуть поставити під загрозу всю компанію разом.
- Соціальні мережі — розділ інтернету, якому не місце на роботі, але блокувати їх на рівні компанії в 2019 році захід непопулярний і демотивуючий. Тому потрібно просто написати всім співробітникам, як перевіряти нелегальність посилань, розповісти про види шахрайства та попросити на роботі працювати.
- Пошта - хворе місце і чи не найпопулярніший спосіб викрасти інформацію, підсадити шкідливе програмне забезпечення, заразити ПК і всю мережу. На жаль, багато роботодавців вважають поштовий клієнт предметом економії і користуються безкоштовними сервісами, в які сипається по 200 листів спаму на день, який лізе через фільтри і т.д. А деякі несвідомі особи відкривають такі листи та вкладення, посилання, картинки — мабуть, сподіваються, що негритянський принц залишив спадок саме їм. Після чого у адміна з'являється багато роботи. Чи так і було задумано? До речі, ще одна жорстока історія: в одній компанії за кожен лист спаму сисадміну знижували KPI. Загалом через місяць спаму не було — практика перейнята головною організацією, і спаму немає досі. Ми ж вирішили це питання витончено — розробили свій поштовий клієнт і вбудували його у свою ж Тому всі наші клієнти теж отримують таку зручну фічу.
Наступного разу, коли отримаєш дивний лист зі знаком скріпки, не клакай по ній!
- Месенджери теж джерело будь-яких небезпечних посилань, але це набагато менше зло, ніж пошта (не рахуючи часу, вбитого на балаканину в чатах).
Здається, це дрібниці. Однак кожна з цих дрібниць може мати катастрофічні наслідки, особливо якщо ваша компанія — мета атаки конкурентів. А це може статися буквально з кожним.
Балакучі співробітники
Це той самий людський фактор, якого вам буде важко позбутися. Співробітники можуть обговорювати роботу в коридорі, в кафе, на вулиці, у клієнта голосно говорити про іншого клієнта, розповідати про трудові досягнення та проекти будинку. Звичайно, ймовірність того, що за спиною стоїть конкурент, мізерно мала (якщо ви не в одному БЦ — таке бувало), а ось того, що бізнес-справи, що чітко викладає, хлопця знімуть на смартфон і викладуть на YouTube, як не дивно вище. Але це фігня. Не фігня, коли ваші співробітники охоче викладають інформацію про продукт чи компанію на тренінгах, конференціях, мітапах, професійних форумах, та хоч на Хабрі. Тим більше, що нерідко люди спеціально викликають опонента на такі розмови, щоби провести конкурентну розвідку.
Показова історія. На одній ІТ-конференції галактичного масштабу речник секції виклав на слайді повну схему організації ІТ-інфраструктури великої компанії (топ-20). Схема була мега вражаюча, просто космічна, її сфотографували майже все, і вона миттєво полетіла соціальними мережами із захопленими відгуками. Ну а потім спікер відловлював геотеги, стенди, соц. мережам застиглих і благав видалити, бо йому досить швидко подзвонили і сказали а-та-та. Болтун - знахідка для шпигуна.
Незнання… звільняє від покарання
Згідно з глобальним звітом Лабораторії Касперського за 2017 рік серед підприємств, що зіткнулися з інцидентами кібербезпеки за 12 місяців, один із десяти (11%) найбільш серйозних типів інцидентів стосувався недбалих та не поінформованих співробітників.
Не припускайте, що співробітники знають все про заходи корпоративної безпеки, обов'язково попередьте їх, проведіть навчання, зробіть цікаві періодичні розсилки про проблеми безпеки, проведіть зустрічі за піцею та роз'ясніть ще раз. Так, класний лайфхак — маркуйте всю друковану та електронну інформацію кольором, знаками, написами: комерційна таємниця, секретно, для службового користування, загальний доступ. Це реально працює.
Сучасний світ поставив компанії в дуже делікатне становище: потрібно дотриматися балансу між прагненням співробітника на роботі не тільки орати, а й тлом/у перервах отримувати розважальний контент і суворими правилами корпоративної безпеки. Якщо ви включите гіперконтроль і дебільні програми стеження (так, не друкарська помилка — це не безпека, це параноя) і камери за спиною, то довіра співробітників до компанії впаде, а збереження довіри — теж інструмент корпоративної безпеки.
Тому знайте міру, поважайте співробітників, робіть бекапи. І головне — ставте в основу саме безпеку, а не персональну параною.
Якщо вам потрібна та зіставте їх можливості зі своїми цілями та завданнями. Будуть питання і труднощі — пишіть, телефонуйте, ми організуємо для вас індивідуальну онлайн презентацію — без рейтингів і пузомірок.
, В якому без реклами пишемо не зовсім формальні речі про CRM та бізнес.
Джерело: habr.com