2008年,我有幸參觀了一家IT公司。 每個員工都存在著某種不健康的緊張情緒。 原因很簡單:手機放在辦公室入口處的一個盒子裡,後面有一個攝像頭,辦公室裡有兩個額外的大型「觀察」攝像頭,以及帶有鍵盤記錄器的監控軟體。 是的,這不是開發 SORM 或飛機生命維持系統的公司,而只是一家商業應用軟體的開發商,現在被吸收、壓垮並且不再存在(這似乎是合乎邏輯的)。 如果你現在伸懶腰並認為在你的辦公室裡有吊床和花瓶裡的M&M 巧克力豆,情況絕對不是這樣,你可能就大錯特錯了- 只是在2 年多的時間裡,控制已經學會了隱形和正確,無需攤牌訪問網站並下載電影。
那麼,如果沒有這一切,真的不可能嗎?但是對人的信任、忠誠和信心又如何呢? 不管你相信與否,有同樣多的公司沒有安全措施。 但員工到處搞砸——僅僅因為人為因素可以摧毀世界,而不僅僅是你的公司。 那麼,您的員工可以在哪裡惡作劇呢?
這不是一篇很嚴肅的帖子,它有兩個作用:讓日常生活變得明亮一點,提醒你經常被遺忘的基本安全事項。 哦,再一次提醒你 ——這樣的軟體不是安全的邊緣嗎? 🙂
讓我們進入隨機模式吧!
密碼、密碼、密碼…
你一說起他們,一股憤慨就會滾滾而來:怎麼可能,他們告訴世人很多次了,但事情仍然存在! 對於各個層級的公司,從個體企業家到跨國公司,這都是一個非常痛處。 有時在我看來,如果明天他們建造了一個真正的死星,管理面板中就會有類似 admin/admin 的東西。 那麼,對於普通用戶來說,他們自己的 VKontakte 頁面比公司帳戶貴得多,我們能期待什麼呢? 以下是需要檢查的要點:
- 將密碼寫在紙上、鍵盤背面、顯示器上、鍵盤下的桌子上、滑鼠底部的貼紙上(狡猾!)——員工絕對不應該這樣做。 並不是因為一個可怕的黑客會在午餐時進來並將所有1C 下載到閃存驅動器上,而是因為辦公室裡可能有一個被冒犯的Sasha,她打算辭職並做一些骯髒的事情或最後一次拿走資訊。 為什麼不在下次午餐時這樣做呢?
這是什麼? 這個東西儲存了我所有的密碼
- 設定簡單的密碼即可進入電腦和工作程序。 出生日期、qwerty123 甚至 asdf 都是屬於笑話和 bashorg 的組合,而不是公司安全系統。 設定密碼及其長度要求,並設定更換頻率。
密碼就像內衣:經常更改,不要與朋友分享,長的更好,保持神秘,不要散得到處都是
- 供應商的預設程式登入密碼有缺陷,因為幾乎所有供應商的員工都知道它們,並且如果您正在處理雲端中基於Web的系統,那麼任何人獲取資料都不困難。 特別是如果您的網路安全也處於「請勿拉線」等級。
- 向員工解釋作業系統中的密碼提示不應類似於“我的生日”、“女兒的名字”、“Gvoz-dika-78545-ap#1!” 用英語。” 或「誇脫、一個一和一個零」。
我的貓給了我很棒的密碼! 他走過我的鍵盤
物理接觸案件
貴公司如何組織對會計和人事文件(例如員工的個人檔案)的存取? 讓我猜:如果是小型企業,那麼在會計部門或老闆辦公室的架子上或壁櫥裡的文件夾中;如果是大型企業,則在人力資源部門的架子上。 但如果它非常大,那麼很可能一切都是正確的:一個帶有磁性鑰匙的單獨辦公室或區塊,只有某些員工可以訪問,並且要到達那裡,您需要呼叫其中一個並在他們在場的情況下進入該節點。 在任何企業中進行這樣的保護都沒有什麼困難,或者至少學會不要用粉筆將辦公室保險箱的密碼寫在門上或牆上(一切都基於真實事件,不要笑)。
為什麼它如此重要? 首先,工人們有一種病態的慾望,想了解彼此最隱密的事情:婚姻狀況、薪資、醫療診斷、教育程度等。 這就是辦公室競爭中的一種妥協。 當設計師 Petya 發現他的收入比設計師 Alice 少 20 萬時,你絕對不會從爭吵中受益。 其次,員工可以存取公司的財務資訊(資產負債表、年度報告、合約)。 第三,為了掩蓋自己工作歷史中的痕跡,某些東西可能會遺失、損壞或被竊。
一個倉庫,有人是損失,有人是寶藏
如果你有倉庫,考慮一下你遲早會遇到犯罪分子——這就是一個人的心理運作方式,他看到大量的產品,並堅信少量不是搶劫,而是分享。 而這堆貨物一單位的價格可能是二十萬,或是三十萬,或是幾百萬。 不幸的是,除了迂腐和全面的控制和會計之外,沒有什麼可以阻止盜竊:攝影機、使用條碼的驗收和核銷、倉庫會計的自動化(例如,在我們的倉庫中) 倉庫會計的組織方式使經理和主管可以即時看到貨物在倉庫中的移動情況)。
因此,要把你的倉庫武裝到牙齒,確保來自外部敵人的物理安全和來自內部敵人的完全安全。 運輸、物流、倉庫的員工必須清楚地體認到,有控制,管用,他們幾乎會懲罰自己。
*嘿,不要把手伸進基礎設施
如果有關伺服器機房和清潔女工的故事已經過時了,並且早已轉移到其他行業的故事中(例如,同一個病房的通風機神秘關閉),那麼其餘的仍然是現實。 中小型企業的網路和 IT 安全性還有很多不足之處,這通常並不取決於您是否擁有自己的系統管理員或受邀的系統管理員。 後者往往處理得更好。
那麼這裡的員工有什麼能力呢?
- 最好、最無害的事情就是去伺服器機房,拉扯電線,看看,灑茶,塗灰塵,或嘗試自己配置一些東西。 這尤其影響到“自信且高級的用戶”,他們英勇地教導同事禁用防毒軟體並繞過 PC 上的保護,並確信自己是伺服器機房的天生之神。 一般來說,授權的有限存取就是您的一切。
- 設備失竊和零件更換。 您是否熱愛您的公司,並為每個人安裝了功能強大的視訊卡,以便計費系統、CRM 和其他一切都能完美運作? 偉大的! 只有狡猾的傢伙(有時是女孩)才會輕鬆地將它們替換為家用模型,並且在家裡他們將在新的辦公室模型上運行遊戲 - 但世界上一半的人不會知道。 鍵盤、滑鼠、冷卻器、UPS 以及所有可以在硬體配置中以某種方式更換的東西也是如此。 因此,您將承擔財產損壞、完全損失的風險,同時您無法獲得資訊系統和應用程式所需的工作速度和品質。 節省的是一個具有已配置配置控制的監控系統(ITSM 系統),該系統必須配備一個廉潔、有原則的系統管理員。
也許您想尋找更好的安全系統? 我不確定這個標誌是否足夠
- 使用您自己的數據機、存取點或某種共用 Wi-Fi 會降低檔案存取的安全性並且幾乎無法控制,這可能會被攻擊者(包括與員工勾結)利用。 除此之外,「擁有自己的網路」的員工將工作時間花在 YouTube、幽默網站和社群網路上的可能性要高得多。
- 用於存取網站管理區域、CMS、應用程式軟體的統一密碼和登入名稱是可怕的事情,它會將無能或惡意的員工變成難以捉摸的復仇者。 如果您有來自同一子網路、具有相同登入/密碼的 5 個人進來張貼橫幅、檢查廣告連結和指標、更正佈局並上傳更新,您永遠猜不到他們中的哪一個不小心將 CSS 變成了南瓜。 因此:不同的登入、不同的密碼、操作記錄和存取權限的區分。
- 不用說,員工將未經許可的軟體拖到他們的電腦上,以便在工作時間編輯幾張照片或創建一些與愛好非常相關的東西。 你沒聽過中央內政總局「K」部門的檢查嗎? 然後她就來找你了!
- 防毒軟體應該可以工作。 是的,其中一些可能會減慢您的電腦速度、激怒您,並且通常看起來像是一種怯懦的表現,但最好是預防它們,而不是以後因停機或更糟的是資料被盜而付出代價。
- 作業系統關於安裝應用程式的危險的警告不應被忽視。 如今,下載工作所需的內容只需幾秒鐘和幾分鐘。 例如,Direct.Commander 或 AdWords 編輯器、一些 SEO 解析器等。 如果Yandex 和Google 產品的一切或多或少都清楚,那麼另一個picreizer、免費的病毒清理程式、具有三種效果的視訊編輯器、螢幕截圖、Skype 錄音機和其他「小程式」可能會損害個人電腦和整個公司網路。 訓練使用者在打電話給系統管理員並說「一切都死了」之前先了解電腦想要從他們那裡得到什麼。 在一些公司中,問題的解決很簡單:許多下載的有用實用程式儲存在網路共享上,並且還發布了合適的線上解決方案清單。
- BYOD 政策,或相反,允許在辦公室外使用工作設備的政策是安全方面非常邪惡的一面。 在這種情況下,親戚、朋友、兒童、公共不受保護的網路等都可以存取該技術。 這純粹是俄羅斯輪盤賭 - 您可以度過 5 年,但您可能會丟失或損壞所有文件和有價值的文件。 好吧,此外,如果員工有惡意,只需發送兩個位元組即可用「行走」設備洩露資料。 您還需要記住,員工經常在個人電腦之間傳輸文件,這又可能會造成安全漏洞。
- 對於公司和個人使用而言,離開時鎖定設備都是一個好習慣。 同樣,它可以保護您免受公共場所好奇的同事、熟人和入侵者的侵害。 很難適應這一點,但在我的一個工作場所,我有一次美妙的經歷:同事走近一台未鎖定的電腦,畫圖程序在整個窗口中打開,上面寫著“鎖定計算機!” 工作中發生了一些變化,例如,最後一個抽氣組件被拆除或最後引入的錯誤被刪除(這是一個測試組)。 這很殘酷,但即使對於大多數木製的來說,1-2次也足夠了。 不過,我懷疑非IT人士可能無法理解這樣的幽默。
- 但當然,最嚴重的罪過在於系統管理員和管理階層──如果他們斷然不使用交通控制系統、設備、許可證等。
這當然是個基地,因為IT基礎建設就是越深入森林越有柴火的地方。 而每個人都應該有這個基礎,而不是被「我們都互相信任」、「我們是一家人」、「誰需要它」這些話所取代——唉,暫時是這樣。
這就是互聯網,寶貝,他們可以了解很多關於你的資訊。
是時候將網路的安全處理引入學校的生命安全課程了——這根本不是我們從外部沉浸其中的措施。 這具體是關於區分連結和連結的能力,了解哪裡是網路釣魚,哪裡是詐騙,在不了解不熟悉的地址的情況下不打開主題為「對帳報告」的電子郵件附件等。 雖然看起來小學生已經掌握了這一切,但員工卻還沒有。 有很多技巧和錯誤可能會立即危及整個公司。
- 社群網路是網路的一部分,在工作上沒有一席之地,但 2019 年在公司層級封鎖社群網路是一項不受歡迎且令人沮喪的措施。 因此,你只需寫信給所有員工如何檢查連結的非法性,告訴他們詐欺的類型並要求他們在工作中工作。
- 郵件是一個痛點,而且可能是竊取資訊、植入惡意軟體以及感染 PC 和整個網路的最受歡迎的方式。 唉,許多雇主認為電子郵件用戶端是一種節省成本的工具,並使用免費服務,每天會收到 200 封通過過濾器的垃圾郵件等。 而一些不負責任的人打開這樣的信件和附件、連結、圖片——顯然,他們希望黑王子給他們留下遺產。 之後管理員就有很多很多的工作要做。 還是本來就是這樣的? 順便說一句,另一個殘酷的故事:在一家公司,每發送一封給系統管理員的垃圾郵件,KPI 就會降低。 一般來說,一個月後沒有垃圾郵件 - 該做法被上級組織採用,並且仍然沒有垃圾郵件。 我們優雅地解決了這個問題 - 我們開發了自己的電子郵件用戶端並將其內置到我們自己的中 ,所以我們所有的客戶也可以獲得這樣一個方便的功能。
下次當您收到帶有回形針符號的奇怪電子郵件時,請不要點擊它!
- 信使也是各種不安全連結的來源,但這比郵件的危害要小得多(不包括在聊天中浪費的時間)。
看來這些都是小事。 然而,這些小事情中的每一個都可能帶來災難性的後果,特別是當您的公司成為競爭對手的攻擊目標時。 這幾乎可能發生在任何人身上。
健談的員工
這是你很難擺脫的人為因素。 員工可以在走廊、咖啡館、街上、客戶家中討論工作,大聲談論另一個客戶,在家中談論工作成就和專案。 當然,競爭對手站在您身後的可能性可以忽略不計(如果您不在同一個商務中心 - 這種情況已經發生),但是一個明確說明其業務事務的人將被用智慧型手機拍攝並發佈在奇怪的是,YouTube 的排名更高。 但這也是廢話。 當您的員工願意在培訓、會議、聚會、專業論壇甚至 Habré 上展示有關產品或公司的資訊時,這並不是廢話。 此外,人們常常故意邀請對手進行此類對話,以進行競爭情報。
一個發人深省的故事。 在一次銀河規模的 IT 會議上,該部分的發言人在幻燈片上展示了一家大公司(前 20 名)IT 基礎設施組織的完整圖表。 這個方案令人印象深刻,簡直是宇宙級的,幾乎每個人都拍下了它,它立即在社交網路上傳播並好評如潮。 好吧,然後演講者使用地理標籤、看台和社交媒體抓住了他們。 那些發布該內容並請求刪除的人的網絡,因為他們很快就打電話給他並說“啊-塔-塔”。 話匣子對間諜來說是天賜之物。
無知…使你免受懲罰
根據卡巴斯基實驗室 2017 年全球企業在 12 個月內經歷網路安全事件的報告,十分之一 (11%) 的最嚴重事件類型涉及粗心和不知情的員工。
不要假設員工了解有關公司安全措施的一切,一定要警告他們,提供培訓,定期製作有關安全問題的有趣時事通訊,一邊吃披薩一邊召開會議並再次澄清問題。 是的,一個很酷的生活小技巧 - 用顏色、標誌、銘文標記所有印刷和電子資訊:商業秘密、秘密、官方使用、一般訪問。 這確實有效。
現代世界使公司處於一個非常微妙的境地:必須在員工不僅要努力工作、還要在後台/休息期間接收娛樂內容的願望與嚴格的公司安全規則之間保持平衡。 如果你打開超級控制和白痴跟踪程序(是的,不是打字錯誤 - 這不是安全,這是偏執)和背後的攝像頭,那麼員工對公司的信任就會下降,但維持信任也是一種公司安全工具。
因此,知道何時停止、尊重員工並做好備份。 最重要的是,優先考慮安全,而不是個人偏執。
如果你需要 並將他們的能力與您的目標進行比較。 如果您有任何問題或困難,請寫信或致電,我們將為您組織單獨的線上演示 - 沒有評級或花里胡哨。
,其中,沒有廣告,我們寫了一些關於 CRM 和業務的不完全正式的東西。
來源: www.habr.com