Мой почтовый ящик переполнен сейчас пресс-релизами ИТ-компаний, утверждающих, что их продукты — это чудодейственные средства, которые предотвратят новые хищения данных у Sony. Но в действительности панацеи не существует. Это не значит, что вы не способны уберечь свою компанию от превращения в жертву кибер-преступников, но некоторые вторжения невозможно предотвратить. Просто таких должно быть незначительное меньшинство.
Один из наиболее эффективных способов предотвращения крупных хищений данных замечательно прост и весьма недорог.
Во-первых, необходимо знать, что хотя вы не в состоянии полностью решить проблему кражи данных техническими средствами, следует тем не менее использовать доступные технологии, включая брандмауэры, программы фильтрации электронной почты, антивирусы и другие подобные продукты, чтобы держать все под контролем. Это помогает. Применяя лучшие из доступных продуктов, вы можете, по крайней мере, не пропускать в свою сеть основную массу всякой пакости и сосредоточиться на том, что осталось.
Во-вторых, важно не игнорировать ошибки сотрудников, называя их «глупыми проделками пользователей» и в ужасе опуская руки. Хотя почти все крупные взломы сетей являлись результатами ошибок, допущенных пользующимися доверием работниками или подрядчиками, неверно исходить из того, что это просто глупые и потому неизбежные ошибки.
«Просто эти люди хорошо обучены другим специальностям», — сказал CEO компании KnowBe4 Сту Сьёверманн. Но было бы неверно просто оставлять без внимания эти проблемы безопасности, считая их неизбежными проявлениями глупости пользователей. «Глупый пользователь может оказаться высококвалифицированным финансовым директором», — сказал Сьёверманн.
По его мнению, многие сотрудники компаний не обучены ИТ, недостаточно или вовсе не обучены правилам обеспечения безопасности и в результате не обязательно распознают угрозу.
Это одна из причин, по которой Сьёверманн считает ошибкой заявления вроде того, что сделала недавно в интервью CNN Дениз Чжен, заместитель директора Центра стратегических и международных исследований: «Нельзя выпустить исправление для тупости пользователя».
В действительности можно поправить пользователей, которые допускают ошибки при реагировании на кибер-угрозы. Это называется тренинг, и он не обязательно должен быть сложным или дорогостоящим. Он должен быть только непрерывным.
Совет Сьёверманна находит отклик у ряда экспертов по безопасности, которые подчеркивают, что любой эффективный план защиты должен охватывать пользующихся сетью людей. Недавно, когда я говорил с Фрэнком Эбегнейлом об эксплойтах безопасности, он выразил то же мнение, заявив мне, что «при каждом вторжении кто-то делал что-то, чего от него не ждали».
Хотя очевидно, что сотрудники вашей компании представляют слабое звено в системе защиты, есть способ смягчить, если не устранить, проблему. И он заключается не в увольнении работников (несмотря на периодически возникающий соблазн).
А заключается он, как пояснил Сьёверманна, в индивидуальном обучении каждого основам безопасности, которое покажет всем сотрудникам компании, как выглядят угрозы. По его словам, это не должна быть ежегодная лекция по безопасности с кофе и печеньем в перерывах, с демонстрацией навевающих смертельную скуку слайдов PowerPoint.
Напротив, это означает, что кто-то должен действительно сесть рядом с сотрудником ИТ-подразделения и посмотреть, как выглядит в реальности полученное по электронной почте фишинговое сообщение, а также усвоить, что угрозы безопасности могут, например, опустошить его банковские счета. Но главное — это практический опыт, сказал он. Такое индивидуальное обучение должно проводиться с каждым новым сотрудником в процессе его приема на работу, считает Сьёверманн.
Он пояснил: «Вы можете, по меньшей мере, провести тренинг по безопасности в период оформления сотрудника на работу, а затем периодически моделировать фишинговые атаки». При подобном моделировании могут использоваться реальные фишинговые сообщения (в которых нет недостатка) с заменой подлинных ссылок на вредоносные ресурсы такими, которые при попытке перехода по ним поднимут тревогу в ИТ-подразделении. Благодаря этому сотрудники будут понимать, как выглядит фишинговая атака, что поможет им в будущем не стать ее жертвой.
Следует также отметить, что обучение должно быть согласовано с руководством компании. Хотя эффективный тренинг по безопасности не обязательно отнимает большое количество рабочих часов, он все же потребует определенного времени и расходов. «Советы директоров должны понять, что культура важнее соблюдения правил, — сказал Сьёверманн. — Это требует такой инициативы в области безопасности, которая ясно показывает, на что им действительно следует впредь обращать внимание».
Хотя важно, чтобы все сотрудники прошли первоначальный, а затем повторный тренинг по безопасности, подобная инициатива должна начинаться сверху. Кибер-преступники часто нацеливаются на высшее руководство, поскольку оно обладает наиболее широким доступом к тем данным, которые представляют самый желанный объект кражи. Подобно всем работающим в бизнесе, кибер-преступники хотят тратить свои силы с наибольшей эффективностью.
«Кибер-преступность стала профессиональной, — сказал Сьёверманн. — Эти ребята занимаются своим делом ради денег, а время — деньги». Это означает, что они направят свои усилия туда, где украсть проще всего. И это может также означать, что они найдут другую компанию, где сотрудники не столь хорошо обучены. Тогда эта компания станет следующей получившей известность в связи с проникновением в ее сеть.