Сегодня часто можно видеть статьи с описанием всевозможных рисков информационной безопасности, проблем аутентификации, злонамеренного ПО и т. д. Однако, на мой взгляд, в них недостаточное внимание уделяется основному риску. Да-да. Это именно пользователи, вернее персонал.
Говоря о пользователях, стоит понимать, что у персонала в вашей организации существенно различные роли, а значит и вред, который может быть нанесен, будет также различен.
Роль 1. Администратор
Может показаться странным, но администратор — человек и ничего человеческое ему не чуждо. Что же может произойти?
1. Администратор по роду работы имеет доступ ко всей, в том числе конфиденциальной информации. Следовательно, кто мешает ее скопировать? Да никто!
2. Администратор может выделить себе более широкую полосу пропускания канала в Интернет. Соответственно, все остальные в компании могут при этом испытывать недостаток в скорости доступа.
3. «По знакомству» кому-то будет установлено стороннее ПО, не так уж необходимое для работы.
Роль 2. Руководители разного ранга
К великому сожалению, наши руководители никак не научатся тому, что в компьютерной сети правила одинаковы для всех. И если сказано в правилах, что на сайты какой-то категории ходить нельзя, то это значит нельзя всем! Без исключения!
Либо возьмем ситуацию куда более распространенную. В компании проходит обновление ПО. Но какому-то из руководителей срочно нужен, ну захотелось, его ПК. Значит администратор должен извернуться, но сделать так, как требует руководитель.
А кому из ИТ-отдела не знакомо подобное. Пришел директор на работу и заявляет, вот, мол, я увидел у Ивана Петровича вот такой смартфон. И я хочу такой же. Ты уж думай как ты это сделаешь, но смартфон вынь да положь.
И наплевать на политику безопасности. Извернись, а сделай! Я руководитель, что ты мне какие-то бумажки тыкаешь!
Роль 3. Пользователь с ноутбуком
Не так давно меня попросила знакомая посмотреть ноутбук. Она владелица небольшой фирмы. Администратор у них приходящий. На ноутбуке установлено ПО «клиент-банк». Знакомая пожаловалась, что ноутбук медленно работает. Каково же было мое удивление, когда я обнаружил в автозагрузке Агента Mail.ru и подобное ему абсолютно лишнее на рабочем ноутбуке ПО. Оказалось, что этим же ноутбуком некоторое время пользовалась ее взрослая дочь... То есть сама владелица даже не подозревала, что ее взрослая дочь установила туда кучу всякого софта.
Роль 4. Пользователи смартфонов и планшетов
Это самое страшное. Почему? Да потому что уже давно технологии, применяемые в планшетах и смартфонах, обогнали уровень знаний наших пользователей. В наше время, когда смартфоны и планшеты распространяются все шире и шире, основной опасностью является их владелец.
Подумайте, сколько раз вам говорили о том, что на смартфоне нужен PIN-код, а лучше алфавитно-цифровой пароль? А вы его установили? Сколько раз вы слышали, что не стоит отключать ввод PIN-кода смарт-карты? А ведь скорее всего вы его отключили!
Вы внимательно читаете, какие права у вас запрашивает то или иное приложение? Уверен что это не так.
Вы даете поиграть со своим планшетом или смартфоном ребенку? Мой знакомый как-то рассказывал мне, что были в гостях у друзей и там он дал поиграть свой планшет своему ребенку. Через день он обнаруживает комментарий от своего имени в разделе Игры в Google Play. Комментарий написан явно ребенком, да еще и с употреблением матерных выражений. Естественно все претензии к ребенку. Оказалось, что сын дал поиграть на папином планшете своему другу, у которого был в гостях. Тот поставил игрушку, написал комментарии о ней и игрушку удалил. Ни папа, ни сын не знали об этом ни сном, ни духом. А теперь представьте, что на этот планшет была установлена не игра?
А ведь в корпоративной среде все может гораздо серьезней. Ведь очевидно, что тенденция использования личных мобильных устройств сотрудников на работе (Bring Your Own Device, BYOD) вместе с личными мобильными устройствами сотрудников приносит в компанию практически все «потребительские» риски ИБ. Важная корпоративная информация, сохраненная на телефоне сотрудника, может стать ценной добычей для киберпреступников. Применение защитного решения с функциями Mobile Device Management (управление мобильными устройствами), включающими возможность шифрования и удаленного уничтожения информации на смартфоне, поможет сохранить секретную бизнес-информацию в тайне.
Банальное незнание элементарных правил ИБ сотрудниками приводит к возникновению инцидентов. Поэтому в условиях, когда почти каждый сотрудник владеет подключенным к Интернету устройством, обучение правилам безопасного обращения с мобильными устройствами не станет пустой тратой корпоративного бюджета.
И как-то сразу думаешь, что сколько бы ни вкладывалось технических усилий, если человек не хочет выполнять требования, то заставить его весьма и весьма сложно.
На самом деле вывод можно сделать один. В корпоративной среде нет непогрешимых. Учить нужно всех! Правила должны быть едины для всех! Учить персонал нужно регулярно и регулярно требовать выполнение правил. Только так можно построить систему безопасности.
Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.