Monday 6 May 2013

Негламурная реальность информационной безопасности в офисе

Информационная безопасность в реальной жизни выглядит гораздо менее гламурно
Информационная безопасность – то, чем я каждый день занимаюсь на работе. Когда я кому-то об этом сообщаю, то глаза собеседника (особенно молодого) обычно округляются, и меня начинают спрашивать о DoS-атаках, хакерском движении “Anonymous” и кибервойнах. В массовом сознании информационная безопасность связана именно с этими удивительными и очень модными темами.
Действительно, в любых новостях из этой области говорится именно об этих и многих других поразительных вещах, которые угрожают компьютерным системам извне. Я же ежедневно занимаюсь более многочисленными и гораздо менее гламурными внутренними угрозами. Я расследую информационные инциденты низкой и средней степени сложности, которые составляют 99% всех информационных угроз в современных организациях.
Внешние угрозы действительно могут принести немало вреда любой организации, и от них необходимо защищаться, но меры защиты от них в основном имеют технический характер. Наличие хороших Интернет-фильтров, антивирусных пакетов, межсетевых экранов (фаерволлов), процедур проверки подлинности пользователя путем паролей, и т.д. может довольно успешно предупреждать внешние атаки. Гораздо сложнее защититься от непредумышленных и особенно умышленных угроз изнутри организации – именно они приносят максимальный вред. Речь идет не только о финансовых убытках, но и репутационных потерях, которые возместить гораздо сложнее.
Предумышленные внутренние угрозы представляют из себя инциденты высокой степени сложности. К таким относятся воровство данных сотрудниками, подделка документов, использование рабочей информации в личных целях и т.д. Такими серьезными проблемами, к счастью, занимаются мои высокооплачиваемые начальники, и каждая из этих проблем решается долго, сложно, с привлечением большого круга участников, иногда и полиции. Я же занимаюсь в основном непредумышленными внутренними угрозами.
Итак, при всем уважении, которое можно испытывать перед тем, что делают хакеры, не они создают большинству организаций главные проблемы. Главная проблема любой организации, как это ни странно звучит, ее же собственные доверенные сотрудники. Ведь, как говорится, ничто человеческое нам всем не чуждо, а уж совершение ошибок – это неотъемлемая часть человеческого существования! Дело только в том, что ошибки, совершенные на работе, приносят вред не нам лично, а другим людям, соответственно, другим людям приходится за эти ошибки расплачиваться. Это несправедливо, и недовольные клиенты могут сильно разозлиться!
Проблем подобного характера возникает в любой организации чрезвычайно много, но решаются они довольно просто и быстро. Если проблема возникает, любому сотруднику ее необходимо увидеть, доложить о ней в отдел информационной безопасности, распространение проблемы необходимо сдержать. В дальнейшем должны быть разработаны соответствующие профилактические меры, а также приняты решения относительно уведомления пострадавших сторон. Непредумышленные проблемы возникают по ошибке, без злого умысла, но именно эти проблемы составляют основную часть реальных информационных угроз в любой современной организации. 
Вот типичная проблема, которыми наполнен каждый мой рабочий день: клиент А приходит в офис, чтобы забрать свои документы, но по ошибке получает не свои, а чужие бумаги (клиента Б). Проблема? Проблема! Документы необходимо получить обратно (и выдать правильные), клиент А должен подтвердить, что документ не был скопирован, в письменном виде пообещать, что не будет разглашать сведения о клиенте Б, почерпнутые из неправильно выданного документа; необходимо выяснить, как так получилось, что документ был неправильно выдан. Если это ошибка сотрудника, то в чем тут дело – знал ли он о том, что нужно делать и просто ошибся, или все было сделано по правилам, но имеется какая-то ошибка в системе. Необходимо принять решение, сообщать ли о случившемся клиенту Б, чьи документы были неправильно выданы. Короче каждый инцидент влечет за собой много вопросов и действий, которые я задаю и совершаю один или в команде. Важно отметить, что большинство этих вопросов не требует доступа к самим документам, мне достаточно знать сам факт ошибки. Поэтому доступа ни к каким закрытым базам данных я не имею, но это мне совершенно не мешает проводить расследования.
Анализ угроз и расследования, которые я провожу, позволяют мне сделать некоторые общие выводы в отношении того, где чаще всего происходят проколы в организациях. В результате этих проколов закрытая информация (номера документов, дни рождения, и другие сведения личного характера, закрытые документы) попадают в неправильные руки. Самыми распространенными причинами нарушений информационной безопасности являются
·         автозаполнение адреса электронной почты в строке «кому»,
·         неправильная обработка документов в закрытых базах данных,
·         ошибки в адресе бумажной корреспонденции,
·         потеря сотрудниками телефонов, компьютеров компании, флэш-дисков с информацией компании,
·         ошибки при отсылке факсов,
·         неправильный сбор документов (когда например документ печатается на общем офисном принтере, а затем берется оттуда сотрудником, но вместе со страницами из других документов),
·         оставление чресчур подробных сообщений на автоответчике клиента,
·         раскрытие сотрудниками своих паролей или других закрытых сведений своим друзьям,
·         месть уволенных сотрудников организации.

Большинство этих нарушений можно легко предупредить:
·         нельзя пользоваться автозаполнением адреса электронной почты,
·         желательно использовать конверты с «окошками» для адреса, а не писать адреса отдельно на конвертах,
·         важно дважды проверять адрес факсов, или лучше вообще ими не пользоваться – слишком часто сотрудники ошибаются с адресами факсов,
·         необходимо дважды проверять отпечатанные многостраничные документы, предназначенные для клиентов, или позволять авторизованным коллегам проверять их,
·         необходимо использование заранее приготовленных сценариев разговора с клиентом или сообщения на его автоответчике,
·         обязательно соблюдение полной конфиденциальности паролей, подписание сотрудниками обязательств по неразглашению информации,
·         необходимо обучать персонал работать с закрытыми базами данных, если закрытые данные приходится сохранять на внешнем носителе типа флэшки, то сохраненные файлы необходимо закрывать хорошим паролем,
·         системный администратор должен регулярно проверять и обновлять уровни доступа сотрудников к информационной системе организации.

Большую роль в моей профессиональной деятельности имеет профилактика информационной безопасности на рабочем месте. В этом смысле мой отдел регулярно проводит встречи с сотрудниками, мы выпускаем ежемесячный бюллетень с анализом имеющихся организационных проблем в сфере информационной безопасности и практическими советами. В этот бюллетень я регулярно пишу статьи «личного» характера, то есть обсуждаю безопасные практики, которые мы можем применять в нашей личной жизни. Некоторые мои статьи я опубликую в дальнейшем в этом блоге.

No comments:

Post a Comment