Корпоративная небезопасность

В 2008 году мне удалось побывать в одной ИТ-компании. В каждом сотруднике считывалось какое-то нездоровое напряжение. Причина оказалась проста: мобильники — в ящик на входе в кабинет, за спиной — камера, 2 больших  дополнительных «смотрящих» камеры на кабинет и контролирующий софт с кейлогером. И да, это не та компания, которая разрабатывала СОРМ или системы жизнеобеспечения самолётов, а просто разработчик прикладного бизнес ПО, ныне поглощённый, раздавленный и больше не существующий (что кажется логичным). Если вы сейчас потянулись и думаете, что в вашем офисе с гамаками и M&M в вазочках такого точно нет, вы можете сильно ошибаться — просто за 11 лет контроль научился быть незаметным и корректным, без разборок за посещённые сайты и скачанные фильмы.

Так неужели нельзя без всего этого, а как же доверие, лояльность, вера в людей? Не поверите, но компаний без средств безопасности не меньше. Но сотрудники умудряются косячить и там, и там — просто потому что человеческий фактор способен рушить миры, не то что вашу компанию. Итак, где же могут начудить ваши сотрудники?

fbd12ee7221ea2e0f294ec9afe6b61f9.jpg
Это не очень серьёзный пост, у которого ровно две функции: немного скрасить трудовые будни и напомнить о базовых штуках в безопасности, которые нередко забываются. А, ну и лишний раз напомнить о классной и защищенной CRM-системе — разве такой софт не грань безопасности? :-)

Погнали в рандомном режиме!

Пароли, пароли, пароли…


Говоришь о них и накатывает волна возмущения: как так, уж сколько раз твердили миру, а воз и ныне там! В компаниях всех уровней, от ИП до транснациональной корпорации, это очень больное место. Мне иногда кажется, что если завтра построят реальную Звезду Смерти, в админке будет что-то типа admin/admin. Так чего же ждать от простых юзеров, для которых собственная страничка ВКонтакте гораздо дороже корпоративной учётки? Вот точки, которые нужно проверять:

  • Запись паролей на бумажках, на обороте клавиатуры, на мониторе, на столе под клавиатурой, на наклейке снизу мыши (ушлые!) — сотрудники никогда не должны этого делать. И не потому что зайдёт страшный хакер и за обед скачает всю 1С на флешку, а потому что в офисе может быть обиженный Саша, который собирается уволиться и нагадить или забрать информацию напоследок. Почему бы это не сделать в очередной обед?


89796b23b74197aadcab25362a480080.png


Это-то? Эта штука хранит все мои пароли

  • Установление простых паролей на вход в ПК и на рабочие программы. Даты рождения, qwerty123 и даже asdf — это сочетания, которым место в анекдотах и на башорге, а не в системе корпоративной безопасности. Устанавливайте требования к паролям и их длине, выставляйте периодичность замены.


8de0c3594b3394ba28dafc551294913e.jpg


Пароль это как нижнее бельё: меняйте его чаще, не делитесь им со своими друзьями, длинный — лучше, будьте загадочными, не разбрасывайте повсюду

  • Пароли вендора на вход в программу по умолчанию порочны хотя бы потому, что их знают почти все сотрудники вендора, и, если вы имеете дело с web-системой в облаке, достать данные не составит труда ни у кого. Особенно, если у вас ещё и сетевая безопасность на уровне «шнур не выдёргивать».
  • Объясните сотрудникам, что подсказка для пароля в операционной системе не должна выглядеть как «мой день рождения», «имя дочки», «Гвоз-дика-78545-ап#1! на англ.» или «кверти и единичка с ноликом».    


997cdb0aca1d7d7c998f3e4279b34495.jpg


Мой котик выдаёт мне великолепные пароли! Он прогуливается по моей клавиатуре

Физические доступы к делам


Как у вас в компании организован доступ к учётной и кадровой документации (например, к личным делам сотрудников)? Дайте угадаю: если небольшой бизнес, то в бухгалтерии или у босса в кабинете в папках на полках или в шкафу, если большой — в отделе кадров на стеллажах. А вот если очень большой, то скорее всего, всё правильно: отдельный кабинет или блок с магнитным ключом, куда имеют доступ только отдельные сотрудники и, чтобы туда попасть, нужно позвонить кому-то из них и зайти в этот узел в их присутствии. Нет ничего сложного в том, чтобы сделать такую защиту в любом бизнесе или хотя бы научиться не писать пароль от офисного сейфа мелком на двери или на стене (всё основано на реальных событиях, не смейтесь).

Почему это важно? Во-первых, у работников есть патологическая тяга узнать друг о друге самое тайное: семейное положение, размер заработной платы, медицинские диагнозы, образование и т.д. Это такой компромат в офисной конкурентной борьбе. И вам совершенно не на руку те дрязги, которые возникнут, когда дизайнер Петя узнает, что он получает на 20 тыс. меньше, чем дизайнер Алиса. Во-вторых, там же сотрудники могут получить доступ к финансовой информации компании (балансы, годовые отчёты, договоры). В-третьих, элементарно что-то может быть утрачено, испорчено или похищено с целью замести следы в своей же трудовой биографии.

Склад, где кому-то убыток, кому-то — клад


Если у вас есть склад, считайте, что вы рано или поздно гарантированно столкнётесь  с правонарушителями — просто так устроена психология человека, который видит большой объём продукции и твёрдо верит, что от многого понемножку — не грабёж, а делёжка. А единица товара из этой кучи может стоить и 200 тыс., и 300 тыс., и несколько миллионов. К сожалению, хищения не может остановить ничего, кроме педантичного и тотального контроля и учёта: камеры, приёмка и списание по штрих-кодам, автоматизация складского учёта (например, в нашей RegionSoft CRM складской учёт организован таким образом, что менеджер и руководитель могут видеть движения товара по складу в режиме реального времени).

Поэтому вооружите свой склад до зубов, обеспечьте физическую безопасность от внешнего врага и полную безопасность — от внутреннего. Сотрудники на транспорте, в логистике, на складе должны чётко осознавать, что контроль есть, он работает и чуть что они сами себя накажут.

*уки, не суйте в инфраструктуру руки


Если история про серверную и уборщицу уже пережила сама себя и давно перекочевала в байки других отраслей (например, такая же ходила про мистическое отключение ИВЛ в одной и той же палате), то остальные так и остаются реальностью. Сетевая и ИТ-безопасность компании в малом и среднем бизнесе оставляют желать лучшего, причём это часто не зависит от того, свой у вас сисадмин или приглашённый. Последний нередко справляется даже лучше.

Итак, на что способны сотрудники здесь?

  • Самое милое и безобидное — сходить в серверную, подёргать провода, посмотреть, пролить чай, нанести грязи или самостоятельно попробовать что-то настроить. Особенно этим болеют «уверенные и продвинутые пользователи», которые геройски учат коллег отключать антивирус и обходить защиту на ПК и уверены, что они врожденные боги серверной. В общем, авторизованный ограниченный доступ — ваше всё.
  • Хищение оборудования и подмена компонентов. Вы любите свою компанию и поставили всем мощные видеокарты, чтобы отлично работали биллинговая система, CRM и всё остальное? Отлично! Только хитрые парни (а иногда и девушки) запросто заменят их на домашнюю, а дома будут гонять игры на новой офисной модели — полмира же не узнает. Та же история с клавиатурами, мышами, кулерами, ИБП и всем тем, что можно как-то подменить в рамках железной конфигурации. В итоге вы несёте риск порчи имущества, его полной пропажи и одновременно не получаете желаемую скорость и качество работы с информационными системами и приложениями. Спасает система мониторинга (ITSM-система) с настроенным контролем конфигураций), которая должна поставляться в комплекте с неподкупным и принципиальным сисадмином.


e5baf9d85556c01cc1a67ec0adabd5e8.png


Может, ты хочешь поискать систему безопасности получше? Не уверен, что этого вот знака достаточно

  • Использование своих модемов, точек доступа, какого-нибудь совместного Wi-Fi делает доступ к файлам менее защищённым и практически неконтролируемым, чем могут воспользоваться злоумышленники (в том числе в сговоре с сотрудниками). Ну и к тому же, вероятность того, что сотрудник «со своим интернетом» будет просиживать рабочее время на ютубе, юмористических сайтах и в соцсетях, гораздо выше.  
  • Единые пароли и логины для доступа в админку сайта, CMS, прикладное ПО — страшные штуки, превращающие неумелого или злостного сотрудника в неуловимого мстителя. Если у вас 5 человек из одной подсети под одним логином/паролем зашли повесить баннер, проверить рекламные ссылки и метрики, поправить вёрстку и залить апдейт, вы никогда не угадаете, кто из них случайно превратил CSS в тыкву. Поэтому: разные логины, разные пароли, логирование действий и разграничение прав доступа.
  • Стоит ли говорить про нелицензионное ПО, которое тащат сотрудники к себе на ПК, чтобы отредактировать в рабочее время пару фоток или сверстать что-то там сильно хоббийное. Не слышали про проверку отдела «К» ГУВД? Тогда она идёт к вам!
  • Антивирус должен работать. Да, некоторые из них могут тормозить работу ПК, раздражать и вообще казаться признаком трусости, но лучше предотвратить, чем потом расплачиваться простоем в работе или, чего хуже, крадеными данными.
  • Предупреждения операционной системы об опасности установки приложения не должны игнорироваться. Сегодня скачать что-то для работы — дело считанных секунд и минут. Например, Директ.Коммандер или редактор Адвордс, какой-нибудь SEO-парсер и проч. Если с продуктами Яндекса и Гугла всё более-менее ясно, то вот очередной пикресайзер, бесплатный клинер вирусов, видеоредактор с тремя эффектами, скриншотилки, записывалки скайпа и прочие «крохотные программки» могут нанести вред как отдельному ПК, так и всей сети компании. Приучите пользователей читать, что от них хочет компьютер, до того, как они позвонят сисадмину и скажут, что «всё умерло». В некоторых компаниях вопрос решается просто: много скачанных полезных утилит лежит на сетевой шаре, там же размещается список годных онлайн-решений.
  • Политика BYOD или, наоборот, политика разрешения пользования рабочей техникой вне офиса — очень злая сторона безопасности. В этом случае к технике имеют доступ родные, знакомые, дети, публичные незащищённые сети и проч. Это чисто русская рулетка — можно 5 лет ходить и обойдётся, а можно потерять или испортить все документы и ценные файлы. Ну и кроме того, если у сотрудника есть злой умысел, с «гуляющим» оборудованием слить данные реально как два байта переслать. Также нужно помнить, что сотрудники часто передают файлы между своими персональными компьютерами, что опять-таки может создать лазейки в безопасности.
  • Блокирование устройств во время отсутствия — хорошая привычка как в корпоративной, так и в личной сфере. Опять же, уберегает от любопытных коллег, знакомых и злоумышленников в публичных местах. К этому трудно приучить, но на одном из моих мест работы был прекрасный опыт: к незалоченному ПК подходили коллеги, на всё окно разворачивался Paint с надписью «Лочь комп!» и что-то менялось в работе, например, сносилась последняя накаченная сборка или удалялся последний заведённый баг (это была группа тестирования). Жестоко, но 1–2 раз хватало даже для самых деревянных. Хотя, подозреваю, не-айтишники могут и не понять такого юмора.
  • Но самый страшный грех, конечно, лежит на сисадмине и руководстве — в том случае, если они категорически не используют системы контроля трафика, оборудования, лицензий и т.д.


Это, конечно, база, потому что ИТ-инфраструктура — то самое место, где чем дальше в лес, тем больше дров. И эта база должна быть у всех, а не заменяться словами «у нас все друг другу доверяют», «мы семья», «да кому оно надо» — увы, это до поры до времени.

Это интернет, детка, тут могут о тебе много знать


Безопасное обращение с интернетом пора вводить в курс ОБЖ в школе — и это совсем не про те меры, в которые нас погружают извне. Это именно про умение отличить ссылку от ссылки, понять, где фишинг, а где развод, не открывать вложения писем с темой «Акт сверки» от незнакомого адреса, не разобравшись и т.д. Хотя, кажется, школьники это всё уже освоили, а вот сотрудники — нет. Есть куча уловок и ошибок, которые могут поставить под угрозу всю компанию разом.

  • Социальные сети — раздел интернета, которому не место на работе, но блокировать их на уровне компании в 2019 году мера непопулярная и демотивирующая. Поэтому нужно просто написать всем сотрудникам, как проверять нелегальность ссылок, рассказать о видах мошенничества и попросить на работе работать.


16c97207dc96a6a89cc343476f5121c4.jpg


  • Почта — больное место и едва ли не самый популярный способ угнать информацию, подсадить вредоносное ПО, заразить ПК и всю сеть. Увы, но многие работодатели считают почтовый клиент предметом экономии и пользуются бесплатными сервисами, в которые сыпется по 200 писем спама в день, который лезет через фильтры и т.д. А некоторые несознательные особы открывают такие письма и вложения, ссылки, картинки —  видимо, надеются, что негритянский принц оставил наследство именно им. После чего у админа появляется много-много работы. Или так и было задумано? Кстати, ещё одна жестокая история: в одной компании за каждое письмо спама сисадмину снижали KPI. В общем, через месяц спама не было — практика перенята головной организацией, и спама нет до сих пор. Мы же решили этот вопрос изящно — разработали свой почтовый клиент и встроили его в свою же RegionSoft CRM, поэтому все наши клиенты тоже получают такую удобную фичу.


229f666d0741ab4389730331af9e4b19.png


В следующий раз, когда получишь странное письмо со знаком скрепочки, не кликай по ней!

  • Мессенджеры тоже источник всяких небезопасных ссылок, но это гораздо меньшее зло, чем почта (не считая времени, убитого на трепотню в чатах).


Кажется, это всё мелочи. Однако каждая из этих мелочей может иметь катастрофические последствия, особенно, если ваша компания — цель атаки конкурентов. А это может случиться буквально с каждым.

372d4817b9131c5b8fae3512ab92c6ee.png


Болтливые сотрудники


Это тот самый человеческий фактор, от которого вам будет трудно избавиться. Сотрудники могут обсуждать работу в коридоре, в кафе, на улице, у клиента громко говорить о другом клиенте, рассказывать о трудовых достижениях и проектах дома. Конечно, вероятность того, что за спиной стоит конкурент, ничтожно мала (если вы не в одном БЦ — такое бывало), а вот того, что чётко излагающего бизнес-дела парня снимут на смартфон и выложат на YouTube, как ни странно выше. Но и это фигня. Не фигня, когда ваши сотрудники охотно излагают информацию о продукте или компании на тренингах, конференциях, митапах, профессиональных форумах, да хоть на Хабре. Тем более что нередко люди специально вызывают оппонента на такие разговоры, чтобы провести конкурентную разведку.

Показательная история. На одной ИТ-конференции галактического масштаба спикер секции выложил на слайде полную схему организации ИТ-инфраструктуры большой компании (топ-20). Схема была мега впечатляющая, просто космическая, её сфотографировали почти все, и она мгновенно полетела по социальным сетям с восторженными отзывами. Ну, а потом спикер отлавливал по геотегам, стендам, соц. сетям запостивших и умолял удалить, потому что ему довольно быстро позвонили и сказали а-та-та. Болтун — находка для шпиона.

Незнание… освобождает от наказания


Согласно глобальному отчёту Лаборатории Касперского за 2017 год среди предприятий, столкнувшихся с инцидентами кибербезопасности за 12 месяцев, один из десяти (11%) наиболее серьезных типов инцидентов касался небрежных и не информированных сотрудников.

Не предполагайте, что сотрудники знают всё о мерах корпоративной безопасности, обязательно предупредите их, проведите обучение, сделайте интересные периодические рассылки о проблемах безопасности, проведите встречи за пиццей и разъясните вопросы ещё раз. И да, классный лайфхак — маркируйте всю печатную и электронную информацию цветом, знаками, надписями: коммерческая тайна, секретно, для служебного пользования, общий доступ. Это реально работает.

Современный мир поставил компании в очень щекотливое положение: нужно соблюсти баланс между стремлением сотрудника на работе не только пахать, но и фоном/в перерывах получать развлекательный контент и строгими правилами корпоративной безопасности. Если вы включите гиперконтроль и дебильные программы слежения (да, не опечатка — это не безопасность, это паранойя) и камеры за спиной, то доверие сотрудников к компании упадёт, а ведь сохранение доверия — тоже инструмент корпоративной безопасности.

Поэтому знайте меру, уважайте сотрудников, делайте бэкапы. И главное — ставьте во главу угла именно безопасность, а не персональную паранойю.

Если вам нужна CRM или ERP — внимательно изучите наши продукты и сопоставьте их возможности со своими целями и задачами. Будут вопросы и затруднения — пишите, звоните, мы организуем для вас индивидуальную презентацию онлайн — без рейтингов и пузомерок.

0xawpyz6uykl0ml9sgnrjzeezk0.jpegНаш канал в Telegram, в котором без рекламы пишем не совсем формальные вещи о CRM и бизнесе.

© Habrahabr.ru