Сотрудники — звено информационной безопасности: как сделать щит из мишени

Пришлось тут перевыпустить карточку Альфа-Банка. У нас в городе недавно появился офис фиджитал и было интересно посетить именно его. Кроме прочих интересных приколюх типа необычной электронной очереди, внимание привлекла одна примечательная деталь: мобильное приложение предложило сыграть в игру, чтобы скоротать время в ожидании очереди. Сидеть всё равно надо, глянем. Игра оказалась тестом в несколько уровней на знание основ финансовой кибербезопасности. Вопросы казались довольно простыми, но я попался в первом же раунде, а потом в третьем и дошёл до четвёртого, но тут менеджер пригласил к себе. Игра эта охватывала многие аспекты финансовой безопасности физических лиц и была не только и не столько развлекательной, сколько обучающей. Выдача карточки — дело пяти минут, но сама идея игры из головы не шла. А что если так обучать сотрудников? Хм, а ведь когда-то компании подобное проходили. И должны проходить. Потому что сотрудники —  не только самая большая дыра в безопасности, но и самая надёжная защита. Исход зависит от того, как их обучить.

a3c7f7fdba2823a9a5d7e78385d4f292.jpeg

Что могут сотрудники?

Начать стоит с того, что информационная безопасность глазами сотрудников — это очередная бюрократическая штука, о которой должна болеть голова руководителя. Есть специализированное программное обеспечение, есть обученные люди, есть железо и оборудование, есть, в конце концов, всякие там прикладные CRM и ERP системы, почтовики и прочая супер защищённая хрень за немалые деньги. Вот пусть вся эта программно-аппаратная гвардия и занимается защитой компании, а моё дело малое — работу работать и думать исключительно о ней. 

Если сравнивать с заграницей, то в Северной Америке и в Восточной Европе отношение примерно такое же: пока босс не грянет, менеджер не перекрестится. А вот в дисциплинированной Западной Европе сотрудники чуть более ответственные и иногда даже сами стремятся привнести долю безопасности в компанию. Наверное, дело в отношении к труду: те же немцы или французы сильно уважают то, что создали они сами и их коллеги, а уважаешь — значит, будь добр защищать. Но чаще всего сотрудники из остальных локаций полагают, что они работают только ради начальства, в обмен на деньги. Поэтому и спрос с них ровно на зарплату.

Итак, остановим рассуждения о ментальности и попробуем понять, почему сотрудники — ценное звено в инфраструктуре информационной безопасности.

  • Сотрудники всё узнают первыми. Они активно контактируют с почтой, приложениями, телефонией, облачной инфраструктурой, внешней средой — просто потому что ежеминутно выполняют свою работу. Именно поэтому чаще всего сотрудники являются основным вектором атаки, ведь пробить защиту отдельного человека проще, чем какие-то инфраструктурные решения.

  • Сотрудники наблюдают друг за другом и обсуждают вопросы в неформальном формате. С одной стороны, это помогает распространять информацию через лидеров и «аксакалов», с другой — даёт шанс выявить внутренние угрозы безопасности на этапе их зарождения. И я сейчас не призываю «стучать» на всех, нет! Но если сотрудники точно знают, что Вася завтра уводит базу к будущему работодателю, не грешновато на это среагировать и хотя бы оградить Васю от базы (и УК РФ) и базу от Васи,   хотя бы потому что информационная (и клиентская) база компании — залог устойчивого ведения бизнеса и гарантия занятости команды. В её сохранности заинтересованы все.

  • Сотрудники имеют разную квалификацию и могут сглаживать пробелы друг друга. Если в компании будут внутренние эксперты по безопасности, способные хотя бы обнаружить и распознать угрозу, руководитель может рассчитывать, что менее продвинутые сотрудники, заподозрив неладное, попросят коллег о помощи и не откроют письмо с темой «Деньги на рекламном счету закончились» от адреса account@gooogIe.su и с готовым счётом во вложении. 

А касается ли это малого бизнеса?

Очень распространённая история: компании малого и микро бизнеса заявляют, что им ничего не угрожает, потому что они никому не интересны. Это грубое и опасное заблуждение. Перечислю минимум того, что может быть интересно: клиентская база — конкурентам, списки дебиторской задолженности — мошенникам, разнообразная информация — обиженным и корыстным сотрудникам, данные о сотрудниках — хакерам и злоумышленникам и т.д. Этого уже больше чем достаточно. А если прибавить простые атаки и попытки взлома из спортивного интереса, получается перебор. 

На самом деле, малый бизнес — лёгкая добыча для атакующих (причём это касается даже ИТ-компаний), хотя бы потому что у компании нет достаточных средств на содержание службы безопасности (и безопасника в принципе), аутсорс и консалтинг безопасности (он очень дорогой), специализированное ПО, способное закрыть все дыры (все дыры не могу закрыть даже крупнейшие корпорации и промышленные предприятия). Поэтому в контур информационной безопасности необходимо встраивать всё: от двухфакторной авторизации и политики BYOD|BYOS до регламентирования паролей на рабочих машинах и чёткого разделения прав доступа в CRM-системе.

Что делать, чтобы сотрудники были «безопаснее»?

Скажу сразу: настроить сотрудников на помощь в безопасности крайне сложно. Это часть работы, не мотивируемая заработной платой или прямыми выгодами. Убедить работников в сознательной и рациональной потребности чрезвычайно сложно: любой используемый вами метод потребует тщательной проработки, максимального упрощения (для доступности восприятия) и периодического повторения (мать учения, здесь эта поговорка работает на все 100%). Более того, часть методов не подойдут многим из компаний, но собрать какую-то свою комбинацию реально.

План действий

У любой компании однозначно должен быть документ, регламентирующий поведение сотрудников во время атак на информацию, данные и ИТ-инфраструктуру. Это кризисный план действий, который согласован со всеми подразделениями, сотрудниками и менеджментом. Он должен описывать типичные ситуации атаки и разъяснять, кто из сотрудников что и в какие сроки должен делать. Важно, чтобы документ обладал некоторыми характеристиками.

  • План должен быть обновляемым и поддерживаемым — информация должна дополняться с каждой новой угрозой. За обновление должен отвечать один человек, который будет мониторить потенциальные угрозы и получать информацию от сотрудников, если они нашли проблему, угрозу или информацию о потенциальной угрозе раньше.

  • Он должен быть максимально коротким и лаконичным — чтобы его все точно прочитали. Фолиант на 500 страниц о безопасности, конечно, круто, но читать и запоминать его можно только по любви. Если всё же руки чешутся на многотомник, лучше вести его отдельно, а тезисы и суть излагать для публичного ознакомления.

  • Документ должен быть однозначным и не допускать разночтений и вариативности.

  • Файл (или сектор базы знаний) должен быть очень хорошо оформлен и буквально схватываться взглядом, чтобы его хотелось прочитать, а мозг запомнил бы интересно поданную информацию. 

Надёжный сотрудник

Должен быть сотрудник, который гарантированно поддержит в кризисной ситуации — это может быть выделенный специалист по безопасности, сисадмин или даже сам руководитель. Дело в том, что неправильные действия и их последствия (например, взлом корпоративной карты, тревожный звонок или блокировка системы) могут произойти в любой момент и сотруднику в стрессе важно получить точные указания и снять с себя ответственность «за это жутко страшное преступление». Важность такого человека возрастает в условиях удалённой работы, когда сотрудник может заниматься рабочими задачами в нерабочее время и столкнуться с проблемами, например, в час ночи. Звонок или сообщение должны быть «бесстрашными»: помощь и объяснение придут, никто не упрекнёт и не устроит разборки. Сотрудники не должны бояться «ложных срабатываний»: если им показалось или они перебдели, не должно быть никаких негативных реакций и высказываний. Иначе они в следующий раз просто постесняются сказать о своих наблюдениях. 

Информирование

Стоит завести канал в корпоративном чате или канал/чат в телеграме с оповещениями о возможных рисках с двусторонней связью: можно получить предупреждение об угрозе, а можно отправить рапорт о случившемся или подозрительной активности. Если есть немного корпоративной паранойи, управляйте такими сообщениями, например, в тикет-системе для внутренних задач. Важно: если клиенты каким-либо образом включены в бизнес-процессы, их рапорты тоже должны приниматься, а ваши сообщения до них доходить.

Идентификация атаки

Сотрудники должны научиться быстро идентифицировать атаку. Они не обязаны и более того, строго не должны брать на себя много и играть в суперменов сетевой и облачной безопасности, но понимание того, как выглядит «что-то пошло не так» должно быть усвоено. Важно, чтобы каждый сотрудник реагировал в случае, если: на устройствах (особенно мобильных) появились новые значки и приложения, устройство ощутимо и заметно замедлилось, появились новые вкладки, расширения, дополнения, резко перестали работать или «взбесились» мышь и клавиатура. Это минимальный набор, за которым можно следить. Но лучше, если для сотрудников не лишними будут тезисы о фишинге, социальной инженерии и уровнях контроля безопасности. В базовом варианте для любого бизнеса критична безопасность на трёх уровнях: сетевом, облачном и уровне приложений.

  1. На сетевом уровне важны общие политики безопасности, сильные и вовремя (а не часто!!!) обновляемые пароли, многофакторная аутентификация в рабочих средах, настройка средств защиты и антивирусов и, — да, это важно — логирование истории посещений сайтов сотрудниками на всякий случай (это единственно справедливая форма контроля трафика для экстренных ситуаций, всё остальное — уже недоверие и паранойя). 

  2. При использовании облачных технологий, VDS, SaaS-сервисов, услуг хостинга и т.д. ключевая защита — надёжный поставщик, для которого безопасность предоставляемых услуг не пустой звук. Кстати, чаще всего облачные технологии делают площадь возможной атаки гораздо больше, чем вы думаете: в случае использования ими внешних сервисов и интеграций вы отдаёте безопасность ещё дальше, часто малоизвестным технологическим партнёрам вашего поставщика. Да, облачные технологии в плане защиты прокачались очень серьёзно, но тем не менее многие риски сохраняются.

  3. С уровнем приложений всё ещё сложнее из-за разнообразия разработок и форм поставки: это и почта, и корпоративные информационные системы, и хранилища данных, и геоинформационные сервисы, и, конечно, клиенты электронной почты. Можно долго рассказывать о принципах распознавания атак на этом уровне, но для веб-приложений лучше использовать топ-10 векторов атак OWASP, а для десктопных — запросить рекомендации по безопасности у вендора и/или разработчика ПО.

Цветовая дифференциация штанов

Определите уровни конфиденциальности для разных групп сотрудников: пусть они включают в себя доступы к хранилищам информации, права доступа к приложениям, к администрированию систем и т.д. Это довольно долгая и кропотливая работа, которая может показаться формальной и недружественной, но в конечном итоге вызывает доверие и уважение: каждый на своём месте и стремится получить кредит доверия. Однако перегибать с ограничениями не стоит ровно в той же степени, в какой делать единые максимальные права доступа для всех. Согласитесь, странно, если вы приходите в небольшую компанию и вам сообщают, что секретно вообще всё. Это выглядит глупо и непрофессионально. Во всём нужна мера и продуманная осторожность.

Новички и удалёнщики

Не упустите новых сотрудников. Ломать старых очень сложно — пока они примут новые правила игры и политики безопасности, должно пройти время, должны утихнуть слухи и теории заговора. А вот новичков стоит погружать в актуальные правила сразу:   в период адаптации они впитывают все знания как должное и скорее всего прислушаются к вашим политикам и требованиям.

Для удалённых сотрудников должны быть чёткие инструкции по использованию VPN, работы в публичных сетях, обсуждению рабочих вопросов вне рабочей команды и т.д. Они должны контролировать все необычные события в своей ИТ-инфраструктуре и бдительно следить за всем, поскольку находятся вдали от системного администратора и руководства. 

Как обучить сотрудников?

Наверное, самый сложный вопрос, который можно задать в этой статье —, а как обучить сотрудников правилам информационной безопасности? И универсального рецепта здесь точно нет. Все мы видим в командах как адептов изменений, локомотивов всего нового, так и консервативных, резко негативно настроенных сотрудников. Договориться со всеми сложно. К тому же в небольших компаниях изменения могут восприниматься несерьёзно, поскольку все вопросы решаются буквально на бегу.

Вот что можно предпринять.

  • Обязательно включите обсуждение вопросов безопасности в повестку, пусть все знают, насколько вам важны не только клиенты и прибыль, но и управление рисками. Выделяйте сотрудников, которые помогли в обеспечении безопасности, оглашайте обнаруженные и потенциально опасные уязвимости.

  • Создайте интерактивный курс, инструкции и лекции — информация из нескольких источников запоминается значительно лучше, поскольку задействуются разные эмоции и участки памяти.

  • Показывайте атаки на реальных примерах — например, устройте атаку на рабочие машины, уроните сайт на глазах маркетолога :-), напишите и разошлите сотрудниками фишинговые письма (хорошие примеры здесь) и понаблюдайте за реакцией. Это недорого стоит и выглядит как своеобразная игра, поэтому отлично запоминается.

  • Проводите внутренний аудит информационных систем силами самих сотрудников, предлагайте роль аудитора разным членам команды.

  • Если ничего не сработало, пригласите эксперта, который проведёт «учения», обучит и протестирует результаты, достигнутые командой. Это стоит довольно дорого, но работает эффективно: каким-то магическим образом сотрудники лучше прислушиваются ко внешним экспертам (на самом деле, обычная психология).

  • Помните, что руководитель и менеджеры тоже сотрудники. Показывайте своим примером, насколько сложно и важно бороться с проблемами информационной безопасности.

Время людей-винтиков в компаниях проходит. Каждый сотрудник может стать брешью в безопасности и надёжным защитником. Кем он будет, зависит от отношений внутри компании, обучения и доступности материалов. Это требует усилий, но это и один из самых надёжных способов защитить свою компанию. Не упускайте его.

0b23236874bf073f48ba39ad551ead47.jpegАлексей Суриков

Главный разработчик RegionSoft

© Habrahabr.ru