Ваш безопасник в очередной раз зовет всех на обучение по кибергигиене, а вы, откровенно говоря, и не понимаете, зачем оно вам, это обучение? Наш спикер Роман Панин рассказал о важности темы и об основных правилах техники безопасности, которые необходимо знать абсолютно каждому пользователю сети.
Информационная безопасность: зачем она?
Информационная безопасность — это система мер, которая защищает личные данные пользователей. К ней относятся различные ПО типа антивирусов, различные способы шифрования информации, технические устройства, свод правил и требований (у каждой организации он свой).
В наш век личные данные пользователей — эта ценный ресурс, за который злоумышленники готовы дорого платить. Возьмём, к примеру, недавний случай с утечкой данных сервиса доставки «Яндекс. Еда», наверно, вы о нем слышали. В сеть попали адреса, номера телефонов, имена, дата, время и стоимость заказов. Казалось бы, ну что такого страшного — ну узнают, что я два дня назад заказал «Филадельфию» в офис.
Этот слив — крупный удар по репутации компании и возможность вынести очень ценные уроки. После мартовских событий «Яндекс» разрешил удалять данные о сделанных заказах. Рядовой пользователь на эти атаки повлиять никак не может: ежедневно тысячи компаний и организаций по всему миру подвергаются нападкам со стороны злоумышленников. Часто объектом повышенного интереса становятся компании, связанные с производством продуктов питания. К примеру, компания «Мираторг» этой весной подверглась атаке, из-за которой на время были нарушены цепочки поставки. Компании вкладывают огромные средства в разработку защитных ПО и всегда ищут новые способы обезопасить данные.
ТБ на страже рабочей документации
Целью кибервора могут стать не только личные данные человека, но и его рабочая информация, корпоративные данные о сотрудниках. Иногда задачи мошенника — подменить имеющуюся информацию на ошибочные данные или получить постоянный доступ к внутренним ресурсам организации.
Несмотря на все меры предосторожности, которые принимают компании, невзирая на труды безопасников, которые без устали проводят тренинги и напоминают о внутренних курсах по ТБ, рабочая информация нет-нет да появляется в сети. Основная причина — невнимательность сотрудников, которая и приводит к ошибкам.
К примеру, на почту пришло письмо от кадровика с просьбой авторизоваться в новой программе и внести данные об отпуске. Письмо оформлено по всем правилам, с прописанной темой, имя почты совпадает с инициалами сотрудника — всё в порядке. Человек ни о чём не подозревает, переходит по ссылке, оставляет данные — и всё, мошенник торжествует. Стоило быть чуть внимательней и заметить, что почта отличается на одну букву, буквально на символ от почты вашего кадровика.
Некоторые мошенники, чьей целью стала определённая компания, вполне могут подделать оформление корпоративного сайта, сделать максимально похожую айдентику, прикрутить красивые и, казалось бы, рабочие кнопки, по которым так хочется нажать. Увы, такие письма могут привести на фишинговый сайт. Данные о совершенных сделках, адреса, паспортные данные — вся та информация, что вы предоставляли работодателю, может стать предметом интереса злоумышленника.
Иногда и сами сотрудники делают всё возможное, чтобы их персональные данные стали публичными. Представим ситуацию: погожий день, работа удалённая, почему бы не потрудиться над задачами в кофейне? Пользователь подключается к интернету через публичную незащищённую сеть Wi-Fi и в этот же момент мошенник получает доступ ко всем документам на компьютере человека, включая и рабочие — таблицы, базы данных, сканы.
Безопасник, всегда будь на стрёме
Сотруднику отдела информационной безопасности стоит помнить, что каждый сотрудник ежедневно контактирует с конфиденциальной информацией, которая зачастую является целью злоумышленника. Поэтому важно заниматься не только защитой самих систем, но и обучать сотрудников компании кибер-гигиене.
Зачастую злоумышленнику проще воспользоваться социальной инженерией — методами психологического и социального давления на человека — или быть рядом в момент, когда сотрудник ошибётся. В этот момент можно получить доступ ко всей необходимой информации через самого человека или с помощью его рабочих аккаунтов.
И, конечно, всегда стоит заботиться о том, чтобы правильно выстраивать систему защиты информации в своей компании. Начинайте с безопасного периметра, в котором живут все данные и сервисы, заканчивайте системами обнаружения и предотвращения вторжений.
Правила, единые для всех
Сотруднику однозначно стоит ознакомиться с обучением по кибергигиене на корпоративном портале компании — эту информацию можно получить у вашего безопасника. Некоторые моменты мы выделим отдельно: они универсальны и помогут абсолютно любому человеку обезопасить личные данные:
Соблюдайте парольную политику: составляйте сложные пароли, которые нельзя так просто взломать и подобрать.
Регулярно меняйте пароль.
Используйте криптостойкие пароли: такие, которые нельзя взломать с помощью специальной программы.
Не используйте пароли, установленные по умолчанию.
Храните ваши пароли в безопасности, не публикуйте личную информацию в общий доступ.
Используйте многоступенчатую аутентификацию, включающую звонок или SMS-сообщение.
Блокируйте рабочий компьютер, когда вы от него отходите.
Загружайте файлы на рабочий компьютер только из проверенных источников.
Не используйте публичные сети wifi.
Соблюдать эти правила или нет и насколько строго — это ваш выбор. С одной стороны, не стоит отнекиваться и вовсе не заботиться о безопасности ваших устройств, с другой — совсем уж усердствовать и панически менять пароли каждый день тоже не рекомендуем. Будьте внимательны и помните, что за сохранность информации в большинстве случаев отвечает её владелец.
5 сентября стартует курс по основам информационной безопасности для всех. Ведущий — Роман Панин, руководитель направления по архитектуре ИБ в компании МТС. На курсе вы научитесь безопасном ведению проекта на всех его этапах, узнаете о типах и видах атак, сможете использовать ключевые средства защиты информации. Узнайте больше о курсе и запишитесь на него по ссылке.
Комментарии (35)
saipr
08.07.2022 18:07+2Безопасник, всегда будь на стрёме
Какой правильный посыл! А далее:
Сотруднику отдела информационной безопасности стоит помнить, что каждый сотрудник ежедневно контактирует с конфиденциальной информацией, которая зачастую является целью злоумышленника. Поэтому важно заниматься не только защитой самих систем, но и обучать сотрудников компании кибер-гигиене.
И тут начинается так называемое обучение гигиене других сотрудников. А у этих других сотрудников полно своих обязанностей и дел: одни ведут бухгалтерию, другие торгуют, третьи программируют и т.д. Хорошего безопасника не видать. У него всё настроено и контролируется: мышь не проскочит, а не то что почта С ОДНОЙ другой буквой. Это всё равно, что домохозяек заставить изучать электротехнику/электричество. Нет, они пкупают утюги, микроволновки, много чего и всё это безопасно. Всё что они твёрдо знают и выполняют — это не совать два пальца в розетки.
А тут чеовек устраивается на рабооту дизайнером, ему дают комп и начинается. Когда же он сможет заниматься своим дизайном. Самое смешное, что многие безопасноники сами мало что знают про сеть, но вот параграфы того или иного документа — это от зубов отскакивает.
akhkmed
08.07.2022 18:39+2Видел и такой подход. На каждом рабочем месте DLP. Весь трафик расшифровывается и анализируется. Экран фотографируется. Любое подозрительное действие сразу же поднимает дежурного безопасника и начинается
допростребование обоснования. Бонусом проводится учёт рабочего времени на основе пробега мышки.Это выглядит безопасно, но местами совершенно некомфортно. Лучше воспитывать сознательность, потому что DLP не защитит от серьёзных воров данных. Кстати, какой подход выберите для себя Вы?
saipr
08.07.2022 19:30+4Только не тот, о котором вы рассказали.
Я был свидетелем, когда безопасники остановили всю аналитику, посчитав, что корень аналитики это анал и исходя из этого настроили контроль доступа в интернет, а второй случай был в Татнефти, когда безопасник решил, что ему виднее какую почту пропускать вице-президенту. Чем кончилось, я думаю понятно.
romanpnn0
08.07.2022 21:54Наверняка все сотрудники, имеющие доступ во внутреннюю инфраструктуру компании, при подписании трудового договора ознакамливаются с NDA (по крайней мере должны) и отдают себе отчет в том, что они могут быть входной точкой при атаке на компанию.
А так, базовая кибергигиена еще никому не вредила и уж тем более не мешала выполнять свои трудовые обязательства)
В конце концов, домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками, и не опускают подключенный утюг в наполненную ванну :)
Moskus
09.07.2022 07:10"Базовая гигиена" ещё как может мешать, создавая ложное ощущение безопасности любых действий, которые её правила не покрывают.
Не говоря уже о том, что правила, перечисленные в статье, не просто "недостаточны", а бесполезны (претендуют на решение проблем, которые должны решаться иным способом на ином уровне).
Иллюстрация с поддельным email, например, синтетическая - если компании есть что терять в случае имперсонации, перекладывать всю ответственность по её обнаружению на рядового сотрудника может только идиот или скряга.
romanpnn0
09.07.2022 10:41"Мешать, создавая ложное ощущение безопасности"? Мне кажется мы упускаем причинно-следственную связь автора первого комментария про помеху в работе.
Правила, описанные в статья являются базовой кибергигиеной, само собой, можно углубляться в этот вопрос.
Как хорошо, что никто ни на кого ничего не перекладывает (упоминания этого кстати даже нет в статье) и никого так и не уличили в идиотизме и ?скряжничестве? (к слову, не совсем понятно, к чему тут упоминание скупого человека).Moskus
09.07.2022 18:55Правила, описанные в статье, являлись базовыми 20 лет назад. Сейчас они покрывают только часть реальных проблем и покрывают часть не очень реальных.
Упоминание скряги и идиота, а также перекладывания ответственности тут при том, что если ваша компания может понести существенные потери от того, что сотрудник А не поймет, что письмо в его ящике - не от сотрудника Б, а от левого индивидуума, то не потратить деньги на нормальную почтовую систему, которая, как минимум помечает все внешние входящие сама - или идиотизм, или патологическая жадность.
Мне что-то подсказывает, что ваши представления о мерах информационной безопасности (конкретно - о том, что должно решаться инженерными, а что - административными мерами и почему) либо устарело, либо вообще очень слабое.
PereslavlFoto
09.07.2022 19:17Патологическая жадность — это когда компания не выдаёт деньги на покупку конденсаторов для ремонта материнских плат, и приходится покупать их за свои.
Патологическая жадность — это когда в заявке на широкий монитор надо указывать причины, по которым следует отнять широкий монитор у вашего коллеги и поставить вам, а ему отдать ваш узкий монитор.
Патологическая жадность — это когда вам для передвижной работы нужен ноутбук и вы должны сами на него заработать.
(Все случаи можно наблюдать.)Moskus
09.07.2022 19:48Существование худших примеров не меняет факта того, что описанное выше - также случай жадности.
romanpnn0
10.07.2022 11:17Я так понимаю вы работали только в компаниях, имеющих выстроенные ИТ/ИБ-процессы.
Во-первых, далеко не все компании уже находятся на той стадии развития, когда формируется отдел/департамент ИБ, выстраивающий описанные вами процессы.
Во-вторых, письма то помечаются, но все мы понимаем, что обычного человека эта плашка может нисколько не смутить и он таки распакует заветное письмо, перейдет по фишинговый ссылке и т.д.
В-третьих, в ряде компаний внешняя переписка является нормой из-за тесного взаимодействия с контрагентами, что делает пометку о внешнем адресате максимально бесполезной. Да, мы можем отправлять все вложения в песочницу, чтобы не попадаться на банальных малварей, можем даже обложиться всевозможными антивирусами на хостах. Но в конечном итоге, без ответственного подхода самого сотрудника к своим действиям, мы будем обречены на негативный исход. Именно поэтому во всех крупных компаниях с высоким уровнем зрелости ИТ/ИБ очень большое внимание уделяется образованию сотрудников в области ИБ-гигиены.
В-четвертых:
Мне что-то подсказывает, что ваши представления о мерах информационной безопасности (конкретно - о том, что должно решаться инженерными, а что - административными мерами и почему) либо устарело, либо вообще очень слабое.
Убедиться в этом суждении вы сможете только на нашем курсе по Информационной безопасности :) Уверен, что вы почерпнете для себя очень много нового и интересного!
Moskus
10.07.2022 11:22Я работал в очень разных компаниях, хотя мой личный опыт и не имеет к вопросу никакого отношения.
Вы твердите одно и то же, совершенно игнорируя смысл аргументов, а теперь еще и выясняется, что вы имеете отношение к продаже каких-то (скорее всего - шарлатанских) курсов по ИБ. Инфоцыганщина во всей красе.
PereslavlFoto
11.07.2022 13:53Когда вы обобщаете опыт разных других людей, тогда ваш личный опыт не имеет к вопросу никакого отношения.
А когда я обобщаю опыт разных других людей — тогда надо сводить ad hominem и порицать лично меня?
Товарищ! Почему же к себе вы применяете одно правило, а к другим людям другое?
saipr
09.07.2022 10:52А так, базовая кибергигиена еще никому не вредила
И что включает эта базовая "кибергигиена"?
домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками, и не опускают подключенный утюг в наполненную ванну
Ну ка расскажите про лже-газовщика на рабочем месте дизайнера!!!
romanpnn0
09.07.2022 16:20-1И что включает эта базовая "кибергигиена"?
Ее правила описаны как раз в конце статьи)
saipr
09.07.2022 16:25+1А вы пробовали их показать нормальному человеку, особенно вот это:
Используйте криптостойкие пароли: такие, которые нельзя взломать с помощью специальной программы.
Moskus
09.07.2022 19:00+1Еще один чудный пример, что эти "правила" - винегрет, без малейшего понимания смысла. Это самое правило - верное, только оно не имеет никакого отношения к рядовым сотрудникам, и, соответственно, к "базовой гигиене".
Moskus
09.07.2022 19:58домохозяйки же не открывают дверь своего дома людям, которые неумело притворяются газовщиками
А это отличный случай ложной аналогии. Потому что обычная домохозяйка дома не имеет штата людей, обязанностью которых является обеспечение ее безопасности.
Верной аналогией (с компанией, в которой безопасность - реальная, а не ритуальная) была бы ситуация, когда охранник (почтовая система) даже не звонил бы ей, чтобы удостовериться, что она не вызывала газовщика, заявившегося без инструментов и документов, зато с мешком, перчатками и удавкой, задержанного на входе в дом.
Вот утюг в ванну бросать действительно не стоит. Это в том смысле, что базовые правила и требования к разумности сотрудников - есть, просто это совершенно не то, что описано в статье.
romanpnn0
10.07.2022 10:46К сожалению или к счастью, далеко не во всех компаниях есть штат людей, обязанностью которых является обеспечение вашей безопасности.
Поэтому порой стоит надеяться на себя, не совершать банальных ошибок и следовать несложным правилам кибергигиены.
Moskus
10.07.2022 11:17Не "вашей", а "безопасности компании". Если компания не может позаботиться о себе, лучшее "несложное правило гигиены" - это там не работать.
PereslavlFoto
08.07.2022 22:03Блокируйте рабочий компьютер, когда вы от него отходите.
Но ведь тогда на нём не смогут работать другие сотрудники отдела. И что же, им бездельничать?
Radisto
09.07.2022 06:00+1Пусть входят под своей учеткой. Первое время будут проблемы с любителями хранить документы на своем рабочем столе, но потом привыкают.
PereslavlFoto
09.07.2022 11:12Конечно, у них есть учётка, они и входят под нею.
Moskus
09.07.2022 19:03Тогда в чём проблема с блокировкой? (Нажатием Win-L, в случае Windows, например.)
PereslavlFoto
09.07.2022 19:07Не от кого запираться. Иппарх закроет консоль, а Фёкла подойдёт и откроет. Потом Фёкла закроет, а Никифор откроет. Учётка-то у них одна.
Moskus
09.07.2022 19:47Учётка-то у них одна.
Да, вы пишете из 1996 года, от имени тех, кто в нем надежно застрял.
PokimonZerg
11.07.2022 07:41Вся безопасность в основном зависит от людей. А не от вирусов, злоумышленников и так далее.
Любой работник может вынести сколько угодно важной информации. Ничего не взламывая.
Зачем взламывать Яндекс, если можно пройти собеседование и все утащить?
Типичный безопасник, это человек, которого все ненавидят. Закрывает тебе все порты, что бы ты на коленях просил его открыт ь хоть один для работы.
Ставит антивирус, от которого твой ноутбук греется как печка.
И настраивает протухание пароля. Так, чтобы он потух прямо посередине реализа
pon007
11.07.2022 07:43Главная проблема безопасника в том, что ооочень много где его нет, а есть только сисадмин, он же сервисный инженер, он же монтажник, он же 1с итс, он же программмист и т.д.
UnclShura
Регулярно меняйте пароль? Ну ну. https://docs.microsoft.com/en-us/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903