Пришлось тут перевыпустить карточку Альфа-Банка. У нас в городе недавно появился офис фиджитал и было интересно посетить именно его. Кроме прочих интересных приколюх типа необычной электронной очереди, внимание привлекла одна примечательная деталь: мобильное приложение предложило сыграть в игру, чтобы скоротать время в ожидании очереди. Сидеть всё равно надо, глянем. Игра оказалась тестом в несколько уровней на знание основ финансовой кибербезопасности. Вопросы казались довольно простыми, но я попался в первом же раунде, а потом в третьем и дошёл до четвёртого, но тут менеджер пригласил к себе. Игра эта охватывала многие аспекты финансовой безопасности физических лиц и была не только и не столько развлекательной, сколько обучающей. Выдача карточки — дело пяти минут, но сама идея игры из головы не шла. А что если так обучать сотрудников? Хм, а ведь когда-то компании подобное проходили. И должны проходить. Потому что сотрудники — не только самая большая дыра в безопасности, но и самая надёжная защита. Исход зависит от того, как их обучить.
Что могут сотрудники?
Начать стоит с того, что информационная безопасность глазами сотрудников — это очередная бюрократическая штука, о которой должна болеть голова руководителя. Есть специализированное программное обеспечение, есть обученные люди, есть железо и оборудование, есть, в конце концов, всякие там прикладные CRM и ERP системы, почтовики и прочая супер защищённая хрень за немалые деньги. Вот пусть вся эта программно-аппаратная гвардия и занимается защитой компании, а моё дело малое — работу работать и думать исключительно о ней.
Если сравнивать с заграницей, то в Северной Америке и в Восточной Европе отношение примерно такое же: пока босс не грянет, менеджер не перекрестится. А вот в дисциплинированной Западной Европе сотрудники чуть более ответственные и иногда даже сами стремятся привнести долю безопасности в компанию. Наверное, дело в отношении к труду: те же немцы или французы сильно уважают то, что создали они сами и их коллеги, а уважаешь — значит, будь добр защищать. Но чаще всего сотрудники из остальных локаций полагают, что они работают только ради начальства, в обмен на деньги. Поэтому и спрос с них ровно на зарплату.
Итак, остановим рассуждения о ментальности и попробуем понять, почему сотрудники — ценное звено в инфраструктуре информационной безопасности.
Сотрудники всё узнают первыми. Они активно контактируют с почтой, приложениями, телефонией, облачной инфраструктурой, внешней средой — просто потому что ежеминутно выполняют свою работу. Именно поэтому чаще всего сотрудники являются основным вектором атаки, ведь пробить защиту отдельного человека проще, чем какие-то инфраструктурные решения.
Сотрудники наблюдают друг за другом и обсуждают вопросы в неформальном формате. С одной стороны, это помогает распространять информацию через лидеров и «аксакалов», с другой — даёт шанс выявить внутренние угрозы безопасности на этапе их зарождения. И я сейчас не призываю «стучать» на всех, нет! Но если сотрудники точно знают, что Вася завтра уводит базу к будущему работодателю, не грешновато на это среагировать и хотя бы оградить Васю от базы (и УК РФ) и базу от Васи, хотя бы потому что информационная (и клиентская) база компании — залог устойчивого ведения бизнеса и гарантия занятости команды. В её сохранности заинтересованы все.
Сотрудники имеют разную квалификацию и могут сглаживать пробелы друг друга. Если в компании будут внутренние эксперты по безопасности, способные хотя бы обнаружить и распознать угрозу, руководитель может рассчитывать, что менее продвинутые сотрудники, заподозрив неладное, попросят коллег о помощи и не откроют письмо с темой «Деньги на рекламном счету закончились» от адреса account@gooogIe.su и с готовым счётом во вложении.
А касается ли это малого бизнеса?
Очень распространённая история: компании малого и микро бизнеса заявляют, что им ничего не угрожает, потому что они никому не интересны. Это грубое и опасное заблуждение. Перечислю минимум того, что может быть интересно: клиентская база — конкурентам, списки дебиторской задолженности — мошенникам, разнообразная информация — обиженным и корыстным сотрудникам, данные о сотрудниках — хакерам и злоумышленникам и т.д. Этого уже больше чем достаточно. А если прибавить простые атаки и попытки взлома из спортивного интереса, получается перебор.
На самом деле, малый бизнес — лёгкая добыча для атакующих (причём это касается даже ИТ-компаний), хотя бы потому что у компании нет достаточных средств на содержание службы безопасности (и безопасника в принципе), аутсорс и консалтинг безопасности (он очень дорогой), специализированное ПО, способное закрыть все дыры (все дыры не могу закрыть даже крупнейшие корпорации и промышленные предприятия). Поэтому в контур информационной безопасности необходимо встраивать всё: от двухфакторной авторизации и политики BYOD|BYOS до регламентирования паролей на рабочих машинах и чёткого разделения прав доступа в CRM-системе.
Что делать, чтобы сотрудники были «безопаснее»?
Скажу сразу: настроить сотрудников на помощь в безопасности крайне сложно. Это часть работы, не мотивируемая заработной платой или прямыми выгодами. Убедить работников в сознательной и рациональной потребности чрезвычайно сложно: любой используемый вами метод потребует тщательной проработки, максимального упрощения (для доступности восприятия) и периодического повторения (мать учения, здесь эта поговорка работает на все 100%). Более того, часть методов не подойдут многим из компаний, но собрать какую-то свою комбинацию реально.
План действий
У любой компании однозначно должен быть документ, регламентирующий поведение сотрудников во время атак на информацию, данные и ИТ-инфраструктуру. Это кризисный план действий, который согласован со всеми подразделениями, сотрудниками и менеджментом. Он должен описывать типичные ситуации атаки и разъяснять, кто из сотрудников что и в какие сроки должен делать. Важно, чтобы документ обладал некоторыми характеристиками.
План должен быть обновляемым и поддерживаемым — информация должна дополняться с каждой новой угрозой. За обновление должен отвечать один человек, который будет мониторить потенциальные угрозы и получать информацию от сотрудников, если они нашли проблему, угрозу или информацию о потенциальной угрозе раньше.
Он должен быть максимально коротким и лаконичным — чтобы его все точно прочитали. Фолиант на 500 страниц о безопасности, конечно, круто, но читать и запоминать его можно только по любви. Если всё же руки чешутся на многотомник, лучше вести его отдельно, а тезисы и суть излагать для публичного ознакомления.
Документ должен быть однозначным и не допускать разночтений и вариативности.
Файл (или сектор базы знаний) должен быть очень хорошо оформлен и буквально схватываться взглядом, чтобы его хотелось прочитать, а мозг запомнил бы интересно поданную информацию.
Надёжный сотрудник
Должен быть сотрудник, который гарантированно поддержит в кризисной ситуации — это может быть выделенный специалист по безопасности, сисадмин или даже сам руководитель. Дело в том, что неправильные действия и их последствия (например, взлом корпоративной карты, тревожный звонок или блокировка системы) могут произойти в любой момент и сотруднику в стрессе важно получить точные указания и снять с себя ответственность «за это жутко страшное преступление». Важность такого человека возрастает в условиях удалённой работы, когда сотрудник может заниматься рабочими задачами в нерабочее время и столкнуться с проблемами, например, в час ночи. Звонок или сообщение должны быть «бесстрашными»: помощь и объяснение придут, никто не упрекнёт и не устроит разборки. Сотрудники не должны бояться «ложных срабатываний»: если им показалось или они перебдели, не должно быть никаких негативных реакций и высказываний. Иначе они в следующий раз просто постесняются сказать о своих наблюдениях.
Информирование
Стоит завести канал в корпоративном чате или канал/чат в телеграме с оповещениями о возможных рисках с двусторонней связью: можно получить предупреждение об угрозе, а можно отправить рапорт о случившемся или подозрительной активности. Если есть немного корпоративной паранойи, управляйте такими сообщениями, например, в тикет-системе для внутренних задач. Важно: если клиенты каким-либо образом включены в бизнес-процессы, их рапорты тоже должны приниматься, а ваши сообщения до них доходить.
Идентификация атаки
Сотрудники должны научиться быстро идентифицировать атаку. Они не обязаны и более того, строго не должны брать на себя много и играть в суперменов сетевой и облачной безопасности, но понимание того, как выглядит «что-то пошло не так» должно быть усвоено. Важно, чтобы каждый сотрудник реагировал в случае, если: на устройствах (особенно мобильных) появились новые значки и приложения, устройство ощутимо и заметно замедлилось, появились новые вкладки, расширения, дополнения, резко перестали работать или «взбесились» мышь и клавиатура. Это минимальный набор, за которым можно следить. Но лучше, если для сотрудников не лишними будут тезисы о фишинге, социальной инженерии и уровнях контроля безопасности. В базовом варианте для любого бизнеса критична безопасность на трёх уровнях: сетевом, облачном и уровне приложений.
На сетевом уровне важны общие политики безопасности, сильные и вовремя (а не часто!!!) обновляемые пароли, многофакторная аутентификация в рабочих средах, настройка средств защиты и антивирусов и, — да, это важно — логирование истории посещений сайтов сотрудниками на всякий случай (это единственно справедливая форма контроля трафика для экстренных ситуаций, всё остальное — уже недоверие и паранойя).
При использовании облачных технологий, VDS, SaaS-сервисов, услуг хостинга и т.д. ключевая защита — надёжный поставщик, для которого безопасность предоставляемых услуг не пустой звук. Кстати, чаще всего облачные технологии делают площадь возможной атаки гораздо больше, чем вы думаете: в случае использования ими внешних сервисов и интеграций вы отдаёте безопасность ещё дальше, часто малоизвестным технологическим партнёрам вашего поставщика. Да, облачные технологии в плане защиты прокачались очень серьёзно, но тем не менее многие риски сохраняются.
С уровнем приложений всё ещё сложнее из-за разнообразия разработок и форм поставки: это и почта, и корпоративные информационные системы, и хранилища данных, и геоинформационные сервисы, и, конечно, клиенты электронной почты. Можно долго рассказывать о принципах распознавания атак на этом уровне, но для веб-приложений лучше использовать топ-10 векторов атак OWASP, а для десктопных — запросить рекомендации по безопасности у вендора и/или разработчика ПО.
Цветовая дифференциация штанов
Определите уровни конфиденциальности для разных групп сотрудников: пусть они включают в себя доступы к хранилищам информации, права доступа к приложениям, к администрированию систем и т.д. Это довольно долгая и кропотливая работа, которая может показаться формальной и недружественной, но в конечном итоге вызывает доверие и уважение: каждый на своём месте и стремится получить кредит доверия. Однако перегибать с ограничениями не стоит ровно в той же степени, в какой делать единые максимальные права доступа для всех. Согласитесь, странно, если вы приходите в небольшую компанию и вам сообщают, что секретно вообще всё. Это выглядит глупо и непрофессионально. Во всём нужна мера и продуманная осторожность.
Новички и удалёнщики
Не упустите новых сотрудников. Ломать старых очень сложно — пока они примут новые правила игры и политики безопасности, должно пройти время, должны утихнуть слухи и теории заговора. А вот новичков стоит погружать в актуальные правила сразу: в период адаптации они впитывают все знания как должное и скорее всего прислушаются к вашим политикам и требованиям.
Для удалённых сотрудников должны быть чёткие инструкции по использованию VPN, работы в публичных сетях, обсуждению рабочих вопросов вне рабочей команды и т.д. Они должны контролировать все необычные события в своей ИТ-инфраструктуре и бдительно следить за всем, поскольку находятся вдали от системного администратора и руководства.
Как обучить сотрудников?
Наверное, самый сложный вопрос, который можно задать в этой статье — а как обучить сотрудников правилам информационной безопасности? И универсального рецепта здесь точно нет. Все мы видим в командах как адептов изменений, локомотивов всего нового, так и консервативных, резко негативно настроенных сотрудников. Договориться со всеми сложно. К тому же в небольших компаниях изменения могут восприниматься несерьёзно, поскольку все вопросы решаются буквально на бегу.
Вот что можно предпринять.
Обязательно включите обсуждение вопросов безопасности в повестку, пусть все знают, насколько вам важны не только клиенты и прибыль, но и управление рисками. Выделяйте сотрудников, которые помогли в обеспечении безопасности, оглашайте обнаруженные и потенциально опасные уязвимости.
Создайте интерактивный курс, инструкции и лекции — информация из нескольких источников запоминается значительно лучше, поскольку задействуются разные эмоции и участки памяти.
Показывайте атаки на реальных примерах — например, устройте атаку на рабочие машины, уроните сайт на глазах маркетолога :-), напишите и разошлите сотрудниками фишинговые письма (хорошие примеры здесь) и понаблюдайте за реакцией. Это недорого стоит и выглядит как своеобразная игра, поэтому отлично запоминается.
Проводите внутренний аудит информационных систем силами самих сотрудников, предлагайте роль аудитора разным членам команды.
Если ничего не сработало, пригласите эксперта, который проведёт «учения», обучит и протестирует результаты, достигнутые командой. Это стоит довольно дорого, но работает эффективно: каким-то магическим образом сотрудники лучше прислушиваются ко внешним экспертам (на самом деле, обычная психология).
Помните, что руководитель и менеджеры тоже сотрудники. Показывайте своим примером, насколько сложно и важно бороться с проблемами информационной безопасности.
Время людей-винтиков в компаниях проходит. Каждый сотрудник может стать брешью в безопасности и надёжным защитником. Кем он будет, зависит от отношений внутри компании, обучения и доступности материалов. Это требует усилий, но это и один из самых надёжных способов защитить свою компанию. Не упускайте его.
Алексей Суриков
Главный разработчик RegionSoft