Так неужели нельзя без всего этого, а как же доверие, лояльность, вера в людей? Не поверите, но компаний без средств безопасности не меньше. Но сотрудники умудряются косячить и там, и там — просто потому что человеческий фактор способен рушить миры, не то что вашу компанию. Итак, где же могут начудить ваши сотрудники?
Это не очень серьёзный пост, у которого ровно две функции: немного скрасить трудовые будни и напомнить о базовых штуках в безопасности, которые нередко забываются. А, ну и лишний раз напомнить о классной и защищенной CRM-системе — разве такой софт не грань безопасности? :-)
Погнали в рандомном режиме!
Пароли, пароли, пароли…
Говоришь о них и накатывает волна возмущения: как так, уж сколько раз твердили миру, а воз и ныне там! В компаниях всех уровней, от ИП до транснациональной корпорации, это очень больное место. Мне иногда кажется, что если завтра построят реальную Звезду Смерти, в админке будет что-то типа admin/admin. Так чего же ждать от простых юзеров, для которых собственная страничка ВКонтакте гораздо дороже корпоративной учётки? Вот точки, которые нужно проверять:
- Запись паролей на бумажках, на обороте клавиатуры, на мониторе, на столе под клавиатурой, на наклейке снизу мыши (ушлые!) — сотрудники никогда не должны этого делать. И не потому что зайдёт страшный хакер и за обед скачает всю 1С на флешку, а потому что в офисе может быть обиженный Саша, который собирается уволиться и нагадить или забрать информацию напоследок. Почему бы это не сделать в очередной обед?
Это-то? Эта штука хранит все мои пароли
- Установление простых паролей на вход в ПК и на рабочие программы. Даты рождения, qwerty123 и даже asdf — это сочетания, которым место в анекдотах и на башорге, а не в системе корпоративной безопасности. Устанавливайте требования к паролям и их длине, выставляйте периодичность замены.
Пароль это как нижнее бельё: меняйте его чаще, не делитесь им со своими друзьями, длинный — лучше, будьте загадочными, не разбрасывайте повсюду
- Пароли вендора на вход в программу по умолчанию порочны хотя бы потому, что их знают почти все сотрудники вендора, и, если вы имеете дело с web-системой в облаке, достать данные не составит труда ни у кого. Особенно, если у вас ещё и сетевая безопасность на уровне «шнур не выдёргивать».
- Объясните сотрудникам, что подсказка для пароля в операционной системе не должна выглядеть как «мой день рождения», «имя дочки», «Гвоз-дика-78545-ап#1! на англ.» или «кверти и единичка с ноликом».
Мой котик выдаёт мне великолепные пароли! Он прогуливается по моей клавиатуре
Физические доступы к делам
Как у вас в компании организован доступ к учётной и кадровой документации (например, к личным делам сотрудников)? Дайте угадаю: если небольшой бизнес, то в бухгалтерии или у босса в кабинете в папках на полках или в шкафу, если большой — в отделе кадров на стеллажах. А вот если очень большой, то скорее всего, всё правильно: отдельный кабинет или блок с магнитным ключом, куда имеют доступ только отдельные сотрудники и, чтобы туда попасть, нужно позвонить кому-то из них и зайти в этот узел в их присутствии. Нет ничего сложного в том, чтобы сделать такую защиту в любом бизнесе или хотя бы научиться не писать пароль от офисного сейфа мелком на двери или на стене (всё основано на реальных событиях, не смейтесь).
Почему это важно? Во-первых, у работников есть патологическая тяга узнать друг о друге самое тайное: семейное положение, размер заработной платы, медицинские диагнозы, образование и т.д. Это такой компромат в офисной конкурентной борьбе. И вам совершенно не на руку те дрязги, которые возникнут, когда дизайнер Петя узнает, что он получает на 20 тыс. меньше, чем дизайнер Алиса. Во-вторых, там же сотрудники могут получить доступ к финансовой информации компании (балансы, годовые отчёты, договоры). В-третьих, элементарно что-то может быть утрачено, испорчено или похищено с целью замести следы в своей же трудовой биографии.
Склад, где кому-то убыток, кому-то — клад
Если у вас есть склад, считайте, что вы рано или поздно гарантированно столкнётесь с правонарушителями — просто так устроена психология человека, который видит большой объём продукции и твёрдо верит, что от многого понемножку — не грабёж, а делёжка. А единица товара из этой кучи может стоить и 200 тыс., и 300 тыс., и несколько миллионов. К сожалению, хищения не может остановить ничего, кроме педантичного и тотального контроля и учёта: камеры, приёмка и списание по штрих-кодам, автоматизация складского учёта (например, в нашей RegionSoft CRM складской учёт организован таким образом, что менеджер и руководитель могут видеть движения товара по складу в режиме реального времени).
Поэтому вооружите свой склад до зубов, обеспечьте физическую безопасность от внешнего врага и полную безопасность — от внутреннего. Сотрудники на транспорте, в логистике, на складе должны чётко осознавать, что контроль есть, он работает и чуть что они сами себя накажут.
*уки, не суйте в инфраструктуру руки
Если история про серверную и уборщицу уже пережила сама себя и давно перекочевала в байки других отраслей (например, такая же ходила про мистическое отключение ИВЛ в одной и той же палате), то остальные так и остаются реальностью. Сетевая и ИТ-безопасность компании в малом и среднем бизнесе оставляют желать лучшего, причём это часто не зависит от того, свой у вас сисадмин или приглашённый. Последний нередко справляется даже лучше.
Итак, на что способны сотрудники здесь?
- Самое милое и безобидное — сходить в серверную, подёргать провода, посмотреть, пролить чай, нанести грязи или самостоятельно попробовать что-то настроить. Особенно этим болеют «уверенные и продвинутые пользователи», которые геройски учат коллег отключать антивирус и обходить защиту на ПК и уверены, что они врожденные боги серверной. В общем, авторизованный ограниченный доступ — ваше всё.
- Хищение оборудования и подмена компонентов. Вы любите свою компанию и поставили всем мощные видеокарты, чтобы отлично работали биллинговая система, CRM и всё остальное? Отлично! Только хитрые парни (а иногда и девушки) запросто заменят их на домашнюю, а дома будут гонять игры на новой офисной модели — полмира же не узнает. Та же история с клавиатурами, мышами, кулерами, ИБП и всем тем, что можно как-то подменить в рамках железной конфигурации. В итоге вы несёте риск порчи имущества, его полной пропажи и одновременно не получаете желаемую скорость и качество работы с информационными системами и приложениями. Спасает система мониторинга (ITSM-система) с настроенным контролем конфигураций), которая должна поставляться в комплекте с неподкупным и принципиальным сисадмином.
Может, ты хочешь поискать систему безопасности получше? Не уверен, что этого вот знака достаточно
- Использование своих модемов, точек доступа, какого-нибудь совместного Wi-Fi делает доступ к файлам менее защищённым и практически неконтролируемым, чем могут воспользоваться злоумышленники (в том числе в сговоре с сотрудниками). Ну и к тому же, вероятность того, что сотрудник «со своим интернетом» будет просиживать рабочее время на ютубе, юмористических сайтах и в соцсетях, гораздо выше.
- Единые пароли и логины для доступа в админку сайта, CMS, прикладное ПО — страшные штуки, превращающие неумелого или злостного сотрудника в неуловимого мстителя. Если у вас 5 человек из одной подсети под одним логином/паролем зашли повесить баннер, проверить рекламные ссылки и метрики, поправить вёрстку и залить апдейт, вы никогда не угадаете, кто из них случайно превратил CSS в тыкву. Поэтому: разные логины, разные пароли, логирование действий и разграничение прав доступа.
- Стоит ли говорить про нелицензионное ПО, которое тащат сотрудники к себе на ПК, чтобы отредактировать в рабочее время пару фоток или сверстать что-то там сильно хоббийное. Не слышали про проверку отдела «К» ГУВД? Тогда она идёт к вам!
- Антивирус должен работать. Да, некоторые из них могут тормозить работу ПК, раздражать и вообще казаться признаком трусости, но лучше предотвратить, чем потом расплачиваться простоем в работе или, чего хуже, крадеными данными.
- Предупреждения операционной системы об опасности установки приложения не должны игнорироваться. Сегодня скачать что-то для работы — дело считанных секунд и минут. Например, Директ.Коммандер или редактор Адвордс, какой-нибудь SEO-парсер и проч. Если с продуктами Яндекса и Гугла всё более-менее ясно, то вот очередной пикресайзер, бесплатный клинер вирусов, видеоредактор с тремя эффектами, скриншотилки, записывалки скайпа и прочие «крохотные программки» могут нанести вред как отдельному ПК, так и всей сети компании. Приучите пользователей читать, что от них хочет компьютер, до того, как они позвонят сисадмину и скажут, что «всё умерло». В некоторых компаниях вопрос решается просто: много скачанных полезных утилит лежит на сетевой шаре, там же размещается список годных онлайн-решений.
- Политика BYOD или, наоборот, политика разрешения пользования рабочей техникой вне офиса — очень злая сторона безопасности. В этом случае к технике имеют доступ родные, знакомые, дети, публичные незащищённые сети и проч. Это чисто русская рулетка — можно 5 лет ходить и обойдётся, а можно потерять или испортить все документы и ценные файлы. Ну и кроме того, если у сотрудника есть злой умысел, с «гуляющим» оборудованием слить данные реально как два байта переслать. Также нужно помнить, что сотрудники часто передают файлы между своими персональными компьютерами, что опять-таки может создать лазейки в безопасности.
- Блокирование устройств во время отсутствия — хорошая привычка как в корпоративной, так и в личной сфере. Опять же, уберегает от любопытных коллег, знакомых и злоумышленников в публичных местах. К этому трудно приучить, но на одном из моих мест работы был прекрасный опыт: к незалоченному ПК подходили коллеги, на всё окно разворачивался Paint с надписью «Лочь комп!» и что-то менялось в работе, например, сносилась последняя накаченная сборка или удалялся последний заведённый баг (это была группа тестирования). Жестоко, но 1-2 раз хватало даже для самых деревянных. Хотя, подозреваю, не-айтишники могут и не понять такого юмора.
- Но самый страшный грех, конечно, лежит на сисадмине и руководстве — в том случае, если они категорически не используют системы контроля трафика, оборудования, лицензий и т.д.
Это, конечно, база, потому что ИТ-инфраструктура — то самое место, где чем дальше в лес, тем больше дров. И эта база должна быть у всех, а не заменяться словами «у нас все друг другу доверяют», «мы семья», «да кому оно надо» — увы, это до поры до времени.
Это интернет, детка, тут могут о тебе много знать
Безопасное обращение с интернетом пора вводить в курс ОБЖ в школе — и это совсем не про те меры, в которые нас погружают извне. Это именно про умение отличить ссылку от ссылки, понять, где фишинг, а где развод, не открывать вложения писем с темой «Акт сверки» от незнакомого адреса, не разобравшись и т.д. Хотя, кажется, школьники это всё уже освоили, а вот сотрудники — нет. Есть куча уловок и ошибок, которые могут поставить под угрозу всю компанию разом.
- Социальные сети — раздел интернета, которому не место на работе, но блокировать их на уровне компании в 2019 году мера непопулярная и демотивирующая. Поэтому нужно просто написать всем сотрудникам, как проверять нелегальность ссылок, рассказать о видах мошенничества и попросить на работе работать.
- Почта — больное место и едва ли не самый популярный способ угнать информацию, подсадить вредоносное ПО, заразить ПК и всю сеть. Увы, но многие работодатели считают почтовый клиент предметом экономии и пользуются бесплатными сервисами, в которые сыпется по 200 писем спама в день, который лезет через фильтры и т.д. А некоторые несознательные особы открывают такие письма и вложения, ссылки, картинки — видимо, надеются, что негритянский принц оставил наследство именно им. После чего у админа появляется много-много работы. Или так и было задумано? Кстати, ещё одна жестокая история: в одной компании за каждое письмо спама сисадмину снижали KPI. В общем, через месяц спама не было — практика перенята головной организацией, и спама нет до сих пор. Мы же решили этот вопрос изящно — разработали свой почтовый клиент и встроили его в свою же RegionSoft CRM, поэтому все наши клиенты тоже получают такую удобную фичу.
В следующий раз, когда получишь странное письмо со знаком скрепочки, не кликай по ней!
- Мессенджеры тоже источник всяких небезопасных ссылок, но это гораздо меньшее зло, чем почта (не считая времени, убитого на трепотню в чатах).
Кажется, это всё мелочи. Однако каждая из этих мелочей может иметь катастрофические последствия, особенно, если ваша компания — цель атаки конкурентов. А это может случиться буквально с каждым.
Болтливые сотрудники
Это тот самый человеческий фактор, от которого вам будет трудно избавиться. Сотрудники могут обсуждать работу в коридоре, в кафе, на улице, у клиента громко говорить о другом клиенте, рассказывать о трудовых достижениях и проектах дома. Конечно, вероятность того, что за спиной стоит конкурент, ничтожно мала (если вы не в одном БЦ — такое бывало), а вот того, что чётко излагающего бизнес-дела парня снимут на смартфон и выложат на YouTube, как ни странно выше. Но и это фигня. Не фигня, когда ваши сотрудники охотно излагают информацию о продукте или компании на тренингах, конференциях, митапах, профессиональных форумах, да хоть на Хабре. Тем более что нередко люди специально вызывают оппонента на такие разговоры, чтобы провести конкурентную разведку.
Показательная история. На одной ИТ-конференции галактического масштаба спикер секции выложил на слайде полную схему организации ИТ-инфраструктуры большой компании (топ-20). Схема была мега впечатляющая, просто космическая, её сфотографировали почти все, и она мгновенно полетела по социальным сетям с восторженными отзывами. Ну а потом спикер отлавливал по геотегам, стендам, соц. сетям запостивших и умолял удалить, потому что ему довольно быстро позвонили и сказали а-та-та. Болтун — находка для шпиона.
Незнание… освобождает от наказания
Согласно глобальному отчёту Лаборатории Касперского за 2017 год среди предприятий, столкнувшихся с инцидентами кибербезопасности за 12 месяцев, один из десяти (11%) наиболее серьезных типов инцидентов касался небрежных и не информированных сотрудников.
Не предполагайте, что сотрудники знают всё о мерах корпоративной безопасности, обязательно предупредите их, проведите обучение, сделайте интересные периодические рассылки о проблемах безопасности, проведите встречи за пиццей и разъясните вопросы ещё раз. И да, классный лайфхак — маркируйте всю печатную и электронную информацию цветом, знаками, надписями: коммерческая тайна, секретно, для служебного пользования, общий доступ. Это реально работает.
Современный мир поставил компании в очень щекотливое положение: нужно соблюсти баланс между стремлением сотрудника на работе не только пахать, но и фоном/в перерывах получать развлекательный контент и строгими правилами корпоративной безопасности. Если вы включите гиперконтроль и дебильные программы слежения (да, не опечатка — это не безопасность, это паранойя) и камеры за спиной, то доверие сотрудников к компании упадёт, а ведь сохранение доверия — тоже инструмент корпоративной безопасности.
Поэтому знайте меру, уважайте сотрудников, делайте бэкапы. И главное — ставьте во главу угла именно безопасность, а не персональную паранойю.
Если вам нужна CRM или ERP — внимательно изучите наши продукты и сопоставьте их возможности со своими целями и задачами. Будут вопросы и затруднения — пишите, звоните, мы организуем для вас индивидуальную презентацию онлайн — без рейтингов и пузомерок.Наш канал в Telegram, в котором без рекламы пишем не совсем формальные вещи о CRM и бизнесе.
Комментарии (64)
amarao
02.04.2019 16:47+13Частая смена паролей — эпикфейл. Если вы будете менять пароли с частотой трусов, то у вас будут либо пароли вида MyNextPa$$_345, либо они будут записаны.
Боитесь за утечку? 2FA. А пароли должны быть correct horse battery staple.degs
02.04.2019 18:43Горячо поддерживаю, людей невозможно заставить работать в таком режиме, им гораздо легче спрятать бумажку с паролем в надежном месте. Меня самого хватило на полгода, потом понял что не то что запомнить, уже придумать новый пароль не могу, хотя на память никогда не жаловался. Стал тупо ходить к админу и сбрасывать пароль каждый раз когда забывал. Его ожидаемо хватило ненадолго и он! неожиданность! выдал мне корпоративную тайну — группу символов, которые можно просто инкрементировать при обновлении, естественно все админы сами ей пользовались. Честно говоря, даже после этого текущее значение предпочитал записывать.
regionsoft — чтобы два раза не писать, а сайт у вас на голом http://, это стеб такой или так у всех специалистов по безопасности принято?RegionSoft
02.04.2019 19:05+1А тут как с паролями — всё не так однозначно. Безопасность, она не в зелёном значке и не в Https, а в инфраструктуре — можете вот почитать небезынтересный материал. Ну и к тому же наша CRM не является web-сервисом, а информационные сайты ещё далеко не все перешли на https. Всему своё время ;-)
degs
02.04.2019 19:16-3UPDATED April 2, 2015: This was an April Fools Joke. Read. Laugh. Learn. If you’re building web services, you should most definitely be using HTTPS.
Гм… Вы намекаете что сегодня тоже 2е апреля? Как-то весь пост заиграл для меня новыми красками :)
ilyaska
03.04.2019 11:52correct horse battery staple
Спасибо за хороший пароль!
HeadsetAdapterCo
03.04.2019 11:55+1Кстати, требование к «регулярной смене паролей» было «рекомендовано» NIST (National Institure of Standards and Technology, то есть «правительственной организацией, отвечающей за технологии) эдак лет двадцать назад. Причем сейчас никто не может вспомнить, кто и почему это пропихнул. Последние изменения в корне это меняют — рекомендуется иметь длинный пароль, со специальными символами, разным реестром и т.д. В общем, чтобы „подбор“ занял… вечность. И да, частая смена паролей приводит к тому, что люди просто „увеличивают“ последнюю цифру в предыдущем пароле.
PS. А вообще нужно пользоваться менеджерами паролей, и устанавливать уникальный пароль для каждого устройства, сайта или системы. Тогда единственный пароль, который нужно будет помнить — пароль для менеджера паролей, который, действительно, „как нижнее белье, не нужно никому светить“.whiplash
03.04.2019 13:23Емнип, уже отменили эту рекомендацию в NIST, проверьте актуальную версию.
Много статей было уже.
Makc_K
03.04.2019 14:22А вообще нужно пользоваться менеджерами паролей
И иметь не нулевую вероятность потерять сразу все пароли сразу со списком ресурсов, на которых используются?HeadsetAdapterCo
06.04.2019 04:33Нужно пользоваться ПРАВИЛЬНЫМИ менеджерами паролей. Например тот же LastPass (не реклама) хранит базу данных у себя. Да, они сделали все правильно (алгоритмически), и база данных без мастер-пароля расшифровке не подлежит. И они проходили несколько независимых аудитов.
Или если пользоваться другими менеджерами паролей, то нужно разбираться и копировать базу данных куда-то вне компьютера (на разные флэшки, может в облако). Естественно, нужно читать, разбираться, и в определенной мере «доверять» алгоритмам шифрования конкретного софта.
В любом случае, смысл в том, что если не пользоваться базой данных паролей (любой), то вероятнее всего будет всего два-три пароля, которые будут использоваться ВЕЗДЕ. В том числе на форумах (где никто с достоверностью не может сказать, как они шифруются), в соцсетях (откуда они с завидной регулярностью сливаются), и в банках (где деньги лежат). А если все системы, где вы зарегистрированы с этими тремя паролями («небезопасный», «безопасный» и «супер-пароль-только-для-банков») имеют разные политики для частоты смены паролей (где-то 60 дней, где-то 90 дней, где-то раз в год), то вы будете добавлять циферки в пароли, которые потом будут «рас-синхронизированы»…
В общем, «менеджеры паролей» это наше все… :-)
irvinatkins
02.04.2019 17:05-1откого вы защищаетесь?
от сотрудников дебилов — не нанимайте их
от ушлых сотрудников — приставьте к каждому по маёру и пусть он вводит пароли в систему под запись в журнал
либо просто раздайте пользователям физические ключи и не мешайте им работатьRegionSoft
02.04.2019 17:41+2Мы же пишем не о себе (хотя через что-то проходит каждая компания). Мы — вендоры, часто работаем с ИТ-инфраструктурой неайтишных компаний и видим, что у них есть проблемы, лежащие на поверхности. Для таких и пишем.
от сотрудников дебилов — не нанимайте их
Если сотрудник не соблюдает безопасность, это не значит, что он дебил. Например, в одной компании взяли на работу 40-летнюю переводчицу, у которой английский и испанский в совершенстве, уверенный японский и прекрасное знание американского делового оборота. Она бесценна, но до этого работала преподавателем в вузах разного уровня и корпоративная безопасность для неё — пустой звук. Конечно, она косячила, и руководитель её отдела была вынуждена засесть в переговорную и строго разжевать все правила, включая хранение паролей и работу с почтой, обращениями и онлайн платежами…
от ушлых сотрудников — приставьте к каждому по маёру и пусть он вводит пароли в систему под запись в журнал
Майоров не хватит :-) Да и ушлых с умными путать не стоит.kinall
02.04.2019 20:18-2все правила, включая хранение паролей и работу с почтой, обращениями и онлайн платежами…
Может, просто умерять паранойю, а не сочинять правила? Если она переводчица, то ей достаточно одного простого, интуитивно понятного правила: никому не пересказывать то, что переводит. Всё. Остальное, как справедливо отмечали выше, только мешает работе.RegionSoft
02.04.2019 22:48Она имела доступ к:
- рекламным системам и баннерокрутилкам
- паролям к оплате услуг иностранных блогеров и блогов (неснижаемый баланс карты ок. 20 000$)
- системе генерации и выдачи лицензионных ключей (сфера в2с)
- переписке в CRM и данным пользователей.
И без доступа к этим системам её ценность как работника была бы сильно снижена из-за потери оперативности.
Dioxin
03.04.2019 07:41от сотрудников дебилов — не нанимайте их
В бюджетных организациях ЗП на других нет.
irvinatkins
02.04.2019 17:07+14я бы остеригался пользователей которые могут запомнить каждый день по паролю вида
t9~1MatT86S;omlJ)6DaA-+Tr#)65P2#
9E@Dm7V!r%7A!+Vg6b2o_Oux8LH*5!7a
+e;2%;2F^V^jo2Bdo_xX#2Z00YjY10Sh
вы же понимаете что ему не составит труда вынести ваши наработки в бинарном виде в головеRegionSoft
02.04.2019 17:43ему не составит труда вынести ваши наработки в бинарном виде в голове
В коллекцию цитат просто :-) На самом деле, перегибать тоже не стоит, и выше amarao совершенно справедливо и грамотно написал о паролях. Но, увы и ах, в компаниях не-ИТ профиля к этому могут и не прийти.POS_troi
03.04.2019 12:10+1Проблема с паролями, вполне решаема с помощью «паролехранилок», остаётся только решить уровень паранойи на счёт онлайн сервисов или отдать предпочтение keepass и т.д.
Остаётся вопрос «узнал один пароль — узнал все», но всё равно лучше кучи бумажек натыканных под каждой поверхностью.
Но есть проблема — большая часть «не айтишников» даже не знает что такое есть и это можно использовать.
MockBeard
03.04.2019 14:53«вы же понимаете что ему не составит труда вынести ваши наработки в бинарном виде в голове».
Johnny Mnemonic?
ksbes
02.04.2019 17:17Что мне нравится в подобных статьях: напрочь забывают о таком фундаментальном аспекте ИБ как доступность. И законность
Зачем нужна «абсолютная» ИБ если она реально мешает работать и тормозит бизнес-процессы? Тем более у самой «абсолютной» ИБ всегда появляется одна-две точки «абсолютного отказа» (Например, в «абсолютном» шифре с шифроблокнотами — это, как несложно догадаться, сам шифроблокнот. Если его скопируют, то и не обнаружишь, и всё прочитают).
Безопасность должна быть достаточной, разумной и законной. А не минировать дачу, как некоторые делают.
Общие проблемы с паролем у, без преувеличения, миллиардов людей ненавязчиво подсказывают, что проблема не в людях, а в подходе. Как говорят: критикуя — предлагай! Из альтернатив, самое лучшее что я видел на практике — это авторизация по магнитному пропуску. Чрезвычайно удобно (пока пропуск не потерял) и достаточно безопасно (пропуск всегда должен быть на себе — иначе разборки). Может есть и другие альтернативы. Было бы интересно узнать и про них.MyOnAsSalat
03.04.2019 11:36Подход аля (банковская карточка/флешка с подписью) мне нравится куда больше.
Что бы получить доступ, прикладываешь карточку и вводишь пинкод (либо пароль).
Во первых, не получится удалённо что либо сделать, во вторых защитит от её потери.
При этом требовать менять пароль, делать его через чур сложный, и так далее, не нужно.
Naves
02.04.2019 19:17+3Кстати, ещё одна жестокая история: в одной компании за каждое письмо спама сисадмину снижали KPI
Интересно, насколько еще снижался его KPI, когда пропадали важные письма от важных клиентов c адресами вида marina[at]ebonyandco.com Или когда с легитимного адреса клиента параллельно с рабочими письмами сыпется спам из-за вирусов на компе.
Или когда опять-таки с адреса легитимного клиента приходит письмо с вложением 7zip, а внутри файл «Пакет документов для оплаты март.exe» и этот файл не детектит никто из топ-5 антивирусов (про ClamAV молчу вообще) до 3 часов дня. И при этом на этот файл срабатывают всякие маргинальные антивирусы на VirusTotalRegionSoft
02.04.2019 22:53Там была несколько другая структура, специфичная, и важные письма от клиентов поступали в колл-центр и саппорт с другими правилами безопасности. Карали за спам, пришедший сотрудникам корп.центра и управлений филиалов.
Naves
03.04.2019 00:29Все равно непонятно. И в моих реальных примерах, это были не совсем клиенты, это корпоративные адреса партнеров или поставщиков. И переписка была не с рядовыми менеджерами по продажам, и почтовые адреса получателей были личные.
Сейчас таргетированный спам от обычного письма не особо отличишь. Нужен или доступ к крупному почтовому серверу, чтобы считать кол-во писем от одного отправителя/домена и как-то определять пороговые значения, если пользователь отправляет больше 10 требований на оплату счетов в разные компании, он робот или кто. Или нанимать секретаря для почты, чтобы глазками читать письма, и все равно не поможет, ибо глаз замыливается.POS_troi
03.04.2019 12:22Я не удивлюсь что при этом была заявочка на тему «ну вот в гугле же могут, значит возможно и сможешь» :)
Naves
03.04.2019 12:56Мне больше нравится, что когда на gmail нельзя отправить exe-файлы в архивах, это все считают нормально.
А когда корпоративная почта не принимает вложения с exe, сразу начинаются крики, где наше письмо с презентацией от проектировщиков.
А презентация сделана в виде exe-файла с рендером помещений.
Причем их домен нельзя добавить в белые списки. Творческие личности, они то с адресов компании отправляют, то с личных ящиков.
Throwable
02.04.2019 19:31а потому что в офисе может быть обиженный Саша, который собирается уволиться и нагадить или забрать информацию напоследок. Почему бы это не сделать в очередной обед?
Обиженный машинист может пустить поезд под откос, обиженный врач — навредить пациенту, обиженный повар — отравить гостей, обиженный полицейский — застрелить прохожего, обиженный оператор атомной станции — спровоцировать катастрофу. И ведь как-то это все работает без всяких паролей...
Axelus Автор
02.04.2019 19:48+4Да, только иногда обиженные пилоты пассажирских самолётов приземляются в склон горы… Все это называется человеческим фактором, который можно минимизировать, но застраховаться от него полностью не может никто.
Throwable
03.04.2019 12:30Все-равно необходимы доверительные отношения, иначе ваша модель безопасности быстро парализует всю работу. Хорошая политика безопасности — та, которая не заметна. А против направленного вредительства пароли не сильно спасают.
Merkulog
02.04.2019 22:43Обиженный машинист может пустить поезд под откос, обиженный врач — навредить пациенту, обиженный повар — отравить гостей, обиженный полицейский — застрелить прохожего, обиженный оператор атомной станции — спровоцировать катастрофу.
Это не значит, что не надо пытаться предотвратить такие ситуации.
kinall
02.04.2019 20:25+1Кстати, про пароли из словаря. Я
сварщикпрограммист ненастоящий, так что спрошу у сведущих.
Насколько сложно сделать такую фишку: вместо сообщения «Ваш пароль слишком простой, придумайте новый», выводить что-то типа «Ваш пароль в словаре на N-ном месте, для взлома вашего аккаунта понадобится X (милли)секунд. Вы согласны?» И если мне, как пользователю, глубоко чихать, что мой аккаунт на сайте super_cms.ru взломают – я соглашаюсь, если нет – думаю дальше.
Тут и волки сыты (безопасник почесал ЧСВ), и овцы целы (пользователь может раздолбайничать). Да и ответственность при этом полностью перекладывается на пользователя – и в случае корпоративной безопасности это можно вполне официально прописать в каком-нибудь солидном документе.Naves
02.04.2019 20:32Буквально вчера было habr.com/en/post/446336
правда без специального предупреждения про словарностьkinall
02.04.2019 23:38И без возможности всё-таки установить «плохой» пароль, а в этом как раз вся идея.
POS_troi
03.04.2019 12:25Ну так берём часть с проверкой на словарность и выпиливаем часть с запретом на «поставить».
Но это может работать в личной жизни а в корп. среде есть понятие «политика безопасности паролей» и всем глубоко наплевать чего вы хотите :)kinall
03.04.2019 18:16Да хоть бы в личной… В корпоративной среде, бывает, и ключи (физические) сургучом кадры вечер опечатывают=)
Просто уж слишком раздражает, когда из-за требований системы нельзя поставить свой обычный «разменный» пароль (который в случае чего не жалко), и потом через год вспоминать, как именно ты его менял.
TheR
02.04.2019 20:49Интересно, кто вообще захочет работать в конторе, которая занимается такой «ИБ»? Особенно если рынок труда принадлежит работникам, как, например, в случае программистов…
saipr
02.04.2019 20:55Во-первых, у работников есть патологическая тяга узнать друг о друге самое тайное: семейное положение, размер заработной платы, медицинские диагнозы, образование и т.д.
Вообще-то это болезнь. Никогда не было такого желания. Главный принцип всегда был такой, если надо расскажут, не рассказывают и не надо. Вообще-то это страшные люди и в целях корпоративной безопасности от них надо избавляться в первую очередь!
Merkulog
02.04.2019 21:45А как вы их идентифицируете до первого инцидента? Правильно — никак.
saipr
02.04.2019 22:14-3Так используйте первый инцидент для предотвращения второго или, как говорят, чтобы неповадно было. Да, у нас же есть закон о защите персональных данных: при приеме на работу каждый подписывает бумагу о неразглашении, а также о том, что любая попытка незаконного доступа к чужим персданным будет караться по всей строгости закона!
Merkulog
02.04.2019 22:42А вы теоретик или практик, позвольте спросить?
при приеме на работу каждый подписывает бумагу о неразглашении
Ха-ха-ха. Вы считаете, что этот документ является НПА?что любая попытка незаконного доступа к чужим персданным будет караться по всей строгости закона
Ха-ха-ха!!! Вы посмотрите правоприменительную практику-то. По этим подписанным бумажкам вы никого не засудите. Цена этим бумажкам — взять на испуг, а при первом же нарушении — подтереться.
Если кому-то надо — сделают любым путём. И, поверьте уж, это не болезнь и не одинокий прецедент — это сплошь и рядом.saipr
02.04.2019 22:52-1Хотите я вам приведу пример когда никто ничего не смог узнать, а если и узнал, то не разглашал? Пожалуйста, Сергей Павлович Королев. Хотелось бы знать какая была цена этим бумажкам.
Вы посмотрите правоприменительную практику-то. По этим подписанным бумажкам вы никого не засудите. А вы минусуете. Это что ваша правоприменительная практика?
А зачем засуживать, лишите премии, тринадцатой, увольте!
ntfs1984
03.04.2019 02:56Здоровая безопасность от воров, и скажем так, невнимательных сотрудников конечно быть должна, но без упоротой паранойи.
В свое время довелось поработать в конторе, где были заблокированы USB-порты, залочен BIOS, и заблокированы исходящие порты, кроме 80, 443 на некоторые сайты, 22 и прочих, а на системе приходилось ставить какую-то инвентарную лабуду с целой компиляцией и настройками. Тем кто сидел под Виндами — вообще приходилось писать тикеты внутренним админам чтобы им поставили какой-нить Скайп. Мотивом этой сказки было «чтоб сотрудники не крали конфиденциальную инфу, ну там шаблоны сайтов, пароли и тд».
Сколько геморроя — вы можете представить сами. Скопировать домой док или файл с доменами, чтобы над ним поработать — невозможно. Зайти на https сайт вне вайтлиста — невозможно. Поставить виндоапдейт — невозможно. Подключить свою удобную клаво-мышку (радио, или что-нибудь подороже Жениуса) — тоже невозможно. Точнее все это возможно, но с порцией определенного геморроя.
… Необходимые мне данные я скопировал за 20 секунд :)
Нет, в закрытии USB нет ничего плохого. В сидении в Виндах не под администратором — тоже нет ничего плохого. Гораздо хуже, когда целый отдел «ко-ко-ко секурити-дивижн фирмы Рога И копыта inc» создает столько геморроя пользователям, имея целью препятствование тому, что вопреки их «защите» делается за одну минуту.
Лучше от таких фирм бежать подальше.
Amperandus
03.04.2019 08:23Нормальная банковская безопасность.
Были бы еще системы контроля (самое простое DLP) — то после копирования информации в обход системы вы бы еще и взыскание получили, от административного до уголовного, в зависимости от того что скачали и настроения руководства.
Для фирмы «рога и копыта» — конечно лишнее.
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.Amihailov
03.04.2019 10:02За копирование не получить ни административное, ни уголовное. Можно только за разглашение, которое еще нужно доказать.
А дисциплинарочку за копирование, разумеется, влепить не проблема.Amperandus
03.04.2019 10:51Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом – наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
хотя я не юрист, да и не из РФ. Но это вот УК РФ. Так что получить. Как правоприменяемость данной статьи — другой вопрос.Amihailov
03.04.2019 11:12Оу. Я упустил, что вы пишите в контексте банковской тайны и ответил про коммерческую тайну. Прошу прощения.
ntfs1984
03.04.2019 17:37Правоприменяемость наступает только при заранее обозначенном перечне сведений, составляющих коммерческую тайну, и этот режим коммерческой тайны должен быть явно установлен и задокументирован. Акт + перечень согласно закону, в общем.
Банковская тайна — это не совсем коммерческая тайна. Это скорее на грани с конфиденциальностью, нежели с ноу-хау. Хотя ноу-хау тоже могут скрываться. Например банк может скрывать сделки своих клиентов и используемый софт. Сделки относятся к банковской тайне, а софт к коммерческой.
PavelBelyaev
03.04.2019 06:38Работающий и тормозящий IO антивирус, как показывает практика, не убережет от всяких шифровальщиков, которые ничем не отличаются от правильного ПО, и доктор веб и касперский пропускали такое. А вот грамотная настройка прав доступа, когда пользователь ограничен почти полностью — есть софт который запускается и нужен для работы, есть папка в которой данные пользователя, а в систему лезть, что то настраивать и устанавливать не положено.
AlexanderTyutin
03.04.2019 10:30Вы совершенно правы. Самая лучшая защита — грамотные пользователи и правильная конфигурация. Но пресловутый человеческий фактор остается.
Если в конторе пять человек в одном кабинете, то все просто. Но если в конторе тысяча, а офисы по всей стране — за всеми не уследишь, над каждым не постоишь.
Поэтому применяются различные технические решения.
mad_nazgul
03.04.2019 08:11+1Все придумано до нас.
Принцип «разделяй и властвуй».
Хорошо работает для «бумажных документов», для «электронных» тоже можно адаптировать.
А так обычно загоняют всех в один «защищенный контур», а потом удивляются, что «очень секретная» информация гуляет по просторам интернета.
FotoHunter
03.04.2019 11:24У меня помошник админа Денис не нашел ничего умнее чем на свой почтовый аккаунт den@… поставить пароль den — естественно этот ящик стал транзитом/релеем для спама и пошли попытки взлома почтового сервера от имени этого админа. Ящик был заблокирован, замечания высказаны, начальство IT-отдела жалобу на сотрудника проигнорировало — «у него же дети, он не спит ночами, надо быть добрее». Теперь на все системы Денис стааит пароль 12345678.
Начальству приспичило сменить окна в серверной (распил бюджетного бабла). Начальник IT-отдела ЛИЧНО обернул иаботающие серверные стойки упаковочеой пленкой и через 15минут произошло отключение серверов и телефонии из за перегрева.
Нач. службу безопасности прописал доступ в серверную всему управлению включая уборщиц, электриков, сантехников, столяров. На вопрос «зачем» ответ «я спал всего 2 часа, мне некогда было думать».
Вот так и живем.
Gamliel_Fishkin
03.04.2019 12:11Пароль, придуманный человеком, вряд ли может быть случайным. Скорей он подчиняется определённой логике, которую злоумышленники могут попытаться воспроизвести. В то же время многие генераторы паролей примитивны до ужаса, используют что-нибудь вроде rand(). Есть ещё так называемый secure password generator; не уверен, можно ли воспринимать его всерьёз (хотя там куча умных слов: «password strength is not a subjective idea, but a strict scientific term» и так далее).
А переписку надо шифровать. Пока жареный петух не клюнул.
Prous
03.04.2019 17:45+1В прошлом году переехали в новый офис. Начальство настояло на том чтобы все двери были с электронными замками и у сотрудников были электронные карточки. Я долго доказывал что в нашем небольшом коллективе всем сотрудникам когда-нибудь приходится частично заменять других. И произойти это может неожиданно, в выходной, ночью и т.д. И доступ в помещения нужен всем. Короче поставили нам СКУД. Через год мы имеем работающие электронный замки на входе, кабинет директора и всё. Даже в серверную замок пришлось отключить.
Ну а ситуация с паролями на компах я думаю понятна.
vilgeforce
У вас в релизных версиях вашего классного и защищенного софта находили проблемы с безопасностью? Где можно посмотреть уведомления о таких находках?
RegionSoft
Оставим этот вопрос до возвращения axelus инженера на рабочее место.