О пользе личной и коллективной гигиены информационной безопасности

24 апреля 2017
12

На одной недавней ИТ-конференции представитель крупного российского ИБ-вендора начал доклад с привычного запугивания аудитории: экспоненциальный рост угроз ИБ, самовоспроизводящиеся и саморассылающиеся зловреды, три-четыре новые зловредные программы каждую секунду, APTs’ы (целевые атаки), шифровальщики-вымогатели, неизвестные уязвимости в Adobe Reader, IE… И самая главная угроза — всемогущие хакеры, изменившие своей творческой натуре, в прежние благословенные годы стремившиеся единственно к самовыражению, а с некоторых пор возжелавшие капитализировать свои знания и тоже ездить в элитных автомобилях. Тихий ужас, в общем... 

И что этому можно противопоставить? Допустим, специализированный продукт, анализирующий входящий трафик, включая электронную почту и вложения в письма, предварительно запускающий сомнительные вложения или файлы в т.н. «песочнице», то есть в специально созданной, изолированной от корпоративного пространства виртуальной среде, с целью проверки на наличие зловредов. 

Но, с одной стороны, возникает вопрос цены продукта, экономической оправданности вложений. Если бизнес крупный – пожалуй, да, вложения оправданы, а если небольшой или даже средний – скорее, нет. А с другой стороны,  дело даже не в цене, как оказывается, а в сомнительной эффективности самого крутого и продвинутого продукта, способного анализировать все и вся, в условиях, когда на ресепшене сидит обыкновенная, совершенно непродвинутая в плане ИБ секретарша. И вот секретарше приходит на электронную почту письмецо с вложением, озаглавленное, допустим,  как «пересмотр зарплат административного департамента на текущий год». Секретарша, разумеется, открывает вложение и готово, зловред — внутри периметра, дальше, что называется, — дело техники. 

Возникает вопрос — что делать в этой ситуации? Как один из вариантов ответа — регулярно деликатно «вбивать» ей и другим сотрудникам на офисной передовой правила ИБ в голову. Например, проводить ежедневный инструктаж — коротко, по громкой связи, как в метро – «граждане пассажиры, выходя из вагона, не забывайте свои вещи». Регулярно собирать всех сотрудников на ИБ-ликбез, который проводят либо специалисты собственного отдела по ИБ, либо званые специалисты. Причем хорошо было бы, чтобы время от времени до таких собраний снисходило руководство, что продемонстрировало бы подчиненным важность проблемы. 

Так, например, в плане использования личных мобильных устройств — это одна из самых актуальных уязвимостей на сегодня, с точки зрения утечки корпоративной информации — именно высший менеджмент компании является слабым звеном. На вопрос о соблюдении им требований ИБ обычно любой директор по ИТ почти всегда отвечает пожиманием плеч – мол, а что можно с этим поделать? Он же топ… А станет ли соблюдать ИБ рядовой сотрудник, если топ ее показательно игнорирует?  Ведь рядовой сотрудник может все интерпретировать в свою пользу, и в результате скорее просто имитировать соблюдение ИБ, чем на деле соблюдать. И вот мы уже вместо одной точки уязвимости — мобильного топ-руководителя, имеем десятки, сотни уязвимостей в виде личных мобильных устройств сотрудников.

И хотя на бумаге все будет прекрасно — утвержденная корпоративная стратегия ИБ, нормы и регламенты использования личных мобильных устройств, даже корпоративные устройства у большинства сотрудников, но на практике все это, увы, граничит с фикцией. 

Вот почему, имхо, так важно соблюдать личную гигиену ИБ как руководству компании, так и всем сотрудникам. И начинать нужно с самых простых действий. Они будут эффективны как сами по себе, и сделают эффективнее использование, в том числе продвинутых ИБ-инструментов. 

А что вы думаете по этому поводу? С чего, на ваш взгляд, должно начинаться соблюдение мер ИБ в компании?


5108
Поделиться
Коментарии: 12

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Виктор Федько
    Рейтинг: 217
    АО МПО им.И.Румянцева
    Зам. начальника управления информационных технологий
    25.04.2017 08:34

    Секретарша, разумеется, открывает вложение и готово, зловред — внутри периметра, дальше, что называется, — дело техники.

    Знакомая ситуация. Регулярно такое поступает в виде подобных писем-шифровальщиков. Борьба обычными средствами не помогает - бесполезно, только человеческий фактор и внимательность. Провозгласили принцип - если письмо хоть чем-то подозрительно, удалять не открывая. Лучше удалить 10 нужных и важных, чем пропустить одно ненужное. и принцип работает - за год ни одного промаха ( тьфу, тьфу, тьфу :) ).

    С топ-менеджментом бороться очень просто - никакого доступа никуда с личных гаджетов. С казенных - тоже вне периметра. Ставится только почтовый клиент по приему рабочей почты. Все остальное - на работе. И действует !

    Вообще же, у всякой компании свои правили. Знаю такие, например, где есть правило - топ-не топ, хоть пред. сов. дир. - приехал на работу из командировки с ноутбуком - сдай ноут/планшет в отдел ИБ ( при входе отбирают). Чистят и возвращают.

    • Алексей Воронин Виктор
      Рейтинг: 10
      Global CIO
      Независимый эксперт
      04.05.2017 21:41

      Что ж, лишнее подтверждение, что ИБ - процесс, а не результат. Впрочем, как самое жизнь)

  • Константин Шмелёв
    Рейтинг: 10
    ООО "Интерэнерго"
    Руководитель ИТ департамента
    26.04.2017 07:31

    Мы практикуем правила обработки таких вложений и презентацию. Рассылаем по инциденту информацию, с картинками "как выглядит вложение, которое ни в коем случае не открывать". В группе риска все, у нас особенно бухгалтерия, которой часто приходят письма вида "Акт от контрагента" , " Дебиторка" и т..п. У некоторых бухгалтеров по их просьбе на рабочем столе размещены скриншоты вложений, для наглядности.
    Вообщем максимально освещаем вопрос, к счастью слова "вирус" , "хакер", "потеря данных" имеют эффект, сотрудники перестраховываются, и зовут ИТ при возникших подозрениях. Пару раз схватывали шифровальщика, без последствий, спасали время реакции и ограниченные права сотрудника. Несколько тел отловил Kaspersky, и еще несколько - удалил пользователь без просмотра. Эпидемий не было. Резюме: просвещение сотрудников наряду с мерами тех.защиты, плюс disaster recovery, на самый печальный сценарий - все должно работать в комплексе.

  • Анатолий Курочкин
    Рейтинг: 20
    Научно-производственное объединение
    Старший инженер, аналитик.
    26.04.2017 11:41

    А что вы думаете по этому поводу? С чего, на ваш взгляд, должно начинаться соблюдение мер ИБ в компании?
    С анализа реальных угроз. Хороший пример с "топами" приводит Виктор Федько.
    Есть окна для внедрения, тот же секретариат.
    Если ИТ--директор "пожимает плечами", значит его нужно малость "попрессовать", чтоб поумнел.

    • Алексей Воронин Анатолий
      Рейтинг: 10
      Global CIO
      Независимый эксперт
      04.05.2017 21:44

      Не у всех хватает характера прессовать начальство. Причем, для госсегмента, как мне представляется, эта проблема острее. В хорошем смысле слова прессовать)

      • Анатолий Курочкин Алексей
        Рейтинг: 20
        Научно-производственное объединение
        Старший инженер, аналитик.
        04.05.2017 22:06

        Про характер не знаю что сказать. А про госучреждения - я как-то не обращал внимания на подобные сложности. В госучреждении у начальников руки гораздо сильнее связаны. А твёрдость позиции везде, как мне кажется, ценится.

  • Алексей Сученинов
    Рейтинг: 10
    «КОРУС Консалтинг»
    Директор проектов
    26.04.2017 12:41

    ИБ начинаться должно с подписи генерального директора под политикой информационной безопасности. То есть, конечно вначале с анализа рисков, постановки и решения организационных вопросов, а дальше поддержка всех мер владельцами и руководством на всех уровнях. И соблюдение ими...
    Если бюджет или штат не выдается, то упор на организационные мероприятия безусловен и, многократно проверено, не столь эффективен. как в дополнении к ним качественно настроенные правила и политики в ПО (ограниченные права пользователей/UAC/настройки по типам файлов/итд) .

  • Алексей Шиндин
    Рейтинг: 10
    4х4 бюро профессиональных услуг
    Директор по ИТ и ИБ
    26.04.2017 17:22

    Московское отделение ISACA недавно проводило открытый круглый стол по вопросам осведомленности ИБ, с презентациями можно ознакомится здесь: http://www.isaca.org/chapters2/moscow/events/Pages/default.aspx

    • Алексей Сученинов Алексей
      Рейтинг: 10
      «КОРУС Консалтинг»
      Директор проектов
      26.04.2017 21:13

      Алексей Борисович, спасибо за прекрасные презентации.

  • Андрей Паниди
    Рейтинг: 10
    ЛОТТЕ ОТЕЛЬ МОСКВА
    Директор службы ИТ
    27.04.2017 11:59

    Мне кажется, что развешивание плакатов из серии: "Мойте руки перед едой" - не самый эффективный способ борьбы с эпидемиями. Воспитательные беседы с персоналом имеют весьма краткосрочный эффект, да и персонал меняется достаточно часто.
    Мы боремся, в основном, техническими средствами:
    1. "Поголовное" сканирование входящих сообщений, в том числе, и вложений, в том числе и в виде архивов.
    2. Запрет на пересылку некоторых типов файлов
    3. Лишение пользователей прав "локального администратора" на своих ПК
    4. Надежная "изоляция" пользователей в сетевых ресурсах
    5. Ежедневный бэкап

    Раза два нарывались на шифровальщика. От катастрофических последствий спасли пункты 3 и 4. Данные восстановили с помощью пункта 5.
    Кстати, на мое предложение вынести взыскание сотруднику, открывшему и переславшему письмо с вирусом, HR ответил: "Она же не виновата, что ее обманули!".

    • Алексей Воронин Андрей
      Рейтинг: 10
      Global CIO
      Независимый эксперт
      04.05.2017 21:49

      Значит, нужно HR-у промыть мозги) Андрей Иванович, у Вас все-таки небольшая организация - относительно. А для больших тотальная ИБ-гигиена - очень принципиальный момент. Что и подтверждают предыдущие комментарии, собственно...

Предметная область
Отрасль
Управление