ИБ и пользователь, или Безопасность как сервис
Очень много сказано об информационной безопасности с позиции технологий. Системы защиты, фильтрации, предотвращения, антивирусы точно есть практически в любой организации. Системы и меры защиты обеспечивают защиту защищаемых согласно законодательству данных, коммерческой тайны, служебной тайны и т. д. Только вот любая система пасует перед обычной человеческой логикой. Логикой обычных людей.
Немного об основах
Что такое ИБ с позиции конечного пользователя? В первую очередь это ограничение. Потому что нельзя устанавливать ПО, не одобренное некими таинственными офицерами информационной безопасности, нельзя ходить на левые сайты, нельзя вести переписку в соцсетях… Нельзя звонить с корпоративного телефона по некорпоративным вопросам, нельзя писать личные сообщения с корпоративной почты… и много других «нельзя». При этом далеко не все эти «нельзя» относятся к контуру ИБ.
Давайте попробуем понять, что вообще представляет собой ИБ, если отойти от систем, запретов и разрешений. Начнем с того, что в любой организации есть информация. Информации достаточно много – и некоторая информация может быть общедоступной, а некоторую желательно не разглашать, потому что именно на ней держатся те или иные конкурентные преимущества. Ну, например, такой информацией может выступать метод производства какого-либо изделия, особенности механизмов работы ПО или информация про настройку некого оборудования. Ну и то, что должно быть защищено по закону (например. персональные данные), то есть то, что напрямую конкурентных преимуществ не создает, но то, что разглашать нельзя и обрабатывается оно только специализированным образом сотрудниками, имеющими специализированный доступ.
Логично, что эта информация так или иначе должна быть защищена. Например, к ней может быть ограничен доступ на уровне программного обеспечения или же на уровне физики – то есть физического доступа. Причем одно не исключает другое. Собственно, ИБ (она же информационная безопасность) как раз и занимается вопросами защиты такой информации. Ну а защита традиционно строится на трех китах: обеспечении, предотвращении, расследовании.
Функция обеспечения достаточно широкая: сюда входят как проработка и подготовка организационных мероприятий, так и проработка и внедрение программных и аппаратных средств защиты информации и ее носителей. Оценка угроз, анализ негативных сценариев, оценка влияния, рисков и контрмероприятий – это все лежит в «обеспечении».
Функция предотвращения – по сути, это ежедневная рутинная работа в режиме эксплуатации всего, что запроектировано в «обеспечении». Каждый день нужно обеспечивать допуск специально выделенных сотрудников к местам хранения информации, следить за функционированием системы доступа и т. д.
И наконец, функция расследования: в рамках этой функции проводится расследование случаев нарушения доступа к информации. Эта функция также опирается на спроектированные в «обеспечении» регламенты и процедуры.
Что из этого видит конечный пользователь? Только запреты. В большинстве случаев простой пользователь не задумывается ни о законодательстве, ни о том, что есть защищаемая информация. Ни о чем. Он подписал бумаги при трудоустройстве, относясь к этому как к формальности, в том числе, возможно, соглашение о нераспространении, обязательство по соблюдению режима коммерческой тайны, еще что-то. Многие подписывают, даже не читая и не вникая: ну ладно, надо так надо.
Для них это «бумага на входе». И в дальнейшем, при работе, отношение в принципе примерно такое же: надо так надо. Наверное, поэтому и работают на простых пользователях методы социальной инженерии: если относиться к информационной безопасности изначально несерьезно, то как можно быть уверенным, что пользователь абсолютно случайно не проболтается потенциальному недоброжелателю о чем-то существенном?
Про культуру
И тут уместно вспомнить о такой вещи, как корпоративная культура. Вообще в целом это очень широкое понятие, базирующееся на ценностях, вырабатываемое и прививаемое у сотрудников в результате комплекса специально рассчитанных на это мероприятий. (Отмечу, что корпоративную культуру в целом недостаточно декларировать – ей надо следовать. То есть сделать так, чтобы каждый сотрудник не просто следовал ей, а захотел ей следовать, а это отдельная большая и сложная задача.)
Частью корпоративной культуры может (и должна) быть культура информационной безопасности. На этом месте обычно возникает ступор. Объяснить, что такое культура, достаточно сложно. Еще сложнее объяснить, зачем она нужна и как ее внедрять. Но я все-таки попробую. Культура – это комплекс внутренних убеждений и, как следствие, первых реакций человека. Если человек убежден, что нормы информационной безопасности важны именно для него, то и нарушений станет на порядок меньше, потому что у человека появится мотивация осторожнее относиться к этой сфере. Достаточно довести до пользователя элементарную мысль, что ему лично важна безопасность той информации, к которой он по служебной необходимости имеет доступ, как количество случаев нарушений ИБ пойдет на спад. Почему? Да потому, что будет включаться первая реакция: нельзя! опасно! может нанести вред! К сожалению, так бывает далеко не всегда. Чаще люди склонны делиться друг с другом в том числе рабочими новостями, часть из которых может относиться к защищаемой информации. Соответственно, задача корпоративной культуры в части информационной безопасности – выработать у сотрудников векторы, ориентиры, которые бы давали возможность для правильных действий хотя бы в 80% случаев.
Как это сделать? С одной стороны, метод кнута и пряника никто не отменял. С другой – это, в общем, не наш метод. Потому что корпоративная культура строится в первую очередь на парадигме того, что сотрудник сам, без принуждения, будет следовать ее принципам. Таким образом, получается, что в рамках общей культуры предприятия должна быть выстроена культура ИБ, включающая в себя достаточно большой объем различных мероприятий, направленных на повышение внутренней сознательности пользователей. Семинары, видеоуроки, рассылки с дайджестами и/или статьями – все эти средства могут стать серьезным подспорьем во внедрении культуры ИБ. И прошу заметить, никаких технических подробностей. Рискну сказать, что культура ИБ начинается в массах там, где заканчивается техника. Потому что сертификаты, подписи, стороннее, недоверенное ПО, криптозащита – для большинства пользователей просто набор вроде бы русских слов. И точка.
Понятное дело, что с течением времени можно и нужно повышать техническую грамотность пользователей. Хотя бы на уровне того, чтобы с рабочих компьютеров не ходили куда не надо и в случае чего адекватно реагировали на возможные исключительно «компьютерные» случаи (сообщения антивируса, предупреждение файервола и т. д.). Но в первую очередь культура должна быть сфокусирована именно на информации, носителем которой выступает тот или иной конкретный сотрудник.
Про ибэшников
Начнем с того, что ибэшник – это не айтишник в общем случае. Вообще понятие «инженер ИБ» сильно варьируется в зависимости от организации. Где-то это узкий технический специалист, хорошо разбирающийся в специальных программно-аппаратных средствах, где-то – типичный представитель СЭБ, заточенный на обеспечение функции ИБ как одной из функций экономической безопасности. На самом деле и тот и другой подход имеют свои плюсы и минусы. Все зависит от трактовки того, что представляет собой ИБ в конкретной организации: техническую или организационную функцию.
Более того, есть и третий путь, который состоит в том, что ИБ – это функция и организационная, и техническая. Только вот мало где ИБ рассматривается как часть корпоративной культуры. И в этом, как мне кажется, кроется большая проблема, потому что, рассматривая ИБ в отрыве от культуры, мы получаем в итоге определенную вещь в себе. Тут можно сказать, что в силу специфики функция обеспечения безопасности в целом и должна быть вещью в себе. Отличие в том, что форма этой вещи может быть разная: где-то это вещь с человеческим лицом, где-то – полностью вещь в себе. В чем отличие? Да в том, что в первом случае офицер информационной безопасности рассматривается пользователями как препятствие, преграда, барьер, то есть то, что мешает жить и работать. Во втором случае такого барьера нет, наоборот, офицер ИБ воспринимается как союзник, который всегда придет на помощь в случае необходимости.
Это в общем и есть важная часть культуры: формирование именно отношения, внутреннего вектора каждого сотрудника. То есть победа не в том, чтобы заставить сотрудников ходить строем и шаг вправо, шаг влево ни-ни, а в том, чтобы в рамках коридора установленных правил сотрудник чувствовал себя достаточно комфортно и безопасно. И не только от угроз безопасности, но и от сотрудников, обеспечивающих противодействие этим угрозам. Повторюсь, офицер ИБ должен рассматриваться большинством пользователей именно как союзник – это очень важно.
Как добиться этого эффекта? Мне кажется, что начинать стоит с самих сотрудников ИБ, ориентировать их на большую открытость и коммуникабельность по отношению к пользователям, а также на проактивность. «Чем я могу вам помочь?» – должно быть нормальным вопросом от сотрудника ИБ к пользователю. При такой постановке вопроса требования ИБ исключительно на уровне психологии принимаются проще: разве можно отказать такому хорошему парню (американская система)?
А как же работа?
В свете сказанного возникает закономерный вопрос: а как же работа при таком-то пиаре? На самом деле достаточно просто. Ведь, если разобраться, деятельность любого сотрудника условно можно поделить на две части: внешнюю (нацеленную на коммуникации с коллегами) и внутреннюю (работа, которая выполняется исключительно самостоятельно и не связана с коммуникациями). Так или иначе, работа – это комбинация внешнего и внутреннего, причем неважно, кем является тот или иной сотрудник. В том смысле, что любой из нас, выполняя работу, как осуществляет взаимодействие, так и непосредственно выполняет ее.
Возьмем, например, классического айтишника, мастера на все руки: его работа как просветительская («сюда не нажимай, программа упадет»), так и результативная (пользователи довольны, аппаратные средства работают). По аналогичному принципу может работать и сотрудник ИБ, разделяя внутреннюю, скрытую от пользователей часть работы и внешнюю. На самом деле, если говорить о культуре, то вопрос в том, как выстроить внешнюю часть работы. Опять-таки на примере. Есть много прекрасных сервисных компаний, основа работы которых – соблюдение тех или иных норм, законов, правил, предписаний. При этом они выстраивают свою работу с клиентом так, чтобы ему было в первую очередь удобно. Это нивелирует кажущуюся возможную «строгость законов». Потому что человек в первую очередь отличается эмоциональностью реакции, и, соответственно, сервис он также оценивает изначально эмоционально. А по большому счету ИБ в рамках предприятия и как часть культуры – это сервис. Сервис, который предоставляется со стороны управления ИБ (или экономической безопасности, или просто службы безопасности) простым конечным пользователям.
Опубликовано 23.09.2015