Девять правил для белых воротничков
1. Храните информацию в специально отведенных местах
Чаще всего для хранения корпоративных данных выделяют сетевые диски и специальные информационные системы. Удаленное хранение позволяет администраторам централизованно защищать информацию, настроить, отслеживать и оперативно вносить изменения в права доступа пользователей, чтобы ограничить круг лиц, работающих с ней. Меньше пользователей — ниже риски.
Академически информационная безопасность обеспечивает конфиденциальность, доступность и целостность сведений. Централизованное хранение корпоративных данных помогает решить все эти задачи. Администраторы выполняют регулярное резервное копирование сетевых ресурсов, но не рабочих станций пользователей. Не станет делать бэкапы и большинство пользователей. В результате любой сбой в работе оборудования или вредоносное ПО могут привести к безвозвратной утере информации.
Сами пользователи часто приводят аргумент, что локальный файл доступен вне зависимости от работы сети и ИТ-систем. Но не принимают во внимание нештатные ситуации, которые могут произойти и с их рабочим компьютером. И лучше подождать лишние полчаса, пока администраторы наладят функционирование сетевых ресурсов, чем потерять результаты многомесячного труда.
Мало аргументов? Подумайте о том, что ваши файлы будет сложно достать если вы вдруг заболеете и не выйдите на работу. Ведь вы не станете инструктировать коллег по телефону, как залогиниться на вашем компьютере и где найти нужные файлы?
2. Не сообщайте пароль от своего компьютера коллегам
Это правило касается любых других корпоративных аккаунтов. Потому что любое действие из вашего аккаунта по умолчанию будет связано с вами. И даже в случае расследования серьезного инцидента будет непросто доказать свою непричастность, а скорые на расправу руководители не станут даже разбираться.
Большой вопрос, можно ли быть уверенным в коллегах, что они не станут нарушать корпоративные правила, используя ваш компьютер и ваш доступ к ИТ-системам. Известны также печальные случаи, когда работники специально подставляли сослуживцев, особенно на конкурирующих позициях. Поэтому свои пароли необходимо бережно сохранять, не следует раскрывать их коллегам или записывать на листочке на рабочем месте.
Разумеется, лучше всего периодически менять пароли — ведь заинтересованные соседи могут подсмотреть в опенспейсе, какую кодовую комбинацию вы вводите. Когда коллегам потребуется воспользоваться именно вашим компьютером, предложите им залогиниться под собственным аккаунтом — этот вариант предпочтительнее с точки зрения защиты информации.
Если в компании есть общие аккаунты, например, для модерирования форума или группы в социальной сети, то, конечно же, учетные данные должны быть известны всем ответственным лицам. Однако подумайте вместе с коллегами, может, следует завести несколько аккаунтов с правами модератора? В конце концов, аккаунт не трудно и взломать… А выяснять, кто виноват, и устранять последствия подобного инцидента легче, если использовались персональные учетные записи.
3. Перед отправкой проверяйте реквизиты электронных писем
Удобная штука — автозаполнение полей — нередко играет злые шутки с пользователем. Особенно неприятными могут оказаться последствия при использовании автозаполнения в почтовых клиентах. Стоит промахнуться строкой при выборе «всплывшего» имени или не вовремя клацнуть пробел, и письмо уйдет не предполагаемому адресату, а малознакомому контрагенту.
Некоторые случаи с автозаполнением полей выглядят и вовсе комичными. Например, сотрудник компании отправил базу клиентов не коллеге, а журналисту. Понятно, что скрыть такую утечку, хотя бы ее факт, очень сложно. Пусть даже адресат не собирается использовать полученную информацию против компании — репутационный ущерб может быть весьма чувствительным.
Какой выход? Их два. Или совсем отказаться от функции и отключить ее с помощью настроек программы, или взять за правило проверять все поля перед отправкой электронного письма, особенно внешнему адресату. Вообще это хорошая практика, которая поможет исправлять ошибки и опечатки и улучшить ваши бизнес-коммуникации.
4. Работать из дома — вредно
Данная рекомендация справедлива по крайней мере в отношении конфиденциальных данных. Наверняка каждому офисному сотруднику знакома ситуация: с самыми благими намерениями вечером или перед выходными уходишь, прихватив с собой документы — посидеть над проектом в домашней обстановке. И конечно, с утра или в понедельник работа начинается с того же самого места, не сдвинувшись вперед ни на йоту. Ситуация повторяется каждый раз, когда вы планируете поработать дома. А документы-то уже скопировали. На домашнюю почту вроде mail.ru или на флешку. При этом возникают серьезные риски утечки данных. Ведь безопасность внешней почты никто не гарантирует, ее вполне могут взломать, а флешки имеют свойство теряться.
Регулярная работа дома с конфиденциальными материалами притупляет чувство ответственности сотрудников, и тогда утечка сведений становится еще более вероятной. Бесконтрольное распространение информации начинается с выноса файлов за пределы контролируемой среды.
Кстати, подобную причину — «взял домой поработать» — часто называют и злонамеренные инсайдеры, которых уличили в утечке информации. Впрочем, при правильном (с технической и юридической точек зрения) внедрении DLP-систем мониторинга информации виновных сотрудников можно привлечь к ответственности. В российской практике инсайдерам чаще всего грозит дисциплинарная ответственность, однако известны и случаи судебного преследования злостных нарушителей.
5. Оставьте социальные сети для дома
Здесь ситуация диаметрально противоположна описанной выше. Трудоголики стремятся потрудиться и дома, а халявщики отдыхают от дел в офисе. А ведь проблема не только в рабочем времени, потраченном на пустую болтовню. Нецелевое использование ресурсов несет реальные информационные риски. Среди них распространение вредоносного кода, социальная инженерия, случайная компрометация данных.
Кстати, многие работники совершенно спокойно сидят в офисе в соцсетях, аргументируя это так: работодатель все равно не в праве читать мою переписку, это моя личная жизнь и невмешательство в нее, так же как и тайна переписки, гарантируется Конституцией. Совершенно верно. Однако не надо забывать, что работодатель тоже имеет свои права, в частности, проверять выполнение правил трудового распорядка (на основании Трудового кодекса) и защищать информацию с помощью технических средств (на основании закона «О коммерческой тайне»).
В этом контексте стоит внимательно рассмотреть недавнее решение Европейского суда по правам человека (ЕСПЧ) в рамках дела «Барбулеску против Румынии». Богдан Барбулеску, уволенный за нарушение внутренних правил (использование Интернета в личных целях), обратился в суд, апеллируя правом на тайну личной жизни и переписки. Однако суд встал на сторону работодателя, указав, что проверка не нарушала конституционных прав сотрудника. Решение ЕСПЧ не означает, что работодатель может свободно читать переписку персонала, но вправе использовать технические решения, чтобы контролировать соблюдение внутренних правил.
6. Не стоит кликать броские баннеры в интернете
Многие пользователи рассчитывают на то, что все вопросы информационной безопасности, разумеется, и антивирусной защиты, остаются в ведении исключительно сетевых администраторов. При этом весь трафик компьютера считается априори безопасным: еще бы, его уже проверил админ! Такой подход в корне неверен и ни к чему хорошему с точки зрения информационной безопасности не приведет.
Также плохо рассматривать имеющиеся политики и существующие ограничения на доступ к сетевым ресурсам как прихоть администраторов безопасности или как веселую игру — если не запрещено, значит разрешено. А если вижу запрет, мне непременно надо его обойти. Стремление самоутвердиться и продемонстрировать коллегам свою ИТ-квалификацию понятно. Также понятно, что любые ограничения хочется обойти. Если не хватит собственных знаний, всегда можно попросить помощи в Интернете.
Однако корпоративные политики ИБ и фильтры призваны минимизировать информационные риски. Если же на работе ходить по сомнительным сайтам, кликать броские баннеры и болтать в чатах с незнакомцами, то подцепить на компьютер зловреда проще простого. И никакие антивирусные продукты и самые строгие ограничения тут не помогут. Собственно, это не скрывают и сами вендоры — антивирусные движки действуют чуть лучше или чуть хуже, но не могут защитить от всех вредоносных программ, не могут предотвратить использований уязвимостей нулевого дня. Поэтому без содействия со стороны пользователей вся работа служб ИБ будет напрасно.
7. Не болтайте лишнего
Корпоративные секреты часто разглашаются не только по электронным каналам коммуникации, но и в рамках личного, в том числе неформального общения между коллегами. В этом случае хорошо действуют методы социальной инженерии, когда коллега целенаправленно выведывает нужную ему информацию. И все из-за изначально высокого уровня доверия к собеседнику — делаете практически общее дело, почему бы не поделиться? На практике же это помогает социальным инженерам добиться своего, выведать информацию, побудить человека к нужным действиям.
Для сокращения неформальных коммуникаций между подразделениями крупных компаний часто применяются методы физической безопасности — сотрудники просто не имеют доступа к помещениям соседних отделов. И пересекаются только по служебной необходимости или на корпоративных мероприятиях. Такой подход чужд отечественному менталитету, но действительно уменьшает риски разглашения информации или сговора сотрудников для реализации различных мошеннических схем.
Ну а для самих сотрудников совет прост: не болтайте лишнего. Обсуждайте планы и результаты своей работы с руководителем и коллегами, с которыми трудитесь над одними проектами, но не с «ребятами из того отдела» ради мнимого укрепления корпоративного духа.
8. Не храните секретные сведения на смартфонах
Концепция BYOD стала очень популярной еще несколько лет назад. Однако вопросы, связанные с обеспечением безопасности устройств и корпоративной информации на них, до сих пор остаются открытыми. Главная проблема заключается в том, что, когда информация попадает на устройство, дальнейшее ее распространение становится практически бесконтрольным.
Физическое перемещение, множество сетевых интерфейсов, несчетное число приложений и протоколов максимально усложняют задачу корпоративным службам информационной безопасности. Когда устройство хотя бы физически находится в пределах офиса, его худо-бедно можно контролировать. Но за пределами сети усложняется маршрутизация трафика, а куда может быть скопирована информация прямо с гаджета — вообще неизвестно. Усугубляет ситуацию безопасность самого устройства. Вирусы и шпионское ПО, установленные из неофициальных магазинов приложений (а иногда такие программы проникают и в официальные магазины приложений), только усиливают угрозу.
Используя даже жесткие политики безопасности, невозможно обеспечить одновременно и комфортный доступ к информации, и ее сохранность. Наиболее логичным выглядит запрет на доступ к наиболее критичной информации с мобильных устройств. Однако в рамках бизнес-процессов это не всегда возможно.
Словом, использовать смартфоны и другие умные мобильные гаджеты для доступа к конфиденциальной информации следует с осторожностью. По необходимости. А хранить документы на смартфоне «просто на всякий случай, может когда-то пригодится» — точно не стоит.
9. Не пользуйтесь открытыми Wi-Fi-сетями
В современной бизнес-среде совсем исключить применение мобильных устройств практически невозможно. И удаленный доступ к корпоративным данным разного уровня конфиденциальности периодически необходим. Хуже всего, когда для этого используются открытые Wi-Fi-сети.
Безопасность открытых Wi-Fi-сетей не гарантирует никто. Более того, аналитики Zecurion фиксируют, что количество случаев, когда открытые сети оказываются поддельными, постоянно увеличивается. Одна из популярных схем мошенничеств подразумевает установку точки доступа с названием сети идентичным или похожим на действующую. Затем к точке доступа подсоединяются пользователи, и весь трафик идет через злоумышленников. Те, в свою очередь, могут выуживать персональные данные, логины и пароли к различным сервисам, а также переписку пользователей.
Подобная схема хорошо работает, например, в крупных торговых центрах, где люди привыкли пользоваться бесплатным Интернетом, устройства автоматически подключаются к знакомым сетям, самих сетей можно быть несколько, и это не вызывает подозрения. А высокая проходимость торгового центра обеспечивает большой объем трафика, среди которого попадается и действительно ценная для хакеров информация.
Поэтому основные правила сетевой гигиены — отключение автоматического подсоединения к сетям и минимальное использование подключений к открытым сетям. Если уже возникла необходимость, лучше ограничиться неперсонифицированными сервисами, вроде поисковика, прогноза погоды или расписания транспорта. Для передачи важной информации, аутентификации собственных аккаунтов и работы с конфиденциальными документами лучше иметь защищенное соединение.
Опубликовано 10.03.2016