.png)
Иван Кончаковский, руководитель IT-отдела arcsinus рассказывает о том, почему привычки — враг инфобезопасности, какие цифровые угрозы актуальны для бизнеса и какие практики нужно обязательно внедрять любой компании.
— Что такое цифровая гигиена в контексте рабочих процессов?
Цифровая гигиена в широком смысле — набор правил, по которым выстраивается рабочий процесс. Эти правила, в свою очередь, помогают сотруднику более эффективно вести коммуникации и осознанно относиться при работе с цифровым сервисами и данными, а в конечном счёте быть более защищённым в цифровой среде.
— Какие основные угрозы существуют для сотрудников и самой компании?
Это очень большая тема. Угрозу всегда надо рассматривать в связи с понятием риска. Угроза — это возможное нежелательное событие, а риск — вероятность наступления этого события.
С точки зрения цифры угрозы могут быть самыми разными. Задача специалиста по информационной безопасности (ИБ) — работать не с отдельными угрозами как таковыми, а с их классами, и с высокой точностью прогнозировать риск наступления конкретной угрозы. В идеале компания, которая заботится об ИБ, должна иметь актуальную таблицу рисков с планом действий по избежанию каждого класса риска и планом действий на случай, если нивелировать риск не удаётся.
Знание основных угроз — и есть главный фактор защищённости бизнеса. Вот аналогия не из цифровой сферы: мы никогда не сможем защититься от землетрясения, если не знаем, что оно может наступить. Поэтому необходимо постоянно анализировать угрозы, следить за их изменениями — а в цифровой среде меняется всё невероятно быстро.
Например, нейросети добрались и до сферы ИБ. Сегодня это совершенно новый вид угрозы инфраструктуре компании. Только представьте: теперь можно загружать на ПК не сам вирус, а микромодель, которая генерирует вирус специально под конкретную инфраструктуру. Защиты от такой «малвари» ещё нет, инженеры ищут способы работы с ними.
— Какие привычки сотрудников самые опасные с точки зрения кибербезопасности?
Сотрудник — самое уязвимое звено в любой системе ИБ, главная угроза ей. Можно внедрять строгие правила, создавать изощренные средства защиты — и всё это может пойти прахом из-за неосторожности одного человека и нежелания соблюдать эти правила. Примеров множество.
Одна из самых опасных привычек сотрудников — смотреть на правила ИБ как на помеху, препятствие, которое создано назло им. Это заставляет людей обманывать систему, обходить правила или в лучшем случае соблюдать требования, но для галочки, спустя рукава.
Ещё один враг безопасности — автоматизм, привычка делать многие вещи не задумываясь, идти по самому простому и доступному пути. Самым простым он оказывается не только для сотрудника, но и для злоумышленника. Очевидные примеры — файл «Пароли», сохраннёный в папке «Мои документы», установка сомнительного ПО, простые или одинаковые пароли во всех сервисах, не заблокированный экран, когда человек уходит от компьютера.
Этот автоматизм, кстати, присущ и самим системным администраторам — они могут использовать дефолтные пароли от учётных записей с широкими правами. Пароль легко взломать — и получить доступ к чувствительной корпоративной информации, например, финансовой. Или зашифровать все данные. Это буквально парализует работу, и топ-менеджмент может согласиться заплатить за то, чтобы вернуть доступ к данным. Таких случаев больше, чем можно подумать.
— Сталкивались ли вы с нарушениями цифровой безопасности по вине работников?
Нарушение — не вполне корректная формулировка. В ИБ есть понятия эскалации риска или наступлении риска. Эти события имеют вероятностный характер, и если риск эскалировать, то событие наступает. Задача ИБ-специалиста — сделать так, чтобы процент его наступления был очень низким, а если всё же если оно произошло — чтобы ущерб был минимальным.
С этим сталкивается любой системный администратор, сотрудник поддержки или службы ИБ, который работает больше двух дней. У нас в компании, надо сказать, люди сознательные, и серьёзных эксцессов никогда не было.
Но чтобы представить масштаб возможных последствий, мы можем вспомнить громкие кейсы, о которых говорили даже непрофильные СМИ. Например, в этом году в результате бюрократической ошибки на сайте госзакупок вместе с тендером один из регионов опубликовал внутренние документы, связанные со стратегическим вооружением.
Сотрудник Агентства национальной безопасности (АНБ) и Центрального разведывательного управления (ЦРУ) США Эдвард Сноуден — это лишь технический специалист невысокого уровня. В 2013 году он смог получить доступ к материалам, которые должны были быть сверхсекретным. И опубликовал их. Не понадобилось никаких хакерских атак и дорогих инструментов — роль системного администратора + социальная инженерия + простые общедоступные инструмент типа парсеров.
Едва ли не каждый день в профессиональном чате мои коллеги из других компаний делятся кейсами масштабом поменьше. Сотрудник взломал опенсорсную Active Directory, написанную на Линуксе и управления пользователями в системе и присвоил себе права суперюзера в системе большой производственной компании. А благодаря этому получил доступ к документам своего начальника.
В другой компании пароль от администраторской учётной записи сотрудник поддержки по дружбе дал кому-то из персонала. А поскольку в компании не было принято проводить регулярную ротацию (смену) паролей, он в течение пары лет стал известен едва ли не последнему клинеру.
— Как мотивировать сотрудников соблюдать цифровую гигиену без ощущения тотального контроля?
Мне кажется, главное не столько мотивация, сколько информированность. Каждый сотрудник должен быть немного специалистом в ИБ. Если он понимает, что в цифре нет случайностей — то несмотря на конец рабочего дня и усталость, он, например, обязательно проверит отправителя странного письма и не станет без веских оснований доставать его из папки спама.
Ну и ещё ИБ коррелирует с элементарной добросовестностью. Внимательность к своей работе, требованиям и правилам компании помогает не только хорошо работать, но и сделать свой вклад в безопасность компании.
Вообще же, все хорошие практики, в том числе практики инфобеза, должны использовать прежде всего руководители. Ведь их халатность ведёт к гораздо более серьёзным рискам, чем пофигизм рядового сотрудника. Когда всё хорошо наверху, культуру работы с угрозами легче экстраполировать на всю компанию.
Увы, надо признать, что лучшая мотивация — собственные набитые шишки. У нас, например, сотрудники сталкивались с письмами с подменных адресов. То есть адрес отправителя выглядит как имейл твоего руководителя. А на деле это был злоумышленник. И это успели сделать на считанные часы, когда мы мигрировали на новый домен. Ещё нашим сотрудникам звонили якобы из налоговой службы и писали в мессенджерах с аккаунтов, имитирующих учётки наших же руководителей. После таких случаев становишься сильно осмотрительнее.
— Есть ли базовый чек-лист по кибербезопасности, который стоит внедрить в каждой компании?
- Политика доступов.
- Политика работы с паролями.
- Политика работы с электронной почтой.
- Политика работы с инцидентами.
- Только ПО и сервисы, необходимые в работе на уровне политики
- Правила в коммуникации в мессенджерах и взаимодействием с интернетом
Из очевидного, но часто игнорируемого — чистые экран и стол. Если работаете в офисе, не нужно клеить никаких стикеров с паролями в корпоративные системы. Нельзя оставлять на столе документы. Нельзя оставлять на столе носители ЭЦП и вообще любые флешки с данными и доступами. Вдвойне опасно, если на этих флешках наклейка с паролем — такое тоже делают.
В офлайне важно и ограничивать доступ в отдельные кабинеты посторонним. Почему обычно не так просто попасть в бухгалтерию? Не потому что там деньги и не потому что они такие злые. Там действительно есть масса интересного для злоумышленника.
Уничтожение ненужных документов — тоже хорошая практика. Более того, шредеры, уничтожающие бумагу, не все одинаковые. Лишь отдельные модели могут сделать это так, что документ потом невозможно восстановить.
И совсем простое — нужно блокировать экран, когда уходите от компьютера. Всегда.
