Інформаційна безпека

Інформаційна безпека

Яка б не використовувалася технологія в організації, навчання користувачів до цих пір залишається одним з найважливіших компонентів стратегії захисту даних. У числі найбільш поширених причин інцидентів у сфері безпеки підприємці з різних країн, які представляють різні галузі бізнесу, часто називають людський фактор. У даній статті ми хотіли б розповісти про те, яка повинна бути інформаційна безпека на підприємстві, про поширені стереотипи поведінки користувачів, які становлять загрозу безпеці, а також про методи, за допомогою яких організації можуть змінити існуючий стан справ.

Зміст статті:

  1. Ваш прокол;
  2. Поспішні дії;
  3. Прості люди;
  4. З необережності;
  5. Жертва фішингу;
  6. Наша справа – сторона;
  7. Відвертість у соцмережах.

Ваш прокол

На думку авторів підготовленої в юридичній фірмі BakerHostetler доповіді 2017 BakerHostetler Data Security Incident Response Report, в основі 32% випадків порушення безпеки лежить помилка оператора. Тим часом, опитування 134 учасників, що відбулося в 2017 році на хакерській конференції Black Hat, показав, що 55% респондентів піддавалися кібератакам, і 84% опитаних стверджують, що ці інциденти сталися в результаті здійснених користувачами помилок.

Наведені цифри свідчать про те, що проблема нерозуміння базових ризиків, спричинених діями співробітників, зберігає свою гостроту. Але перед тим як звинувачувати користувачів, давайте подумаємо ще раз. За словами Ленса Спитцнера, директора програми по поширенню знань про заходи безпеки в інституті SANS, відповідальність за навчання користувачів цілком лягає на плечі керівників.

Спитцнер та інші експерти з проблем розуміння заходів безпеки надали нам список стереотипних реакцій користувачів, які становлять загрозу безпеці, а також методів протидії їм.

Поспішні дії

У зв’язку з підвищенням рівня відповідальності співробітників і постійними вимогами отримати більш високі результати за рахунок меншого обсягу ресурсів, сучасні користувачі піддаються більш жорсткому, ніж коли-небудь раніше, психологічному тиску. А це створює проблеми в області безпеки, оскільки співробітники, що відчувають психологічні перевантаження, не можуть дотримуватися режиму безпеки. Такої думки дотримується Вікторія Томас, консультант з питань упровадження заходів безпеки і автор програми перепідготовки для працівників великих компаній, включаючи Kimberly-Clark і GM.

Існує безліч аспектів, яким доводиться приділяти час і увагу в першу чергу,— пояснює Томас, що нещодавно заснувала консалтингову компанію Hypervigilant Awareness Solutions. Проблеми безпеки при цьому як би відсуваються на другий план. А кіберзлочинцям тільки цього й треба. Часто вони діють наступною схемою. Шахрай телефонує співробітнику і каже:

Послухайте, мені потрібно, щоб ви терміново надіслали мені ці дані.

Кіберзлочинці знають, що у людей страшний дефіцит часу, і користуються цим. Фахівці з проблем захисту даних називають подібний прийом провокацією. Мета зловмисників тут в тому, щоб застати співробітника зненацька — скажімо, звернувшись до нього в умовах дефіциту часу, змусити його виконати дії, що не відповідають вимогам безпеки. Так, йому може зателефонувати хтось, хто представився співробітником служби підтримки, і попросити назвати пароль, необхідний для вирішення на ділі неіснуючого, але нібито нагального питання.

Інший «прохач» може спробувати отримати доступ на територію, що охороняється, пославшись на те, що втратив перепустку.

Томас стверджує, що найкращий спосіб запобігання подібних атак полягає в тому, щоб роз’яснити співробітникам схему дії злочинців. Адже він не впустить до себе до дому незнайому людину, так навіщо ж дозволяти незнайомцям з’являтися на роботі.

Прості люди

Я не пускаюся в довгі міркування про роботу, а звертаюся до співробітників як до звичайних людей, що перебувають вдома, — пояснює Томас. — Я дотримуюся такого підходу, тому що своїми очима бачила: він працює. Якщо ви готуєте людей до вирішення проблем у себе вдома, вони переносять ваші поради у виробничий контекст.

Необхідно роз’яснювати працівникам, що не існує ситуацій, на які слід реагувати негайно, якщо ваша реакція може поставити під загрозу безпеку компанії. Сучасна інформаційна безпека вимагає того, щоб ви розробили процедуру, що дозволяє працівникам упевнитися, що, скажімо, дзвінок був дійсно зі служби підтримки: для цього потрібно поговорити з відомим їм спеціалістом ІТ-підрозділу або з начальником. Поясніть працівникам, що слід ввічливо, але твердо зупинити колегу, який намірився пропустити в офіс стороннього без електронного пропуску та поручительства іншого службовця: така дія буде суперечити правилам, прийнятим у корпорації.

Інформаційна безпека
Інформаційна безпека

По необережності

Втомлений співробітник може зробити службову інформацію надбанням сторонніх по необережності, — визнає Спитцнер. Як приклад такої ситуації можна згадати передачу конфіденційних корпоративних документів каналами електронної пошти з використанням як робочого, так і особистого облікового запису.

Чи дотримуються ваші співробітники правила безпеки у процесі передачі і видалення інформації? — продовжує свою думку Спитцнер.

Важливо, щоб вони розуміли, як потрібно діяти. Інформаційна безпека – не те, що турбує розум типового працівника. І виходить так, що люди часто не дотримуються правила просто тому, що зосереджені на своїй роботі. Ще одна поширена помилка — перенесення даних на заражений вірусом накопичувачі USB, що призводить в подальшому до зараження корпоративної системи.

Тут теж важливо розуміти, що необачність не є свідомим вибором користувачів. При передачі даних вони часто застосовують небезпечні методи просто тому, що намагаються діяти ефективно і виконувати свою роботу не тільки в офісі. Розкажіть їм про безпечні способи обробки і видалення даних і про те, як забезпечити захист інформації, яку ви забираєте з собою на портативному носії.

Інформаційна безпека

Інформаційна безпека: Жертва фішингу

Шахрайські (фішингові) атаки застосовуються з тих пір, як люди почали користуватися електронною поштою. Але, незважаючи на свій солідний вік, цей прийом досі залишається вельми ефективною зброєю в руках зловмисників. Як стверджується в останній доповіді DBIR (Dala Breach Investigations Report), підготовленому фахівцями компанії Verizon, на шахрайські хитрощі припадає 98% загальної кількості спроб незаконного проникнення. При цьому треба сказати, що сучасні фішингові повідомлення часто несуть в собі нову загрозу для організацій, я маю на увазі програми-викрадачі.

Корпорація PhishMe, що спеціалізується на поставках засобів поширення знань щодо вимог до заходів безпеки, нещодавно опублікувала статистичні дані, згідно з якими 93 % фішингових повідомлень містять програми-викрадачі, оснащені засобами шифрування. Важливо не завалювати співробітників електронними повідомленнями, — вважає Джейсон Хених, фахівець з питань упровадження заходів безпеки і засновник компанії Habitu8, що займається підготовкою персоналу в цій сфері.

Роз’яснення питань, пов’язаних з захистом від шахрайських атак, залишається невід’ємною частиною зусиль по впровадженню заходів безпеки. Того вимагає інформаційна безпека. Подібні атаки стають все більш складними і таргетованими, а зловмисники освоюють все нові прийоми. Розповідайте співробітникам про новітні варіанти фішингових «наживок». Пояснюйте свою думку актуальними прикладами.

Наша справа – сторона

Коли мова заходить про проблеми безпеки, користувачі іноді скочуються на позицію «наша справа – сторона». Вони забувають регулярно встановлювати на робочих комп’ютерах новітні модулі корекції, окрім цього відступають і від відомих корпоративних практик, а пояснюють свої дії тим, що в даному випадку мова йде про виключення з правил. Співробітники часто кажуть:

Я не повинен цим займатися, це турбота айтішників, — зазначає Томас.

А дехто вважає, що помилки оператора повинні виправлятися технологічними засобами. Між іншим, це серйозний бар’єр на шляху поширення знань про правила інформаційної безпеки: користувачі не вважають себе відповідальними за забезпечення захисту даних.

Така позиція проявляється ще в одній сфері — реакції користувачів на порушення інформаційної безпеки з боку інших співробітників. Іноді користувачі схильні згадувати про подібні випадки, оскільки не хочуть накликати на інших неприємності. Однак принципу «побачив — розповідай» потрібно дотримуватися без усяких застережень, – вважає Томас.

На її думку, інформаційна безпека та успіх її програм, багато в чому залежить від того, чи вдається вам переконати користувачів, що забезпечення безпеки — спільна справа всіх співробітників компанії. Потрібно створювати такі програми, які добре сприймаються всіма працівниками і стимулюють їх як втілювати оптимальні практичні рішення, так і виявляти випадки нечесної практики.

Інформаційна безпека
Інформаційна безпека

Відвертість в соцмережах

У більшості організацій на сьогодні сформульовані і реалізуються певні принципи взаємодії з соціальними мережами. Співробітники компаній стали краще розуміти, яким чином можна безпечно задіяти соціальні мережі для вирішення таких проблем, як управління торговою маркою та підтримку корпоративної репутації. Але досі, як зазначає Спитцнер, вони занадто щедро діляться інформацією зі сторонніми. І в залежності від компанії, в якій вони працюють, від ролі, яку вони в ній відіграють, ці користувачі стають уразливими для атак.

Дуже часто співробітники продовжують писати багато особистої інформації про себе,— вважає Спитинер. Ця інформація може бути використана для організації атак, в яких на її основі формується досьє на відповідну особу. Що в свою чергу полегшує зловмисникам організацію цільової атаки.

Ця проблема викликає тим більшу стурбованість, так як вона залежить від типу організації і від ролі, яку в ній відіграє співробітник. Певні типи галузей можуть ставати основними мішенями, і насамперед ті, в яких інформація так чи інакше пов’язана з державними інтересами.

Великому ризику піддаються старші керівники,— зазначає Спитцнер. Шахрайська атака на вище керівництво, відома також як «полювання на кита», часто починається з підготовки біографічного профілю директора підприємства або іншого менеджера вищої ланки. Таким працівникам потрібно детально роз’яснювати, яку інформацію можна розмішати в соціальних мережах, а яку краще не робити надбанням громадськості.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Rating
( No ratings yet )
Like this post? Please share to your friends:
Роби Бізнес, Укр
Залишити відповідь

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Підпишіться

Підпишіться

Підпишіться на новини нашого блогу. Без спаму. Листи не частіше 1 разу на місяць

You have Successfully Subscribed!

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: