Цифровая гигиена. Том I - Владимир Федорович Безмалый

абсолютно правы. Самое слабое звено всегда человек. Вы правильно говорите, что пользователь должен быть заинтересован жить по правилам. Ему должно быть невыгодно как самому их нарушать, так и допустить нарушение своим же сослуживцем. Как это сделать? В некоторых случаях помогает материальное поощрение. Работаешь без брака, помогаешь выявить ошибки – получай премию.

– Да, но это разрушает коллектив.

– Правильно, но только если эти, будем говорить откровенно, доносы делаются тайно. А если это возведено в ранг политики и об этом говорят открыто, то нет. Более того, не сообщил вовремя, знал и промолчал, тебя наказывают практически так же, как и того, кто сделал. Смотрите, почему полицейские экипажи у нас не берут взятки? Да потому что взял один, а с волчьим билетом вылетает весь экипаж, если не донесли. Безусловно, не красиво, зато эффективно!

– Нет, по-моему, так нельзя.

– А как можно?

– Не знаю. Думаю. Пока решил, что в курсах по безопасности буду упирать не на те убытки, которые несет фирма, а на то, что в этом случае потеряет каждый слушатель сам. Поможет ли? Не знаю…

А вы как считаете? Как стимулировать пользователей работать по правилам? Одного кнута на мой взгляд недостаточно. Нужен пряник. Но какой?

Сказки о безопасности: VIP-пользователь как угроза

Совещание в кабинете императора подходило к концу. Принц рассказывал о результатах проверки информационной безопасности департаментов обороны и безопасности. Вроде бы рутинный вопрос, о котором говорилось неоднократно. Но вдруг…

– Ваше величество, мне нужна ваша помощь. Да-да, именно помощь императора!

– Что случилось?

– В результате проверок установлено, что несмотря на наличие документов, определяющих правила информационной безопасности в соответствующих департаментах, далеко не все пользователи их соблюдают.

– И что? У вас недостаточно власти для пресечения этого безобразия?

– Основными нарушителями оказались сами руководители соответствующих департаментов. Когда в ходе проверки мы попросили сменить ключи противоракетной обороны планеты, а как вы знаете, в этом процессе задействован советник по обороне и два его первых зама, то оказалось, что ни один из них никогда этого не делал. Более того, никто из них даже не подозревал о наличии такой инструкции.

– Погодите, принц! Как? Ведь эти ключи меняются каждые полгода и смена была произведена два месяца назад, у меня есть докладная советника по обороне.

– Вранье! Эти ключи меняют их адъютанты! Вот они-то и знают весь порядок смены ключей, да и пароли своих шефов.

– Безобразие!

– Аналогичное положение в департаменте безопасности. Так, один из ваших заместителей, господин советник, потребовал, чтобы он мог со своего смартфона входить в систему без пароля, видите ли ему неудобно каждый раз его набирать!

– Спасибо, принц! Уверен, что и в других департаментах ситуация аналогична. Потому приказываю, господа советники! За подобные нарушения – увольнять руководящий состав без пенсии, лишая всех положенных по законам льгот, как лицо, не внушающее доверия! И впредь будет именно так! Какой пример они подают своим подчиненным? Задумайтесь!

Мы всегда говорим, что самое слабое звено всегда человек. Но самое печальное состоит в том, что мы требуем выполнения указов и распоряжений от подчиненных, а выполняем ли сами? Задумайтесь!

Сказки о безопасности: Как выследить президента

Настоящим событием планетарного масштаба стал приезд советника по безопасности в офис принца. Никогда до этого советник не приезжал в этот офис. Что привело его? Эта мысль не давала принцу покоя.

– Ваше высочество, у нас проблема. Я искренне надеюсь, что ваши специалисты могут нам помочь. Мы сбились с ног и пока ничего не понимаем.

– Что случилось?

– Как вы вероятно знаете, неделю назад убит президент крупного столичного банка, господин К.

– Да, конечно, знаю.

– Но вот в чем проблема. Мы до сих пор не можем понять, как убийцы узнали маршрут передвижения президента.

– Вы опросили его окружение?

– Конечно же. Начальник охраны заявил, что маршрут передвижения менялся ним ежедневно. Всего было разработано восемь маршрутов. Выезжая, шофер только в машине понимал, как он будет ехать сегодня.

– А смартфон президента?

– Он чистый, смотрели банковские специалисты. Да и не пользовался он ним практически.

– А смартфоны ближайшего окружения?

– Вот мы и хотели попросить вашей помощи.

– Безусловно. Чем сможем – поможем.

Прошла неделя.

– Господин советник, мы готовы пояснить как преступники узнали маршруты движения.

– Как?

– На смартфоне охранника мы обнаружили модную игрушку, он установил ее для своего сына. Игрушка не ворованная, куплена официально. Но проблема в том, что игра каждые 30 секунд передает координаты местоположения смартфона на свои серверы. Вот и разгадка. Преступники таким образом получали координаты текущего местоположения смартфона охранника. А смартфон президента действительно ни причем. Вычислив все восемь маршрутов, они просто знали, когда и по какому едет президент. Вот и все.

– Н-да… Озадачили вы меня. Выходит, смотреть нужно не только за первым лицом, но и за всем его окружением…

А в вашей компании осуществляется контроль мобильных устройств руководителя и его ближайшего окружения? Сегодня понятие физической и информационной безопасности очень близко смыкаются между собой. Ваши ИБ-специалисты, вероятно, знают об этом. А вы?

Сказки о безопасности: Диверсия на пороге

Обычное совещание о состоянии безопасности столичной инфраструктуры по настоянию принца было выведено на уровень императора, и вот недоумевающие участники собрались в зале заседаний императорского дворца.

– Что? Почему? – читалось на многих лицах.

Вначале все шло как обычно. Отчитались руководители структурных подразделений, выступил советник по безопасности. Все было более-менее понятно. Да, были отмечены некоторые недостатки, но все в пределах допустимого. И когда выступать собрался принц, накал в зале достиг максимума. Многие, перешептываясь говорили, что принц и его команда снова чего-то «нарыли» и сегодня кому-то будет не сладко. Однако они и не подозревали, насколько несладко.

– Господа, в ходе проверки государственной энергетической компании, которая обслуживает столичный регион, нами найдено столько несуразных ошибок, что иначе как диверсией я назвать это просто не могу. Но обо всем по порядку. Проверка мы начали еще три месяца тому. Да-да, не удивляйтесь. Гораздо раньше, чем это было официально объявлено. В ходе проверки было послано по электронной почте письмо на имя директора компании от имени канцелярии императора. Естественно, отправитель был фальшивым. И это довольно легко было проверить. В письме указывалось что нужно срочно, буквально к утру, представить отчет по форме, указанной в приложении к письму. После того как директор не смог его открыть, он наорал на своего руководителя ИТ и приказал срочно открыть документ. Руководитель ИТ по нисходящей наорал на своего системного администратора, а тот, недолго думая, полез открывать письмо, работая при этом от имени учетной записи администратора. Результат? Вредоносное ПО попало в сеть компании. В течение месяца мы изучали структуру сети, пароли и все что было необходимо для дальнейшего взлома. В один из дней, обнаружив что производственная сеть не отделена от офисной, нам удалось получить управление над частью производственной сети и имитировать аварию на электрических подстанциях. Мы, естественно, не стали проводить диверсию, но были к этому готовы. В случае успеха злоумышленники получили бы полное управление энергетикой всей столицы. Вы понимаете, что это значит?

А причины просты как угол дома. Год назад мы отсылали директиву о необходимости создания службы информационной безопасности. Она так и не выполнена. Обязанности возложили на департамент ИТ, у которого своей работы полно. Результат? Документов в области ИБ нет, требований к длине, сложности и периоду смены паролей нет. Более того, пароли не менялись уже несколько лет. Централизованная антивирусная защита отсутствует. Вместо нее применяется какое-то ворованное ПО, а деньги, выделенные на это, ушли на новый автомобиль для директора. Короче, проще сказать что есть, чем перечислять чего нет.

– Ваше величество, предлагаю судить директора компании, финансового и технического директоров