 |
|
 |
|
Работа с персоналом – важнейший фактор безопасности организации
Журнал Security Chief Officer взял интервью у эксперта по безопасности Джейсона Стрита. Он получил известность после того, как под вымышленным предлогом беспрепятственно проник в служебные помещения одного крупного банка, получил возможность незаметно заразить компьютерную систему вирусом. Все это было проделано в тестовом режиме, чтобы продемонстрировать уязвимости систем охраны, прежде всего, слабость человеческого фактора. Стрит не устает повторять: «Люди не любят думать о плохом, что может случиться с ними. Они предпочитают позитивный взгляд на окружающих, и в этом кроется большая опасность для безопасности организаций».
Эту же мысль он повторяет в своем последнем интервью журналу (9 апреля 2018 г.). Но Стрит не только раскрывает бреши в системах охраны и безопасности, но и помогает их латать.
По его мнению, ключевую роль в защите от социального инжиниринга играют программы ознакомления персонала организаций с рисками и признаками угроз (awareness programs). Большинство людей не ощущают своей ответственности за безопасность. Они уверены, что пришли зарабатывать деньги, которые им платят за ту работу, которую делают. Именно на такое мышление и рассчитывают преступники.
Обнаруженные уязвимости, бреши в системах защиты компьютерных систем можно залатать. Но как «залатать» обыкновенную человеческую глупость?
У Стрита нет готового ответа на этот вопрос. «Человеческий фактор – самая большая брешь, но ее можно залатать, хотя это и очень трудно, с помощью постоянного, непрекращающегося обучения тому, что нельзя делать на рабочем месте, о чем нельзя говорить в социальных сетях, как распознавать ранние признаки тех или иных угроз для организации». Нельзя ограничиваться одним занятием в год, редкой демонстрацией одного теста и примера. Речь должна идти о вовлечение работников компании в процессы обеспечения безопасности с таким расчетом, что они, в конце концов, станут частью и важнейшим фактором этих процессов.
Бизнесмены и управленцы на первое место ставят технологии безопасности, средства зашиты от несанкционированных вторжений в служебные помещения и корпоративные компьютерные сети. Никто не отрицает роль таких технологий. Однако, утверждает Стрит, именно человек представляет собой самую совершенную систему обнаружения и разоблачения злоумышленника, использующего приемы социального инжиниринга. Просто его надо упорно и последовательно учить искусству определения рисков и угроз.
Такое обучение требует больших затрат времени и денег, на что компании идут редко и неохотно. Между тем, ущерб реальный, измеримый в денежных знаках, от одной успешно проведенной операции социального инжиниринга, может многократно превысить расходы на обучение персонала в течение одного или нескольких лет, подчеркивает эксперт.
Еще одно распространенное заблуждение – считать, что техника и технологии (безопасности) должны исправно и безотказно работать без вмешательства человека. По мнению Стрита, такой подход ущербен: «Вы должны выстраивать такую систему защиты, где главную роль играют не технические средства, а те, кто ими пользуется, и кого они защищают. Именно люди, работающие в любой организации, должны составлять первую, а не последнюю линию обороны».
На тезис, что охрана и безопасность не входит в служебные функции работников, Стрит отвечает: «Для водителя грузовика, развозящего заказы, безопасность на дорогах не входит в служебную инструкцию, но он обязан соблюдать правила дорожного движения, например, пользоваться ремнями безопасности и не превышать скорости там, где это запрещено». Аналогично этому работники офисов, к примеру, обязаны соблюдать меры предосторожности, работая в интернете, хотя данная обязанность чаще всего не упоминается в документах о должностных функциях.
В последнем исследовании Positive Technologies отмечается, что слишком много людей склонны бездумно открывать фишинговые приложения и ссылки. При этом замечено, что не получив обещанный результат, многие из них по 30 и 40 раз повторяют опасную операцию, и только потом обращаются за помощью в отдел IT или службу безопасности.
В том же исследовании говорится, что хакеры добиваются лучших результатов, если им удается создать видимость, что их сообщение приходит не извне, а внутри компании. Таким сообщениям доверяют больше.
Стрит вновь и вновь повторяет: решение проблемы – в обучении персонала, и, прежде всего, тому, что при малейшем сомнении или подозрении необходимо обращаться в службу безопасности. Но при этом люди должны быть уверены, что, став жертвой хакера, они не понесут наказания, а потому не имеют причин скрывать свою ошибку.
|
вернуться назад
