Компании мобилизуют своих сотрудников в качестве «живого щита».

То, что техника сама по себе способна обеспечить защиту информации, утверждают лишь продавцы аппаратного и программного обеспечения. Предприятия нуждаются в сотрудниках в качестве союзников. Они должны воспринимать атаки с применением методов социальной инженерии с должной предосторожностью, вести себя ответственно при обращении с паролями, при работе с электронной почтой или мобильным компьютером.

Помешанные на технике администраторы или недоверчивые начальники охотно говорят, что глупых «юзеров» нельзя ничему научить, и к тому же коллектив своекорыстен, ленив и тем самым порождает риски, поэтому за ним приходится постоянно следить и жестко регламентировать его действия. Так формируется порочный круг: тот, кто ощущает недоверие и чувствует себя несправедливо стесненным, начинает сопротивляться или, по крайней мере, выполняет свои обязанности не так активно, как раньше.

Для того чтобы показать, насколько действенно профессиональное обращение с человеческим фактором безопасности ИТ, редакция LANline изучила внутренние программы безопасности ИТ в компаниях Cisco и SAP. Хотя в обеих организациях доля сотрудников с информационно-техническим образованием довольно высока, но, поскольку в каждом случае число сотрудников превышает в общей сложности 30 тыс. человек, людей, незнакомых с ИТ, очень много. Обе компании объединяет и то, что они традиционно придерживаются либеральной политики, когда речь заходит о работе персонала с электронной почтой и Internet, предпочитая строить доверительные отношения между сотрудниками и предприятием. В SAP, к примеру, эта либеральность рассматривается как ценность, заботиться о которой должны и предприятие, и персонал. Руководства по безопасности вручаются сразу же при устройстве на работу, а затем его знание требуется подтвердить. У SAP — это пять страниц правил и 50 страниц стандартов, где описывается, к примеру, каким должен быть пароль. Еще больше усилий тратится на то, чтобы внимание сотрудников не притуплялось с течением времени.

Первое условие «бдительности» или сознательного отношения к безопасности состоит в том, что тема безопасности становится предметом обсуждения, причем не только в официальной обстановке.

ТЕМА ДЛЯ РАЗГОВОРА ВО ВРЕМЯ ПЕРЕРЫВА

Джон Н. Стюарт, управляющий по вопросам информационной безопасности компании Cisco в США и ответственный за внутреннюю программу осведомленности, называет подобные темы «прохладительными» — они сами по себе всплывают в разговоре, когда сотрудники встречаются у аппаратов с напитками. Чтобы придать им достаточную значимость, он делает ставку на два фактора: «истории, истории и истории», а также привлечение к процессу главного исполнительного директора Джона Чемберса — он традиционно служит примером для подражания для всех сотрудников компании. «Истории» Стюарт особенно любит: «Мы информируем сотрудников о нападениях, которые могли бы быть опасными и для нас, и откровенно признаем, что атаки не обходят компанию стороной». Распространенную практику замалчивания произошедших инцидентов он считает ошибочной. «Мы сообщаем о случившемся всем сотрудникам, без раскрытия персоналий, и объясняем, какие последствия это за собой повлекло (или может повлечь)», — дополняет он.

Истории о происшествиях позволяют сотрудникам поставить себя на место нападающего и защищающегося. Статистика нападений, напротив, остается слишком абстрактной и позволяет игнорировать значение случая для собственной работы. По мнению Стюарта, персонал должен точно знать, какую ценность имеет для предприятия информация, к которой он имеет доступ. Кроме того, важно информировать и о последствиях, которые повлечет за собой прорыв системы обеспечения безопасности в зоне ответственности конкретного человека. И то и другое возможно лишь тогда, когда работодатель держит всех сотрудников постоянно в курсе экономической ситуации и деятельности предприятия. «Вопрос «насколько мы хороши в вопросах безопасности?», — резюмирует Стюарт, — должен стать постоянно обсуждаемой темой, наряду с качеством производимой продукции». В первую очередь он работает с теми внутренними и внешними сотрудниками, кто имеет отношение к коммуникациям, поскольку, будучи профессионалами в передаче информации, они способны поделиться своим опытом и обладают дополнительными знаниями о безопасности ИТ. Пропаганда сознательного отношения к вопросам безопасности, с точки зрения Стюарта, схожа с маркетинговыми кампаниями, в качестве целевой группы которой выступают сотрудники предприятия.

ВНУТРЕННИЕ КАМПАНИИ НА ВЫСОКОМ УРОВНЕ
Рисунок 1. Обучение сознательности по всем каналам: внутреннее телевидение SAP показывает интервью с Сахаром Паулусом, посвященное безопасности.

Привлечение руководства важно и с точки зрения Клауса Шиммера и Регины Брем, которые в качестве менеджеров по безопасности в компании SAP отвечают за программы осведомленности и безопасности ИТ. Они работают в департаменте корпоративной безопасности, в сферу ответственности которого входят все ее аспекты: начиная с охраны здания и заканчивая защитой инфраструктуры ИТ. При всяком удобном случае к общению с сотрудниками на тему безопасности привлекаются правление компании и руководство отделов. Например, для внутреннего пользования было опубликовано интервью с директором по стратегии Сахаром Паулусом. SAP делает ставку сразу на несколько информационных каналов, чтобы постоянно напоминать сотрудникам об ответственности (см. Рисунок 1).

Рисунок 2. Плакаты висят по всему офису.

Плакаты. Через регулярные промежутки времени Шиммер и Брем обращают внимание всех 30 тыс. сотрудников SAP на определенные темы или стандарты, касающиеся безопасности. «Социальная инженерия» и связь между безопасностью и успехом бизнеса уже «пройдены», а новая акция нацелена на правильное обращение с паролями. Плакаты висят на входе или в часто посещаемых местах, к примеру в типичных для SAP кофейных уголках для неформальных встреч (см. Рисунок 2).

Фильмы о безопасности. Сотрудников SAP приучают быть в курсе того, что происходит в компании. По внутренней сети ежедневно демонстрируется короткий ролик, где сообщается о продуктах или деловых новостях. Время от времени Шиммер и Брем представляют профессионально снятые фильмы о безопасности, один из них, в частности, был посвящен правильному использованию ноутбуков во время путешествий. Действенность такого канала очень высока, и информацию о безопасности можно найти рядом с новостями общекорпоративной значимости.

Источник: SAP
Рисунок 3. Небольшое напоминание перед зеркалом: наклейка сообщает сотруднику, насколько важна его роль.

Подтверждение. По всему миру на всех зеркалах в туалетных комнатах офисов SAP есть наклейка, на которой каждый, кто заглядывает в зеркало, провозглашается «важнейшим ответ-ственным за безопасность» в здании (см. Рисунок 3). Этой акции предшествовала схожая с использованием больших передвижных зеркал. Кроме того, офис регулярно навещают сотрудники отдела безопасности, при помощи записок они ненавязчиво указывают на нарушения режима безопасности: на невыключенные компьютеры или разбросанные важные документы. Когда же никаких упущений не обнаружено, они не забывают поблагодарить за безупречный порядок. Акция с плакатами, где ряд сотрудников называется «важнейшими брандмауэрами SAP», служит для поддержания требуемого эффекта. Электронные письма с напоминаниями обращают внимание на правила: к примеру, на недопустимость распространения с официальной учетной записи компании частных мнений о ней или о ее политике.

ПРАКТИЧЕСКАЯ ПОМОЩЬ ВМЕСТО ПРИНУЖДЕНИЯ

Для того чтобы предпринимаемые кампании приводили к активным действиям и изменению в поведении, и наклейки, и плакаты содержат ссылку на специально созданную страницу во внутренней сети, где можно найти дополнительные статьи и информацию по данной теме. Однако, по мнению Шиммера, еще важнее, чтобы ни одна акция не начиналась без предоставления сотрудникам конкретной помощи для соответствия требованиям по безопасности. Так, кампания под названием «Пароли схожи с нижним бельем» не начинается, пока в качестве надежного сейфа для пароля не будут доступны карты USB или похожие средства. SAP помогает и конкретными предложениями, чтобы в сознании сотрудников безопасность связывалась с вежливостью. «Мы до сих пор придерживаем друг другу двери, однако пропущенный обычно без напоминания показывает свое удостоверение», — сообщает Регина Брем. С людьми без документа обращаются любезно и в случае необходимости провожают их к нужному месту.

Источник: SAP
Рисунок 4. Плакат «Пароли схожи с нижним бельем», безусловно, привлекает внимание, но для США выглядит слишком вызывающе.

Плакат с «бельем» (см. Рисунок 4), кстати, будет висеть почти по всему миру, кроме США, где эта идея появилась. «Это впечатляет, но слишком неприлично для нас», — находят американские коллеги немецкой команды. Кампании по усилению бдительности в SAP хотя и разрабатываются централизованно, но всегда учитывают культурные различия между филиалами.

Политику безопасности SAP никто не имеет права самовольно преступать. Однако дискуссии об этом разрешены в любое время: «У разработчиков возникают проблемы из-за правила обязательной установки антивирусной защиты на персональный компьютер: в частности, из-за этого процесс компиляции отнимает гораздо больше времени. Сейчас им разрешено временно работать без сканеров, однако соответствующие машины должны быть отключены от сети, — описывает Шиммер прагматичное обращение с сетью. — Никто не имеет права ставить себя над правилами».

К санкциям и SAP, и Cisco прибегают с осторожностью. «Когда сотрудник впервые допускает ошибку, касающуюся безопасности, и сам же о ней сообщает, я сначала серьезно поговорю с ним, но ни в коем случае не буду строго наказывать», — объясняет Стюарт. С его точки зрения, ошибки — это часть работы, а уведомление о них — признак достойного поведения. «Если я веду себя таким образом, то у меня появляется союзник», — дополняет менеджер по безопасности Cisco. Однако в случае повторных и сознательных нарушений Cisco и SAP прибегают к обычным в данной области мерам, предусмотренным трудовым правом.

Тому, что 80% всех атак на корпоративную инфраструктуру исходит от сотрудников, как об этом часто говорят производители, Шиммер не верит. «Возможно, всего лишь 60%, и то с учетом ошибок в обслуживании», — считает он. Конечно, SAP уже приходилось сталкиваться с нарушением корпоративной политики — например с эксплуатацией неразрешенного коммерческого сервера в одном из филиалов, — однако до сих пор это не приводило к убыткам, от которых могло бы пострадать доверие руководства к персоналу.

Cisco и SAP признают, что успех специальных акций, направленных на повышение сознательности, оценить сложно. «Даже если такой подход работает, мы, к сожалению, этого не замечаем», — считает Шиммер. Обе компании требуют, чтобы сотрудники подтверждали прочтение директив по безопасности во внутренней сети нажатием клавиши мыши, и подсчитывают количество обращений к информационным предложениям, к примеру фильмам SAP. «Однако из разговоров мы знаем, что сотрудники все чаще прибегают к аналогичным мерам для защиты своей частной среды», — говорит Шиммер. Уже на основании одного этого факта можно судить об эффективности кампаний. Частые сообщения прессы об атаках с применением фишинга лишь повышают осознание опасности и при персональном использовании компьютера.

ЗАКЛЮЧЕНИЕ

Программы по повышению бдительности среди сотрудников Cisco и SAP успешны, поскольку предприятия тратят на них много денег и усилий. В их эффективности обе компании уверены так же, как и в необходимости дополнения технических мер организационными. Предприятия меньшего размера, если они в состоянии нанять специалиста в области коммуникаций и построить дополнительную информационную инфраструктуру, способны добиться схожих результатов, если доверят проведение подобных акций внешним провайдерам услуг и привлекут внимание сотрудников к информации о безопасности в Web. Однако при аутсорсинге следует учитывать, что меры должны строго соответствовать корпоративной культуре и местным традициям.

Йоханнес Вилле — эксперт в области безопасности. С ним можно связаться по адресу: redaktion@lanline.awi.de.


? AWi Verlag