Какая бы технология ни использовалась в организации, обучение пользователей до сих пор остается одним из самых важных компонентов стратегии защиты данных. В числе наиболее распространенных причин инцидентов в сфере безопасности предприниматели из разных стран, представляющие различные отрасли бизнеса, часто называют человеческий фактор. В предлагаемой вашему вниманию статье речь пойдет о распространенных стереотипах поведения пользователей, которые по-прежнему представляют угрозу безопасности, а также о методах, с помощью которых организации могут изменить существующее положение дел.
По мнению авторов подготовленного в юридической фирме BakerHostetler доклада 2017 BakerHostetler Data Security Incident Response Report, в основе 32% случаев нарушения безопасности лежит ошибка оператора. Между тем опрос 134 участников состоявшейся в 2017 году хакерской конференции Black Hat показал, что 55% респондентов подвергались кибератакам, и 84% опрошенных утверждают, что эти инциденты произошли в результате совершенных пользователями ошибок.
Приведенные цифры свидетельствуют о том, что проблема непонимания базовых рисков, вызываемых действиями сотрудников, сохраняет свою остроту. Но перед тем как обвинять пользователей, давайте задумаемся еще раз. По словам Лэнса Спитцнера, директора реализуемой в институте SANS программы по распространению знаний о мерах безопасности, ответственность за обучение пользователей целиком ложится на плечи руководителей.
Спитцнер и другие эксперты по проблемам понимания мер безопасности предоставили нам список стереотипных реакций пользователей, которые по-прежнему представляют угрозу безопасности, а также методов противодействия им.
Поспешные действия подрывают безопасность
В связи с повышением уровня ответственности сотрудников и постоянными требованиями добиваться более высоких результатов за счет меньшего объема ресурсов современные пользователи подвергаются более жесткому, чем когда-либо прежде, психологическому давлению. А это создает проблемы в области безопасности, поскольку испытывающие психологические перегрузки сотрудники не могут соблюдать режим безопасности. Такого мнения придерживается Виктория Томас, консультант по вопросам внедрения мер безопасности и автор программы переподготовки для сотрудников крупных компаний, включая Kimberly-Clark и GM.
«Существует масса аспектов, которым приходится уделять время и внимание в первую очередь, — поясняет Томас, недавно основавшая консалтинговую компанию Hypervigilant Awareness Solutions. — Проблемы безопасности при этом как бы отодвигаются на второй план. А киберпреступникам только этого и нужно. Часто они действуют по следующей схеме. Мошенник звонит сотруднику и говорит: «Послушайте, мне нужно, чтобы вы срочно прислали мне эти данные». Киберпреступники знают, что у людей страшный дефицит времени, и пользуются этим».
Специалисты по проблемам защиты данных называют подобный прием провокацией. Цель злоумышленников здесь в том, чтобы застать сотрудника врасплох — скажем, обратившись к нему в условиях дефицита времени, заставить его выполнить действия, не соответствующие требованиям безопасности. Так, ему может позвонить некто, представившийся сотрудником службы поддержки, и попросить назвать пароль, необходимый для решения на деле несуществующего, но якобы безотлагательного вопроса. Другой «проситель» может попытаться получить доступ на охраняемую территорию, сославшись на то, что потерял пропуск.
Томас утверждает, что самый лучший способ предотвращения подобных атак состоит в том, чтобы разъяснить сотрудникам схему действия преступников. Ведь он не впустит к себе в дом незнакомого человека, так зачем же разрешать незнакомцам появляться на работе?
«Я не пускаюсь в длинные рассуждения о работе, а обращаюсь к сотрудникам как к обычным людям, находящимся дома, — поясняет Томас. — Я придерживаюсь такого подхода, потому что своими глазами видела: он работает. Если вы готовите людей к решению проблем у себя дома, они переносят ваши советы в производственный контекст».
Необходимо разъяснять сотрудникам, что не существует ситуаций, на которые следует реагировать немедленно, если ваша реакция может поставить под угрозу безопасность компании. Разработайте процедуру, позволяющую работникам удостовериться, что, скажем, звонок был действительно из службы поддержки; для этого нужно поговорить с известным им специалистом ИТ-подразделения или с начальником. Объясните сотрудникам, что следует вежливо, но твердо остановить коллегу, который вознамерился пропустить в офис постороннего без электронного пропуска и поручительства другого служащего: такое действие будет противоречить правилам, принятым в корпорации.
Передача информации по неосторожности
«Уставший сотрудник может сделать служебную информацию достоянием посторонних по неосторожности», — признает Спитцнер. В качестве примера такой ситуации можно вспомнить передачу конфиденциальных корпоративных документов по каналам электронной почты с использованием как рабочей, так и личной учетной записи.
«Соблюдают ли ваши сотрудники правила безопасности в процессе передачи и удаления информации? — продолжает свою мысль Спитцнер. — Важно, чтобы они понимали, как нужно действовать. Ведь люди часто не соблюдают эти правила просто потому, что сосредоточены на своей работе».
Еще одна распространенная ошибка — перенос данных на зараженном вирусом накопителе USB, что приводит в дальнейшем к заражению корпоративной системы.
Здесь тоже важно понимать, что неосмотрительность не является сознательным выбором пользователей. При передаче данных они часто применяют небезопасные методы просто потому, что стараются действовать эффективно и выполнять свою работу не только в офисе. Расскажите им о безопасных способах обработки и удаления данных и о том, как обеспечить защиту информации, которую вы забираете с собой на мобильном носителе.
Не стать жертвой фишинга
Мошеннические (фишинговые) атаки применяются с тех пор, как люди начали пользоваться электронной почтой. Но, несмотря на свой солидный возраст, этот прием до сих пор остается весьма эффективным оружием в руках злоумышленников. Как утверждается в последнем докладе DBIR (Data Breach Investigations Report), подготовленном специалистами компании Verizon, на мошеннические уловки приходится 98% общего количества попыток незаконного проникновения. При этом надо сказать, что современные фишинговые электронные сообщения часто несут в себе новую угрозу для организаций, я имею в виду программы-вымогатели. Специализирующаяся на поставках средств распространения знаний по требованиям мер безопасности корпорация PhishMe недавно опубликовала статистические данные, согласно которым 93% фишинговых электронных сообщений содержат программы-вымогатели, оснащенные средствами шифрования.
«Важно не заваливать сотрудников электронными сообщениями, — считает Джейсон Хених, специалист по вопросам внедрения мер безопасности и основатель компании Habitu8, занимающейся подготовкой персонала в этой сфере. — Разъяснение вопросов, связанных с защитой от мошеннических атак, остается неотъемлемой частью усилий по внедрению мер безопасности. Подобные атаки становятся все более сложными и таргетированными, а злоумышленники осваивают все новые приемы. Рассказывайте сотрудникам о новейших вариантах фишинговых «наживок». Поясняйте свою мысль актуальными примерами.
«Наше дело сторона»
Когда речь заходит о проблемах безопасности, пользователи порой скатываются на позицию «наше дело сторона». Они то забывают регулярно устанавливать на рабочих компьютерах новейшие модули коррекции, то отступают от известных корпоративных политик, а объясняют свои действия тем, что в данном случае речь идет об исключении из правил.
«Сотрудники часто говорят: «Я не должен этим заниматься, это забота айтишников», — отмечает Томас. — А кое-кто считает, что ошибки оператора должны исправляться технологическими средствами. Между прочим, это серьезный барьер на пути распространения знаний о правилах информационной безопасности: пользователи не считают себя ответственными за обеспечение защиты данных».
Такая позиция проявляется еще в одной сфере — реакции пользователей на нарушения информационной безопасности со стороны других сотрудников. Иногда пользователи не склонны упоминать о подобных случаях, поскольку не хотят навлекать на других неприятности. Однако принципа «увидел — сообщи» нужно придерживаться безо всяких оговорок, как считает Томас. По ее мнению, успех программы во многом зависит от того, удается ли вам убедить пользователей, что обеспечение безопасности — общее дело всех сотрудников компании. Нужно создавать такие программы, которые хорошо воспринимаются всеми работниками и стимулируют их как воплощать оптимальные практические решения, так и выявлять случаи недобросовестной практики.
Излишняя откровенность в соцсетях
В большинстве организаций на сегодня сформулированы и реализуются определенные принципы взаимодействия с социальными сетями. Сотрудники компаний стали лучше понимать, каким образом можно безопасно задействовать социальные сети для решения таких проблем, как управление торговой маркой и поддержание корпоративной репутации. Но до сих пор, как отмечает Спитцнер, они слишком щедро делятся информацией с посторонними. И в зависимости от компании, в которой они работают, от роли, которую они в ней играют, эти пользователи становятся уязвимыми для атак.
«Слишком часто сотрудники продолжают писать много личной информации о себе, — считает Спитцнер. — А эта информация может быть использована для организации атак, в которых на ее основе формируется досье на соответствующее лицо. Что в свою очередь облегчает злоумышленникам организацию целевой атаки».
Эта проблема вызывает тем большую обеспокоенность, что она зависит от типа организации и от роли, которую в ней играет сотрудник. Определенные типы отраслей могут становиться основными мишенями, и прежде всего те, в которых информация так или иначе связана с государственными интересами. «Большому риску подвергаются старшие руководители, — отмечает Спитцнер. — Мошенническая атака на высшее руководство, известная также как «охота на кита», часто начинается с подготовки биографического профиля директора предприятия или другого менеджера высшего звена. Таким сотрудникам нужно подробно разъяснять, какую информацию можно размещать в социальных сетях, а какую лучше не делать достоянием общественности».