Новости

Сотрудники компании – большая угроза безопасности

Господа, я вынужден сообщить вам пренеприятнейшее известие: вы не все знаете о своих коллегах. Недавно стали известны результаты опроса почти 1900 специалистов в области защиты данных, проведенного компанией ICSA.net в июне-июле 2000 г. при участии организации Global Integrity.

Эти результаты ужасают: уровень ущерба, наносимого компаниям собственными сотрудниками, не просто растет – он стремительно растет. По сравнению с 1999 годом процент организаций, пострадавших от внутренних атак (вредительства, кражи или преднамеренной порчи вычислительного оборудования), увеличился почти вдвое. Число случаев целенаправленного раскрытия или уничтожения конфиденциальной корпоративной информации возросло на 41 %. Вновь полученные данные лишний раз подтвердили то, что всем было давно известно: сотрудники представляют для компании не меньшую – если не большую – опасность, чем хакеры и вирусописатели.

Офисные вредители

Умом мы понимаем, что наши коллеги могут представлять серьезную угрозу безопасности компании. Но сделать из этого выводы зачастую боимся. Почему? Вот вероятные причины:


• Нам неприятно думать о членах собственной команды, как о потенциальных врагах (даже если мы недолюбливаем некоторых из них – и есть за что!).
• Мы уверены, что никто из них просто не может быть преступником (эта иллюзия особенно распространена в небольших организациях).
• Да и вообще, если вдуматься, зачем нашим сотрудникам вредить собственной компании?


Наши сослуживцы кажутся нам милейшими людьми. Мы полностью доверяем им. Миролюбиво настроенным системным администраторам следует, однако, понимать, что значительная часть пробоин в системе защиты данных их компании – результат деятельности добросовестных работников, которые и в мыслях не имели ничего плохого. Они кристально честные люди. Искренние. И совершенно искренне ничего не понимают в защите данных. Это доказывается следующим результатом упомянутого опроса: самая распространенная причина нарушений – установка запрещенных программ. Как минимум в половине случаев сотрудники «просто» пытались повысить производительность своего труда или немного развлечься в свободную минуту. Однако в 33 случаях из 100 (в каждом третьем случае!) подобная манипуляция приводила к порче данных в системе. 11% опрошенных заявили, что самовольная установка программного обеспечения вызвала сбой связи с Интернетом. Среди других отмеченных негативных последствий – разглашение конфиденциальных данных, нанесение вреда репутации, распространение негативной информации о компании и даже временная потеря доступности корпоративного сайта. И все это – из-за невинного желания пары коллег из отдела продаж «порубиться» в Unreal DoomQuake Arena Tournament IX.


А если часть вашего штата работает из дома и их компьютеры подключены к офисной сети, уровень риска для вашей защиты данных вообще взлетает до небес. На домашний компьютер, даже если фактически он принадлежит компании, обычно устанавливают намного больше всего лишнего. Здесь можно встретить массу пиратских программ – отличный источник «троянов». Рядом – следы деятельности любознательного сына вашего сотрудника – начинающего хакера, известного в узких кругах под псевдонимом A44kySotona. А ведь есть еще многочисленные увлекательные сайты, на которые может залезть ваш работник, оказавшись вдали от бдительного ока босса! В целом, по уровню защищенности такую сеть можно смело сравнивать с рыбой в аквариуме, окруженном котами.


Три «типчика»


Исследование, проведенное Эриком Шоу, Джеррольдом Постом и Кевеном Руби (Eric Shaw, Jerrold Post, Keven Ruby), также подтверждает, что большой процент нарушений совершается сотрудниками неосознанно. (Эрик Шоу – специалист по индивидуальной и групповой психологии; Джеррольд Пост – бывший сотрудник ЦРУ; Кевен Руби – эксперт-аналитик по «внутренней» компьютерной преступности.) Объединив усилия в качестве руководителей организации PPA/IS (Political Psychology Associates/ Information Security), они выявили восемь подтипов сотрудников-вредителей, различающихся мотивацией и подходом. Три из восьми типов чаще всего вообще не имеют преступных намерений:
• Исследователи – любопытные работники, которые в пылу своих изысканий забывают о политиках компании.
• Помощники – добряки, готовые взломать любую систему и обойти любой протокол, лишь бы помочь коллеге решить проблему или выполнить план.
• Исключения – сотрудники, по каким-то причинам уверенные, что им (в отличие от всех остальных) закон не писан.
Нет, эти люди вовсе не хотят превратить вашу защиту данных в решето. Оно как-то само собой. Еще один тревожный факт, обнаруженный Шоу, Постом и Руби: очень часто преднамеренный саботаж со стороны сотрудников бывает вызван проблемами личного (не рабочего!) характера. Так что даже если лично вы никогда не обижаете сотрудников, наивно думать, будто это лишает их повода обидеть вас.


Кто виноват и что делать?


Давайте представим, что после прочтения этой статьи вы прозрели и увидели в каждом коллеге бомбу замедленного действия. Каковы ваши действия? Будучи системным администратором, вы, наверняка, прежде всего, станете искать техническое средство решения проблемы. Однако для решения внутренних вопросов этого недостаточно: ведь любые ваши уловки можно обойти. Вот вам четыре полезных совета – и только один из них технический:


1. Объясняйте. Большинство ваших честных коллег, которые до сих пор неосознанно и неуклонно разрушали возводимое вами здание защиты данных, с готовностью остановятся, если поймут, как они усложняют вам (ну и компании тоже) жизнь. Растолкуйте всем сотрудникам – и каждому вновь приходящему, – как опасно устанавливать запрещенные программы. Скажите, что уловить момент, когда ситуация выйдет из-под контроля, они все равно не смогут, поэтому должны положиться на ваш опыт и поверить вам. Внушите им, что это важно для вас, чтобы это стало важно и для них.
2. Разработайте и внедрите политику безопасности. Опрос ICSA.net показал, что организации, в которых внедрена политика безопасности, успешнее выявляют внутренние атаки и сбои. В этих компаниях также четко прописаны действия, предпринимаемые в случае поимки сотрудника за просмотром порносайта, игрой на онлайн-бирже или в Интернет-казино, а то и за управлением собственным электронным магазином с корпоративного компьютера. Компания должна реагировать на подобные ситуации хладнокровно и мгновенно, не дожидаясь подачи против нее претензий и исков.
3. Внедрите экранные заставки с паролем. Внутренние атаки зачастую провоцируются «удобным случаем». Подключенный к сети и оставленный без внимания компьютер – большое искушение для честного работника. Вот если бы через 5-10 минут он отключался и для дальнейшей работы требовал пароля...
4. И наконец-то технический момент (барабанная дробь!): увеличьте количество уровней защиты. Опрос ICSA.net доказывает: фирмы, внедрившие целый ряд средств защиты, выявляют (а значит, и ликвидируют) больше атак и нарушений. Вы уже используете логины и пароли. И, конечно, брандмауэры. Добавив к ним токены для аутентификации, сети VPN, шифрование транзакций (SSL/SET/SHTTP) и программы для защиты серверов, вы сможете усилить защиту и ограничить вредоносные возможности работников.


Выводы


Частотность преднамеренных нарушений политик безопасности со стороны сотрудников компаний растет, но подобные преступления могут оказаться делом рук законопослушных граждан. Даже они иногда – а если честно, то даже часто – допускают фатальные ошибки, приводящие к значительному ущербу для организаций. Закончу парой банальных, но не потерявших свою актуальность фраз:
Иной друг – почище врага.
Береженого бог бережет.

Автор: Скотт Пинзон (Scott Pinzon), редактор, компания WatchGuard Technologies www.watchguard.com

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Для получения БЕСПЛАТНОГО БИЛЕТА заполните, пожалуйста, Форму:

Количество билетов ограничено

Фамилия* Имя* Отчество* Название компании* Должность* Телефон рабочий* Телефон мобильный* E-mail*

* - Поля, обязательные для заполнения