«Директор информационной службы»
Как добиться того, чтобы сотрудники действительно следовали инструкциям по информационной безопасности
Алексей Забродин |
Практически любые современные средства информационной безопасности могут оказаться бессильными против воздействия «человеческого фактора». Как добиться того, чтобы сотрудники действительно следовали инструкциям по информационной безопасности? Этой теме была посвящена дискуссия, развернувшаяся на конференции «Информационная безопасность предприятия: как противостоять новым угрозам?», организованной IDC и издательством «Открытые системы».
Теория и практика
Реализация политики безопасности — задача весьма трудоемкая. Исследования показывают, что обучить персонал следовать политикам информационной безопасности и эффективно противостоять атакам со стороны знатоков социальной инженерии (т. е. тех, кто путем манипуляций людьми получает доступ к системам и к информации) очень сложно.
Лекции, курсы обучения и информационные беседы, безусловно, важны. Но эти мероприятия все же далеки от практики. Пожалуй, лучшим способом обучения персонала методам противостояния злоумышленникам является периодическая организация учебных атак на компьютерную систему. Менеджеру по безопасности следует проверять работников на «устойчивость и благонадежность», точно так же, как тестируют надежность серверов и сетевых экранов, и научить в рамках тренинга элементарным правилам осторожности. Скажем, если какой-то незнакомец запрашивает персональную или конфиденциальную информацию, то необходимо проверить и удостовериться, что это именно тот человек, за которого он себя выдает.
Особо уязвимы недавно принятые сотрудники. По этой причине во время испытательного срока необходимо обязательно подвергнуть их нескольким пробным атакам. Разумеется, следует регулярно проверять всех сотрудников на устойчивость к воздействию «социальных инженеров».
Национальные особенности защиты
В России организационные меры, связанные с обеспечением безопасности (в том числе безопасности информационной) более смещены в сторону наказаний, нежели поощрений.
«Полагаю, редко можно найти в России организацию, где за должное выполнение инструкций по безопасности — они не во всех-то организациях и есть — так или иначе поощряли сотрудников», — считает Алексей Забродин, директор департамента информационно-технического обеспечения «Межпромбанка».
В «Межпромбанке» постарались создать такие условия для пользователей, которые позволили бы приравнять к списку должностных обязанностей простые и доступные инструкции, выполнение которых позволило бы снизить риски нарушения безопасности. Забродин уверен: человеческий фактор является самым слабым звеном в системе защиты. Любые технические меры ни в коем случае не уменьшают значения мер административных. Более того, в отсутствие административных мер и политики безопасности внедрение автоматизированных систем будет если не бессмысленно, то, по крайней мере, малоэффективно.
Соответствующая нормативная база в самом «Межпромбанке» начала складываться примерно с 1996 года; ее совершенствование продолжается. Каждого сотрудника при поступлении на работу знакомят под роспись с набором правил по обеспечению безопасности. Систематический подход приносит свои плоды: в частности, удалось добиться того, что пользователи не теряют времени в чатах и не посещают сайты сомнительного содержания. Для материального стимулирования соблюдения правил информационной безопасности в «Межпромбанке» применяется практика премирования. Нарушения протоколируются и фиксируются в личном деле сотрудника. Если нарушения действительно имели место, сотрудник непременно почувствует на своем кармане, что оно не осталось незамеченным.
Чтобы политики работали
Своими наблюдениями поделился в ходе дискуссии и Кевин Митник, в прошлом легендарный хакер, а сегодня консультант в области информационной безопасности.
«100-процентной безопасности быть не может. Те компании, в которые я проникал, наверняка имели политики безопасности, но у них не было эффективной программы обучения и мотивации персонала, чтобы эти политики реально работали», — считает Митник.
В США сотрудникам нередко раздают под роспись памятки по безопасности со списком простых правил. В общем-то, это хорошо. Но с другой стороны, формальные правила безопасности никому не нужны. Политика безопасности имеет свой жизненный цикл. Необходимо систематически пересматривать ее правила и модифицировать политику в соответствии с меняющимися потребностями бизнеса и реалиями внешней по отношению к компании среды. Желательно также, чтобы документы, касающиеся безопасности, были простыми, короткими и понятными. Разумеется, нужно смотреть, как персонал выполняет правила. Даже если правила очень хороши, компания может и не знать, выполняют ли их сотрудники.
Для того чтобы изменить корпоративную культуру в отношении безопасности, необходимо прибегнуть не к влиянию, а к убеждению. Только убеждение способно изменить отношение людей к безопасности. Следует помнить, что этот процесс долгий и кропотливый.
Если не выработать в компании хороших привычек в плане соблюдения политик безопасности, то сотрудники не будут воспринимать их всерьез; если контроль ослабеет, они вскоре вернутся к своему привычному поведению. А этим нередко пользуются хакеры, которые пытаются вынудить людей следовать не правилам информационной безопасности, а тому, как принято себя вести в обществе, в частности, проявлять вежливость, доверчивость и любезность. Эти качества, поощряемые обществом, могут оказаться на руку хакерам, использующим мошеннические методы.
Ошибки обучения
По мнению Забродина, обучение — безусловно, вопрос важный, но всегда ли готовы к нему сотрудники? Иной раз больше пользы может принести набор коротких инструкций, которые дают хороший результат.
«Если пользователь чего-то недопонимает, то для него разработан список разъяснений, созданный на основе наиболее часто задаваемых вопросов. У нас нет обучающего центра и программы подготовки. Думаю, этого нет у большинства российских организаций. Но у нас при приеме на работу сотрудники проходят тестирование, в том числе по вопросам информационной безопасности», — говорит Забродин.
В дополнение к этому в банке принята практика, когда сотрудники ИТ-подразделения могут позвонить сотрудникам банка (как правило, тем, кто работает с клиентами) и поговорить с ними о том, насколько жестко те следуют правилам информационной безопасности. Однако Забродин признал, что профессиональных социальных инженеров в штате банка нет: «Мы коммерческая организация и не можем в отличие от государства выделять безграничные бюджеты на охрану своих тайн».
Митник более сдержан в оценках успеха тестирования сотрудников компании. По его мнению, когда человек знает, что его тестируют, он, скорее всего, будет собран и внимателен (скажем, при приеме на работу). Но в повседневной обстановке он часто более расслаблен или озабочен иными проблемами. Именно в этот момент для социального инженера наступает «золотое время»: потенциальная жертва, скорее всего, не слишком заботится о логичности действий, зато большое значение оказывают на него эмоциональные факторы. Сотрудник может пойти на поводу у злоумышленника хотя бы потому, что у него просто нет времени оценить и обдумать свои действия и их последствия; он пытается поскорее отвязаться от назойливого собеседника.
Социальная инженерия великолепно работает, когда человек находится в условиях стресса. Примерно 90% успешных атак проходит именно в таком режиме. Поэтому нужно готовить людей так, чтобы они соблюдали правила и политику безопасности, будучи в любом настроении.
Что такое плохо...
Бесспорно, человек, приходя в компанию, не должен прикасаться к корпоративному компьютеру до тех пор, пока не ознакомится с правилами информационной безопасности, и только после этого получает учетную запись и пароль. Но ИТ-специалисты часто концентрируются на технологиях. Куда проще иметь дело с замысловатыми системами, чем закладывать в головы пользователей правильно выстроенный процесс мышления.
Как показывает опыт борьбы с многими другими социальными проблемами (например, с пьянством за рулем), ни одна технология или репрессивная мера не поможет, пока это явление не становится социально неприемлемым. Если в компании удастся создать атмосферу, когда будет социально неприемлемо совершать шаги, нарушающие политику безопасности, то вероятность проникновения злоумышленников в результате неправильных действий сотрудников будет заметно меньше.
Советы Кевина Миткина
Аргументы о том, какими убытками могут обернуться действия злоумышленника для компании, на рядового сотрудника могут не произвести должного впечатления. Вместе с тем, людям не нравится, когда им лгут. Поэтому, разъясняя угрозы социальной инженерии, нужно постараться убедить сотрудников в том, что существуют люди, которые могут ими манипулировать. Хитрый мошенник может им позвонить и обманным путем заполучить от них, например, файлы с данными о новых разработках, продать их конкурентам, при этом сотрудники, которые попались на банальную уловку неизвестного проходимца, будут чувствовать себя страшными глупцами, над которыми еще долго будут посмеиваться коллеги.
«Думаю, каждый сможет вспомнить ситуацию из своей жизни, когда его обманули. Наверняка это вызвало сильное огорчение, — считает Кевин Митник. — Этот аргумент — существенный фактор мотивации. Важно ?прогнать? людей через это состояние, заставить их в очередной раз испытать его».
Если тот или иной сотрудник нарушил принятые правила безопасности, то публичное сообщение об этом в назидательных целях по всей компании может привести к положительному результату. Однако та же самая мера может привести и к снижению боевого духа в организации. Именно поэтому, если кто-то проявил бдительность и находчивость, следуя протоколу безопасности и с честью выйдя из щекотливой ситуации, то нужно сделать все, чтобы об этом узнали коллеги.
И еще один «рецепт». Человеку свойственно думать: «Ну и что с того, если кто-то влезет в сеть моего работодателя и что-то там украдет?» Поэтому в некоторых организациях рядом с корпоративной информацией хранят и некоторые персональные данные сотрудников. В определенной степени это мотивирует сотрудников компании: препятствуя проникновению злоумышленников в систему, они будут защищать и свои собственные данные.