а чего нельзя: это будет своего рода преграда против неосторожности, небрежности или ошибок сотрудников, подвергающих компанию риску. Правила должны быть краткими и доступными для всех (а не только для специалистов по безопасности и компьютерным технологиям), чтобы их можно было понять, принять и соблюдать. Они должны относиться ко всем уровням организации, в том числе и к высшему руководству.
Сотрудникам следует предоставить инструменты, которые помогут им придерживаться этих правил. Например, можно разработать систему предупреждений, которые будут появляться на экране при попытке зайти туда, где хранятся конфиденциальные материалы. При этом система может запрашивать подтверждение права доступа пользователя к этим данным, а также отслеживать тех, у кого таких полномочий нет.
Нарушение этих правил должно сопровождаться наказанием. Разумеется, если сотрудник совершает серьезное правонарушение (скажем, торгует личными данными клиентов или сознательно внедряет вирусы в компьютерные системы компании), он должен быть уволен и привлечен к ответственности. При первом, менее серьезном нарушении – например, при передаче коллегам паролей для доступа к корпоративным системам, – можно ограничиться предупреждением с занесением в личное дело сотрудника.
Кроме того, необходимо донести до сотрудников, как можно безопасно выполнять повседневные задачи. В дополнение к этому своду правил следует регулярно проводить информационные собрания и внутренние разъяснительные мероприятия – например, размещать на рабочих местах постеры. В некоторых компаниях демонстрируют видеоролики – как нарушение установленных правил может способствовать кибератакам и как их можно предотвратить с помощью простых методов обеспечения безопасности.
Общепринятые подходы, которые не работают
НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ меры кибербезопасности гораздо эффективнее работают против внешних угроз, чем против инсайдеров.
Контроль доступа
Правила, которые запрещают использовать корпоративные устройства в личных целях, не удержат сотрудников от кражи активов.
Управление уязвимостями
Своевременные обновления системы безопасности и проверки на вирусы не позволят ни предотвратить, ни даже «засечь» доступ злоумышленников из числа авторизованных сотрудников или третьих лиц, использующих украденные учетные данные.
Надежная защита границ
Хранение наиболее важных активов внутри защищенного периметра не предотвратит кражу, если у вора есть доступ к защищенным системам.
Установка паролей
Использование сложных или часто меняющихся паролей приводит к тому, что их часто записывают на стикерах, которые легко могут увидеть те, у кого есть физический доступ в помещение.
Информационно-разъяснительные программы
От простого требования – ежегодно перечитывать правила информационной безопасности компании – в сотрудниках волшебным образом не зародятся навыки информационной безопасности. Кроме того, это никак не помешает им предпринимать сознательные вредоносные действия.
Повысить бдительность
Откровенно говорите о возможных угрозах, чтобы сотрудники могли их распознать и оставаться настороже – кто бы ни попытался заручиться их помощью для нападения на компанию. Выстраивайте обучение с учетом того, с какими типами атак могут столкнуться работники при выполнении той или иной операции. К самым распространенным способам проникновения в компьютерную систему организации относится фишинг: посредством фальшивых электронных писем мошенники обманом вынуждают сотрудников делиться личными данными, кодами доступа или переходить по ссылке, которая загружает вредоносные программы (многие не понимают, что поле «От» в электронном письме легко подделать). Проверить уязвимость ваших сотрудников к подобным угрозам можно как самостоятельно, так и с помощью привлечения внешней службы безопасности.
Что вы можете предпринять?
ВОТ СПИСОК НАИБОЛЕЕ ВАЖНЫХ мероприятий, которые должны обсудить с IT-отделами руководители, непосредственно не занимающиеся технологиями:
● мониторинг всего исходящего трафика как через интернет, так и через мобильное оборудование, и оперативное информирование о любых нестандартных или нарушающих установленные правила действиях;
● отслеживание передового опыта в области кибербезопасности для разработки стратегии и правил, действующих в компании;
● последовательное внедрение процедур и протоколов защиты сети с учетом текущих приоритетов бизнеса;
● систематическое обновление учетных записей сотрудников, гарантирующее, что никто из них не имеет более широкого доступа к конфиденциальным компьютерным системам, чем необходимо;
● регулярная оценка угроз и информирование о них руководителей компании.
Однако иногда бывает непросто защитить сотрудников компании от упорного чужака. В апреле 2013 года французская многонациональная компания стала мишенью продуманной атаки. Одна из помощниц вице-президента по административным вопросам получила по электронной почте письмо со ссылкой на счет в облачном файлообменном сервисе. Она не собиралась открывать этот файл, но через несколько минут раздался звонок. Собеседник убедительно заявил, что он другой вице-президент компании, и распорядился, чтобы сотрудница скачала и обработала присланный счет. Она подчинилась. Документ содержал троянскую программу, которая позволила преступному предприятию – судя по всему, украинскому – удаленно взять под контроль ее компьютер, фиксировать нажатия клавиш и воровать интеллектуальную собственность компании.
Поощряйте сотрудников сообщать о нестандартных или запрещенных технологиях (например, использование внешнего жесткого диска в офисе с сетевым доступом к данным и программному обеспечению) и подозрительном поведении (поставщики или сотрудники без допуска, которые запрашивают файлы с конфиденциальными данными) – точно так же, как они сообщали бы о наличии бесхозного багажа в зале вылета аэропорта.
Быть внимательней при приеме на работу новых сотрудников
Сейчас как никогда важно задействовать технологии отбора и методы проведения собеседований, разработанные для оценки честности соискателей. Взять, к примеру, проверку наличия судимостей, выявление ложных сведений в резюме, а также вопросы на собеседовании, непосредственно раскрывающие моральные ориентиры кандидата. Наша команда разрабатывает тесты, которые позволят работодателям выяснять, обладают ли предполагаемые работники опасными чертами личности, схожими с теми, о которых говорится в исследовании CPNI.
Во время собеседования следует также оценить степень осведомленности соискателя в вопросах кибербезопасности. Знает ли он, что такое инсайдерская угроза? В каких случаях он способен передать пароли коллегам? При каких обстоятельствах он может позволить коллеге воспользоваться своим компьютером? Если соискатель силен во всех остальных отношениях, вы можете нанять его, но проследите, чтобы он сразу же прошел обучение правилам безопасности вашей организации и связанным с ними процедурам. Но если этому кандидату предстоит работать в уязвимой среде, хорошенько подумайте, стоит ли брать его на работу.
Внедрить жесткие требования к субподрядным процессам
Как показывает инцидент с Target, важно следить, чтобы поставщики или дистрибьюторы не подвергали вас риску: например, следует свести к минимуму вероятность, что внешние IT-провайдеры найдут «черный ход» к вашим системам. Если риск подвергнуться кибератаке у поставщика значительно ниже, чем у вас, он может и не применять мер контроля, которые требуются вам. Ищите партнеров и поставщиков с тем же отношением к риску и той же культурой, что и в вашей организации, – в этом случае вам будет гораздо легче выработать общий подход к кибербезопасности.
В ходе предварительных обсуждений условий договоров поинтересуйтесь у потенциальных подрядчиков, как они решают вопросы, связанные с инсайдерским риском. Если вы привлекаете их к
