Знаете ли вы, как ваши коллеги или подрядчики обращаются с вашей или другой конфиденциальной информацией в поездах, кафе и других общественных местах?
Автор: Джо Дальтон
Я снова в поезде. Сижу за четырехместным столом. Рядом со мной друг напротив друга находятся двое мужчин, которые, судя по разговору, являются коллегами.
Сидящий слева от меня явно работает над реализацией плана по внедрению системы управления зданием в знакомой мне компании (да, я очень внимательная).
Приватный разговор?
В процессе подслушивания беседы, телефонных звонков и подглядывания в экран ноутбука удалось узнать:
График встреч на объекте.
О серьезной проблеме клапаном давления, подключенным к интернету.
О территории, здании и этаже, где присутствует эта проблема.
Имена контактов и адреса электронной почты.
Кто может свободно перемещаться по территории, а кого нужно сопровождать.
У меня была хорошая мобильная связь, и я погуглила информацию про человека и организацию. Мне не удалось увидеть устройство другого мужчины, но при помощи социальной сети LinkedIn выяснилось, что напарник работает в должности технического директора.
Затем был сделан быстрый поиск на предмет доступных устройств с включенным Wi-Fi. При помощи своего iPhone удалось найти пользователей сервиса Airdrop. И да, устройство Дэйва было тоже доступно (имя вымышленное).
В течение часа было собрано достаточно информации для разработки реальной стратегии по социальной инженерии, и, исходя из полученных сведений, можно было бы легко составить план атаки против системы управления зданием.
Если бы у меня были нечистоплотные намерения, я легко бы могла притворить эту идею в жизнь, но поскольку такими вещами я не занимаюсь, то села записывать подкаст по безопасности.
Следовало бы мне поговорить начистоту?
Я очень хотела пообщаться с этими друзьями на предмет утечки конфиденциальной и полезной информации, но с чего начать? К тому же, у меня не было ни малейшего представления о возможной ответной реакции. Я бы ощущала себя очень навязчивой персоной, и общение на столь серьезную тему в поезде не казалось мне хорошей идеей.
Давайте еще раз проанализируем произошедшее. Я знала, что компания, с которой работали мои попутчики, была надежна в плане информационной безопасности и аккредитована в полной мере. Было очевидно, как небольшая мелочь может оказать большое влияние, поскольку ни одна политика безопасности не может стереть информацию, услышанную мной.
Так какие же уроки надо извлечь из этой ситуации?
Заключение и советы
Подумайте дважды, прежде чем работать и обсуждать важные вопросы в общественных местах. В случае отсутствия необходимости лучше почитать книгу или просто насладиться окружающей обстановкой.
Если все же нужно работать в общественном месте, поставьте защитную пленку на экран ноутбука.
Не доверяйте случайным попутчикам. Я уже говорила и повторю еще раз. Никогда не знаешь, кто находится рядом с тобой.
Пользуйтесь с осторожностью ненадежными сетями. Лучше подключаться через VPN или использовать мобильный интернет.
Отклоняйте / игнорируйте запросы на соединение через Bluetooth.
Пользователям Mac и iOS нужно отключить сервис Airdrop. См. https://airdropoff.com/
Не пользуйтесь недостоверными портами для зарядки и устройствами. Если все же нужно зарядить, используйте USB-блокиратор данных.
Заранее заказывайте места в углу или там, где за вами не смогут подглядывать посторонние. Организуйте рабочее пространство с максимально возможным уровнем конфиденциальности.
Если нужно делать звонки в поезде, следите за своей речью, поскольку вас могут подслушивать.
Последнее по списку, но не последнее по важности
Сообщите о вышесказанном своим коллегам и особенно руководству.
Зафиксируйте четкие ожидания и убедитесь, что все осведомлены о рисках и о том, как управлять этими рисками.
Знаете ли вы, как ваши коллеги или подрядчики обращаются с вашей или другой конфиденциальной информацией в поездах, кафе и других общественных местах?