— Иоганн, скоро состоится конференция в области информационной безопасности. Там же будет выставка программного обеспечения. Вы говорили всегда, что самое слабое звено – человек. Докажите это! Необходимые для этого средства вы получите от отдела внутренних расследований.
— Задачу понял. Разрешите выполнять?
— Да что вы так официально? Я буду только рад, если вы в очередной раз заткнете рот всем этим выскочкам.
Через полчаса в кабинете руководителя службы ИБ состоялось совещание.
— Алиса, вы сможете прогуляться по выставке вместе с вашим плюшевым мишкой?
— Шеф, но откуда вы знаете? Я ж ведь никогда никому о нем не рассказывала?
— Алиса, я вас знаю не первый год. Вашему аналитическому складу ума может позавидовать любая электронная машина. Я знаю что вы периодически публикуете статьи по взлому паролей. А в сочетании с вашей невинной физиономией «девочки-блондинки», играя роль непроходимой дуры, вы сможете разыграть любого мужчину. Потому и прошу просто погулять по выставке, параллельно собирая информацию, передаваемую по открытой беспроводной сети. Я верю в вас.
— Михаил, у вас другая задача. Совместно с парой сотрудников разбросать по территории конференции и прилегающей территории флешки с троянами. Посмотрим, сколько участников заразят свои ноутбуки.
И последнее. Конференция проводится три дня. На третий день запланировано ваше совместное с Алисой выступление о роли сотрудников в обеспечении ИБ. Надеюсь, что вы сможете привести там цифры с этой конференции.
Прошло первые два дня конференции. Все шло как обычно. Сонные делегаты, уставшие специалисты на выставке. Настал день третий.
После доклада Алисы и Михаила зал взорвался. Как? На них ставили эксперимент? Да еще и без их согласия? И выставили их беспечными дураками? Их? Специалистов? Да как они посмели? Да еще и вели доклад сразу и вживую и через Интернет для всех желающих? Но дело было сделано.
Цифры, приведенные в докладе, поражали. Более 60% найденных флешек были вставлены не только в домашние ПК и ноутбуки, но и в корпоративные. Более того, около 40% из них не подверглись даже элементарной проверке на вирусы.
За два дня конференции удалось собрать пароли от персональной и корпоративной почты и даже несколько паролей интернет-банкинга. Более того, выяснилось, что около 10% использовали VPN для доступа не только к корпоративным данным, но и к персональной почте. А 20% не использовали VPN вообще. Порядка 20% использовали для доступа к личной почте двухэтапную аутентификацию.
Таком образом, служба безопасности снова подтвердила, что основное слабое звено — это сами пользователи. И вовсе не важно, какую должность они занимают.
Надеюсь вы себя в этой сказке не узнали? Ведь это всего лишь сказка, верно? Ведь вы внимательнее и умнее большинства? Не так ли?
