15 Апреля, 2018

Последствия событий, которыми вы не управляете невозможно просчитать

Валерий Естехин


 
Если вы занимаетесь информационной безопасностью в компании, перед вами возникают проблемы сиюминутных решений, действий и, конечно, ответственности. Иногда даже при решении простых задач возникают невероятные сложности или происходят открытия со знаком «минус». Как регулировать, например, моменты, связанные с тем, что что-то может пойти не так? Не все в ИБ можно предвидеть, а любая ситуация из-за сложной комбинации действий субъектов-участников может пойти не по сценарию.





Примеры из реальной жизни информационной безопасности.

Пример 1.

Одна небольшая компания не на шутку озаботилась отсутствием у нее специалиста по информационной безопасности. Тут же в штат была зачислена выпускница профильного вуза на должность сотрудника по ИБ. Новая сотрудница (для простоты назовем ее «ИБ-дива») с ходу предложила руководству провести киберучения для всех подразделений компании. Получив одобрение руководства, «ИБ-дива» привлекла стороннюю компанию, которая занимается проведением (в учебных целях) фишинговых (поддельных) рассылок на корпоративные email-адреса заказчика. Компания-исполнитель предварительно представила на выбор десять шаблонов примерных, почтовых рассылок якобы от разных источников. «ИБ-дива» одобрила пять шаблонов: три - от имени финансовых организаций с требованиями оплатить счет, погасить задолженность, ознакомиться с договором и две рассылки от почтовых провайдеров о взломе аккаунта.

Началась фишинговая рассылка в адрес сотрудников компании. Результаты поначалу вселяли оптимизм. Но один дотошный сотрудник компании (назовем его «партизан»), получив фишинговое письмо якобы от одного банка, не долго думая, позвонил в безопасность этого банка с резонным вопросом: «Что за хрень вы мне шлете?» Безопасность банка (условно назовем его «Кремень-Банк») попросила прислать «партизана» образец сообщения и, смекнув что к чему после общения по телефону с «ИБ-дивой», прислала по почте в адрес руководства компании гневное заявление о фактах, порочащих светлое имя их «Кремень-Банка». Причем «Кремень-Банк»не удовлетворило покаянное письмо от компании с извинениями в электронной почте, банк вынудил компанию писать официальный ответ на официальном бланке на их дурацкие претензии и потребовал наказать виновных.

В результате компания нашла другого («бумажного») безопасника. Про киберучения забыли. «ИБ-диву» уволили. Как говорится: баба с возу - руководство в курсе.

Мораль:
Иногда, вы не можете предвидеть развитие событий, так как делаете это впервые. ИБ-службеследует заранее регулировать «тонкие» моменты своих мероприятий, чтобы все проходило так, как задумано.




Пример 2.

Всем знакома ситуация, когда, время от времени, письма от внешних отправителей в адрес сотрудников компании попадают в спам на корпоративном, почтовом сервере. Один сотрудник одной компании, прочитав в инфо-сообщении, что в случае попадания сообщения пользователя в спам, он может обратиться в ИТ-службу, так и поступил. Письмо ему извлекли и переправили, особо не разбираясь, что там за содержимое. Во вложении к сообщению оказался вирус. Вирус заблокировал компьютер нашего героя и тот не смог вовремя сдать свой проект, после чего его уволили, а следом уволили ИТ-шника, допустившего халатность.

Мораль:
В нашем случае «производственные издержки» от оптимизации численности ИТ-службы в компании привели к перегруженности персонала при сопровождении ИТ-систем.На ИТ-администраторов постоянно сыпалось много вопросов, связанных с настройкой нового спам-фильтра на почтовике. И они, увязнув в трясине согласований, объяснений и разборок, не считали себя обязанными заниматься еще и безопасностью электронной почты. Продумайте как защитить работников от самих себя и не пасть жертвой стрессовых перегрузок на работе.




Пример 3.

В те далекие времена, когда злоумышленниками еще не пользовалась технологией автозалива при хищении денежных средств через системы ДБО,втехподдержку банка позвонила бухгалтер одной компании. Она пожаловалась на странные платежки, которые в течение нескольких дней обнаруживала на своем компьютере и которые в системе ДБО она точно не создавала. Далее выяснилось, что компьютер бухгалтера был заражен и у злоумышленников был удаленный доступ к системе ДБО. Бухгалтер пыталась тупо бороться с мошенниками удалением из системы ДБО поддельных платежек. Мошенники создают – бухгалтер удаляет, Мошенники опять создают – бухгалтер удаляет. К счастью компании, у которой такой неподготовленный бухгалтер, деньги мошенникам вывести не удалось.

Мораль:
Наши клиенты из-за пресловутой неосведомленности и низкой компьютерной грамотности подчас позволяют мошенникам себя одурачить. Цель ИБ-службы помочь своим клиентам стать настолько информированными в теме ИБ, насколько это возможно.




Источник подлинных проблем с безопасностью, как правило, расположен вне самой безопасности. Уберите источник и уровень безопасности повысится.