Если
вы занимаетесь информационной
безопасностью в компании, перед вами
возникают проблемы сиюминутных решений,
действий и, конечно, ответственности. Иногда даже
при решении простых задач возникают
невероятные сложности или происходят
открытия со знаком «минус». Как
регулировать, например, моменты, связанные
с тем, что что-то может пойти не так? Не
все в ИБ можно предвидеть, а любая ситуация
из-за сложной комбинации действий
субъектов-участников может пойти не по
сценарию.
Примеры
из реальной жизни информационной
безопасности.
Пример
1.
Одна
небольшая компания не на шутку озаботилась
отсутствием у нее специалиста по
информационной безопасности. Тут же в
штат была зачислена выпускница профильного
вуза на должность сотрудника по ИБ.
Новая сотрудница (для простоты назовем
ее «ИБ-дива») с ходу предложила руководству провести киберучения для всех подразделений компании. Получив одобрение
руководства, «ИБ-дива» привлекла
стороннюю компанию, которая занимается
проведением (в учебных целях) фишинговых
(поддельных) рассылок на корпоративные
email-адреса заказчика. Компания-исполнитель
предварительно представила на выбор
десять шаблонов примерных, почтовых
рассылок якобы от разных источников.
«ИБ-дива» одобрила пять шаблонов: три
- от имени финансовых организаций с
требованиями оплатить счет, погасить
задолженность, ознакомиться с договором
и две рассылки от почтовых провайдеров
о взломе аккаунта.
Началась
фишинговая рассылка в адрес сотрудников
компании. Результаты поначалу вселяли
оптимизм. Но один дотошный сотрудник
компании (назовем его «партизан»),
получив фишинговое письмо якобы от
одного банка, не долго думая, позвонил
в безопасность этого банка с резонным
вопросом: «Что за хрень вы мне шлете?»
Безопасность банка (условно назовем
его «Кремень-Банк») попросила прислать
«партизана» образец сообщения и, смекнув
что к чему после общения по телефону с
«ИБ-дивой», прислала по почте в адрес руководства компании гневное заявление
о фактах, порочащих светлое имя их «Кремень-Банка». Причем
«Кремень-Банк»
не удовлетворило покаянное письмо от
компании с извинениями в электронной
почте, банк вынудил компанию писать
официальный ответ на официальном бланке
на их дурацкие претензии и потребовал
наказать виновных.
В
результате компания нашла другого
(«бумажного») безопасника. Про киберучения
забыли. «ИБ-диву» уволили. Как говорится:
баба с возу - руководство в курсе.
Мораль:
Иногда, вы не можете предвидеть развитие событий, так как делаете это впервые. ИБ-службе следует заранее регулировать «тонкие» моменты своих мероприятий, чтобы все проходило так, как задумано.
Иногда, вы не можете предвидеть развитие событий, так как делаете это впервые. ИБ-службе следует заранее регулировать «тонкие» моменты своих мероприятий, чтобы все проходило так, как задумано.
Пример
2.
Всем
знакома ситуация, когда, время от времени,
письма от внешних отправителей в адрес
сотрудников компании попадают в спам
на корпоративном, почтовом сервере.
Один сотрудник одной компании, прочитав
в инфо-сообщении, что в случае попадания
сообщения пользователя в спам, он может
обратиться в ИТ-службу, так и поступил.
Письмо ему извлекли и переправили, особо
не разбираясь, что там за содержимое.
Во вложении к сообщению оказался вирус.
Вирус заблокировал компьютер нашего
героя и тот не смог вовремя сдать свой
проект, после чего его уволили, а следом
уволили ИТ-шника, допустившего халатность.
Мораль:
В нашем случае «производственные издержки» от оптимизации численности ИТ-службы в компании привели к перегруженности персонала при сопровождении ИТ-систем. На ИТ-администраторов постоянно сыпалось много вопросов, связанных с настройкой нового спам-фильтра на почтовике. И они, увязнув в трясине согласований, объяснений и разборок, не считали себя обязанными заниматься еще и безопасностью электронной почты. Продумайте как защитить работников от самих себя и не пасть жертвой стрессовых перегрузок на работе.
В нашем случае «производственные издержки» от оптимизации численности ИТ-службы в компании привели к перегруженности персонала при сопровождении ИТ-систем. На ИТ-администраторов постоянно сыпалось много вопросов, связанных с настройкой нового спам-фильтра на почтовике. И они, увязнув в трясине согласований, объяснений и разборок, не считали себя обязанными заниматься еще и безопасностью электронной почты. Продумайте как защитить работников от самих себя и не пасть жертвой стрессовых перегрузок на работе.
Пример
3.
В
те далекие времена, когда злоумышленниками
еще не пользовалась технологией
автозалива при хищении денежных средств
через системы ДБО,
в
техподдержку банка позвонила бухгалтер
одной компании. Она пожаловалась на
странные платежки, которые в течение
нескольких дней обнаруживала на своем
компьютере и которые в системе ДБО она
точно не создавала. Далее выяснилось,
что компьютер бухгалтера был заражен
и у злоумышленников был удаленный доступ
к системе ДБО. Бухгалтер пыталась
тупо бороться с мошенниками удалением из
системы ДБО поддельных платежек. Мошенники создают – бухгалтер удаляет, Мошенники опять создают
– бухгалтер удаляет. К счастью компании, у которой такой неподготовленный бухгалтер, деньги мошенникам вывести не удалось.
Мораль:
Наши клиенты из-за пресловутой неосведомленности и низкой компьютерной грамотности подчас позволяют мошенникам себя одурачить. Цель ИБ-службы помочь своим клиентам стать настолько информированными в теме ИБ, насколько это возможно.
Наши клиенты из-за пресловутой неосведомленности и низкой компьютерной грамотности подчас позволяют мошенникам себя одурачить. Цель ИБ-службы помочь своим клиентам стать настолько информированными в теме ИБ, насколько это возможно.
Источник
подлинных проблем с безопасностью, как
правило, расположен вне самой безопасности.
Уберите источник и уровень безопасности
повысится.
Комментариев нет:
Отправить комментарий