Программа бдительности безопасности

В одном из американских крупных банков эксперт по безопасности во время теста на проникновение выменял пароль и логин компьютера одного из сотрудников компании на два батончика «SNIСKERS».

Love Letter – вирус-скрипт, который был разослан в приложении к письму с темой «I Love You».Вирус попал в Книгу Рекордов Гиннеса по скорости распространения, а также стал первым яркимпримером использования социальной инженерии для распространения вирусов в обход системантивирусной защиты. В мае 2000 года за пару часов было заражено несколько миллионов компьютеров по всему миру.

Текущее положение работы политик безопасности
Практически все политикибезопасности в странах СНГвыполняются только в определенном объеме, причем этотобъем для каждой компаниисвой. В большинстве случаев,чем жестче политика безопасности, тем в меньшей степениона выполняется.

Запуск политики безопасности и первоевремя контроля за выполнением дают относительно сносныйрезультат, но через некотороевремя (обычно от полугода) выполняются только самые очевидные и «выгодные» для пользователей политики. Давлениесо стороны отдела информационной безопасности можетпринести только «точечный»результат, но практика показывает, что поменять всю картину«кнутом» невозможно. Извечный конфликт безопасностии ее защитников в виде отделаИБ против доступности и удобства для всех пользователей (аих в компании гораздо больше,
чем сотрудников ИБ) всегда решается в пользу большинства.Стоит только пользователямпонять, что влияние отдела ИБна верхушку бизнеса ослабевает, как политика безопасностипереходит в разряд дорогой макулатуры.
Современные угрозы информационной безопасности и методики взлома
Современные методики защиты информации, которыевключают в себя минимум 3
уровня защиты, а в большихкомпаниях 6 и более, свели вероятность взлома сетевого ресурса извне корпоративной сетипрактически к нулю. Для злоумышленников намного прощеи дешевле купить сотрудникакомпании-жертвы, чем тратитьвремя на разработку атаки изИнтернета. Если посмотретьна современные риски длябезопасности компании, токомпьютерные вирусы находятся на первом месте, загрузка контента из Интернета – навтором (Прим. ред. По даннымGFI). Сразу видно, что и у вирусов, и у загрузок контента
из Интернета много общего:во-первых, во втором обычнобывает первое, а во-вторых, и
тот и другой риск зависит напрямую от реакции человека.
Спросите у девушки-секретаря,выберет ли она пункт «разрешить» в окне антивируса, еслиее подруга прислала новые 3Dобои на рабочий стол со встроенной анимацией котят? В 99%случаев пользователь нажмет«разрешить» даже не прочитавпредупреждения. Подавляющее количество современныхугроз для информационной
безопасности опирается на социальную инженерию в тойили иной степени.
Приведенные примеры хорошо показывают то, что одниаппаратные и программные
средства защиты информацииНЕ решают всех проблем. Человек всегда был, есть и будетсамым слабым звеном в системекорпоративной безопасности.
В то время, когда злоумышленник в сети ограничен и достаточно предсказуем по выборамследующих целей, сотрудниккомпании, который не понимает, что он злоумышленник, имеетнамного больший спектр выбора действий, которые часто еще
и не поддаются логике. В итоге,для того, чтобы обеспечить полную безопасность компании,отдел ИБ должен постоянно вреальном времени отслеживатьвсе перемещения и доступ к любым средствам коммуникацийабсолютно всех сотрудников
компании. Во-первых, в этомслучае сотрудников ИБ должно быть немногим меньше, чем
всех остальных сотрудников, во-вторых, это крайне затратно вфинансовом плане, и в-третьих,кто захочет работать в таких условиях?

Что такое программа бдительности безопасности?
Если политика информационной безопасности должнадиктовать, что не надо делать,
то программа бдительностибезопасности должна напоминать об этом и объяснять
«почему». Человек – существоконсервативное и для негосвойственно противиться любым изменениям в случае, еслион не понимает, зачем эти изменения вносятся. Целью программы бдительности безопасности является формированиепонимания пользователяминеобходимости мер безопасности и факта того, что отдел ИБиграет на их стороне, а не напротивоположной. С помощьювнедрения этой программы,
пользователи буду относиться котделу ИБ не как к жестокой мачехе, которая сразу бьет по рукам за каждый неверный кликмышки, а как к заботливому родителю, который следит, чтобыс пользователями, их работой, ивсей компанией ничего плохогоне случилось. Понимание того,что политики безопасности не«ограничивают», а «оберегают»или «помогают избежать неприятностей» намного повысятвыполняемость этих политик.Но для того, чтобы пользователи понимали, зачем выполнятьполитики, им это должны объяснить.
Как выглядит программа бдительности безопасности
Программа бдительностибезопасности это не обучение, аскорее акцентирование внимания и разъяснение некоторыхрабочих моментов, которыесвязаны с ИБ. Программа
должна быть совместным детищем отдела ИБ и маркетинга,где отдел ИБ должен отвечатьза информативность и применимость полученных знаний,а маркетинг должен убеждать,что соответствовать требованием программы бдительностьбезопасности это престижнои здорово. Программа должнастать частью корпоративнойкультуры, участие должно поощряться со стороны руководства, иначе она не будет работать.
Контент программы можетбыть разработан внутри компании, либо частично или полностью вынесен на аутсорсинг.

Примерами контента программы могут быть:

  • плакаты с фокусировкой наразные аспекты безопасности, которые поданы в доступной и желательно смешной форме;
  • короткие презентации поопределенным темам (например, вирусы, социальная инженерия, физическая безопасность, работа с почтой,мобильная связь и т.д.);
  • дистанционное модульное обучение, которое включает видео-уроки или флеш-ролики и тесты в конце каждого модуля;
  • подкасты или другие аудиозаписи по темам безопасностидля пользователей;
  • распространение листовок ссоветами по определеннойтеме безопасности;
  • рассылка контента ИБ по почте;
  • корпоративные скринсейверыс контентом по ИБ.

Внедрение программ бдительности безопасности
Внедрение программ бдительности безопасности должно в идеале идти параллельно с
внедрением политики безопасности, но начать программуникогда не поздно. Чем раньше
программа будет внедрена, темраньше политика безопасностидействительно начнет работатьв полную силу. Кроме того,программа должна внедрятьсясверху-вниз, начиная с верхнегозвена менеджеров. Если верхушка управления продолжит вести«свободный» от общих правилобраз жизни и не будет своимповедением показывать остальным пример, то программуможно не внедрять – это пустаятрата денег.
Заказчиком и спонсором программы должен выступать CIOкомпании. Внедрение должно
проходить поэтапно без аврального обучения, час или два часаобучения по конкретной темев неделю для одного отдела,знания должны подкреплятьсяразличными наглядными материалами (плакаты, брошюры,листовки).
На практике существуюткомпании, которые подходятк вопросу аврально, методом
«всех загнать и за день обучить».
Это также пример бесполезнойрастраты средств. Пользователипросто не могут освоить стольконовой информации за 1 – 2 дня.Кроме того бытует ошибочноемнение, что один сеанс обучения и является внедрением программы бдительности безопасности. На коротких временныхдистанциях программа показывает ПЛОХИЕ результаты эффективности, а обучение – этопроцесс, а не одноразовое вливание.
Западная практика показывает, что реальная отдача отпрограмм бдительности безопасности наступает после годапри условии полного цикла обучения всех сотрудников минимум раз в полгода. На длиннойдистанции с участием отделамаркетинга и наличия программы соответствия (про нее чутьдальше) программа бдительности становится полноценнойчастью корпоративной культуры и сотрудники относятся кпрограмме не как к чудачествуотдела ИБ, а как очевидной необходимости, которая в их жеинтересах. Для внедрения икурирования программы необходимо назначить менеджерапрограммы бдительности безопасности, который будет еще
и проектным менеджером вовремя внедрения. Этот менеджер должен разработать про-
граммы обучения для каждогоотдела в зависимости от нуждкаждого конкретного отдела икурировать прохождение обучения вместе с отделом кадров.
Принцип «один размер на всех»не подходит, для некоторых отделов этой информации будетслишком много, для другихслишком мало для безопасноговыполнения своих рабочих обязанностей.

Политика паролей компании (или «Стандарт паролей пользователей компании»)

Каждый пароль персонального профиля пользователя должен состоять минимум из 12 символов, и содержать буквы нижнего и верхнегорегистров, цифры, причем в середине пароля испециальные символы.Первый вопрос любого пользователя: «Почему?...» И если в отделе ИБ ответ будет: «Потомучто» или «написано – выполняй», то пользовате-
ли будут пытаться нарушить эту политику во всехвозможных случаях. А если форсировать политику паролей программными методами, к примеру,средствами политик Active Directory, то на многихрабочих станциях появятся наклейки…
Говоря про пример выдачи пароля, у сотрудника банка спросили, почему он так просто отдалконтроль над своим профилем постороннему человеку. Сотрудник ответил: «А что здесь такого?
На моем компьютере нет ничего ценного или конфиденциального». Логика пользователя понятна,он считает, что злоумышленник ограничится «посещением» его компьютера, и это, по его мнению, абсолютно безболезненно для организации. Аоткуда он может знать о последствиях, если в компании нет программы бдительности безопасности?То, что должна была донести программа бдительностиПростой пароль из 5 символов (при перехвате кеша этого пароля) взламывается в течениенескольких минут, пароль из 7 символов – около суток. Стандартные пароли типа «qwerty» перебираются первыми, затем прогоняется словарь с подстановкой различных символов замены, например «а» поменять на «@», а потом идет грубый перебор, который в любом случае откроет па-
роль, вопрос только во времени. Каждый дополнительный символ в пароле умножает количествоопераций перебора в 256 раз. Таким образом, сложные правила составления пароля принимаютсядля того, чтобы единственным вариантом взлома был грубый перебор, а количество символов длятого, чтобы время перебора выходило за рамки разумности.В случае передачи контроля профиля третьему лицу, этот человек может использовать компьютер жертвы, как опорную базу для дальнейших атак на другие ресурсы компании и делать это онбудет от имени пользователя.Если это объяснить пользователя в доступной форме, то мы не получим никакого отторжения,наоборот пользователи будут благодарны, за то, что отдел ИБ их обучает компьютерной грамоте
и лучшим практикам безопасности, которые они теперь могут применять не только на работе, нои дома.