Писать статьи на Хабре нам пока рановато, но как поётся читается в одной известной в узких кругах песне: «опыт за плечами есть», - поэтому хочется этим опытом поделиться. И поделиться не только с друзьями, которые итак вынуждены нас слушать, но и с теми, до кого эта информация по каким-то причинам еще не донесена.
С прискорбием сообщаем Вам, дорогие Друзья, что они Вас обязательно коснутся. И мы сейчас хотим поговорить не о формальном исполнении 152-ФЗ «О персональных данных», а о реальной безопасности Ваших информационных ресурсов.
Когда спрашиваешь у директора или сотрудника внезапно ответственного за ИБ, задумывались ли они о проблемах информационной безопасности, которые могут возникнуть - самый популярный ответ, который мы получаем: «Да кому мы нужны?! Зачем кому-то проводить на нас атаки?!»
Печально, но так отвечает не только малый бизнес, но и порой представители крупных предприятий, где по умолчанию необходимо зорко отслеживать ситуацию.
И действительно, целенаправленную атаку на Вас проводить может и нет смысла, но беда в том, что могут случиться другие «залётные» проблемы. И если Вам до сих пор везло, нет никакой гарантии, что и завтра Вы будете спать спокойно.
Пока тенденция, к сожалению, такова, что к нам за помощью обращаются уже в тот момент, когда:
WannaCry, Petya, Nepetya и прочие твари зашифровали диск с базой 1С, копия от которой в лучшем случае лежала на этом же диске, а в худшем — вообще никогда не делалась;
Менеджер ушел к конкурентам с той же самой злосчастной базой 1С, а директор фирмы просит найти следы, с помощью которых можно наказать того самого менеджера;
В браузере завелся майнер, который ест ресурсы системы;
Конкуренты давят на системного администратора (или любых других сотрудников) и настоятельно рекомендуют слить им базу данных, при этом директор уже начинает использовать полиграф;
Роскомнадзор стучится в двери и просит с Вас штраф в размере 300 000,00 руб. и устранение нарушений в течение месяца, потому что сотрудник или клиент написал заявление;
И пр. подобные ситуации.
Ни мы, ни отдел «К» Прокуратуры в данных ситуациях Вам уже не поможем. Безусловно за небольшую (читай большую) денюжку мы Вам постараемся помочь, но инцидент уже произошел и с ним Вам жить. И хорошо еще, если после этого жить Ваш бизнес продолжит…
Информации о том, что делать, а что не делать – много, и рассказывать ее можно бесконечно долго. Но давайте для начала ответим на некоторые вопросы.
Начнем с простого:
1. Есть ли пароли на рабочих станциях сотрудников?
2. А они сложнее, чем 123, qwerty, март2018, имени питомца и различных других подобных комбинаций?
3. Уверены ли Вы, что Ваши сотрудники не хранят свои пароли под клавиатурой/на мониторе/под стеклом на столе/в накопителе для бумаг/в верхнем ящике стола вместе с ключами от сейфа? На этом моменте можно смеяться сколько угодно, НО каждый раз приходя в очередную организацию для выполнения работ мы сталкиваемся с тем, что пароль пользователя можно найти менее чем за 5 минут, не прилагая особых усилий, ну или его наизусть помнит половина коллег.
4. А знаете ли Вы или Ваши сотрудники о волшебном сочетании клавиш Win+L, чтобы заблокировать рабочую станцию на период своего отсутствия?
Ну что…?! Переходим к вопросам посложнее:
5. Электронная подпись для доступа к банкам, торговым площадкам и государственным системам находится в руках тех людей, на которых она получена?
6. Вы или Ваш системный администратор настроили права доступа Windows и 1С (или любой другой базы данных)?
7. Уверены ли Вы в том, что Ваши сотрудники используют информационные ресурсы компании исключительно в рабочих целях?
8. А антивирусное средство установлено на рабочих местах?
И еще немного об организационных мерах:
9. Вы рассказали Вашим сотрудникам о том, что у Вас есть конфиденциальная информация?
10. Вы защищаете персональные данные своих сотрудников и клиентов?
11. Исключен доступ к рабочим документам сторонним людям?
12. Знаете ли Вы что на дне океана проживает Спанч Боб квадратные штаны?
Если хотя бы на один вопрос Вы ответите «нет» или замедлите с ответом, потому что не знаете, что у Вас происходит в действительности -тогда пришло время снять пелену неведения с глаз и начать делать реальную информационную безопасность.
А что такое реальная безопасность?
Реальная безопасность – это когда Вам и Вашим сотрудникам удобно работать в той системе, которую Вы для них создали, при этом у них нет возможности что-то сломать или украсть.Реальная безопасность – это когда Вы и Ваши сотрудники знают свою степень ответственности за ИБ в Компании.
Реальная безопасность – это когда есть понимание, какие письма в почте открывать можно, а какие потенциально опасны.
С чего начинать делать реальную безопасность?
А начинать следует с осознания руководством, что это необходимость современности, а не блажь компьютерных затворников. И это не шутки! Шутки закончились на вопросе про Спанч Боба. Мы часто сталкиваемся с ситуациями, когда ИТ-специалисты просят нас объяснить их руководству, зачем все это делается. Поэтому осознание необходимости защиты – это важный шаг к достижению реальной ИБ.
«Ну хорошо, предположим мы осознали, а дальше то что?!» - скажет, надеемся, хотя бы каждый десятый читатель этой статьи (хоть бы 10 читателей набралось, пожалуйста ).
«А дальше, - ответим мы, - не пороть горячку». И, пожалуй, это самый главный пункт. Поймите, не нужно (точнее даже сказать вредно!) нестись сломя голову и покупать дорогостоящие средства защиты или так сильно любимый некоторыми руководителями софт «чтоб следить за персоналом».
Если возник хоть намек на такую мысль - остановитесь и отдышитесь, ибо бежать куда-то рано. Наоборот, в этот самый момент нужно присесть и подумать (хорошо так подумать) - а что собственно защищать будем и от кого?
Если говорить нашим языком, то необходимо выделить информационные ресурсы Компании и распределить их по степени важности. Соответственно, от самых важных, от которых зависит функционирование организации «в случае чего» - до самых неважных, от которых вообще ничего не зависит, и даже 50 рублей Вы не заплатите, если их потеряете или их получат конкуренты. Предвосхищая предположение про 1С и подобные базы о том, что ничего страшного не случится, если Вы ее потеряете, предлагаем поставить мысленный эксперимент:
Итак, усядемся поудобнее (ну хотя мы итак сидим и выделяем информационные ресурсы) и представим, что на компьютере завелся злой вирус, который зашифровал эту самую базу данных, а копии у Вас нет. Ну что? Сердечко не прокралось случайно в пяточки? Если нет, то плохо представили :) Таким образом делаем вывод, что 1С и другие подобные базы, это важный ресурс. Ставя подобные мысленные эксперименты можно проранжировать все остальные информационные ресурсы. Да и не забываем про персональные данные сотрудников, документы в бумажном виде, различные сводные таблицы в exсel, а также черновики документов.
Если бы нам давали хоть рублик за каждый черновик с чем-то «интересненьким», который случайно к нам попал, то миллионерами мы бы не стали, но на капучино с пончиком (и не одним) нам бы хватало.Ну и исходя из типов информационных ресурсов будем выбирать стратегию по их защите, а об этом мы будем рассказывать наверно уже в следующей статье, а то итак уже «многабукоф».
P.S.
— Даже если в Вашей небольшой (большой и серьезной для клиентов) Компании работает лишь один человек (и это Вы) или еще один-два родственника/добрых друга;
— Даже если все дела находятся под Вашим чутким руководством;
— Даже если Вы готовы отдать почку Вашему однокласснику, который работает с Вами миллион лет;
— Даже если Вы готовы отдать руку на отсечение и зуб в придачу, потому что у Вас все хорошо,
МЫ, представители мира информационной безопасности (как пафосно ), очень просим Вас, дорогие наши Друзья, мониторить ситуацию в Вашей компании и заниматься реальной информационной безопасностью.