«Бойтесь не хакеров, а собственных сотрудников», — бизнес-консультант Ларри Альтон о внутренних ИТ-угрозах

В какой бы сфере не был представлен бизнес, ваши собственные подчинённые представляют реальную ИТ-угрозу с вполне серьёзными последствиями для коммерческого предприятия.

Если ваша фирма использует компьютерные системы, сетевые технологии и сохраняет важную информацию в цифровом виде, то обратите внимание на доводы этой публикации.

Бизнес-консультант и по совместительству внештатный эксперт Forbes Ларри Альтон (Larry Alton) осветил наболевшую проблему, которая касается в том числе любой организации в России. Он оценил риски и предложил готовые решения, как исправить слабый контроль за подчинёнными и ввести контроль кадровой безопасности.

«Необразованных сотрудников легко обмануть», — Ларри Альтон.

1. Фишинговая ИТ-угроза

   Фишинг — это простейший способ получить коммерческую тайну, выудить пароль от CMS, пользовательские данные (например, базу телефонов клиентов). Злоумышленник заманивает жертву на поддельную веб-страницу (какой-нибудь «cberbank.ru») или представляется от лица директора с похожим email. Убедительными фразами он располагает к доверию и получает ценные сведения, которые ставят под угрозу целостность вашего бизнеса.

2. Социальная инженерия

   Всем известные звонки от якобы «безопасника банка» о блокировке карты — это один из примеров социальной инженерии. Сколько людей так просто потеряли деньги, предоставив CVC- и PIN-коды от своей кредитки из-за необразованности. Что им мешает также потерять и коммерческие ценные данные вашего предприятия? Злоумышленник с помощью точных фраз и психологических манипуляций получает доступ к ценным данным организации с помощью звонков или переписки. Что тут говорить, если на проделки пранкеров подкупаются даже президенты.

3. Плохие пароли

   Нередко сотрудникам поручают задачу зарегистрироваться в каком-нибудь сервисе в интернете, потому что руководителю некогда (или лень разбираться)? Привычка спешить и перепоручать даже ответственные задачи приводит к тому, что в попыхах пароли выбираются самые простые — сложные могут потеряться и забыться, да и руководителю сложно надиктовывать по телефону все эти буквы, цифры, символы и тире, случись чего. Набор «123456» или пара логин:пароль «имясайта:имясайта» до сих пор «в топе». Даже самая мощная система информационной безопасности для хакера с такими паролями окажется незакрытой дверью сейфа. Ему ничего не остаётся, кроме как проверить — не заперт ли он.

4. Незащищённые устройства

   В России не существует статистики, как много предприятий используют политику BYOD (Bring Your Own Device, пусть приносят личный смартфон вместо покупки корпоративного). Но очевидная экономия компании и удобство для сотрудников использовать любимые устройства для работы говорят сами за себя, хоть и ставят под угрозу всю вашу систему. Электронная почта, приложение Bitrix или PDF-документ из последнего финансового отчёта в памяти телефона подчинённого — всего лишь одно вредоносное приложение из Google Play на Андроид или установка «левой» игры на iPhone с Jailbreak «сдадут» ценные конфиденциальные данные фирмы совершенно чужим людям.

5. Пропуск обновлений

   Если системный администратор или ответственное за ПО в организации лицо вовремя не установит обновление, то выявленные разработчиками ошибки рано или поздно окажутся инструментом в руках злоумышленника. Корпоративный шпионаж имеет успех там, где сисдамин мнит из себя героя, а по факту ленится и ничего не делает. В таких случаях обратитесь за услугами абонентского обслуживания компьютеров, чтобы эксперты в режиме 24/7 наблюдали за безопасностью и работоспособностью систем — вы не только сэкономите, но и улучшите производительность обородуования и обеспечите фирму защитой от ИТ-угроз.

6. Внутрикорпоративное хищение

   Задайте себе вопрос — насколько сложно сотрудникам создать копию конфиденциальных записей вашей компании, документов, отчётов и внутренних секретов? Чтобы добиться успеха, команда должна работать слаженно. А значит иметь доступ ко всем ресурсам организации, в том числе и информационным, ведь так? По словам Ларри, в США подчинённые так поступают редко, чтобы кто-то всерьёз рассматривал подобную ИТ-угрозу. Однако, например, после увольнения третьему лицу могут попасть доступы или превратиться в ад весь цифровой документооборот.

Ниже указаны советы бизнес-консультанта Ларри Альтона по проактивному управлению, с помощью которых следует изменить свои собственные привычки и внести в работу некоторые правила для подчинённых. Начните исправлять информационную безопасность вашего бизнеса прямо сейчас.

1. Компартментализация (ограничение доступа) информационной безопасности

   • На первом этапе скажите «нет» свободному доступу к внутренним системам организации для всех сотрудников, включая доверенных лиц.
   • На втором этапе предоставьте пароли и логины тем работникам, которые в этом по-настоящему нуждаются.
   • На третьем этапе определите, в каких ситуациях вам действительно нужно обмениваться ценной корпоративной информацией с подчинёнными и между подчинёнными, чтобы не делать этого без необходимости.

2. Ликбез по информационной безопасности

   • Проводите семинары с повышением знаний сотрудников в области кибербезопасности.
   • Проведите курс по безопасному использованию мобильных устройств и защиты от фишинга.
   • Проводите планёрки с обсуждением последних потенциальных ИТ-угроз для предприятия.

3. Ставьте командные цели и будьте лидером

   • Станьте практиком в области кибербезопасности и поощряйте групповую активность, например, чтобы в определённые числа месяца всей командой менять старые пароли.
   • Не просто сообщайте подчинённым, как обеспечить информационную безопасность, а показывайте своим примером.
   • Напоминайте сотрудникам, какая ответственность последует за случайные утечки и преднамеренные корпоративные «сливы» третьим лицам.