Часто компании, желая обеспечить собственную безопасность, начинают забывать о том, что её обеспечение нужно для функционирования бизнеса, а не наоборот. Как сделать так, чтобы в безопасности не было перегибов, которые делают её бесполезной, а иногда и опасной для компании?
Мы попробуем провести анализ кейсов – нескольких наиболее типичных ситуаций, которые можно встретить в белорусских, да и не только в белорусских компаниях. Конечно, всех вариантов «граблей», на которые может наступить организация, старающаяся обеспечить свою информационную безопасность, в одной статье не охватить, но мы попробуем разобрать самые распространённые.
Грабли первые
Бэкапим всё подряд, желательно вручную и в рабочее время
Конечно, сегодня очень трудно встретить коммерческую компанию или государственное учреждение, где система резервного копирования и восстановления информации отсутствовала бы как класс. Хотя, наверное, если задаться целью найти, то можно обнаружить и такие организации. Зато гораздо чаще можно встретить те компании, где бэкап является хаотическим: делается резервная копия всего подряд, и задача по поддержанию её в актуальном состоянии лежит на самих сотрудниках.
Что и говорить, в лучшем случае подобный бэкап приводит к тому, что трудно разобрать, где новые, а где старые файлы, и какие именно нужно восстановить. В худшем же оказывается, что последняя резервная копия была сделана ещё год назад…
Правильная организация процесса резервного копирования подразумевает, что ответственен за него будет системный администратор, и происходить всё будет, когда сотрудники уже разойдутся по домам.
Грабли вторые
Контроль за каждым шагом сотрудника с помощью DLP-подобных решений
Очень часто руководство организации в пылу борьбы за безопасность, а ещё больше – за дисциплину, начинает устанавливать на компьютеры и в локальной сети софт, который должен одновременно и бороться с утечками информации, и давать возможность следить, что делает сотрудник на рабочем месте. Т.е. на какие сайты ходит, какие приложения открывает, что видит на мониторе своего рабочего компьютера…
Понятное дело, что вскоре начинаются штрафы. Не за утечку информации, а за любовь к «Косынке», башоргу и социальным сетям. Даже если косынка или социальная сеть была открыта всего на две минуты. За утечками информации обычно при таком подходе никто не следит, да это и не просто с тем софтом, который «заточен» исключительно под контроль дисциплины.
Если подходить по-умному, то любовь к социальным сетям всегда видна в результатах работы. Если они страдают, то лучше отпустить их любителя с миром и поискать кого-нибудь более трудолюбивого. А утечки всё-таки контролировать DLP-системами, а не тем, что под них маскируется.
Грабли третьи
Принуждение сотрудников к постоянной смене паролей высокой сложности
Как злоумышленнику проще всего проникнуть в корпоративную сеть? Очевидно, что с помощью того самого «ключа», который открывает двери и для её легальных пользователей. Именно для того, чтобы этого не случилось, чтобы злоумышленник не смог самостоятельно подобрать пароль, политики информационной безопасности многих организаций предусматривают специальные стандарты, связанные с длиной и сложностью пароля (количество цифр и специальных символов в пароле, запрет на повторяющиеся буквы и т.п.). Нередко пароли даже генерируются специальным программным обеспечением, а не придумываются самим пользователем. При этом для того, чтобы случайно утерянный пользователем или подсмотренный злоумышленником пароль не смог привести к краху всей системы безопасности организации, пароли периодически меняются.
К сожалению, эти меры хороши только до определенного порога, за которым лекарство превращается в смертельный яд. Дело в том, что человеческая память плохо подходит для запоминания комбинаций вида «gU3ms#6eJK&rf!+», а потому большая часть пользователей вынуждена записывать свои пароли на мобильных телефонах, в записных книжках и просто на случайных листках бумаги. Временами ситуация становится просто анекдотичной: на мониторе пользователя висит стикер с надписью «пароль такой-то». Таким образом, при первых признаках того, что пользователи имеют трудности с запоминанием своих паролей, имеет смысл пересмотреть политику безопасности в их отношении.
Грабли четвертые
Замена Internet Explorer на альтернативные браузеры для защиты от троянов
Браузер Internet Explorer, встроенный в Windows с незапамятных пор, заслужил репутацию самого «дырявого» браузера в мире. И, в общем-то, как говорится, нет дыма без огня: такого количества патчей, закрывающих критические уязвимости, Microsoft не выпускала ни для одного другого своего программного продукта. Таким образом, действительно, вместо Internet Explorer’а можно установить другой браузер, хотя и не обязательно, однако думать, что на этом мероприятия по борьбе с вредоносным программным обеспечением закончатся, будет непростительной роскошью. Хотя такая ситуация, к сожалению, встречается.
Грабли пятые
Отказ от использования беспроводных сетей из соображений безопасности
Локальные сети с использованием беспроводных технологий стали во многих организациях таким же привычным явлением, как и сотрудники, работающие за ноутбуками. Преимущества беспроводных сетей можно перечислять долго и увлеченно, однако первое, на что обращают внимание специалисты по информационной безопасности, ? это как раз не их преимущества, а их недостатки. И главная ахиллесова пята подобных сетей как раз и состоит в недостаточной, по мнению многих специалистов, защищенности от внешнего проникновения.
Конечно, сеть, к которой любой человек может подключиться в любой момент, вызывает массу подозрений у специалиста по безопасности. Этому реноме беспроводных сетей немало способствовали ранние версии беспроводных протоколов, которые изобиловали «дырами» в безопасности. Сегодня ситуация уже радикально отличается от той, которую многие специалисты помнят по своему прежнему печальному опыту общения с беспроводными сетями. Безусловно, в первую очередь необходимо не пренебрегать средствами безопасности, предусмотренными в самих стандартах подобных сетей.
Грабли шестые
Чрезмерное доверие к результатам независимых тестов и рейтингов средств защиты
В разнообразных специализированных изданиях, на тематических сайтах, в блогах специалистов можно увидеть массу рейтингов средств защиты, начиная с антивирусов (их вообще не тестировал, наверное, только ленивый) и заканчивая различными специфическими вещами для безвозвратного удаления данных, обнаружения уязвимых мест сети, защиты от утечек данных и т.д. К сожалению, абсолютное доверие к данным тестам, которое, как то ни удивительно, показывают некоторые работники служб информационной безопасности, способно привести к выбору недостаточно качественного инструмента защиты, имеющему, при всем при этом, немало регалий.
Безусловно, говорить о том, что все тесты и рейтинги заведомо лгут, и что все они оплачены производителями тех решений, которые занимают в них верхние позиции, вряд ли корректно. Хотя, конечно же, есть среди тестов и немало оплаченных, носящих откровенно рекламный характер. Тем не менее, главная проблема лежит в несколько иной плоскости, и заключается в закрытости методик тестирования и размытости критериев, учитываемых при составлении рейтингов. Таким образом, вполне может быть, что при выборе нужного вам решения будете отталкиваться от совсем других посылок, нежели составители «топов».
Самое правильное в данной ситуации – действовать сообразно известной поговорке «доверяй, но проверяй». Поскольку все тесты, публикуемые в журналах, проводятся не в вашей сети и не показывают того, насколько хорошо то или иное средство будет работать именно в ней, в первую очередь, следует избавиться именно от этого эффекта. Таким образом, тестирование всех решений в своей сети – необходимый этап перед окончательным выбором одного из них. Конечно, это требует достаточно больших временных затрат, однако окупается сторицей.
Вадим Станкевич
Горячие темы