Большинство рыночных ниш сегодня уже заняты, и компаниям, работающим в них, необходимо конкурировать друг с другом. Бизнес-аналитики говорят, что конкуренция – это даже хорошо, потому что там, где нет конкуренции, нет и рынка, и, соответственно, невозможно заработать. Но конкуренция хороша только до тех пор, пока она честная, и соперники не пытаются украсть друг у друга корпоративные секреты.

Пословица «знал бы прикуп, жил бы в Сочи» верна в бизнесе, как нигде. Вложенные в разработку технологий, бизнес-планов, обучающих методик деньги и время можно очень легко сэкономить, если украсть всё это у конкурентов. Правда, красть тоже нужно аккуратно, чтобы никто ничего не заподозрил, или, во всяком случае, не смог доказать. Идеальной будет схема, когда конкурент сам всё принесет на блюдечке руками собственных сотрудников. Поэтому нередко руководители и HR-менеджеры организаций предлагают сотрудникам конкурирующих компаний более высокую зарплату и массу других бонусов с тем условием, что при переходе на новую работу они должны взять с собой кое-какую информацию со старой.
Как показывают исследования компании SearchInform, сотрудники с готовностью идут на такие, скажем прямо, не совсем честные, сделки.

Опросы, проведенные на семинарах во многих городах России и стран СНГ, показали, что лишь 19.2% работников готовы ответить твёрдым отказом на предложение о продаже конфиденциальной информации, в то время как 43.7% не устоят перед соблазном лёгкого заработка, а 12 процентов и вовсе поделятся всеми доступными им корпоративными секретами совершенно бесплатно. Опасны и уже уволенные ранее работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а ещё 15.7 и сами готовы предложить их конкурентам последнего работодателя.

Как показывает опыт, конкурентов интересует обычно достаточно широкий спектр различной закрытой корпоративной информации, начиная со списков текущих клиентов, заканчивая бизнес-планами, технологическими разработками, а иногда даже паролями от корпоративных сетевых ресурсов – с помощью последних, как несложно догадаться, можно получить доступ ко всем вышеперечисленному.

Можно ли надеяться на то, что сотрудники какой-то отдельной компании окажутся более честными и порядочными, чем в среднем по России? Очевидно, что гораздо практичнее будет полагаться на принцип «спасение утопающих – дело рук самих утопающих», и не дать возможность работнику уйти в конкурирующую организацию с вашими корпоративными секретами.

Если обнаружится, что кто-то из сотрудников действительно переписывается с конкурентами, необходимо принимать меры по санкциям в отношении данного сотрудника. В простейшем случае будет достаточно ограничить его доступ к конфиденциальным корпоративным документам, в более «запущенных» ситуациях может идти речь и об увольнении инсайдера «по статье».

Зачем сотрудники переписываются с конкурентами?

На моем любимом белорусском компьютерном портале опубликовали интересную статью "Программист глазами медика". Честно говоря, большего количества обывательских шаблонов о представителях дружественной нам профессии, мастерски собранных некоей Лилией Савко в одном месте, я еще не встречал.

Вот избранные пассажи из статьи:

Внешний вид программиста неприхотлив и очень характерен:

•    весьма упитанный человек с внушительным животиком, несмотря на свои молодые годы,
•    сутулый,
•    с красными глазами в очках,
•    одевающийся однообразно (любимые кроссовки, джинсы, майка, пуловер на все случаи жизни),
•    с заросшей стрижкой или вовсе длинными волосами,
•    периодически забывающий принять душ и вовремя постирать вещи.

Еще:

Основные психологические особенности программиста:

•    Способность к сверхконцентрации,
•    Глубокое погружение во внутренние образы,
•    Минимальное социальное взаимодействие,
•    Постоянный поиск причинно-следственных связей,
•    Обостренное чувство конкретизации,
•    Склонность к профессиональной недосказанности,
•    Обилие профессионального сленга.

Ну, и так далее. На сайте, кстати, обещают продолжение, так что перлов будет еще больше:) Но суть не в этом, а в том, что эти нехитрые строки натолкнули меня на размышления о шаблонах в обществе. Дворник - таджик-гастрабайтер или вечно пьяный Ваня в шапке-ушанке. Секретаршка - секретутка, юбка короче ремня и "вип-доступ" для начальства. Ну, я думаю, список вы сможете дополнить сами, он будет совсем не таким уж и коротким.

К чему это всё? Весьма интересно, как выглядит со стороны для обывателя среднестатистический безопасник. На мой взгляд, портрет должен быть таким:

• бывший сотрудник "органов" или, во всяком случае, человек, близкий к ним;
• постоянно всех во всем подозревает;
• профессиональная привычка искать проблемы там, где другие их не видят;
• склонность к "крючкотворству", написанию инструкций и формализации любых возникающих задач;
• немногословность, привычка больше слушать, чем говорить.

Собственно, это то, что удалось извлечь из общения с теми знакомыми, кто не работает в сфере ИБ. Выборка не сказать чтобы сильно большая, поэтому и список менее подробный, чем статья по ссылке. Поэтому будет очень интересно, если в комментариях вы дополните мой "портрет безопасника глазами непрофессионалов"

Всем удачной рабочей недели!

Шаблоны мышления: безопасник глазами непрофессионалов

Для того чтобы парольная политика хорошо работала, она должна быть не только грамотно составлена, но и качественно доведена до персонала компании – ведь если о существовании закона никто не осведомлен, то какой от него может быть толк?

Доведение парольной политики (само собой разумеется, в рамках общей политики информационной безопасности организации) целесообразно провести в форме инструктажа с последующей сдачей персоналом мини-зачета по темам инструктажа. Как показывает практика, если после инструктажа не проводится проверка доносимых до сотрудников сведений, то эффективность такого мероприятия практически нулевая. При этом даже нет особой необходимости сулить какие-то кары тем, кто не сдаст зачет – в большинстве компаний сам факт наличия зачета заставляет сотрудников мобилизоваться и подойти к нему ответственно.

На инструктаже необходимо сконцентрироваться на том, что должен сделать сам сотрудник для реализации политики информационной безопасности, а также на том, что ждет тех сотрудников, которые в этой реализации не пожелают принять участие. Заставлять сотрудников учить политику «от корки до корки» не только бесполезно, но даже и небезопасно, потому что многие из них (весьма, надо сказать, справедливо) воспримут подобное предложение как издевательство, и отдел информационной безопасности наживет врагов в их лице.

«Парольные» инструктажи можно и нужно периодически повторять – опять-таки, с проведением зачетов после них. Периодичность лучше выбирать не очень частую – вполне достаточно повторения раз в полгода.

Как заставить пароли работать?

Спектр информационных угроз сегодня как никогда широк, и каждый день их список только расширяется. Как показывают исследования компании SearchInform, сегодня более 43% компаний и государственных организаций в России и странах СНГ уделяют недостаточное внимание внутренним и близким к ним угрозам. В то же время, защита от внешних угроз в 15% компаний даже избыточна. Поэтому в данной статье мы поговорим о первой группе угроз.

Для начала стоит рассмотреть, что именно входит в группу внутренних и смежных угроз. Список наиболее актуальных из них на сегодня таков:

• утрата данных по внутренним причинам;
• утечки конфиденциальной информации;
• подделка сотрудниками документов;
• подлог документов;
• внедрение вредоносного или шпионского модуля кем-либо из сотрудников;
• распространение сотрудниками порочащих компанию сведений в Сети.

Помимо этого, в силу популярности сегодня «облачных» сервисов, появился отдельный класс угроз, связанных именно с их использованием на предприятиях. Данные угрозы включают в себе как перечисленные выше, так и еще несколько отдельных типов:

• непредоставление критически важных для бизнеса услуг сервис-провайдером;
• перехват информации в процессе ее трансфера между заказчиком и провайдером;
• доступ к данным в облачном хранилище неавторизованного пользователя.

Внимание, вопрос. Где-нибудь вы видели организацию, где защита от ВСЕХ этих угроз была бы реализована на практике, а не просто записана на бумажке? Дело тут не в технических решениях – к примеру, все угрозы первой группы прекрасно «закрываются» с помощью DLP, – а в том, что никто реально не «заморачивается». При этом об опасности внешних атак прекрасно осведомлены все, и все закупаются достаточно дорогими средствами защиты от них.

На мой взгляд, проблема исключительно в менталитете. И даже не безопасников, а руководителей организаций, которые полагают, что ничего плохого с их конторами произойти по вине сотрудников, прошедших какой-никакой отбор, не может просто по определению. Увы, когда глаза открываются, иногда оказывается, что уже поздно...

А как вы считаете, почему внутренние угрозы заслуживают меньше внимания служб ИБ, чем внешние?

Почему от внешних угроз защищаются больше, чем от внутренних?

Достаточно интересные цифры, касающиеся будоражащей общественность темы слежки за мобильными устройствами, опубликованы в новости. Там рассказывается о том, сколько эта слежка стоит. Оказывается, не так уж и дорого – всего-то 4 цента в час. Рекомендую прочитать весь материал целиком, он небольшой, но наглядный.

Наверное, следить за социальными сетями выходит еще дешевле, ведь там не нужно даже «жучков», которые обязательны в случае сотовой связи. Впрочем, тут интереснее не абсолютные цифры (как, впрочем, и всегда в этой жизни), а относительные. Что имеется в виду? Попробую объяснить на своем любимом примере – то есть на DLP-системах.

Они стоят достаточно дорого (если сравнивать со средней по стране зарплатой дворника). На самом деле, если посчитать, то персонал с помощью DLP-системы оказывается даже дешевле, чем обеспечивать его же в течение года кофе и печеньками на рабочем месте. Зато суммы, которые можно сэкономить, предупредив утечки информации, просто огромны! Это, кстати, к вопросу о возмущениях со стороны офисного планктона по поводу слежки со стороны работодателя. Он не следит за вами, а защищается от вас! И если бы каждая компания вместо печенек в офис купила DLP-систему, у нас было бы меньше жирных клерков с одышкой и меньше утечек информации.

Так вот, данных по поводу эффективности подобной слежки нет. И, думается, еще долго не будет, потому что ее дешевизна в глазах развед-боссов является достаточным аргументом «за», не требующим еще какое-то загадочной «эффективности».

А вы как думаете?

Интересные цифры

Продолжение фразы, вынесенной в заголовок, известно, пожалуй, всем. Ну, или, во всяком случае, подавляющему большинству. Не исключение и американцы из столь любимого в последнее время всеми АНБ, которые стараются готовить смену себе уже, что называется, с младых ногтей.

Для молодых «специалистов по коммуникациям» Агентство национальной безопасности открыло программу стажировки Summer Strategic Communications Intern Program (SSCIP), пишет Salon.com. В программу приглашают молодежь от 15 лет со средней оценкой выше трех баллов и способностями к «написанию текстов, редактированию, журналистике», а также смежным темам. Обязательным требованием является возможность кандидата получить доступ по безопасности (security clearance). Можно предположить, что для этого нужно иметь американское гражданство и приемлемых родителей.

http://www.xakep.ru/post/61818/default.asp

В общем-то, это правильно, и было замечательно, если бы подобные инициативы проявляли и, скажем, рядовые отделы информационной безопасности обычных компаний, - глядишь, и ситуация со специалистами была бы получше. Тут же интереснее другое: 15-летних подростков допускают к секретной информации. Причем, сами понимаете, АНБ США - это организация, где работают даже не с коммерческой тайной. Вы бы подпустили 15-летних к закрытым данным своей компании? Вот то-то и оно. Так что где-то в чем-то я всё-таки не совсем понимаю американцев.

Конечно, логика подсказывает, что стажеры подписывают какое-то достаточно жесткое по своим условиям соглашение о неразглашении информации. Но неужели АНБ действительно полагает, что подобные соглашения важны для 15-летних подростков? Или они надеются на то, что смогут задавить их своим авторитетом и влиятельностью? Или там настолько тщательный отбор по пресловутой security clearance?.. Как вы считаете?

Что посеешь...

Подчеркну, это мое сугубо частное видение ситуации, поэтому если кто со мной в чем не согласен – добро пожаловать в комментарии. Итак, вот самые важные, на мой взгляд, ИБ-события 2013 г.:

Сноуден. Думаю, здесь что-либо комментировать не только бессмысленно, но и вредно. Я же признателен ему за то, что его усилиями весь мир задумался о своей информационной безопасности.

Утечка миллионов паролей Adobe. Такого масштаба утечки сами по себе являются грандиозными событиями, но, безусловно, эта утечка особенно интересна хотя бы уже потому, что пароли утекли зашифрованными, а благодаря статистическому анализу исследователи смогли подобрать ключ. Что показывает нам ненадежность всей системы парольной защиты.

Выход iPhone 5S с поддержкой биометрической аутентификации. Опять-таки, совершенно, на первый взгляд, бесполезная «игрушечная» функция стала одной из центральных в обновлении самого известного и популярного в мире смартфона, дав поводы догоняющим тоже заняться вопросами ИБ.

GPS-пуфинг. Может, новость об «уводе» корабля благодаря подмене GPS-координат и не была такой громкой, как выход «айфона», но я уверен, что это тоже начало новой эпохи для спутниковой навигации.

Распечатанное на 3D-принтере боевое оружие. Сегодня уже правообладатели и так недовольны массовым распространением трехмерных принтеров, а создание полноценного боевого оружия (пусть пока и одноразового) ставит жирный вопрос над дальнейшим выходом этой технологии в массы.

Ну, что ж, а теперь поздравления. Желаю, чтобы в следующем году вы не попадали в сводки ИБ-инцидентов (и вообще любых неприятных инцидентов). Всех с Новым годом!

Предсказуемо, но обязательно: новогодний пост и ТОП-5 ИБ-событий 2013

Что и говорить, материальная сторона в проблеме инсайдерства всегда в том или ином виде существует. Поэтому необходимо обратить внимание и на то, каким образом организация предотвращает желание своих сотрудников торговать корпоративными секретами с помощью мер материального стимулирования своих сотрудников.

Вполне понятно, что материальное стимулирование не может кардинально решить проблему, однако трудно переоценить роль этого фактора в формировании лояльности сотрудников к своему работодателю. Не стоит бояться того, что сотрудники воспримут различные финансовые поощрения как своего рода «подкуп»: сам формат рабочих отношений предполагает получение работником денежного вознаграждения от работодателя, и поэтому увеличение таких вознаграждений будет восприниматься сотрудниками адекватно.

К сожалению, не всегда в организациях есть возможность материально стимулировать своих сотрудников. Однако если финансовые трудности организации настолько масштабны, что она не может себе позволить хотя бы небольшую премию для тех сотрудников, которые работают с наиболее важной информацией, возможно стоит задуматься: а так ли вообще эта информация может быть интересна конкурентам? В таких условиях, конечно, необходимо оперативно сосредоточиться на некоторых более насущных вопросах, чем информационная безопасность.

Поэтому если ваша компания не решает материальных проблем своих хороших сотрудников (кстати, а зачем вам другие?), будьте готовы к тому, что они будут торговать вашими корпоративными тайнами, и в итоге всё кончится плохо. Ну, или, проще говоря, скупой платит дважды. Об этом нужно помнить.

Злонамеренность инсайдеров: материальная подоплека

Достаточно часто подоплекой утечек информации из организации становятся интриги сотрудников и кулуарная борьба между ними. Особенно актуальной эта проблема является для достаточно больших по своим размерам организаций, поскольку именно в них «боевые действия» сотрудников могут развернуться не на шутку, и порождать даже столкновения целых «кланов» и подразделений в рамках организации.

Пожалуй, выявлять утечки информации, которые сделаны так, чтобы подставить кого-то из ответственных сотрудников, наиболее трудно, потому что их «авторы» старательно маскируются, и, надо сказать, что у многих это получается особенно хорошо. Свою роль в этом играет и тот факт, что службы информационной безопасности обычно, не разбираясь долго, наказывают того, чья вина лежит на поверхности, даже если тот всё отрицает и требует более тщательного расследования. С одной стороны, вполне понятно, что службам ИБ хватает других дел, кроме расследования элементарных, на первый взгляд, инцидентов. С другой стороны, всё-таки использование утечек информации в целях кулуарной борьбы – серьезная угроза для кадровой безопасности организации, потому что, как показывает практика, страдают из-за них, в первую очередь, наиболее компетентные сотрудники, с которыми таким способом борется тот, кто уступает им по опыту и профессионализму, но, тем не менее, хочет занять их место.

Что же в связи с этим делать тем, кто отвечает за информационную безопасность? К сожалению, универсального рецепта не существует, потому что приёмы кулуарной борьбы, как и её внутренние мотивы, достаточно разнообразны. Конечно, в идеале безопасник должен быть в курсе того, кому может быть выгодным подставить стоящего на хорошем счету профессионала или даже линейного руководителя, который неожиданно оказался виновным в утечке информации. Поэтому при расследовании инцидентов, в которых замешаны совершенно неожиданные люди, нужно действовать максимально осторожно и внимательно.

Злонамеренность инсайдеров: кулуарная борьба

Эффективное взаимодействие служб ИТ и СБ возможно только тогда, когда их работа друг с другом максимально формализована, и все возможные ситуации изложены в документах и инструкциях. Пусть «айтишники» и не любят инструкции, но зато СБ намного проще работать тогда, когда можно опереться в своих действиях на документы. При таком раскладе можно говорить о частичной подчиненности ИТ-отдела службе безопасности без какого-либо ущерба для выполнения им своих основных функций.

Основой всех инструкция для взаимодействия служб должна стать политика информационной безопасности организации. Это, между прочим, верно и в тех случаях, когда в организации есть специализированный отдел информационной безопасности. Каждое из подразделений, в соответствии с должностными инструкциями, должно выполнять свои функции, при этом делегируя другому подразделению только те задачи, которые находятся в его компетенции. В спорных вопросах руководители подразделений должны решать вопросы в рабочем порядке, либо же в крайних случаях прибегать к помощи более высокого руководства.

Основные задачи в сфере ИБ, решаемые каждым из отделов, должны при этом выглядеть следующим образом:

• Служба безопасности или отдел информационной безопасности:
  
  
  • определение требований к защищаемым данным
  
  
  • классификация в соответствии с классом защиты
  
  
  • разработка методик и стратегий защиты
  
  
  • осуществление контроля действий пользователей в корпоративной информационной сети и за её пределами
  
  
  • реализация разработанных методик и стратегий защиты информации
  
  
  • проведение аудита защищенности отдельных рабочих станций и всей организации
  
  
  • разработка инструкций
  
  
  • проведение инструктажа среди пользователей
  
  
  • проведение зачетов по результатам инструктажа.
  
  
• ИТ-отдел:
  
  
  • установка необходимых программных и аппаратных решений для обеспечения информационной безопасности
  
  
  • осуществление резервного копирования данных на рабочих станциях и серверах
  
  
  • восстановление данных из резервной копии
  
  
  • управление паролями и их генерация
  
  
  • осуществление  текущего обслуживания и настройки программного и аппаратного обеспечения для обеспечения информационной безопасности.
  
  

Безусловно, это достаточно типовой перечень задач, возникающих перед подразделениями СБ и ИТ, и в конкретной организации он может быть дополнен новыми пунктами.

Но даже в том случае, когда все необходимые инструкции разработаны достаточно подробно, возникает потребность в контроле взаимодействия служб СБ и ИТ со стороны высшего руководства организации. Особенно актуален этот вопрос на первых порах, когда инструкции только вступили в силу, и подразделения приспосабливаются к ним и друг к другу.

Контроль в данном случае необходим, как принято говорить в технике, неразрушающий, то есть, руководитель не должен вмешиваться в работу отделов без острой необходимости и стараться привить им привычку решать проблемы, возникающие в процессе взаимодействия друг с другом, максимально самостоятельно.
Целесообразно (по крайней мере, на первых порах) реализовать контроль в виде еженедельных отчетов руководителей соответствующих подразделений с оценкой работы друг друга. Можно предложить «айтишникам» и «безопасникам» высказывать пожелания по внесению корректировок в работу смежного отдела, с обязательной «модерацией» этих предложений руководителями соответствующих отделов.

Если вы все задумали и реализовали правильно, то результаты не заставят себя долго ждать. Количество инцидентов в сфере информационной безопасности начнет снижаться, и при этом нагрузка на ИТ-отдел не будет всё время возрастать. Безусловно, для этого, помимо выстраивания грамотного взаимодействия отделов, придется приобрести некоторые технические средства, например, межсетевой экран, система резервного копирования,DLP-система (система защиты от утечек информации). Но без правильного разграничения сфер ответственности и обязанностей каждого из отделов, все эти системы окажутся практически совершенно бесполезными.

Эффективное взаимодействие служб ИТ и СБ