Программа бдительности безопасности

В одном из американских крупных банков эксперт по безопасности во время теста на проникновение выменял пароль и логин компьютера одного из сотрудников компании на два батончика «SNIСKERS».

Love Letter – вирус-скрипт, который был разослан в приложении к письму с темой «I Love You». Вирус попал в Книгу Рекордов Гиннеса по скорости распространения, а также стал первым ярким примером использования социальной инженерии для распространения вирусов в обход систем антивирусной защиты. В мае 2000 года за пару часов было заражено несколько миллионов компьютеров по всему миру.

Текущее положение работы политик безопасности
Практически все политики безопасности в странах СНГ выполняются только в определенном объеме, причем этот объем для каждой компании свой. В большинстве случаев, чем жестче политика безопасности, тем в меньшей степени она выполняется. Запуск политики безопасности и первое время контроля за выполнением дают относительно сносный результат, но через некоторое время (обычно от полугода) выполняются только самые очевидные и «выгодные» для пользователей политики. Давление со стороны отдела информационной безопасности может принести только «точечный» результат, но практика показывает, что поменять всю картину «кнутом» невозможно. Извечный конфликт безопасности и ее защитников в виде отдела ИБ против доступности и удобства для всех пользователей (а их в компании гораздо больше,
чем сотрудников ИБ) всегда решается в пользу большинства. Стоит только пользователям понять, что влияние отдела ИБ на верхушку бизнеса ослабевает, как политика безопасности переходит в разряд дорогой макулатуры.
Современные угрозы информационной безопасности и методики взлома
Современные методики защиты информации, которые включают в себя минимум 3
уровня защиты, а в больших компаниях 6 и более, свели вероятность взлома сетевого ресурса извне корпоративной сети практически к нулю. Для злоумышленников намного проще и дешевле купить сотрудника компании-жертвы, чем тратить время на разработку атаки из Интернета. Если посмотреть на современные риски для безопасности компании, то компьютерные вирусы находятся на первом месте, загрузка контента из Интернета – на втором (Прим. ред. По данным GFI). Сразу видно, что и у вирусов, и у загрузок контента
из Интернета много общего: во-первых, во втором обычно бывает первое, а во-вторых, и
тот и другой риск зависит напрямую от реакции человека.
Спросите у девушки-секретаря, выберет ли она пункт «разрешить» в окне антивируса, если ее подруга прислала новые 3D обои на рабочий стол со встроенной анимацией котят? В 99% случаев пользователь нажмет «разрешить» даже не прочитав предупреждения. Подавляющее количество современных угроз для информационной
безопасности опирается на социальную инженерию в той или иной степени.
Приведенные примеры хорошо показывают то, что одни аппаратные и программные
средства защиты информации НЕ решают всех проблем. Человек всегда был, есть и будет самым слабым звеном в системе корпоративной безопасности.
В то время, когда злоумышленник в сети ограничен и достаточно предсказуем по выборам следующих целей, сотрудник компании, который не понимает, что он злоумышленник, имеет намного больший спектр выбора действий, которые часто еще
и не поддаются логике. В итоге, для того, чтобы обеспечить полную безопасность компании, отдел ИБ должен постоянно в реальном времени отслеживать все перемещения и доступ к любым средствам коммуникаций абсолютно всех сотрудников
компании. Во-первых, в этом случае сотрудников ИБ должно быть немногим меньше, чем
всех остальных сотрудников, во-вторых, это крайне затратно в финансовом плане, и в-третьих, кто захочет работать в таких условиях?

Что такое программа бдительности безопасности?
Если политика информационной безопасности должна диктовать, что не надо делать,
то программа бдительности безопасности должна напоминать об этом и объяснять
«почему». Человек – существо консервативное и для него свойственно противиться любым изменениям в случае, если он не понимает, зачем эти изменения вносятся. Целью программы бдительности безопасности является формирование понимания пользователями необходимости мер безопасности и факта того, что отдел ИБ играет на их стороне, а не на противоположной. С помощью внедрения этой программы,
пользователи буду относиться к отделу ИБ не как к жестокой мачехе, которая сразу бьет по рукам за каждый неверный клик мышки, а как к заботливому родителю, который следит, чтобы с пользователями, их работой, и всей компанией ничего плохого не случилось. Понимание того, что политики безопасности не «ограничивают», а «оберегают» или «помогают избежать неприятностей» намного повысят выполняемость этих политик. Но для того, чтобы пользователи понимали, зачем выполнять политики, им это должны объяснить.
Как выглядит программа бдительности безопасности
Программа бдительности безопасности это не обучение, а скорее акцентирование внимания и разъяснение некоторых рабочих моментов, которые связаны с ИБ. Программа
должна быть совместным детищем отдела ИБ и маркетинга, где отдел ИБ должен отвечать за информативность и применимость полученных знаний, а маркетинг должен убеждать, что соответствовать требованием программы бдительность безопасности это престижно и здорово. Программа должна стать частью корпоративной культуры, участие должно поощряться со стороны руководства, иначе она не будет работать.
Контент программы может быть разработан внутри компании, либо частично или полностью вынесен на аутсорсинг.

Примерами контента программы могут быть:

• плакаты с фокусировкой на разные аспекты безопасности, которые поданы в доступной и желательно смешной форме;
• короткие презентации поопределенным темам (например, вирусы, социальная инженерия, физическая безопасность, работа с почтой, мобильная связь и т.д.);
• дистанционное модульное обучение, которое включает видео-уроки или флеш-ролики и тесты в конце каждого модуля;
• подкасты или другие аудиозаписи по темам безопасности для пользователей;
• распространение листовок с советами по определенной теме безопасности;
• рассылка контента ИБ по почте;
• корпоративные скринсейверы с контентом по ИБ.

Внедрение программ бдительности безопасности
Внедрение программ бдительности безопасности должно в идеале идти параллельно с
внедрением политики безопасности, но начать программу никогда не поздно. Чем раньше
программа будет внедрена, тем раньше политика безопасности действительно начнет работать в полную силу. Кроме того, программа должна внедряться сверху-вниз, начиная с верхнего звена менеджеров. Если верхушка управления продолжит вести «свободный» от общих правил образ жизни и не будет своим поведением показывать остальным пример, то программу можно не внедрять – это пустая трата денег.
Заказчиком и спонсором программы должен выступать CIO компании. Внедрение должно
проходить поэтапно без аврального обучения, час или два часа обучения по конкретной теме в неделю для одного отдела, знания должны подкрепляться различными наглядными материалами (плакаты, брошюры, листовки).
На практике существуют компании, которые подходят к вопросу аврально, методом
«всех загнать и за день обучить».
Это также пример бесполезной растраты средств. Пользователи просто не могут освоить столько новой информации за 1 – 2 дня. Кроме того бытует ошибочное мнение, что один сеанс обучения и является внедрением программы бдительности безопасности. На коротких временных дистанциях программа показывает ПЛОХИЕ результаты эффективности, а обучение – это процесс, а не одноразовое вливание.
Западная практика показывает, что реальная отдача от программ бдительности безопасности наступает после года при условии полного цикла обучения всех сотрудников минимум раз в полгода. На длинной дистанции с участием отдела маркетинга и наличия программы соответствия (про нее чуть дальше) программа бдительности становится полноценной частью корпоративной культуры и сотрудники относятся к программе не как к чудачеству отдела ИБ, а как очевидной необходимости, которая в их же интересах. Для внедрения и курирования программы необходимо назначить менеджера программы бдительности безопасности, который будет еще
и проектным менеджером во время внедрения. Этот менеджер должен разработать про-
граммы обучения для каждого отдела в зависимости от нужд каждого конкретного отдела и курировать прохождение обучения вместе с отделом кадров.
Принцип «один размер на всех» не подходит, для некоторых отделов этой информации будет слишком много, для других слишком мало для безопасного выполнения своих рабочих обязанностей.

Политика паролей компании (или «Стандарт паролей пользователей компании»)

Каждый пароль персонального профиля пользователя должен состоять минимум из 12 символов, и содержать буквы нижнего и верхнего регистров, цифры, причем в середине пароля и специальные символы. Первый вопрос любого пользователя: «Почему?...» И если в отделе ИБ ответ будет: «Потому что» или «написано – выполняй», то пользовате-
ли будут пытаться нарушить эту политику во всех возможных случаях. А если форсировать политику паролей программными методами, к примеру, средствами политик Active Directory, то на многих рабочих станциях появятся наклейки…
Говоря про пример выдачи пароля, у сотрудника банка спросили, почему он так просто отдал контроль над своим профилем постороннему человеку. Сотрудник ответил: «А что здесь такого?
На моем компьютере нет ничего ценного или конфиденциального». Логика пользователя понятна, он считает, что злоумышленник ограничится «посещением» его компьютера, и это, по его мнению, абсолютно безболезненно для организации. А откуда он может знать о последствиях, если в компании нет программы бдительности безопасности? То, что должна была донести программа бдительности Простой пароль из 5 символов (при перехвате кеша этого пароля) взламывается в течение нескольких минут, пароль из 7 символов – около суток. Стандартные пароли типа «qwerty» перебираются первыми, затем прогоняется словарь с подстановкой различных символов замены, например «а» поменять на «@», а потом идет грубый перебор, который в любом случае откроет па-
роль, вопрос только во времени. Каждый дополнительный символ в пароле умножает количество операций перебора в 256 раз. Таким образом, сложные правила составления пароля принимаются для того, чтобы единственным вариантом взлома был грубый перебор, а количество символов для того, чтобы время перебора выходило за рамки разумности. В случае передачи контроля профиля третьему лицу, этот человек может использовать компьютер жертвы, как опорную базу для дальнейших атак на другие ресурсы компании и делать это он будет от имени пользователя. Если это объяснить пользователя в доступной форме, то мы не получим никакого отторжения, наоборот пользователи будут благодарны, за то, что отдел ИБ их обучает компьютерной грамоте
и лучшим практикам безопасности, которые они теперь могут применять не только на работе, но и дома.