Рубрикатор |
Статьи | ИКС № 06-07 2014 |
Дмитрий КОСТРОВ  | 16 июня 2014 |
Заметки по практической психологии
Для борьбы с угрозами «человеческого фактора» могут и должны использоваться человеческие же особенности, склонности и опасения.
Люди любят играть
Несколько лет назад в крупной операторской компании мы затеяли акцию веселого обучения сотрудников основам информационной безопасности – провели конкурс инфобезопасного плаката. На удивление, весь коллектив подключился к этой затее с энтузиазмом: сочиняли афоризмы, короткостишия про пароли и логины, рисовали, состязались в остроумии и познаниях этого вроде бы скучного вопроса. Без преувеличения, всем было интересно играть в эту профессиональную игру, а число инцидентов ИБ после нее сократилось.
Культура информационной безопасности напрямую зависит от общей корпоративной культуры. Если люди пришли в компанию с нормальным желанием поработать на себя, на семью и на компанию, если их устраивают условия труда, то с помощью организационно-технических мер поддерживать минимальный уровень угроз инфобезопасности со стороны «человеческого фактора» не составит труда. При этом инструкции и требования должны быть просты и понятны всем, чтобы, например, уборщик понимал: если сильно хлопать дверью в серверную, штекеры могут выпасть из гнезд в серверах и связь прервется.
Надо признать, сформировать корпоративную культуру ИБ в отрыве от культуры инфобезопасности в обществе весьма проблематично. Во всем мире реализуются специальные программы в этом направлении, причем не только национальные, но и межгосударственные. Так, в APEC страны Азиатско-Тихоокеанского региона запускают специальные программы по повышению осведомленности простых граждан о проблемах и угрозах безопасности в интернете. При этом речь идет не о технологических системах защиты, акцент сделан на «человеческий фактор».
Когда не до игр
К сожалению, времена для инфобезопасности сейчас не самые благоприятные. В условиях сокращения штатов, задержки зарплат, серых схем их выплаты атмосфера в коллективе накаляется, люди нервничают, задумываются об уходе и по-тихому заготавливают себе «парашюты» в виде коммерческой информации, взятой на текущем месте работы. Или, напротив, шантажируют руководство. На моей памяти был случай, когда безопасник крупного банка поставил президенту ультиматум: если его уволят – сольет все данные о ключах для ДБО. Его оставили. А если увольняются программисты? У любого крупного предприятия половина всех систем доработана собственными сотрудниками, причем часто получается, что человек написал программу и уволился, следом пришел другой и тоже написал-уволился, потом третий… Нет никакой уверенности, что никто из них не заложил в систему «логическую бомбу», которая сработает в определенный день и час, предоставив своему автору удаленный доступ к системе расчетов, абонентским счетам или персональным данным. Сегодня одна из самых сложных проблем банков – огромные массивы самописных программ, к которым службы ИТ и ИБ боятся даже подходить: работает и ладно, лучше не трогать. А компании – разработчики центральных систем процессинга или биллинга отказываются от их поддержки, поскольку уже не понимают, что происходит в их недрах за тремя оболочками.
Утечки информации случаются и в госструктурах, куда служащих тщательно отбирают и где проводятся регулярные проверки. Что уж говорить о коммерческих организациях, если привлечь к серьезному наказанию за разглашение коммерческой тайны по нашим законам практически невозможно. Человек может по настроению или в силу обстоятельств нанести крупный ущерб компании – и ничего ему за это не будет. Все постараются сохранить хорошую мину при плохой игре. Более того, в моей практике был случай, когда пойманного на воровстве сотрудника защитил от наказания руководитель компании, заявивший, что этот человек приносит в пять раз больше денег, чем ворует. Если руководство так считает – значит, принимает риски. Но надо хотя бы законодательно обязать компании предавать гласности случаи утечек, как это делается в других странах.
Еще раз о пользе игрушек
Ни для кого не секрет, что при оценке рисков компании риски информационной безопасности остаются на периферии внимания акционеров или высшего руководства. Очень мало у нас в стране владельцев компаний, которые считают, что надо обеспечивать защиту информации. Недавно с трибуны одной из специализированных конференций топ-менеджер крупной компании заявил: «Ну потеряю планшет – и что? Бывшие сотрудники спецслужб, которые работают в подразделениях инфобезопасности, всех нас просто пугают».
В свое время мне пришлось одному из таких руководителей продемонстрировать, как легко можно управлять его компьютером. Он никак не хотел верить, что это возможно. Надо сказать, в то время многие должностные лица любили играть в «шарики». Пришлось написать программу, красиво «зашить» ее в такую игрушку, сложить специальным файлом и подарить ему. Руководитель запустил программу, и у него стал отниматься экран, мышка, дисководы, вплоть до того, что можно было управлять его «шариками». Нужно положить в ячейку – а он не кладется. Человек был потрясен. После этого в компании появились бюджеты на информационную безопасность. Такой вот «человеческий фактор».