30 апреля 2013

Не говорите сотрудникам о наличии системы контроля



Довольно часто приходится слышать о том, что сотрудникам не стоит знать о том, что в компании работает DLP-система, потому что в таком случае контроль будет особенно эффективным. На самом деле, это миф, и более того, достаточно вредный миф.
На первый взгляд, всё выглядит следующим образом: если сотрудники не знают о том, что их контролируют, соответственно, и недовольства по поводу наличия «слежки» они не выражают. Все довольны: работодатель получает информацию и депремирует или увольняет лентяев, а сами лентяи продолжают, ничего не подозревая, сидеть на «Одноклассниках» и играть в онлайн-игры.
К сожалению, такая идиллия продолжается недолго. Работники, лишившись премии (или вовсе работы) начинают подозревать о том, что у руководства организации есть надежный источник информации о том, чем каждый занимается на рабочем месте. Скрытое наблюдение перестает быть скрытым, и начинает восприниматься сотрудниками как откровенный шпионаж за ними. В ряде случаев между внедрением системы мониторинга и появлением информации о её наличии у персонала и вовсе не проходит и пары дней, поскольку «айтишники», устанавливающие систему, чувствуют себя в одной лодке со всеми остальными и вовсе не стараются держать язык за зубами.
Таким образом, для того, чтобы избежать обвинений в шпионаже, а заодно и проблем с законом, нужно обязательно оповещать сотрудников о работе системы мониторинга их действий. Обязательно пропишите её наличие в трудовом договоре: в этом случае можно быть уверенным в том, что собранные системой данные будут достаточным основанием для официального увольнения работника «по статье».
Р. Идов,
ведущий аналитик компании SearchInform

29 апреля 2013

Потеря/кража личности/идентичности

В последнее время довольно много разговоров в свете несанкционированного доступа к различным аккаунтам социальных сетей довольно много разговоров идет о том, к чему, в конце концов, это всё способно привести. Речь, прежде всего, о потере идентичности, или, как еще принятно называть это явление, краже личности. Речь сейчас пойдет не о психиатрии и не об исканиях себя, а исключительно об информационной безопасности.
Что это такое? Вкратце, это потеря доступа к своему "цифровому я", которое включает в себя все ваши цифровые активности, начиная с общения в социальных сетях и заканчивая оплатой чего бы то ни было с помощью банковской карты (или, скажем, биткоинов). Фактически, это означает, что какой-то другой человек выдает себя за вас - при этом достаточно успешно, пусть и на сравнительно короткое время, пока обман не раскроется. Но ущерб и за это время может быть большим.
Как показывает практика, это уже не такая уж и фантастика. Недавно мы здесь обсуждали взлом Твиттера известного новостного агентства и его последствия. Представьте себе, что всё то же самое, но в меньшем масштабе, может случиться с каждым. Хуже всего, конечно, когда получают доступ к вашей почте, потому что на неё завязаны почти все остальные ваши контакты. Но даже если вести речь о соцсетях, эффект может быть весьма значительным.
К примеру, кто-то взломах ваш Facebook и написал там что-то неприятное о той компании, где вы работаете (вы же указали её, верно?). Это раньше или позже станет известно на работе, вы же работаете в хорошей компании, которая отслеживает, что о ней пишут в Сети. Если вы не гендиректор, то руководство наверняка укажет вам на дверь - зачем нужны сотрудники, пишущие такое публично? Если вы гендиректор (но не собственник бизнеса), то всё еще хуже - вы испортите отношения с акционерами и инвесторами, и дальше о высокой должности можете забыть (хотя никто не мешает основать свой бизнес, но это уже другой разговор). Кем бы вы ни были, может быть, о вас напишет пресса, и вас, в лучше случае, возьмут потом на работу "В контакте" готовить кофе вернувшемуся с очередной охоты на гаишников Павлу Дурову. Может быть, вы сможете даже потом заработать на этом лишние пять тысяч...
И это только соцсети. А всё идет к тому, что не будет отдельных аккаунтов, и все ваши данные будут собираться в одном месте, включая паспортные, медицинские и прочие. Предствляете, какой простор для деятельности тех, кого сегодня принято называть хакерами?.. Думаю, что даже те, кто не очень разбирается в информационной безопасности, могут представить, чем это всё может быть чревато.
И коль скоро в основной своей массе люди плевать хотели на собственную информационную безопасность, мы скоро станем свидетелями массовых краж личности. Потому что спрос на это уже сегодня в среде киберпреступников есть, а технологии всё ближе к тому, чтобы "сделать сказку былью". Весь вопрос в том, кто будет первым, и научит ли это чему-нибудь остальных...
Р. Идов,
ведущий аналитик компании SearchInform

Кто ответит за безопасность корпоративного аккаунта в соцсетях?



Предыдущим постом навеяно. Сейчас много говорят о безопасном поведении в социальных сетях, постоянно напоминают о хакерских и фишинговых атаках, но, по сути, от самого пользователя не зависит ничего – он может только устанавливать пароль и не кликать по вредоносным ссылкам. Все остальные меры безопасности ложатся на плечи владельцев сети.


Для рядового пользоватя это, конечно же, плюс, т.к. сам он вряд ли сможет обеспечить безопасность своего аккаунта лучше, чем целый штат тех. поддержки сайта. Но вот с корпоративными аккаунтами дело обстоит иначе, для них не всегда достаточно тех мер, которых хватило бы для обычного участника соцсети. И многочисленные инциденты со взломом учетных записей и большим резонансом в СМИ тому подтверждение.
Создавая свой аккаунт в социальной сети, организация соглашается, по сути, на аутсорсинг, потому что практически никак не может повлиять на защиту и работоспособность своей «учетки».  Но и это не все. Ко всем минусам аутсорсинга добавляется еще и его закрытость – владельцы социальных сетей не раскрывают способы, какими они обеспечивают безопасность аккаунтов, а значит, и оценить их эффективность можно лишь по результату – взломали / не взломали. Что, согласитесь, внушает некоторую степень опасения.
Конечно, Павел Дуров или Марк Цукерберг вряд ли прочитают  этот пост. Но тенденция идет к тому, что ценность информации, распространяемой с официального аккаунта компании в социальной сети, возрастет с каждым днем. Долго ее игнорировать и продолжать «играть в прятки» с другими компаниями нельзя.
К сожалению, сейчас даже платные аккаунты в соцсетях не могут усилить их безопасность, потому что чаще всего предлагают лишь владельцу сертифицировать «учетку», расширить функционал, получить более подробную статистку по странице. И все. Все это, конечно, полезные и нужные инструменты, но вряд ли они помогут при хакерской атаке.
А между тем, существуют технологии, которые при интеграции в социальные сети моги бы существенно обезопасить ценный аккаунт. Имеется в виду, конечно же, двухэтапная аутентификация, цифровые ключи, биометрические сканеры и прочие модные средства современной защиты. Уверен, нашлись бы компании, которые бы согласились защищать свою страницу в социальных сетях такими способами.
В новостях иногда проскакивают сообщения, что соцсети думают о том, чтобы применять эти способы аутентификации. Но не окажется ли, что когда они все же окажутся реально доступны, будет уже поздно?
Александр Вашкевич

25 апреля 2013

Twitter как инструмент кибервойн

Twitter, хакерские группировки и информационные агентства. Что общего между этими понятиями? Как показали новости последних дней, это все в совокупности – простой, но эффективный способ осуществления кибератак.
Итак, новость номер раз: Заместитель редактора социальных сетей информационного агентства Reuters Мэттью Киз уволен за помощь «анонимусам». Вина подозреваемого еще не доказана и сам он ее отрицает, однако руководство поспешило отстранить Киза от выполняемых им обязанностей. В частности, ведения официального Twitter-аккаунта.
Казалось бы, что такого может сделать потенциальный злоумышленник, даже получив доступ к учетной записи в социальных сетях? Основными каналами распространения информации от агентств все равно ведь служат печатные СМИ, новостные сайты и телевидение. Но уже следующий день показал, насколько правы были в своих опасениях сотрудники Reuters.
Беда нагрянула к их конкурентам, агентству Associated Press, и пришла она именно через взлом официального Twitter-аккаунта:
Во вторник, 23 апреля, злоумышленники разместили на страничке AP сообщение о том, что в Белом доме произошли два взрыва, в результате которых президент Барак Обама получил ранения. Под влияние ложной новости попали фондовые рынки США. Так, более чем на 100 пунктов - ниже отметки в 14600 пунктов - упал индекс Доу-Джонса. Также упали индексы основных американских бирж.
На «утку» попались не только подписчики страницы Associated Press, но и очень многие новостные порталы, что только усугубило эффект взлома.
Как видно, взломанный Twiiter крупной компании – это точно такая же угроза, как и традиционные методы информационных атак: хакерские нападения, утечки информации, физическая кража документов. Возможно, атака на социальные сети даже в чем-то и опаснее – ее невозможно скрыть, а последствия – оперативно устранить, т.к. пользователи в течение нескольких минут разносят ложную информацию по всей сети. И как видно, подобные сведения не только портят репутацию компании, но и могут нести финансовые потери. Причем не только на уровне отдельно взятой организации, а целой страны.
Александр Вашкевич

24 апреля 2013

Мысли об образовании

Один знакомый бизнесмен недавно вернулся из Соединенных Штатов, куда ездил учиться, причем жутко недовольный. Учили его, конечно, бизнесу - точнее не скажу, потому что не понимаю. Мне всегда казалось, что бизнесу нельзя научиться, это какой-то врожденный талант. Но количество бизнес-школ, расплодившихся в последнее время, как бы намекает, что так думаю только я, и что научиться этому можно. Ну, да не суть, как говорится.

Суть в том, что, по словам этого бизнесмена, все те же знания он уже получил на одном из отечественных курсов, причем около трех лет назад. Да, у американцев были новые "кейсы", маститые профессора и дорогие книги, которые входили в стоимость курса (а стоил он почти $60k). Но основная информация  была такой же, как излагавшаяся отечественными бизнес-тренерами в дешевых отечественных же костюмах и раздающих литературу в электронном виде.
В общем-то, в чем-то похожая ситуация наблюдается и в России на локальном уровне. Довольно часто разные "академии", тренинговые компании и т.д. рассказывают на своих баснословно дорогих курсах прописные истины. Это касается не только бизнес-школ, но и курсов по информационной безопасности, да и вообще, в принципе, практически любых курсов, так или иначе связанных с информационными технологиями. Слово "авторизованный" автоматически добавляет 500-1000 "убитых енотов" к стоимости курса, но ничего не добавляет в голову тому, кто этот курс прослушает.
В общем-то, мораль этого поста чрезвычайно простая. Вовсе не обязательно самый  дорогой курс сделает вас умнее всего и позволит лучше всего разобраться в том, чему вы хотите научиться. Поэтому прежде чем выбирать какой-то учебный курс или учебный центр, обязательно почитайте о нем в Сети - может быть, с ним не всё так просто, и те деньги, которые вы хотите вложить в образование, окажутся, на самом деле, выброшенными на ветер.
Р. Идов,
ведущий аналитик компании SearchInform

23 апреля 2013

Мода на безопасность

Говорить о необходимости информационной безопасности,  защиты персональных данных, поголовной установке DLP-систем сегодня становится хорошим тоном. Ни одна лента новостей не обходится так или иначе без подобной информации: то хакера поймали, но очередную дыру в популярном софте залатали, то снова оштрафовали за хищение сведений о пользователях Google. Который на завтра радостно сообщит, что нашел в Chrome новую уязвимость, устранил ее и теперь можно спать спокойно. 
Конечно, призывы о необходимости вдумчивого и осторожного обращения с информацией важны. Вот только не кажется ли, что такое обилие сведений об этом просто-напросто рождает новый тренд – моду на информационную безопасность? А следование тренду, как известно, очень часто оказывается необдуманным и нелогичным. Что в сфере ИБ очень и очень плохо, и может серьезно навредить и финансовому положению компании и ее имиджу.
Предпосылок к этому предостаточно.
Во-первых, растрата финансов на ненужные меры безопасности. Мол, все солидные компании ставят себе DLP-системы, мы же не хуже, тоже поставим, утечек не будет, деньги сэкономим. И не важно, что в «солидной компании» в штате десять человек, а компьютеры для работы есть только у пяти. И ведь найдутся на просторах нашей необъятной родины разработчики и интеграторы, которые согласятся внедрить систему в такую фирму и потешить чувство гордости ее директора.
Впрочем, такой вариант еще не так уж и плох – DLP-то будет работать, и вреда (кроме потери честно заработанных денег, конечно) не нанесет. Намного хуже, когда в погоне за совершенной защитой страдает элементарная основа безопасности. Можно установить новейшие биометрические сканеры на каждую дверь, настроить двухэтапную аутентификацию для открытия каждого файла, навесить камеры на каждом углу, но забыть про банальный сетевой экран. И вот уже корпоративные сведения благополучно утекают в сеть Интернет к конкурентам, несмотря на все совершенные и дорогие защитные меры.
Безопасность всегда требовала вдумчивого аналитического подхода, а при наличии нынешнего арсенала защиты информации необходимость этих требований возрастает в несколько раз. Уже мало оценить, что и как необходимо защищать. Нужно больше – соотнести стоимость установки систем безопасности с возможной выгодой злоумышленника при хищении информации. И однозначного алгоритма, работающего во всех случаях, здесь нет. Нынешняя мода предъявляет к сотрудникам службы безопасности намного более высокие требования…
А между тем, только что одним постом по безопасности стало больше. Ну что ж, добро пожаловать в тренд, господа!
Александр Вашкевич