Публикация в CIO
Clickety - Click!
Когато нелоялната конкуренция не спи, а търговията с информация е в разцвета си, е време да разберем с кого си имаме работа и да започнем да взимаме ответни мерки. Не, не с техните методи, разбира се - и обучението на персонала е добро, много добро начало.
Някога и аз си представях, че ако една компания похарчи хиляди, десетки хиляди и понякога повече за оборудване от типа на защитни стени, системи за контрол на достъпа и други подобни продукти, данните стават все по-защитени и по-защитени. Все пак, не може да няма логика в това нали? Не може всички тези системи да не добавят добавената стойност към сигурността, каквато обещават? Разбира се, че го правят. Когато построиш защитна, дори огнена стена 2 метра висока и 2 метра широка в полето, и някой се блъска в нея, опитвайки се да мине от другата страна, той в никакъв случай няма да успее!
Тогава ние сме… защитени? Ще се опитам да разкажа една история - тази, която се случва всеки ден, на която съм бил свидетел нееднократно, и от която бих искал да предпазя хората които я прочетат.
Имало едно време един изпълнителен директор. Той много ценял информацията с която работи компанията му и я поверил в доверените ръце на най-добрите ИТ специалисти, които успял да намери. Те от своя страна намерили най-добрите решения за сигурност на пазара, купили ги, прекарали безброй безсънни нощи настройвайки всичко до най-малка подробност - до момента в който могли да кажат “Готово! Който и да се опита да ни атакува отвън - ще се провали!”. Заслужили почивката си, те се насладили на постигнатото и се заели с ежедневни задължения. Бизнесът вървял, информацията се трупала в информационната крепост на компанията, от време на време някой проверявал за дупки в стените, за ръждясали ключалки, закърпвал евентуалните дупки и продължавал напред.
Хората в ИТ отдела идвали и си отивали, но информацията стоява непокътната. Колкото пъти проверявали дали не е изчезнала, тя си била там! Няма по-хубаво нещо от това да се чувстваш сигурен.
Докато един ден, 100 от 300-те служители не получили интересен мейл в пощата си. Не се споменавало за вълшебни лекарства или нов начин за забогатяване, не! Ставало въпрос за най-елементарния случай “Помогни на дете! Препрати писмото на приятел!”. Мейлът съдържал и линк, за повече информация по въпроса. Линкът не водел до опасни сайтове, не карал хората да свалят нищо от интернет, а само да го последват - нима в това има нещо лошо? И кой не иска да помогне на горкото дете? Я да видим какво повече можем да прочетем… Clickety-Click!
Странно. Браузърът зарежда сайта, и се затваря от само себе си. Е, какво пък - задачите са много, продължаваме по план! Някой друг ще помогне на детето.
Какво се случи междувременно? В мейла нямаше вирус, затова корпоративната антивирусна програма не ни алармира. Той не съдържаше атачмънти, нито лоши думички, нито линкове към вирус дори! В сайта който някои посетиха, също нямаше нищо особено, което да алармира защитните стени… Защо се затвори прозореца на браузъра и защо това трябва да ни притесни?
Всъщност, ето какво се случи.
Посещавайки сайта, браузърът зарежда зловреден код - който дори няма нужда да е под формата на файл. Може да се съдържа в икона, скрипт, графика, анимация - няма значение формата, важен е фактът, че компютърът е изпълнил команда от някой, който не го прави с благотворителна цел! В повечето случаи, тази команда инструктира жертвата си да зареди още и още зловреден код, който много бързо и невидимо инфектира компютъра до степен в която атакуващият вече има пълен контрол над информацията в него, и в много случаи до информацията в цялата компания, след много много кратко време.
Защо не ни защитиха защитните стени за хиляди и десетки хиляди евро? Много просто. Де факто, не ни атакува никой отвън. Атакуваха ни собствените ни, желаещи да помогнат на бедното дете от мейла, служители! Няма почти никаква разлика между това, дали някой ще изпрати информацията собственоръчно до “атакуващия”, и това да му се даде пълен достъп до мрежата така, че да си я вземе сам. Резултатът е един и същ.
А какво се случва с информацията? Тя си седи непокътната. Не е изтрита, не е променена, фирмата все още разполага с нея… само че, не само *тази* фирма.
Много жалко, че когато ни продават продукт за защита от атаки, не ни разказват такива истории. Знам, че е много неприятно да осъзнаваме колко крехка е всъщност сигурността на информацията - но това е единственият начин да пожелаем някаква промяна. Промяна, която ще затрудни до много голяма степен всеки пожелал да открадне каквато и да е информация от компанията!
Какво ни трябва? Още десетки хиляди евро за нови продукти? Не. Просто трябва да разкажем историята на подчинените си. Да им обясним, до каква степен успеха на бизнеса и неговата цялостност се крепят на всеки, от секретарката до изпълнителния директор. Хубаво е да имаме и системите за сигурност, и перфектно обучения ИТ персонал, но е добре и да обучим всеки в компанията да цени информацията с която работи, и да владее елементарни правила на поведение в мрежата. Така да се каже, 10-те заповеди на информационнаа сигурност!
1. Почитай Информацията, защото чрез нея бизнесът расте и ти дава работа.
2. Не прави неоторизирани копия на информацията, и не ги изнасяй там където няма да е защитена!
3. Не споменавай напразно Информацията пред хора които не трябва да я знаят
4. Давай си почивка отвреме навреме, но нека това не застрашава Информацията, не кликвай където не трябва по време на почивката си!
5. Почитай Шефа и фирмената информация, за да работиш дълго във фирмата и да просперираш
6. Не трий и не губи ценна информация без причина!
7. Не продавай информацията на други хора!
8. Не кради информация!
9. Не изопачавай информацията!
10.Не пожелавай информацията на фирмата за себе си!
Обучението на персонала - това е само началото. Но е много добро начало, което, ако е поставено добре, служи за много здрава основа на информационната крепост във всяка компания. Пожалавам успех на всички, започнали да я градят!